Datenschutz ist ein Prozess und kein zu erreichender Endzustand.
Anlässlich des Europäischen Datenschutztages hat Deloitte zum vierten Mal österreichische Unternehmen um ihre Selbsteinschätzung zum Thema Datenschutz gebeten. Das grundsätzlich erfreuliche Ergebnis: Mehr als drei Viertel der Führungskräfte haben in Bezug auf ihren generellen Datenschutz das Gefühl, (sehr) gut aufgestellt zu sein. Das Datenschutz-Bewusstsein ist demnach - fast vier Jahre nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) - in der Wirtschaft sehr hoch. Und das war in der Vergangenheit bei weitem nicht so.
Unsere Umfrage belegt: Seit Inkrafttreten der DSGVO haben die Betriebe viel dazugelernt, aber wir sehen noch immer einiges an Verbesserungspotenzial. In den vergangenen Jahren lag der Fokus vielfach auf der Erfüllung der Dokumentationspflichten der DSGVO. Nun geht es darum, die Anforderungen auch in der Praxis zu erfüllen und durch technische sowie organisatorische Maßnahmen im Betrieb zu etablieren.
Aus der Beraterpraxis wissen wir: Es muss damit gerechnet werden, dass es in jedem Unternehmen zumindest zu einigen Vorfällen pro Jahr kommt. Rund zwei Drittel der Befragten geben aber an, im vergangenen Jahr von keinem (wahrgenommenen) Datenschutz-Vorfall betroffen gewesen zu sein. Ein Drittel bemerkte mindestens einen Vorfall. Die Umfrage zeigt, dass es unabhängig von Unternehmensbranche und -größe zu Datenschutzverletzungen kommen kann. Wie erklärt sich diese Schere zwischen Wahrnehmung und Realität? Vor allem KMU können solche Vorfälle gar nicht erst identifizieren, nicht selten aus technischen oder organisatorischen Gründen, und wiegen sich dann in einer falschen Sicherheit.
Eine Hausaufgabe für jedes Unternehmen
Die Studie identifiziert die Datenklassifizierung als ein weiteres Feld für Verbesserungspotenziale. Derzeit setzen insbesondere Großunternehmen und staatlich regulierte Bereiche technische Maßnahmen zur Datenklassifizierung ein. Mittels dieser können bessere Geschäftsentscheidungen getroffen werden. Durch das Löschen nicht benötigter Daten werden Speicherkosten gesenkt und wird auch rechtliche Compliance erreicht. Die Datenklassifizierung stellt einen wesentlichen Bestandteil der Datensicherheitsstrategie dar. Aber auch hier ist noch nicht alles in trockenen Tüchern: Bei mindestens einem Viertel der Unternehmen besteht hier noch Aufholbedarf. Der Mittelstand und kleinere Betriebe zeigen bereits Tendenzen hier nachzuziehen.
Der letzte Bereich mit Optimierungsbedarf ist der potenzielle Abfluss von Daten. Drei Viertel der Unternehmen sehen das Abfließen von sensiblen Daten als (sehr) kritisch an. Dem steht jedoch entgegen, dass mehr als die Hälfte keine durchgängigen technischen Lösungen im Einsatz haben, um Datenabfluss zu verhindern.
Trotz noch vorhandener Handlungsfelder ist klar: Durch die DSGVO ist Bewegung in den Datenschutz gekommen. Die teils drastischen Strafen tragen ihren Teil dazu bei. Obendrein sind Unternehmen gerade nach konkreten Vorfällen bereit, Projekte zur Verbesserung ihres Datenschutzmanagements anzustoßen. Trotz der bereits umgesetzten Maßnahmen muss Datenschutz in der Unternehmenskultur noch mehr verankert und laufend verbessert werden - eine Hausaufgabe bis zum nächsten Datenschutztag.