Umsetzung der DSGVO in deutschen Unternehmen
Spencer Young, RVP EMEA bei Imperva nimmt Stellung zur Umsetzung der DSGVO in deutschen Unternehmen und den Auswirkungen einer Nichtumsetzung. In Deutschland wurde zwar viel vor hohen Busgeldern gewarnt, doch diese blieben bislang aus. Die Schädigung des Markenimages scheint nicht abschreckend genug zu sein. Doch die Zahl der Beschwerden zu DSGVO-Verletzung nimmt stetig zu, weswegen Imperva Unternehmen zum Handeln aufruft..
„Datenschutz hat in Deutschland schon immer einen besonderen und hohen Stellenwert besessen. Durch die DSGVO hat sich das Regelwerk für deutsche Unternehmen aber nochmals verschärft. Die Verordnung hat dazu geführt, dass jedes Unternehmen, das personenbezogene Daten speichert und verarbeitet, unabhängig von Branche und Standort dem Datenschutz Vorrang einräumen muss. Aber haben Unternehmen im vergangenen Jahr etwas gelernt, wenn es um den Schutz ihrer Daten geht?
Laut Bitkom hatten im September 2018 haben drei von zehn Unternehmen die GDPR Anforderungen im Unternehmen erst teilweise umgesetzt. Viele sehen in der GDPR-Konformität ein nicht zu erreichendes Ziel. Diese hat erst jedes vierte Unternehmen in Deutschland vollständig umsetzen können. Oft scheitert es allein an dem Mangel an Datenschutzbeauftragten im Unternehmen, die sich mit den neuen Regelungen beschäftigen und die datenverarbeitenden Prozesse im Unternehmen entsprechend begleiten. Das Bewusstsein ist durchaus da, es mangelt hingegen an interner Expertise.
Da selbst große Marken wie Google bereits auf ihrer GDPR-Reise stolpern, ist es nicht verwunderlich, dass andere Unternehmen dem Beispiel folgen. Die gegen Google erhobene einmalige Geldbuße von 50 Mio. Euro machte fast 90 % der gesamten Geldbußen von 56 Mio. EUR aus, die in den ersten 9 Monaten der Umsetzung der Rechtsvorschriften verhängt wurden. Erst vor ein paar Tagen berichtete die Welt, dass in Deutschland bislang in 75 Fällen Bußgelder über Unternehmen verhängt wurden. Die Durchschnittshöhe der Bußgelder betrug lediglich 6000 Euro. Das höchste Bußgeld musste ein Unternehmen in Nordrhein-Westfalen zahlen.
Was die Organisationen jedoch berücksichtigen müssen, ist, dass sich die Bürger nun der Bedeutung des Schutzes ihrer Daten bewusstwerden und kein Problem mehr mit Beschwerden haben. Laut eines Abschlussberichtes des Europäischen Datenschutzausschusses sind seit Inkrafttreten der Verordnung über 200.000 Beschwerden eingegangen. Darin enthalten sollen auch rund 65.000 Selbstanzeigen von Unternehmen sein, deren Datenschutzbeauftragte intern Datenlecks entdeckt hatten.
Beunruhigend ist, dass die Gefahr von hohen Bußgeldern und der Schädigung des Markenimages nicht stark genug abschreckend wirkt. Unternehmen lassen sich weiterhin zu viel Zeit mit der DSGVO-Konformität, dabei gab es bereits eine zweijährige Übergangsfrist.
Unter dem Strich müssen Unternehmen die Einhaltung der DSGVO-Richtlinien durch die Umsetzung datenzentrischer Schutzmaßnahmen gewährleisten. Es muss ein besonderes Augenmerk auf die Sicherung von Daten gelegt werden, wo sie sich befinden und überall im Netzwerk unterwegs sind, um sicherzustellen, dass keine Daten ungeschützt bleiben. Die Sicherheitsmaßnahmen müssen sich auf die Daten selbst konzentrieren – Endpunkt- und Perimeterschutz sind wichtig, aber wenn die Daten selbst noch gefährdet sind, bleibt das Problem bestehen.
Letztendlich müssen Unternehmen angesichts der zunehmenden Zahl von DSGVO-bezogenen Beschwerden in Europa jetzt handeln, um sicherzustellen, dass ihre Organisation auf lange Sicht nicht leidet.“