NetApp: Verwirrung ob der neuen Datenschutzregeln der EU
Zürich – Der Countdown zur Einführung der neuen Datenschutz-Grundverordnung der EU läuft – auch Schweizer Firmen sind davon betroffen. Doch nur eine Minderheit der europäischen Unternehmen ist gerüstet. Noch gebricht es am Verständnis für das neue Regelwerk. Eine Studie untersucht den Grad der Vorbereitung und die Auswirkungen auf die Cloud-Strategie in europäischen Firmen.
Von Christoph Schnidrig, Manager Systems Engineering, NetApp Switzerland GmbH
Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung der EU in Kraft – doch eine Mehrheit der europäischen Unternehmen sieht sich für die neuen Vorgaben nicht gerüstet. Gemäss dem Cloud Survey 2017, einer Studie des Datenmanagementanbieters NetApp, zweifeln über 70 Prozent der 750 befragten CIO und IT-Leiter aus Unternehmen in Deutschland, Frankreich und Grossbritannien zumindest zu einem gewissen Grad daran, zum genannten Stichtag vollumfänglich bereit zu sein.
Stärkung der Konsumenten- bzw. Betroffenenrechte
Die neue Grundverordnung mit dem sperrigen Titel „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ soll das Datenschutzrecht innerhalb der EU vereinheitlichen. Mit der Verordnung werden die Konsumenten- bzw. Betroffenenrechte gestärkt: Neu werden etwa ein Recht auf Datenportabilität und das Recht auf Datenlöschung eingeführt.
Firmen werden verpflichtet, die Sammlung persönlicher Kundendaten zu minimieren (nach dem Prinzip „must have“ statt „nice to have“). Sie müssen wissen, wo sie persönliche Daten lagern, und diese Daten jederzeit löschen können. Verletzungen des Datenschutzes müssen innerhalb von 72 Stunden dem Regulator gemeldet werden. Diese neuen Regelungen betreffen auch zahlreiche Schweizer Unternehmen, denn sie gelten für alle Firmen, deren Angebote sich an EU-Bürger wenden, selbst wenn sich ihr Firmensitz im Ausland befindet.
Wer ist für die Compliance im Datenschutz verantwortlich?
Die strengen Vorgaben der Verordnung machen es nötig, die eigenen Datenverarbeitungsprozesse zu durchleuchten und gegebenenfalls anzupassen. Dabei sind nur gerade 15 Prozent der Unternehmen der Meinung, das Regelwerk vollständig verstanden zu haben, während weitere 29 Prozent für sich ein gutes Verständnis der Verordnung reklamieren. Fast jeder Zehnte gab hingegen an, von der Datenschutz-Grundverordnung keine Ahnung zu haben. Die anderen, eine knappe Mehrheit, glauben, das Regelwerk teilweise verstanden zu haben.
Dieses eingeschränkte Verständnis zeigt sich auch in den Aussagen der Studienteilnehmer zum Thema Verantwortung. Befragt danach, wer die für die Einhaltung der Daten-Compliance verantwortlich sei, stimmte jeweils knapp die Hälfte den Aussagen zu, dies sei das Daten generierende beziehungsweise jedes die Daten verarbeitende Unternehmen. Nur etwas mehr als ein Drittel nahm die Drittanbieter von Cloud-Lösungen in die Pflicht. Richtig ist, dass mit dem Inkrafttreten der neuen Verordnung alle diese Parteien in gleichem Masse für die Daten, die sie verarbeiten, verantwortlich sein werden.
Investitionen in die Public-Cloud werden überdacht
Entsprechend ist zum Zeitpunkt der Befragung erst etwas mehr als ein Drittel der Unternehmen der eigenen Einschätzung nach mit der Anpassung an das neue Regelwerk schon durch. Fast die Hälfte hat zwar gewisse Vorbereitungen getroffen, diese aber noch nicht vollumfänglich abgeschlossen. Die übrigen Unternehmen haben entweder noch keinerlei Initiative ergriffen (14 Prozent) oder wissen schlicht nicht, was sie zu tun haben (2 Prozent).
Die strengen Anforderungen an den Datenschutz lässt die Unternehmen ihre Cloud-Strategien überdenken. Während die Hälfte weiterhin in Public-Cloud-Services investieren, dabei aber die Compliance mit der Datenschutz-Grundverordnung sicherstellen wollen, überlegt sich ein Viertel, den Einsatz öffentlicher Cloud-Dienste zurückzufahren – 18 Prozent tun dies bereits. Nur 37 Prozent der befragten IT-Verantwortlichen geben an, dass in ihrem Unternehmen nun zusätzliche Ressourcen in die Einhaltung des Datenschutzes geleitet würden. In jedem fünften Unternehmen – in Deutschland in jedem vierten – wurden Mitarbeiter mit speziellen Kenntnissen im Datenschutz eingestellt.
Cloud und Compliance schliessen sich nicht aus
Dabei schliessen sich Cloud-Einsatz und Datenschutz keineswegs aus – wenn man über ein konsistentes, zentrales Datenmanagement verfügt, dass Unternehmen die volle Kontrolle über ihre Daten gewährt, egal, ob sie im eigenen Rechenzentrum oder bei einem Cloud-Anbieter gelagert werden. Eine solche Managementplattform kann gar zu einem wichtigen Treiber der Cloud-Einführung in Unternehmen werden, vereinfacht sie doch die Compliance mit Datenschutzvorschriften nicht nur im Verkehr mit externen Partnern, sondern auch über Grenzen innerhalb der eigenen IT-Infrastruktur.
Noch sehen allerdings erst rund drei von zehn Unternehmen die Compliance als eine Motivation zum Cloud-Einsatz. Hier steht noch viel Aufklärungsarbeit bevor.