nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
12.06.2019

Unternehmen vernachlässigen technische Datensicherheit

Um den Vorgaben der europäischen Datenschutz-Grundverordnung gerecht zu werden, müssen Unternehmen bei der Gewährleistung der Datensicherheit durch technische und organisatorische Maßnahmen noch deutlich aufrüsten – so das Ergebnis einer neuen Studie.

Die EU-DSGVO sorgt auch fast ein Jahr nach Inkrafttreten für Verunsicherung in Unternehmen, Vereinen und Verwaltungen. Nicht zuletzt die existenzgefährdenden Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes haben das Thema Datenschutz zu einer ernstzunehmenden Angelegenheit werden lassen.
Die vom Research- und Analystenhaus techconsult und dem IT Verlag durchgeführte Studie „DSGVO-Index“ zeigt allerdings gravierende Defizite bei der Umsetzung der sogenannten technischen und organisatorischen Maßnahmen (TOM), die im Rahmen der DSGVO die Datensicherheit auf technischer und organisatorischer Ebene sicherstellen sollen.

Mangelnde Datenintegrität und Vertraulichkeit

Die DSGVO bezweckt mithilfe der TOM den Schutz der personenbezogenen Daten vor unbefugter oder unbeabsichtigter Verarbeitung, Schädigung oder Löschung. Dazu müssen Unternehmen gewährleisten, dass nur berechtigte Personen Zutritt bzw. Zugang zu sensiblen Bereichen des Unternehmens haben.

Das gilt sowohl für den physischen Zutritt zu Räumen als auch für den Zugang auf Systeme. Von den in der Studie befragten Unternehmen führen 31 Prozent keine erweiterte Zugangskontrolle durch. Dies könnte dazu führen, dass sich Unbefugte Zutritt zu sensiblen Unternehmensbereichen und zu personenbezogenen Daten verschaffen – ein klarer Verstoß gegen das Schutzziel der Vertraulichkeit.

Darüber hinaus haben 19 Prozent der Unternehmen keinerlei Maßnahmen zur Weitergabekontrolle getroffen und versenden sensible personenbezogene Daten unverschlüsselt. Solche technischen Maßnahmen nach dem Stand der Technik sollen im Rahmen der Weitergabekontrolle verhindern, dass Daten bei der Übermittlung von Unbefugten eingesehen oder verarbeitet werden können. Zudem müssen die Speichersysteme stets geschützt sein und hohen Belastungen standhalten.

Nur knapp die Hälfte (48 Prozent) der Unternehmen gewährleisten die permanente Verfügbarkeit ihrer Systeme. In diesem Zusammenhang müssen Unternehmen Reparaturstrategien für den Fall einer belastungsbedingten Störung entwickeln, die durch Überhitzung oder DDoS-Angriffe entstehen können. Zur Sicherstellung der Datenintegrität und Vertraulichkeit müssen Unternehmen hier dringend aufrüsten.

Über ein Drittel nicht für den Ernstfall gewappnet

Bei den technischen Maßnahmen zur Evaluierung des Datenschutzmanagements besteht bei den befragten Unternehmen ebenfalls Nachholbedarf. So geben lediglich 33 Prozent der Befragten an, eine Datenschutzmanagement-Lösung zur Steuerung relevanter Prozesse einzusetzen. Eine automatisierte Kontrolle datenschutzrelevanter Vorgänge kann die DSGVO-Umsetzung beschleunigen und maßgeblich zur Compliance beitragen.

Darüber hinaus sollten Unternehmen mögliche Risiken proaktiv berücksichtigen und diesen entgegenwirken. Knapp ein Viertel der Befragten geben jedoch an, keinerlei Software für das Risikomanagement zu verwenden.

Unternehmen reagieren zu langsam

Eine weitere organisatorische Maßnahme ist das Incident-Response-Management, wodurch auf Störungen und Sicherheitsvorfälle angemessen reagiert werden kann. Dennoch haben 37 Prozent der befragten Unternehmen keine Prozesse für den Ernstfall eingeführt, um im Falle von Datenschutzverstößen bestmöglich zu reagieren.

Unternehmen riskieren somit hohe Bußgelder, wenn sie die zuständige Behörde nicht innerhalb von 72 Stunden über meldepflichtige Datenschutzverletzungen in Kenntnis setzen. Daraus resultierende Ausfälle können zudem schnell zu Umsatzeinbußen führen, der Reputation schaden und maßgeblich den Unternehmenserfolg beeinträchtigen.

Damit einhergehend müssen im Zuge der organisatorischen Maßnahmen auch die Mitarbeiter hinsichtlich datenschutzrelevanter Thematiken sensibilisiert werden. Von den Befragten haben 34 Prozent keine Schulung erhalten und wissen deshalb nicht, wie sie mit personenbezogenen Daten genau umzugehen haben, obwohl sie mit diesen arbeiten.

Zudem wird in 23 Prozent der befragten Unternehmen der Grundsatz der Datenminimierung nicht berücksichtigt, also mehr Daten als für den Zweck nötig erhoben und verarbeitet.

TOM als fortlaufender Prozess

Die Studienergebnisse zeigen, dass Unternehmen noch weit von vollständiger DSGVO-Konformität entfernt sind. Vor allem bei der Gewährleistung der technischen Datensicherheit hapert es in nahezu allen Bereichen.

Im DSGVO-Umsetzungsprozess müssen Unternehmen zudem proaktiv im Umgang mit möglichen Gefahren sein. Nur ein solides technisches und organisatorisches Fundament der Datensicherheit kann langfristig gegen Datenschutzrisiken schützen und die Einhaltung der DSGVO gewährleisten.

Trotz der Gefahren durch Bußgelder müssen die Maßnahmen nicht um jeden Preis umgesetzt werden, sondern nur nach Abwägung von Risiko, Stand der Technik und entsprechenden Implementierungskosten.

Redaktion QZ
qz <AT> hanser.de

Techconsult/IT-Verlag

Weiterführende Information
  • 23.05.2019

    Compliance-Risiken werden unterschätzt

    Die Professionalisierung der Compliance-Arbeit in deutschen Unternehmen schreitet voran, allerdings werden relevante Risiken weiterhin unterschätzt. Zu diesem Schluss kommt das Compliance-Barometer 2018.   mehr

    1 Kommentar
  • 13.02.2019

    WhatsApp in Unternehmen verstößt gegen DSGVO

    Die Kommunikation über WhatsApp nimmt in Unternehmen zu - zur internen sowie externen Kommunikation mit Kunden und Geschäftspartnern. Doch das wird zum Problem.   mehr

DNV GL Business Assurance [Anzeige]

Kostenloser Download

  • 5 Schritte zu einem nachhaltigen Prozessmanagement

  • Prozessreifegrad Assessments

  • Self-Assessment BPM

Jetzt kostenlos downloaden!