Unternehmen brauchen mehr Ressourcen für den Datenschutz

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) nach zweijähriger Umsetzungsfrist endgültig in Kraft. Die EU-Verordnung hat mindestens in den letzten Wochen vor diesem Stichtag für große Unruhe in Deutschland gesorgt – die Frage, was jetzt noch datenschutzrechtlich erlaubt sei und was nicht, wurde in der Öffentlichkeit und im Privatbereich hitzig und in vielen Fällen eher schlecht als recht informiert geführt.

Die Hoffnung, dass sich die Informationslage zur DSGVO über ein Jahr später verbessert hat, kann offenbar nicht ganz erfüllt werden: Wie der Software-Vergleichsanbieter Capterra in seiner Nutzerstudie 2019 nun festgestellt hat, schätzt sich jedes fünfte kleine und mittelständische Unternehmen (KMU) als nicht gut vorbereitet ein, um Datenschutzbestimmungen einzuhalten. Im Rahmen der Studie hatte Capterra 250 IT-Service-Mitarbeiter aus Deutschland befragt, um einen Überblick über den Stand der IT-Sicherheit in KMU für dieses Jahr zu geben.

Großteil der Unternehmen verfügt über einen Datenschutzbeauftragten

Besonders erschreckend: Auch ein Jahr nach Umsetzung der DSGVO gibt die Hälfte der Befragten an, nicht gut mit der Datenschutzgrundverordnung vertraut zu sein. Damit scheitert die Umsetzung der Bestimmungen bereits von Grund auf, wie auch Capterra festhält: „Der erste Schritt um die Bestimmungen ordnungsgemäß umzusetzen ist, sich mit ihnen vertraut zu machen. Das meist genannte Hindernis in Unternehmen beim Implementieren der Datenschutzbestimmungen sind jedoch fehlende Zeit und Ressourcen, gefolgt von mangelndem Wissen zu Datenschutzthemen.“

Zugutehalten kann man den Unternehmern aber offenbar, dass sie bei der Überprüfung von Datenschutzbestimmungen sehr gewissenhaft arbeiten: In jedem dritten KMU in Deutschland werden die Datenschutzbestimmungen halbjährlich überprüft, in knapp 40 Prozent der Unternehmen immerhin jährlich. 81 Prozent der deutschen KMU haben zudem einen Datenschutzbeauftragten, der sogar in 66 Prozent der Fälle aus dem eigenen Haus stammt. Die Unternehmen nehmen das Thema Datenschutz also durchaus ernst. 

Große Skepsis gegenüber der Cloud

Dass die DSGVO für ein erhöhtes Bewusstsein im Umgang mit Daten gesorgt hat, bestätigte uns auch Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, ein Jahr nach Umsetzung der Richtlinie. „Unter dem Strich kann man auf jeden Fall positiv festhalten, dass die DSGVO dazu geführt hat, dass sich weitaus mehr Unternehmen und Menschen mit dem Thema Datenschutz beschäftigt haben als vorher. Auch die große Mehrzahl der meiner Aufsicht unterstehenden Stellen hat die Umsetzung gut gemeistert“, so Kelber. Gleichzeitig schätzt er, dass es „aber sicherlich immer noch viele“ gebe, „die hier noch nicht so weit sind, wie sie eigentlich sein sollten“.

Dieses erhöhte Bewusstsein für Datenschutz wird von einer gewissen Skepsis gegenüber Cloud-Technologien begleitet. Wie die Capterra-Studie zeigt, speichern 61 Prozent der Unternehmen ihre Kundendaten auf dem eigenen Server. Nur jedes dritte Unternehmen setzt Cloud-Tools zur Datenspeicherung in diesem Bereich ein. Dabei gibt es auf dem Markt Cloud-Anbieter, die ihre Daten in Rechenzentren in Deutschland nach deutschen Sicherheitsstandards sichern, wie Capterra anmerkt. 

Zugriffrechte der Mitarbeiter prüfen

Gedanken sollten die Unternehmen sich aber auch um den Umgang mit Daten unter den Mitarbeitern machen: Wie der neueste Datenrisiko-Report von Varonis Systems zeigt, sind im Schnitt 22 Prozent der digitalen Ordner eines Unternehmens für jeden Mitarbeiter zugänglich. In jedem zweiten Unternehmen können sogar alle Mitarbeiter auf über 1.000 sensible Daten zugreifen – bei ähnlich vielen Unternehmen haben über 100.000 Ordner keine Zugriffsbeschränkung und sind damit für jeden Mitarbeiter einsehbar. Um hier eine höhere Datensicherheit zu erreichen, sollten Unternehmen ihre Daten klassifizieren und danach entscheiden, welcher Mitarbeiter Zugriff auf die Daten benötigt.