Defizite bei Umsetzung technischer und organisatorischer Maßnahmen
Technische Datensicherheit wird vernachlässigt
Eine aktuelle Studie des Research- und Analystenhauses Techconsult zeigt, dass Unternehmen mit Umsetzung technischer und organisatorischer Maßnahmen zum Schutz von personenbezogenen Daten oft hinterherhinken. Für die Studie wurden insgesamt 259 deutsche Unternehmen befragt.
Bild: techconsult GmbHDie EU-DSGVO sorgt auch fast ein Jahr nach Inkrafttreten für Verunsicherung in Unternehmen, Vereinen und Verwaltungen. Die vom Research- und Analystenhaus Techconsult und dem IT-Verlag durchgeführte Studie 'DSGVO-Index' zeigt allerdings Defizite bei der Umsetzung der sogenannten technischen und organisatorischen Maßnahmen (TOM). Für die Studie wurden 259 Unternehmen aus Deutschland befragt.
Schutz personenbezogener Daten
Die TOM dienen zum Schutz der personenbezogenen Daten vor unbefugter oder unbeabsichtigter Verarbeitung, Schädigung oder Löschung. Dazu müssen Unternehmen gewährleisten, dass nur berechtigte Personen Zugang zu sensiblen Bereichen des Unternehmens haben. Das gilt sowohl für den physischen Zutritt zu Räumen als auch für den Zugang auf Systeme. Von den in der Studie befragten Unternehmen führen 31 Prozent keine erweiterte Zugangskontrolle durch. Dies könnte dazu führen, dass sich Unbefugte Zutritt zu sensiblen Unternehmensbereichen und zu personenbezogenen Daten verschaffen - ein klarer Verstoß gegen das Schutzziel der Vertraulichkeit. Darüber hinaus haben 19 Prozent der Unternehmen keinerlei Maßnahmen zur Weitergabekontrolle getroffen und versenden sensible personenbezogene Daten unverschlüsselt. Solche technischen Maßnahmen nach dem Stand der Technik sollen im Rahmen der Weitergabekontrolle verhindern, dass Daten bei der Übermittlung von Unbefugten eingesehen oder verarbeitet werden können. Zudem müssen die Speichersysteme stets geschützt sein und hohen Belastungen standhalten. Nur knapp die Hälfte (48 Prozent) der Unternehmen gewährleisten die permanente Verfügbarkeit ihrer Systeme. In diesem Zusammenhang müssen Unternehmen Reparaturstrategien für den Fall einer belastungsbedingten Störung entwickeln, die durch Überhitzung oder DDoS-Angriffe entstehen können. Zur Sicherstellung der Datenintegrität und Vertraulichkeit müssen Unternehmen hier dringend aufrüsten, so die Studienautoren.
Mehr als ein Drittel nicht für den Ernstfall gewappnet
Bei den technischen Maßnahmen zur Evaluierung des Datenschutzmanagements besteht bei den befragten Unternehmen ebenfalls Nachholbedarf. So geben lediglich 33 Prozent der Befragten an, eine Datenschutzmanagement-Lösung zur Steuerung relevanter Prozesse einzusetzen. Eine automatisierte Kontrolle datenschutzrelevanter Vorgänge kann die DSGVO-Umsetzung beschleunigen und zur Compliance beitragen. Darüber hinaus sollten Unternehmen mögliche Risiken proaktiv berücksichtigen und diesen entgegenwirken. Knapp ein Viertel der Befragten geben jedoch an, keinerlei Software für das Risikomanagement zu verwenden. Eine weitere organisatorische Maßnahme ist das Incident-Response-Management, wodurch auf Störungen und Sicherheitsvorfälle angemessen reagiert werden kann. Dennoch haben 37 Prozent der befragten Unternehmen keine Prozesse für den Ernstfall eingeführt, um im Falle von Datenschutzverstößen bestmöglich zu reagieren. Unternehmen riskieren somit Bußgelder, wenn sie die zuständige Behörde nicht innerhalb von 72 Stunden über meldepflichtige Datenschutzverletzungen in Kenntnis setzen. Daraus resultierende Ausfälle können zudem schnell zu Umsatzeinbußen führen, der Reputation schaden und maßgeblich den Unternehmenserfolg beeinträchtigen. Damit einhergehend müssen im Zuge der organisatorischen Maßnahmen auch die Mitarbeiter hinsichtlich datenschutzrelevanter Thematiken sensibilisiert werden. Von den Befragten haben 34 Prozent keine Schulung erhalten und wissen deshalb nicht, wie sie mit personenbezogenen Daten genau umzugehen haben, obwohl sie mit diesen arbeiten. Zudem wird in 23 Prozent der befragten Unternehmen der Grundsatz der Datenminimierung nicht berücksichtigt, also mehr Daten als für den Zweck nötig erhoben und verarbeitet.
