Seit dem 25. Mai 2018 wird in Europa die neue Datenschutz-Grundverordnung umgesetzt – mit bisher weniger Abmahnungen als zuvor befürchtet. Trotzdem können vor allem deutsche Unternehmen noch nicht durchatmen. Vorübergehend abgeschaltete Webseiten, gesperrte Medienangebote sowie tausendfache Konsultationen bei Rechtsanwälten und Datenschutzbehörden – die europäische Datenschutz-Grundverordnung (EU-DSGVO) treibt Unternehmen aller Branchen um. Wenig verwunderlich: Denn mit Strafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes ist ihr Drohpotenzial gewaltig. Seit gut zwei Monaten ist die berüchtigte Verordnung nun in Kraft – und laut übereinstimmenden Medienberichten ist die allseits befürchtete Abmahnwelle bis dato ausgeblieben. Alle Aufregung also umsonst? Nicht ganz: Denn vor allem bei IT-Entscheidern in Deutschland dürfte die Verunsicherung nach wie vor nicht gewichen ein.
Deutsche Unternehmen werden DSGVO-Anforderungen am wenigsten gerecht
Dies legt eine Untersuchung des Datenmanagementspezialisten NetApp nahe, an der sich 1.106 IT-Entscheider aus Deutschland, Frankreich, Großbritannien und den USA beteiligt haben. Sie offenbart, dass deutsche Unternehmen im internationalen Vergleich am schlechtesten auf die neue Verordnung vorbereitet sind: So sahen sich kurz vor dem Stichtag lediglich 57 Prozent der deutschen Befragten in der Lage, die Verschlüsselung von persönlichen Daten gewährleisten zu können – nach den britischen (69 Prozent), US-amerikanischen (64 Prozent) und französischen (63 Prozent) Unternehmen der mit Abstand niedrigste Wert! Daran dürfte sich bis heute wenig geändert haben. Zudem sind laut Umfrage die Deutschen am wenigsten davon überzeugt, die Datenintegrität sicherstellen (55 Prozent) sowie die ergriffenen Sicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit hin überprüfen zu können (49 Prozent). Und mit 35 Prozent Zustimmung sehen sich deutsche Unternehmen ebenfalls am wenigsten imstande, Datenpannen binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Lediglich die Pseudonymisierung personenbezogener Daten glauben die IT-Entscheider hierzulande am ehesten leisten zu können (42 Prozent).
Mangelhafte Vorbereitung lässt deutsche Unternehmen ins Hintertreffen geraten
Doch woher rührt diese missliche Lage der deutschen Unternehmen – und das trotz zweijähriger Vorlaufzeit? Die weiteren Ergebnisse der Studie legen nahe, dass dies auf eine unzureichende Vorbereitung zurückzuführen ist: So gaben im Frühjahr 2018 nur 40 Prozent der deutschen Firmen an, in den letzten 24 Monaten externe DSGVO-Experten konsultiert und deren Empfehlungen umgesetzt zu haben – weit weniger als Unternehmen in den USA (63 Prozent) und in Frankreich (48 Prozent). Und jeweils nur gut ein Drittel der deutschen IT-Entscheider gibt zu verstehen, im gleichen Zeitraum eine DSGVO-Strategie auf Basis einer internen Überprüfung eingeführt beziehungsweise zumindest externe Experten zu Rate gezogen zu haben – länderübergreifend in beiden Fällen die geringste Zustimmung. Ebenso abgeschlagen zeigen sich deutsche Unternehmen bei Investitionen in geschultes Personal (16 Prozent), IT-Infrastrukturen und Datentechnologien (29 Prozent). Gar zwei Prozent der deutschen IT-Entscheider räumen ein, nichts für eine DSGVO-Konformität unternommen zu haben.
Trotz allem: Deutsche Unternehmen sehen ihre Agilität weniger gefährdet
Angesprochen auf mögliche negative Auswirkungen der DSGVO auf die Agilität der Unternehmen, zeigen sich deutsche IT-Entscheider indes vergleichsweise optimistisch: Während im internationalen Vergleich im Schnitt 44 Prozent aller Befragten derartige Einschränkungen befürchten, sind es in Deutschland unterdurchschnittliche 39 Prozent. Und auch die Agilität ihrer IT-Infrastruktur sehen deutsche Unternehmen weniger durch die Anforderungen der Verordnung bedroht: Gut ein Drittel teilt hierzulande diese Befürchtung. Zum Vergleich: In den USA sind es 53 Prozent! Darüber hinaus fürchten die Deutschen auch weniger Konsequenzen für ihr eigenes Personal: So glaubt nicht mal ein Drittel daran, dass sich die DSGVO negativ auf die Agilität des auf Recht und Compliance geschulten Personals auswirken werde. Nur gut ein Fünftel macht entsprechende Auswirkungen auf andere Abteilungen wie Marketing und Vertrieb aus.
Keine Frage von Pessimismus
Dass die Ergebnisse der Studie von NetApp in erster Linie dem oftmals beschworenen, ausgeprägten Pessimismus der Deutschen geschuldet sind, erscheint nur wenig überzeugend. Vielmehr zeigen sie den enormen Aufholbedarf deutscher Unternehmen in puncto DSGVO-Konformität. Angesichts der etwaigen drakonischen Sanktionsmaßnahmen ein großes Risiko. Auch wenn die Rechtmäßigkeit von Abmahnungen umstritten bleiben mag, kann es für die Unternehmen eine Fortführung ihres bisherigen Kurses nicht geben. Stattdessen müssen IT-Entscheider so schnell wie möglich ein DSGVO-konformes Datenmanagement forcieren, wollen sie nicht doch noch von einer möglichen Abmahnungswelle in den Abgrund gerissen werden.
#Netzpalaver #Netapp
