Das Inkrafttreten der europäischen Datenschutzgrundverordnung ist nun schon mehr als 100 Tage her. Die DSGVO beeinflusst die Geschäftswelt – auch global.

Jeder, der spektakuläre Schlagzeilen über hohe Strafzahlungen erwartete, wurde bislang enttäuscht. Obwohl die EU-Kommission innerhalb weniger Stunden nach Inkrafttreten der neuen DSGVO Beschwerden über Unternehmen wie Facebook, Google, Instagram und WhatsApp erhielt, hält sie sich mit Aktionismus zurück.

Wie stellte sich die Situation vor in Kraft treten der DSGVO dar?

Lange bevor die strengen Richtlinien der DSGVO in Kraft traten, hatten Experten von ESET die zukünftigen Änderungen im Datenschutz mit Hilfe des Compliance-Check-Formular des Unternehmens ausgewertet. Im letzten halben Jahr zwischen November 2017 und Mai 2018 sammelte ESET Daten von über 27.000 Teilnehmern. Die meisten stammen aus Ländern der Europäischen Union (EU), wo das kostenlose Online-Assessment aktiv beworben wurde.

Die Ergebnisse offenbarten einige interessante Fakten über Geschäftspraktiken innerhalb der EU. Zum Beispiel ist es jetzt klar, dass die meisten Unternehmen über personenbezogene Daten sowohl von Kunden (82,6%) als auch von Mitarbeitern (70,2%) verfügen. Darüber hinaus gab etwas mehr als ein Fünftel der Teilnehmer an, dass sie zusätzliche personenbezogene Daten wie biometrische Daten und Gesundheitsdaten besitzen.

"Die Überprüfung der Datenerhebung und -verarbeitung könnte ein nützliches Mittel sein, was ein Unternehmen in Bezug auf die DSGVO leisten kann. Wenige Monate nach Inkrafttreten ist das ein sicherer Weg, um DSGVO-konform zu wirtschaften", sagt Tomáš Mičo, ESET Senior Data Protection and Licensing Lawyer. "Wie auch immer sich das Ergebnis darstellen wird, das Unternehmen erhält einen reellen Ausblick in Zukunft und die eventuell zu tätigenden Investments. Der Höhepunkt der Budgetsaison rückt immer näher."

Mehr als die Hälfte der Unternehmen (56%) gaben an, dass sie kein Audit durchführten. Sie wollten zunächst sichergehen, dass das Sammeln von personenbezogenen Daten der DSGVO entspricht – u.a. aus welchen Quellen die Daten stammen und mit wem die Unternehmen diese Daten teilen. Etwas mehr als die Hälfte davon (51,4%) dokumentierten ihre technischen und organisatorischen Sicherheitsmaßnahmen (bezogen auf die Verarbeitung von Datensätzen) nicht. Und nur ein halbes Jahr vor in Kraft treten der DSGVO waren sich nur 47% der Schlüsselpersonen dieser Unternehmen der DSGVO-Vorschriften voll bewusst.

Sicherheit in einer neuen Ära des Datenschutzes

Der ESET Compliance-Check ging auch noch einen Schritt weiter. Die Unternehmen konnten angeben, welche technischen Maßnahmen sie realisieren, um den unbefugten Zugriff und die unbefugte Nutzung personenbezogener Daten durch Cyberkriminelle zu verhindern.

Knapp über 90% der Unternehmen setzen auf Antiviren-Lösungen, wenn es um die Cyber-Sicherheit geht. Daneben kommt es zum Einsatz von Browser-Schutzsoftware (87,8%), Firewalls (83,6%), Software zur Zugangsbeschränkung (83,7%) und Passwort-geschützen WLANs (81,9%).

Der ESET Compliance-Check ergab auch, dass vor der DSGVO nur rund ein Drittel der Unternehmen ihre personenbezogenen Daten mit Hilfe einer Verschlüsselungssoftware schützen. Die häufigste Methode war die Verschlüsselung von E-Mails (32,5%), gefolgt von lokaler Dateiverschlüsselung (31%) und Netzwerk-/ Cloud-Verschlüsselung (30,5%).

"Angesichts der gesammelten Daten bin ich ziemlich überrascht, dass nur ein Viertel der Teilnehmer über Software verfügt, welche den Inhalt von Festplatten und USB-Sticks verschlüsselt. Der Verlust oder Diebstahl von Geräten, die ungeschützte sensible und persönliche Daten enthalten, stellt eine Gefahr für die betroffenen Unternehmen dar.", erklärt David Tomlinson, Manager | ESET Endpoint Encryption. "Seitdem die DSGVO in Kraft getreten ist, beobachteten wir einen stetigen Anstieg bei der Einführung von Verschlüsselungssoftware. Die Anwenderzahl wird nun also größer sein, als noch vor einigen Monaten. Es liegen uns allerdings noch keine konkreten Daten vor, welche diese Ansicht stützen."

Zwar sind Datenschutzaufsichtsbehörden in den ersten Monaten nach Einführung der DSGVO bei der Erteilung von Bußgeldern großzügig umgegangen und auch die EU-Kommission hat hier und da Milde walten lassen. Allerdings wird die Zeit für Strafzahlungen kommen.

Wer sein Unternehmen immer noch nicht DSGVO-konform umgestellt hat, sollte auf keinen Fall länger warten.

ESET bietet zur Datenschutzgrundverordnung umfangreiche Informationen auf der DSGVO-Seite.