Datenschutz

Viele Unternehmen haben Datenschutzreform nicht auf dem Schirm

Die Bitkom-Studie zeigt, dass 44 Prozent sich noch nicht mit der EU-Verordnung beschäftigt haben. Die Unternehmen müssen zahlreiche Vorgaben in die Praxis umsetzen und fast die Hälfte lässt Personen-Daten von externen Dienstleistern verarbeiten.

Viele Unternehmen sind unzureichend auf die europäische Datenschutz-Grundverordnung vorbereitet. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom unter 509 Datenschutzverantwortlichen in Unternehmen ab 20 Mitarbeitern ergeben. Demnach ist die Datenschutzverordnung für fast die Hälfte aller Unternehmen in Deutschland (44 Prozent) aktuell kein Thema: 32 Prozent kennen die Reform zwar, haben sich aber noch nicht damit beschäftigt, weitere 12 Prozent haben davon noch nicht einmal gehört. Auf der anderen Seite beschäftigen sich 47 Prozent der Unternehmen mit der Reform und 8 Prozent haben bereits erste Maßnahmen eingeleitet. „Unternehmen sollten frühzeitig mit der Umsetzung der Verordnung beginnen“, sagte Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, bei der internationalen Privacy Conference in Berlin. „Nach dem Ende der Übergangsfrist im Mai 2018 drohen empfindliche Strafen, wenn sich die Unternehmen nicht an die Bestimmungen halten.“ Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den Unternehmen umgesetzt werden müssen. Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung.

Die Datenschutz-Grundverordnung ist am 25. Mai 2016 offiziell in Kraft getreten. Die Frist für die Umsetzung in den EU-Mitgliedstaaten beträgt zwei Jahre, Stichtag ist der 25. Mai 2018. In dieser Zeit werden die nationalen Gesetze an das EU-Recht angepasst. Die Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen. „Die nationale Gesetzgebung sollte zügig abgeschlossen werden, damit die Unternehmen vollständige Planungssicherheit bekommen“, sagte Dehmel. Als besonders dringlich sehen 46 Prozent der befragten Datenschutzexperten in den Unternehmen die Einführung neuer Prozesse an, zum Beispiel für eine Datenschutz-Folgenabschätzung oder für Privacy by Design. 43 Prozent wollen zuerst eine Neubewertung unternehmerischer Risiken vornehmen und 40 Prozent die Überarbeitung der Verträge zur Auftragsdatenverarbeitung. 38 Prozent wollen zunächst die Datenschutzerklärungen anpassen.

Nach den Ergebnissen der Umfrage sind viele Unternehmen organisatorisch nicht optimal auf die Veränderungen vorbereitet: Nur jedes zweite (51 Prozent) verfügt über ein so genanntes Verfahrensverzeichnis, in dem die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden. „Das Verfahrensverzeichnis ist die Arbeitsgrundlage der betrieblichen Datenschutzbeauftragten“, sagte Dehmel. „Bei einer Überprüfung durch die Aufsichtsbehörden können Unternehmen mit dem Verfahrensverzeichnis zeigen, dass die Prozesse korrekt ablaufen.“ Daher sollten alle Unternehmen ein solches Verzeichnis anlegen.

Aus Sicht des Bitkom entsteht der Wirtschaft ein hoher Aufwand für die Umsetzung der neuen Regelungen. Ein Viertel (26 Prozent) der Unternehmen, die sich bereits mit der Datenschutzverordnung beschäftigt haben, wird zusätzliches Personal für die Anpassung der internen Prozesse bereitstellen. Immerhin 29 Prozent gehen davon aus, dass die Verordnung dauerhaft zu einem Mehraufwand im Vergleich zur aktuellen Rechtslage führt. Knapp zwei Drittel (64 Prozent) werden externe Hilfe in Anspruch nehmen, zum Beispiel für eine Rechtsberatung von Datenschutzexperten.

„Insgesamt blickt die Wirtschaft zum gegenwärtigen Zeitpunkt mit gemischten Gefühlen auf die große Datenschutzreform“, sagte Dehmel. Jedes vierte Unternehmen (25 Prozent) geht davon aus, dass die Reform viele interne Abläufe komplizierter machen wird und jedes dritte Unternehmen (36 Prozent) ist der Ansicht, dass Innovationen in der Europäischen Union gebremst werden. Auf der anderen Seite begrüßt eine Mehrheit (57 Prozent), dass die Reform zu einheitlichen Wettbewerbsbedingungen in der EU führen wird. Ein Drittel aller Unternehmen (33 Prozent) verspricht sich sogar konkrete Vorteile für sein Geschäft.

