Deutsche Mittelständler und Großkonzerne fühlen sich auf die im Mai 2018 in Kraft tretende europäische Datenschutz-Grundverordnung (DS-GVO) hervorragend vorbereitet. Das ergab im August eine repräsentative Umfrage von Citrix unter 500 IT-Entscheidern in Unternehmen ab 250 Mitarbeitern. Demnach glauben 87 Prozent der Befragten, ihre Unternehmen würden sich in Bezug auf den Umgang mit personenbezogenen Daten schon jetzt regelkonform verhalten. Doch das ist ein Irrglaube; die Citrix-Studie zeigt, wo IT-Manager und Datenschützer noch nachbessern müssen.

Die Ergebnisse der Citrix-Studie lassen darauf schließen, dass die IT-Chefs noch nicht ganz am Ziel sind: 86 Prozent der Befragten geben beispielsweise an, Kundendaten auf Anfrage schnell löschen zu können – aber lediglich etwas weniger als ein Drittel (32 Prozent) hat eine „sehr gute“ Übersicht darüber, wo welche Daten überhaupt gespeichert werden. Auch in Bezug auf die technischen Voraussetzungen ist nur etwas mehr als die Hälfte bereit für das Gesetzeswerk zum Schutz von personenbezogenen Daten.

„Je besser der Überblick über die Unternehmensanwendungen und die Prozesse zur Datenspeicherung und -verarbeitung, desto leichter können die Verantwortlichen die neuen EU-Vorgaben erfüllen“, plädiert Dirk Pfefferle, Geschäftsführer von Citrix Systems, für eine Zentralisierung der Daten. „Viele sind auf einem guten Weg. Mit unserer Studie wollen wir Schwachstellen aufzeigen, die aus unserer Sicht bis Mai 2018 noch geschlossen werden sollten.“

IT-Entscheider geben sich selbstbewusst

Genau 90 Prozent der Befragten gaben an, dass ihre Unternehmen persönliche Daten speichern. Mehr als 80 Prozent der Befragten erfassen über 100 Datensätze pro Tag, meistens für Marketing-Zwecke – und speichern diese auch für mindestens sechs Monate.

Bei der Mehrzahl der befragten Unternehmen (51 Prozent) sind zehn oder mehr Systeme und Anwendungen an der Speicherung, Verarbeitung oder Nutzung der personenbezogenen Daten beteiligt. Was die aktuelle Konformität mit der neuen EU-Richtlinie betrifft, geben sich die IT-Entscheider selbstbewusst: 87 Prozent der Befragten sind sich sicher, dass ihr Umgang mit personenbezogenen Daten schon heute den neuen Vorgaben entspricht. Mehr als 70 Prozent der Befragten bestätigen, dass vor allem die Zugriffskontrolle bereits regelkonform ist. Je ein Drittel gibt an, im Hinblick auf die Richtlinie unter „besten IT-Bedingungen zu arbeiten“ (36 Prozent) oder hält Infrastruktur und Datenschutz für „gut“ (39 Prozent).

Reality Check: Wo nachgebessert werden muss

Citrix hat nachgehakt, um herauszufinden, wie gut die Teilnehmer ihre Unternehmen in Bezug auf State-of-the-Art Technologien zum Schutz personenbezogener Daten einschätzen. Das Ergebnis: Längst nicht alle Unternehmen sind am Ziel. Es hapert an:

Zentraler Übersicht, wo welche Daten gespeichert werden: 36 Prozent der Unternehmen schätzen sich in Bezug auf diesen Aspekt als „sehr schlecht“, „schlecht“ oder „befriedigend“ ein, lediglich 32 Prozent gaben sich die Bestnote „sehr gut“.

Single-Sign-On und Zugriffskontrolle über alle On-Premise und Cloud-Systeme hinweg: Knapp mehr als die Hälfte schätzt die eigenen Fähigkeiten hier als „gut“ oder „sehr gut“ ein (52 Prozent). Interne und externe Zugriffe sollten Unternehmen im Griff haben, um EU-konform zu arbeiten.

Auch in Bezug auf das Rollen- und Rechtemanagement beim internen File-Sharing ist mehr als ein Drittel (38 Prozent) nicht zufrieden mit dem Status Quo im eigenen Unternehmen. Auch bei der zentralen Verwaltung von virtuellen digitalen Arbeitsplätzen und beim übergreifenden Monitoring und der Sicherheit von Mobilgeräten und Anwendungen geben sich nur etwas mehr als die Hälfte ein „gut“ oder „sehr gut“ (je 53 Prozent).

Die Kontrolle über personenbezogene Daten behalten

„Aus unserer Sicht sind die genannten Aspekte sehr wichtig, wenn es darum geht, die Kontrolle über personenbezogene Daten zu behalten“, so Pfefferle. In den allermeisten Unternehmen liege die Verantwortung für die DS-GVO-Compliance bei den Datenschutzbeauftragten (38 Prozent) oder den CISO/IT-Sicherheitsverantwortlichen (30 Prozent). Einen dedizierten Chief Privacy Officer haben laut Studie nur fünf Prozent der Unternehmen.

