Unternehmen haen in den vergangenen zwölf Monaten zwar Fortschritte bei der Einhaltung der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung erzielt, doch die Mehrheit der deutschen, europäischen und US-amerikanischen Unternehmen ist immer noch nicht ausreichend darauf vorbereitet. Das geht aus einer Studie hervor, die Compuware jetzt veröffentlicht hat.
Zwar sagen 67 Prozent der europäischen Unternehmen, dass sie gut informiert sind über die EU-Datenschutz-Grundverordnung (EU-DSGVO) und den Einfluss, den sie auf den Umgang mit Kundendaten hat. Dies ist eine Verbesserung im Vergleich zu den 55 Prozent im Vorjahr. In Deutschland fühlen sich 72 Prozent der Unternehmen gut informiert. Im Vergleich zum Vorjahr ergibt sich hier allerdings keine Veränderung. Von den 94 Prozent der US-Unternehmen, die Daten von europäischen Kunden besitzen, fühlen sich 88 Prozent gut darüber informiert, im vergangenen Jahr waren es noch 73 Prozent.
Allerdings besitzen nur 38 Prozent weltweit einen umfassenden Plan für die Compliance mit der EU-DSGVO, das ist nur eine leichte Verbesserung gegenüber den insgesamt 33 Prozent im Vorjahr. So riskiert weiterhin die Mehrheit der Unternehmen hohe Bußgelder von bis zu 20 Millionen Euro oder vier Prozent ihres Umsatzes für die Nichteinhaltung der Vorgaben.
USA besser vorbereitet als Europa
Überraschenderweise sind US-Unternehmen besser auf die EU-DSGVO vorbereitet als europäische Firmen. 60 Prozent der US-Teilnehmer an der Umfrage mit europäischen Kundendaten besitzen einen detaillierten und weitreichenden Plan, im Vergleich zu 56 Prozent im Vorjahr. Die britischen Unternehmen sind am sorglosesten, hier haben nur 19 Prozent einen entsprechenden Plan, verglichen zu 18 Prozent im vergangenen Jahr.
„Die Unternehmen bewegen sich klar in die richtige Richtung für die Compliance mit der EU-DSGVO, aber sie müssen immer noch einen langen Weg in sehr kurzer Zeit zurücklegen“, sagt Dr. Elizabeth Maxwell, PDP, Technical Director, EMEA bei Compuware. „Britische Gesellschaften hinken vielleicht aufgrund der Unsicherheiten durch den Brexit hinterher. Aber jedes Unternehmen, das in Europa Geschäfte tätigt, muss die Richtlinien ab Mai 2018 einhalten. Fehlende Compliance kann zu verheerenden Konsequenzen führen, wenn Daten gestohlen werden. Und dies wird durch zunehmende Cyberkriminalität und Insider-Bedrohungen immer wahrscheinlicher.“
Hürden für die Compliance
Als größte Hindernisse für die Compliance mit der EU-DSGVO sehen deutsche Unternehmen die Gewährleistung der Datenqualität (73 Prozent, weltweit 56 Prozent) sowie die Datenkomplexität (67 Prozent, weltweit 56 Prozent). Zusätzlich sagen 64 Prozent der Unternehmen in Deutschland (weltweit: 75 Prozent), dass sie aufgrund der Komplexität moderner IT-Services nicht immer wissen können, wo sich all ihre Kundendaten befinden. Nur etwas mehr als die Hälfte (in Deutschland 59 Prozent, weltweit: 53 Prozent) kann sämtliche Daten zu einer Person schnell lokalisieren – eine Voraussetzung für die Gewährleistung des „Rechts auf Vergessen werden“. Immerhin knapp ein Drittel (in Deutschland: 33 Prozent, weltweit: 31 Prozent) der Befragten kann nicht garantieren, dass sie alle Kundendaten finden können, wie es die EU-DSGVO fordert.
„Unternehmen können unmöglich das ‚Recht auf Vergessen werden‘ der EU-DSGVO gewähren, wenn sie die Kundendaten nicht finden“, so Maxwell. „Aufgrund seiner Sicherheit und Skalierbarkeit speichern die meisten großen Unternehmen die Kundendaten vorwiegend auf dem Mainframe. Diese Daten befinden sich üblicherweise in einem komplexen Labyrinth aus Datenbanken auf diversen Systemen. Dabei nutzen Unternehmen oft manuelle, zeitaufwändige Methoden, um Informationen zu finden und zu extrahieren. Sie benötigen aber eine automatische Möglichkeit, Datenbeziehungen abzubilden und zu visualisieren. Nur damit können sie ohne spezialisiertes Fachwissen schnell spezifische, relevante Daten erkennen und löschen.“