Von vollständiger Konformität entfernt
Die Studienergebnisse zeigen, so die Autoren, dass Unternehmen noch weit von vollständiger DSGVO-Konformität entfernt sind. Vor allem bei der Gewährleistung der technischen Datensicherheit hapert es in nahezu allen Bereichen. Im DSGVO-Umsetzungsprozess müssen Unternehmen zudem proaktiv im Umgang mit möglichen Gefahren sein. Nur ein solides technisches und organisatorisches Fundament der Datensicherheit kann langfristig gegen Datenschutzrisiken schützen und die Einhaltung der DSGVO gewährleisten. Trotz der Gefahr durch Bußgelder müssen die Maßnahmen nicht um jeden Preis umgesetzt werden, sondern nur nach Abwägung von Risiko, Stand der Technik und entsprechenden Implementierungskosten.
Eine aktuelle Studie des Research- und Analystenhauses Techconsult zeigt, dass Unternehmen mit Umsetzung technischer und organisatorischer Maßnahmen zum Schutz von personenbezogenen Daten oft hinterherhinken. Für die Studie wurden insgesamt 259 deutsche Unternehmen befragt.
Bild: techconsult GmbHDie EU-DSGVO sorgt auch fast ein Jahr nach Inkrafttreten für Verunsicherung in Unternehmen, Vereinen und Verwaltungen. Die vom Research- und Analystenhaus Techconsult und dem IT-Verlag durchgeführte Studie 'DSGVO-Index' zeigt allerdings Defizite bei der Umsetzung der sogenannten technischen und organisatorischen Maßnahmen (TOM). Für die Studie wurden 259 Unternehmen aus Deutschland befragt.
Schutz personenbezogener Daten
Die TOM dienen zum Schutz der personenbezogenen Daten vor unbefugter oder unbeabsichtigter Verarbeitung, Schädigung oder Löschung. Dazu müssen Unternehmen gewährleisten, dass nur berechtigte Personen Zugang zu sensiblen Bereichen des Unternehmens haben. Das gilt sowohl für den physischen Zutritt zu Räumen als auch für den Zugang auf Systeme. Von den in der Studie befragten Unternehmen führen 31 Prozent keine erweiterte Zugangskontrolle durch. Dies könnte dazu führen, dass sich Unbefugte Zutritt zu sensiblen Unternehmensbereichen und zu personenbezogenen Daten verschaffen - ein klarer Verstoß gegen das Schutzziel der Vertraulichkeit. Darüber hinaus haben 19 Prozent der Unternehmen keinerlei Maßnahmen zur Weitergabekontrolle getroffen und versenden sensible personenbezogene Daten unverschlüsselt. Solche technischen Maßnahmen nach dem Stand der Technik sollen im Rahmen der Weitergabekontrolle verhindern, dass Daten bei der Übermittlung von Unbefugten eingesehen oder verarbeitet werden können. Zudem müssen die Speichersysteme stets geschützt sein und hohen Belastungen standhalten. Nur knapp die Hälfte (48 Prozent) der Unternehmen gewährleisten die permanente Verfügbarkeit ihrer Systeme. In diesem Zusammenhang müssen Unternehmen Reparaturstrategien für den Fall einer belastungsbedingten Störung entwickeln, die durch Überhitzung oder DDoS-Angriffe entstehen können. Zur Sicherstellung der Datenintegrität und Vertraulichkeit müssen Unternehmen hier dringend aufrüsten, so die Studienautoren.
techconsult GmbH
Dieser Artikel erschien in INDUSTRIE 4.0-MAGAZIN 8 2019 - 25.04.19.Für weitere Artikel besuchen Sie www.i40-magazin.de