Privacy Shield wichtige Rechtsgrundlage für Datentransfers in die USA

Das zweite wichtige Datenschutzthema für die Unternehmen ist die Übermittlung von personenbezogenen Daten in die USA, nachdem der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte. Nach den Ergebnissen der Bitkom-Umfrage sind Datentransfers zwischen Unternehmen weit verbreitet. So lassen 42 Prozent der befragten Unternehmen personenbezogene Daten von einem externen Dienstleister verarbeiten. Bei Unternehmen ab 500 Mitarbeitern sind es sogar 68 Prozent. Das kann zum Beispiel der Fall sein, wenn Unternehmen das Gehalt der Mitarbeiter über einen Personal- oder Finanzdienstleister auszahlen lassen. Auch bei Public-Cloud-Lösungen für das Management von Kundenbeziehungen erfolgt die Datenverarbeitung bei einem externen Dienstleister. Auf der anderen Seite verarbeitet ein Drittel der Unternehmen (33 Prozent) selbst Daten im Auftrag anderer Unternehmen. Bei den großen Unternehmen ab 500 Mitarbeitern sind es zwei Drittel (66 Prozent). „Datentransfers zwischen Unternehmen gehören in der digitalen Wirtschaft zum Alltag“, sagte Dehmel. „Für die Gewährleistung des Datenschutzes brauchen die Unternehmen klare und handhabbare Vorgaben vom Gesetzgeber.“

Fast alle Unternehmen (94 Prozent), die einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt haben, lassen diese innerhalb Deutschlands verarbeiten. 36 Prozent lassen Daten in der EU verarbeiten und 8 Prozent außerhalb der EU (ohne die USA). Nur 4 Prozent geben an, dass Daten in den USA verarbeitet werden. Daneben versenden international agierende Unternehmen Daten innerhalb der eigenen Organisation an Standorte in anderen Ländern. Das können zum Beispiel Personal- oder Kundendaten sein, die zwischen einer Niederlassung und der Zentrale ausgetauscht werden. Laut Umfrage übermittelt knapp jedes zehnte Unternehmen (9 Prozent) Daten innerhalb der eigenen Organisation in die USA, bei den Unternehmen ab 500 Mitarbeitern ist es jedes dritte (33 Prozent).

Aus Sicht des Bitkom ist das Privacy Shield neben den Standardvertragsklauseln der EU eine weitere wichtige Grundlage für rechtssichere Datentransfers in die USA. Allerdings ist immer noch nicht abschließend geklärt, ob diese Rechtsinstrumente mit dem Grundsatzurteil zum Safe-Harbor-Abkommen vereinbar sind. Dehmel: „Die Unternehmen brauchen Rechtssicherheit für Datenübertragungen auch über Landesgrenzen hinweg.“

Eine Publikation mit FAQ zur Datenschutz-Grundverordnung steht kostenlos zum Download bereit.

(bhk)

Alliance für Cybersecurity

Aktuelle Informationen der Allianz für Cyber-Sicherheit
  • Mehr Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router
    Mit zunehmender Digitalisierung hält das Internet der Dinge Einzug in immer mehr Privathaushalte in Deutschland. Zentraler Bestandteil des heimischen Netzwerks aus PC, Smartphone, Smart-TV, Smart-Home-Geräten wie Rolladensteuerung oder WLAN-fähigem Kühlschrank ist der Router, der sowohl das Tor zum Internet als auch Management-Plattform für das Heimnetzwerk ist. Über den Router laufen alle Informationen und Daten, die im heimischen Netzwerk und/oder über das Internet ausgetauscht werden. Wer Zugriff auf den Router hat, der hat oftmals auch Zugriff auf die privaten Daten. Um einen Zugriff unbefugter Dritter zu verhindern, sollte der Router also angemessen abgesichert sein. Vor dem Hintergrund seiner Zuständigkeit für den Digitalen Verbraucherschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher nun die Technischen Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht. Die Technische Richtlinie richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten. Ziel der TR ist es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Dies können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Somit ist die Veröffentlichung der TR Router ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. Das BSI wird auch für weitere Geräte des Internets der Dinge und des Smart Homes Mindestanforderungen an deren IT-Sicherheit formulieren.
  • Medica: BSI unterstützt Hersteller und Betreiber von Medizinprodukten
    Im Rahmen der Messe „Medica“ in Düsseldorf hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die englischsprachige Fassung der BSI Empfehlung CS-132 „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ veröffentlicht. Die praxisnahen und umsetzungsorientierten Empfehlungen richten sich an Hersteller von Medizintechnik und unterstützen diese dabei, den Stand der Technik sowie vorhandene normative Vorgaben in ihren Produkten umzusetzen. Zudem dient das Papier auch dazu, die Hersteller für die bei der Vernetzung und Digitalisierung von Medizinprodukten entstehenden neuen Gefährdungen zu sensibilisieren. Die englischsprachige Empfehlung steht zum Download unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_132.html zur Verfügung.
  • Partnerangebot: Spear Phishing & Co. – Personalisierte Cyber-Angriffe erkennen und abwehren
    Wie Sie die Risiken durch gezielte Angriffe bewerten und wirksame Abwehrmethoden etablieren, erfahren Sie in einem Workshop der Riskworkers GmbH.

Heise Security

News und Hintergrund-Informationen zur IT-Sicherheit

IT-SEC Report - Der Informationshub für IT-Security

 

Produkte &
Technologien

Aktuelles rund um neue Produkte und Technologien

Recht &
Politik

Meldungen aus IT-Politik und -Rechtsprechung

News &
Marktdaten

News und Kennzahlen aus dem IT-Security-Markt

Events &
Online-Sessions

Der Veranstaltungskalender für IT-Security in DACH

 

Follow us on:             (c) Copyright 2016 ITSEC REPORT. Alle Rechte vorbehalten.