Die EU-Datenschutzgrundverordnung (kurz EU-DSGVO, engl. GDPR) wurde verabschiedet, Unternehmen müssen die Anforderungen bis zum 25. Mai 2018 erfüllen. Damit beseitigt die DSGVO die Komplexität verschiedener lokaler Datenschutzverordnungen in Europa. Der europäische Datenschutz wird fit für ein neues Zeitalter, das von Cloud, Mobile, Social, Big Data und einem verstärkten Austausch über Ländergrenzen hinweg bestimmt wird. Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Firmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben. Alle Unternehmen unterliegen künftig einer Meldepflicht innerhalb von 72 Stunden für Verstöße. Die schnelle Erkennung einer Verletzung der DSGVO ist daher eine zentrale Herausforderung. Pläne für Datenschutzverletzungsszenarien müssen erstellt und ein strukturierter Vorgang für die technische Behebung sowie für den Umgang mit Aufsichtsbehörden, Kunden und Medien eingesetzt werden. Firmen, die personenbezogene Daten regelmäßig und umfangreich verarbeiten, müssen darüber hinaus einen Datenschutzbeauftragten beschäftigen.

Personenbezogene Daten sind in jedem Unternehmen vorhanden

Jedes Unternehmen verfügt über personenbezogene Daten. Dies umfasst Kundendaten, Mitarbeiterdaten, Bürgerdaten, Gesundheitsdaten oder Daten, die beispielsweise im Rahmen von IoT-Anwendungen wie Fitness Tracker oder Connected Cars gesammelt werden. Die Organisationen müssen zunächst einmal herausfinden, über welche personenbezogenen Daten sie verfügen, wo sich diese Daten befinden und wer darauf Zugriff hat. Selbst das Speichern von den Daten, ohne dass diese weiterverarbeitet werden, fällt bereits unter die DSGVO.

Vorbereitungen rücken in den Fokus: Die Konsequenzen bei Verstößen gegen die Bestimmungen sind schwerwiegend

Bei Verstößen gegen die Bestimmungen der DSGVO drohen hohe Bußgelder, wobei bis zu 20 Mio. Euro oder 4 Prozent des Umsatzes angesetzt werden können. Die Bußgelder werden erhoben, wenn Unternehmen die Richtlinien nicht einhalten – selbst wenn kein konkreter Sicherheitsvorfall vorliegt. Hinzu kommt der Reputationsverlust, etwa Ausgleichzahlungen für Kunden, damit diese dem Unternehmen nicht den Rücken kehren sowie entgangener Umsatz bei einem etwaigen Verlust von Kunden. In Extremfällen – wenn Organisationen bei der Verarbeitung von personenbezogenen Daten große Sicherheitslücken im Hinblick auf Art, Schwere und Dauer aufweisen und keine objektive Nachbesserung ihrer Datenschutzkonformität vorweisen können – kann ein endgültiges Verbot der Datenverarbeitung ausgesprochen werden. „Dies würde zwangsläufig die Einstellung jeglicher Geschäfte in der EU bedeuten, denn Unternehmen, die keine personenbezogenen Daten mehr nutzen dürfen, können beispielsweise nicht einmal mehr ihre Mitarbeiter auszahlen“, gibt Projektleiterin Laura Hopp, Consultant bei IDC zu bedenken. „Wir beobachten, dass Organisationen alarmiert und bereit sind, hohe Investitionen in Datenschutz und Datensicherheit zu tätigen.“

Neue Konzepte gefragt: „Data Protection by Design and by Default“

Unternehmen müssen Datenschutz und Datensicherheit künftig noch stärker in den Fokus stellen. Bei „Protection by Design“ geht es darum, dass Unternehmen ihre IT-Systeme von Anfang an so gestalten, dass die Datenschutzgrundsätze umgesetzt werden. Beispielsweise sollten nur gerade so viele Daten erhoben werden, wie zur Erfüllung des Verarbeitungszwecks erforderlich sind. „Privacy by Default“ bezieht sich auf eine datenschutzfreundliche Voreinstellung. Das bedeutet, dass nur für den jeweiligen Zweck erforderliche Daten verarbeitet werden, Daten nach der abgelaufenen Speicherfrist gelöscht werden sowie Zugriffsbeschränkungen gelten. Eine Organisation muss zudem in der Lage sein zu zeigen, dass sie über ausreichende Sicherheit verfügt und dass die Einhaltung dieser überwacht wird. Der Datenschutz wird ein integraler Bestandteil sowohl der technologischen Entwicklung als auch der Organisationsstruktur eines neuen Produkts oder einer Dienstleistung.
 
