EU-Datenschutz-Grundverordnung in Deutschland 2017 | Research | IDC Germany

mc_GDPR_webbanner_588px

Die EU-Datenschutzgrundverordnung (kurz EU-DSGVO, engl. GDPR) wurde verabschiedet, Unternehmen müssen die Anforderungen bis zum 25. Mai 2018 erfüllen. Damit beseitigt die DSGVO die Komplexität verschiedener lokaler Datenschutzverordnungen in Europa. Der europäische Datenschutz wird fit für ein neues Zeitalter, das von Cloud, Mobile, Social, Big Data und einem verstärkten Austausch über Ländergrenzen hinweg bestimmt wird. Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Firmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben. Alle Unternehmen unterliegen künftig einer Meldepflicht innerhalb von 72 Stunden für Verstöße. Die schnelle Erkennung einer Verletzung der DSGVO ist daher eine zentrale Herausforderung. Pläne für Datenschutzverletzungsszenarien müssen erstellt und ein strukturierter Vorgang für die technische Behebung sowie für den Umgang mit Aufsichtsbehörden, Kunden und Medien eingesetzt werden. Firmen, die personenbezogene Daten regelmäßig und umfangreich verarbeiten, müssen darüber hinaus einen Datenschutzbeauftragten beschäftigen.

Personenbezogene Daten sind in jedem Unternehmen vorhanden

Jedes Unternehmen verfügt über personenbezogene Daten. Dies umfasst Kundendaten, Mitarbeiterdaten, Bürgerdaten, Gesundheitsdaten oder Daten, die beispielsweise im Rahmen von IoT-Anwendungen wie Fitness Tracker oder Connected Cars gesammelt werden. Die Organisationen müssen zunächst einmal herausfinden, über welche personenbezogenen Daten sie verfügen, wo sich die Daten befinden und wer darauf Zugriff hat. Selbst das Speichern von den Daten, ohne dass diese weiterverarbeitet werden, fällt bereits unter die DSGVO.

Vorbereitungen rücken in den Fokus: Die Konsequenzen bei Verstößen gegen die Bestimmungen sind schwerwiegend

Bei Verstößen gegen die Bestimmungen der DSGVO drohen hohe Bußgelder, wobei bis zu 20 Mio. € oder 4 Prozent des Umsatzes angesetzt werden können. Die Bußgelder werden erhoben, wenn Unternehmen die Richtlinien nicht einhalten – selbst wenn kein konkreter Sicherheitsvorfall vorliegt. Hinzu kommt der Reputationsverlust, etwa Ausgleichzahlungen für Kunden, damit diese dem Unternehmen nicht den Rücken kehren, und entgangener Umsatz bei Verlust von Kunden. In Extremfällen - wenn Organisationen bei der Verarbeitung von personenbezogenen Daten große Sicherheitslücken aufweisen (Art, Schwere und Dauer) und keine objektive Nachbesserung ihrer Datenschutzkonformität vorweisen können - kann ein endgültiges Verbot der Datenverarbeitung ausgesprochen werden. Dies würde die Einstellung jeglicher Geschäfte in der EU bedeuten. Denn Unternehmen, die keine personenbezogenen Daten mehr nutzen dürfen, können beispielsweise nicht einmal mehr ihre Mitarbeiter auszahlen. IDC beobachtet, dass Organisationen alarmiert und bereit sind, hohe Investitionen in Datenschutz und Datensicherheit zu tätigen.

Neue Konzepte gefragt: „Data Protection by Design and by Default“

Unternehmen müssen Datenschutz und Datensicherheit künftig noch stärker in den Fokus stellen. Bei „Protection by Design“ geht es darum, dass Unternehmen ihre IT-Systeme von Anfang an so gestalten, dass die Datenschutzgrundsätze umgesetzt werden. Beispielsweise sollten nur gerade so viele Daten erhoben werden, wie zur Erfüllung des Verarbeitungszwecks erforderlich sind. „Privacy by Default“ bezieht sich auf eine datenschutzfreundliche Voreinstellung. Das bedeutet, dass nur für den jeweiligen Zweck erforderliche Daten verarbeitet werden, Daten nach der abgelaufenen Speicherfrist gelöscht werden, sowie Zugriffsbeschränkungen gelten. Eine Organisation muss zudem in der Lage sein zu zeigen, dass sie über ausreichende Sicherheit verfügt und dass die Einhaltung dieser überwacht wird. Der Datenschutz wird ein integraler Bestandteil sowohl der technologischen Entwicklung als auch der Organisationsstruktur eines neuen Produkts oder einer Dienstleistung.

Lösungsansätze für den Datenschutz ändern sich tiefgreifend: Großes Potenzial für Anbieter

Unternehmen stehen vor der Herausforderung, bestehende Datenschutzmaßnahmen vollständig zu überarbeiten. Das Information Management muss sich dahingehend ändern, dass eindeutig geregelt ist, über welche Daten das Unternehmen verfügt, wer dafür verantwortlich ist, wo diese gespeichert und wie sie genutzt werden. Neue Herausforderungen betreffen auch die IT-Sicherheit, die in jedem Schritt innerhalb des Business-Prozesses eingebettet sein muss. Risikomanagementverfahren müssen künftig durchgeführt werden, d.h. mögliche Bedrohungen und Schwachstellen müssen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens identifiziert werden. Auch bezogen auf die Verarbeitung von Dokumenten mit personenbezogenen Daten ergeben sich neue Fragestellungen: Drucken, Kopieren, Scannen und Faxen muss künftig ebenfalls GDPR-konform abgewickelt werden. Die Nutzung von Cloud Services wird durch die DSGVO ebenfalls auf die Probe gestellt, denn die Unternehmen, die personenbezogene Daten in der Cloud halten, sind künftig für eine eventuelle Nichteinhaltung datenschutzrechtlicher Bestimmungen von Seiten der Cloud Provider verantwortlich. Es zeigt sich insgesamt, dass die DSGVO vielfältige Technologiebereiche wie Cloud, Mobility, Big Data/Analytics, IoT-Applikationen, Testing, Information Life-Cycle Management, Storage, ECM, Print, IT Security sowie Identity und Access Management betrifft und neue Lösungsansätze gefragt sind.

Die meisten Firmen benötigen bei der Umsetzung Unterstützung in Form von Dienstleistungen und Technologie, wodurch sich für Anbieter sehr gute neue Möglichkeiten ergeben. Darüber hinaus werden Unternehmen vor allem die IT-Anbieter wählen, die DSGVO-Konformität nachweisen können. IT-Anbieter sollten hier entsprechend Expertise demonstrieren.

IDC wird ab Juni 2017 die aktuelle Situation, Herausforderungen sowie die zu erwartenden Entwicklungen in Deutschland beleuchten. Dazu werden ca. 200 IT- und Fachentscheider von Unternehmen mit mehr als 100 Mitarbeitern in Deutschland befragt.

Projektstart:
Juni 2017

Sehr gerne stellen wir Ihnen unser Projekt sowie den Nutzen für Ihr Unternehmen in einem persönlichen Gespräch vor. Wir freuen uns auf Ihre Anfrage!

Matthias Zacher
Manager Research & Consulting
Tel.: +49 69 90502-116
E-Mail: mzacher@idc.com

Laura Hopp
Consultant
Tel.: +49 69 90502-113
E-Mail: lhopp@idc.com

Patrik Baumann
Business Development Director
Tel.: +49 69 90502-120
E-Mail: pbaumann@idc.com