Neue Zustimmungsregeln, erweiterte europäische Datenschutzrechte, Geldbußen bis in die Millionen sowie strengere Verfahren und öffentliche Offenlegung im Falle eines Datenlecks - das sind nur einige der Änderungen, die im Rahmen der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 in Kraft treten werden.
Trotz dieser bedeutenden Veränderungen haben viele Unternehmen immer noch keine Ahnung, was in etwa über einem Jahr auf sie zukommt. Eine von ESET in Auftrag gegebene IDC-Forschungsumfrage* zeigt, dass ein Viertel (25%) der 700 befragten europäischen Unternehmen zugeben, sich der kommenden DSGVO nicht bewusst zu sein. Mehr als die Hälfte (52%) davon ist sich zudem nicht sicher, welche Veränderungen die Datenschutz-Grundverordnung in ihrem Unternehmen bedeuten.
Selbst eine Änderung des Fokus auf diejenigen, die sich der DSGVO bewusst sind, verbessert das Bild nicht sonderlich. Jedes fünfte (20%) Unternehmen gab in der Umfrage an, sich noch nicht auf die DSGVO vorbereitet zu haben. Etwa 60% sind immer noch damit beschäftigt, ihre Systeme in Einklang mit den neuen Regelungen zu bringen. Im Endeffekt sind nur ca. 21% bereit für die kommenden Änderungen durch die Datenschutz-Grundverordnung.
Das ist überraschend; vor allem in Bezug auf die potentiellen Konsequenzen, denen sich Unternehmen bei Regelbrüchen stellen müssen. Der IDC-Umfrage zufolge bewegen sich die durchschnittlichen Kosten eines Datenlecks heutzutage im unteren sechsstelligen Bereich. Ein kurzer Vergleich mit den kommenden Strafzahlungen rückt die nahe Zukunft in ein neues Licht.
35% der Organisationen, die in den letzten zwei Jahren an einem temporären Datenleck litten, verzeichneten Verluste zwischen 25.000 und 250.000 Euro – die meisten (32%) schrieben Verluste zwischen 10.000 und 25.000 Euro. Nach Mai 2018 könnten die durch die DSGVO verhängten Geldbußen potentielle finanzielle Risiken in Millionenhöhe bedeuten.
Die neuen Regelungen sehen Höchststrafen von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes des Unternehmens vor, wenn das Unternehmen gegen die GDPR-Regeln verstößt, wie zum Beispiel gegen Datenschutzgrundsätze, Zustimmungsbedingungen, Kunden- oder Arbeitnehmerrechte oder internationale Datenübertragungsrichtlinien.
Für die Unternehmen bedeutet das eine signifikante Risikoerhöhung. Die Regulierungen schlagen den Unternehmen aber auch angemessene Mittel zur Milderung vor. Beispielsweise wird Verschlüsselung als eine Technologie genannt, die dazu beitragen kann, Daten von Usern besser zu schützen und Verpflichtungen einfacher nachzukommen.
Schon die Kosten einer Implementierung von Verschlüsselung bei KMUs sind mit zehn Euro pro Arbeitsplatz beginnend, wesentlich niedriger als die potentiellen massiven Geldbußen nach der neuen Datenschutz-Grundverordnung.
Mit Hinblick auf die in etwa in einem Jahr in Kraft tretende DSGVO hat die IDC auch die Benutzung von Verschlüsselung in befragten Unternehmen beleuchtet. Es wurde festgestellt, dass die Dateiverschlüsselung in 46% der Unternehmen umgesetzt und bei etwa 36% angestrebt ist. Im Vergleich dazu ist die Festplatten-Voll-Verschlüsselung in nur 38% der Unternehmen in Gebrauch und von ca. einem Drittel (34%) gewünscht.
IDC SURVEY: 1 in 4 companies have no clue GDPR is coming their way von ESET
Für mehr Informationen zur Datenschutz-Grundverordnung stellt ESET eine eigene Seite bereit. Die Seite soll dazu beitragen, dass sich jeder optimal auf die DSGVO vorbereitet fühlt.
* Die Umfrage wurde in über 700 Organisationen in sieben europäischen Ländern durchgeführt: Tschechien, Deutschland, Italien, Niederlande, Slowakei, Spanien und Großbritannien. Die Umfrage konzentrierte sich auf KMUs mit 50-499 Endpoints, die über alle vertikalen Sektoren hinweg schützen. Befragt wurden Führungskräfte in Sicherheit, in IT-Management oder Management-Positionen, über eine Reihe von sicherheitsrelevanten Themen.