Unternehmen stehen vor der Herausforderung, bestehende Datenschutzmaßnahmen vollständig zu überarbeiten. Das Information Management muss sich dahingehend ändern, dass eindeutig geregelt ist, über welche Daten das Unternehmen verfügt, wer dafür verantwortlich ist, wo diese gespeichert und wie sie genutzt werden. Neue Herausforderungen betreffen auch die IT-Sicherheit, die in jedem Schritt innerhalb des Business-Prozesses eingebettet sein muss. Risikomanagementverfahren müssen künftig durchgeführt werden, d.h. mögliche Bedrohungen und Schwachstellen müssen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens identifiziert werden. Auch bezogen auf die Verarbeitung von Dokumenten mit personenbezogenen Daten ergeben sich neue Fragestellungen: Drucken, Kopieren, Scannen und Faxen muss künftig ebenfalls GDPR-konform abgewickelt werden. Die Nutzung von Cloud Services wird durch die DSGVO ebenfalls auf die Probe gestellt, denn die Unternehmen, die personenbezogene Daten in der Cloud halten, sind für eine eventuelle Nichteinhaltung datenschutzrechtlicher Bestimmungen von Seiten der Cloud Provider verantwortlich. Es zeigt sich insgesamt, dass die DSGVO vielfältige Technologiebereiche wie Cloud, Mobility, Big Data/Analytics, IoT-Applikationen, Testing, Information Life-Cycle Management, Storage, ECM, Print, IT Security sowie Identity und Access Management betrifft und neue Lösungsansätze gefragt sind.

Die meisten Unternehmen benötigen bei der Umsetzung Unterstützung in Form von Dienstleistungen und Technologie, wodurch sich für Anbieter sehr gute neue Möglichkeiten ergeben. Darüber hinaus werden Unternehmen vor allem die IT-Anbieter wählen, die ihrerseits DSGVO-Konformität nachweisen können. IT-Anbieter sollten hier also entsprechende Expertise demonstrieren.

Lösungsansätze ändern sich tiefgreifend: Großes Potenzial für Anbieter „Der Informations- und Beratungsbedarf rund um GDPR ist nach unserer Einschätzung immens hoch. Für spezialisierte Lösungsanbieter sowie IT-Dienstleister bieten sich nach unserer Einschätzung gute Wachstumschancen“, sagt Hopp. Voraussetzung dafür sei allerdings, dass sie sich jetzt entsprechend positionieren. Der Schlüssel zur richtigen Ausrichtung der Marketing- und Vertriebsaktivitäten sei dabei die Kenntnis über die Anforderungen und Erwartungen von Anwenderunternehmen.

IDC wird im Rahmen einer neuen Multi-Client-Studie „EU-Datenschutzgrundverordnung in Deutschland 2017 – Der Countdown läuft…“ die Situation in Firmen und Organisationen beleuchten. Der Fokus liegt dabei auf den bereits initiierten bzw. geplanten Maßnahmen, den damit verbundenen Herausforderungen sowie insbesondere auf die Investitionsplanung der Unternehmen und deren Wahrnehmung von der in diesem Umfeld tätigen Anbietern. Projektstart ist im Juni 2017. Interessierte Lösungsanbieter wenden sich für weitere Informationen an IDC unter info_ce@idc.com oder 069 90502-0.

Firmenkontakt und Herausgeber der Meldung:

IDC Central Europe GmbH
Hanauer Landstraße 182 D
60314 Frankfurt am Main
Telefon: +49 (69) 90502-0
Telefax: +49 (69) 90502-100
http://www.idc.de

Ansprechpartner:
Katja Schmalen
Director Marketing & PR
Telefon: +49 (69) 90502-115
Fax: +49 (69) 90502-100
E-Mail: kschmalen@idc.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel