Ein Großteil der deutschen Unternehmen riskiert hohe Strafen, weil sie unzureichend auf die im Mai anstehende Implementierung der EU-Datenschutzgrundverordnung (DSGVO) vorbereitet sind. Zu diesem Ergebnis kommt eine Studie des in Kalifornien ansässigen Softwaretechnologieunternehmens Senzing. Im Rahmen der Studie wurden 1000 Top-Manager aus Unternehmen in Großbritannien, Frankreich, Deutschland, Spanien und Italien befragt. Das Ergebnis: Deutsche Unternehmen zweifeln stark, ob sie die Anforderungen der DSGVO erfüllen. Ein Drittel (33 Prozent) äußerte sich "besorgt" über die eigene DSGVO-Konformität, und viele Unternehmen zeigen eine gefährliche Unkenntnis, gepaart mit unbegründeter Zuversicht, dass sie nicht betroffen sein werden, lautet ein weiteres Fazit.

Nur 29 Prozent der deutschen Unternehmen sind sich demnach der drakonischen Geldstrafen bei Nicht-Konformität bewusst, im schlimmsten Fall sind das 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes. 23 Prozent der befragten Topmanager gaben an, dass die Geldstrafen keine Auswirkungen haben werden; 23 Prozent hatten demnach keine Kenntnis über die Auswirkungen der Geldstrafen.

Fast die Hälfte der Unternehmen findet, sie sei optimal aufgestellt

Zumindest was die Vorbereitung auf die DSGVO angehe, realisieren demnach deutsche Unternehmen den Umfang und die Aufgabe. Mehr als ein Drittel (37 Prozent) plant seine IT-/Kundendatensysteme zu überarbeiten, während 16 Prozent zusätzliche Datenanalysten zur Datensammlung einstellen wollen und weitere zehn Prozent ihre Daten an Dritte auslagern wollen. Trotzdem: jeder Zehnte (9 Prozent) "weiß nicht" welche Maßnahmen er ergreifen wird und fast die Hälfte (46 Prozent) glaubt, schon heute optimal aufgestellt zu sein und plant keine weiteren Schritte, heißt es in der Studie weiter.

Am 25. Mai tritt die DSGVO in Kraft. "Wenn Sie ein kleines Unternehmen sind, und wenigstens schon ein Datenschutzkonzept haben, ist das schon etwas. Wenn Sie gar nichts haben, wird es schwierig", sagte Florian Eckert, Rechtsanwalt bei Heussen Rechtsanwaltsgesellschaft, heute auf einem Forum zu dem Thema. Günter Junk, CEO bei der Virtual Solution AG aus München, wies darauf hin, sind die Grundlagen gemeistert, habe man schon viel geschafft. Dazu gehöre es, die eigene IT-Infrastruktur zu ermitteln, ebenso die jeweiligen Applikationen, und wie welche Daten vernetzt sind. Außerdem müsse geklärt werden, wer Zugriff auf die Daten habe. Wenn Sie diese drei Punkte wissen, haben Sie schon viel erreicht, so Junk.

Schwachstelle Smartphone, Tablet und Notebooks

Eine weitere Herausforderung komme mit dem Einsatz mobiler Endgeräte auf die Unternehmen zu. Denn diese lassen sich nur extrem schwer kontrollieren. Junk zufolge gebe es hier drei Besonderheiten: Zum einen könne man diese überall mitnehmen, so dass sie beispielsweise durch andere WLAN-Netze vielfältigen Angriffsvektoren ausgesetzt seien. Zum zweiten nutzen fast alle ihre Smartphones, Tablets und Notebooks nicht nur geschäftlich, sondern auch privat, indem Sie beispielsweise Apps für den privaten Gebrauch herunterladen. "In der Regel wissen die User nicht, ob diese Apps ein Sicherheitsrisiko sind", so Junk. Nutzungsbedingungen werden meist nicht gelesen und können zudem nicht von den Unternehmen kontrolliert werden. Und nicht zuletzt: mobile Endgeräte gehen verloren. So sei nicht vorhersehbar, wer an diese Geräte kommt, oder wo dieses Gerät landet.

Das Widerspreche aber der Regel, dass man wissen müsse, wer Zugriff auf die Daten hat und wie diese verarbeitet werden. Unternehmen sei es gewöhnlich nicht möglich, hier eine allumfassende Kontrolle auszuüben. Außerdem gilt: Wird das Endgerät gestohlen oder gehen Daten verloren, müssen Unternehmen innerhalb von 72 Stunden reagieren. Virutal Solution hat dazu eine Applikation namens Secure Pim entwickelt, die in einem abgeschlossenen Bereich ein mobiles Büro gewährleistet, in dem Funktionalitäten wie E-Mails, Kalender, Kontakte und ein sicherer Browser abgerufen werden können. Zudem könne man über diesen sogenannten Container auch Dokumente auf den firmeneigenen Servern einsehen. Gesichert wird das Ganze über eine Ende-zu-Ende-Verschlüsselung. Datensätze lassen sich darüber hinaus nicht fälschen und die Person, die die App nutzt, sei klar identifizierbar, erläutert Junk. Der Admin könne darüber hinaus dafür sorgen, dass Inhalte nicht herauskopiert werden können. Geht ein solches mobiles Gerät verloren, werden die Daten über den Admin gelöscht.

Keine Kontrolle der privaten Aktivitäten

Allerdings, so unterstreicht Junk, es werde nicht das gesamte Gerät kontrolliert, sondern nur der Container, so gebe es auch arbeitsrechtlich keine Schwierigkeiten, weil die privaten Apps und Tätigkeiten auf Smartphone und Co. nicht getrackt werden. Diese Bereiche können durchaus auch unsicher sein. Man stehe mit seiner Lösung dafür gerade, dass sie DSGVO-konform sei. Wenn nicht, erstatte man die Lizenz für das Produkt zurück. Man übernehme also eine gewisse Haftung. "Das würde ich mir auch gerne von anderen Unternehmen wünschen", sagt Junk zum Abschluss der Diskussion. Denn daran sehe man, wie wichtig dem IT-Dienstleister die DSGVO sei. (sg)