DSGVO

US-Firmen machen sich kaum Gedanken zum Datenschutz

27.06.2017
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
In den USA haben erst die wenigsten Unternehmen damit begonnen, sich auf die neue EU-Datenschutzgrundverordnung (EU-DSGVO) vorzubereiten. Das hat eine Umfrage des IT-Netzwerks Spiceworks ergeben. Viele Manager gehen offenbar davon aus, dass sie die die neuen Regeln nichts angehen.

Am 18. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (EU-DSGVO), im englischsprachigen Raum auch als General Data Protection Regulation (GDPR) bezeichnet, in Kraft. Während die Unternehmen in Europa zumindest allmählich Fahrt aufnehmen, um ihre Prozesse und Systeme für das neue Regelwerk fit zu machen, hinken US-amerikanische Firmen noch deutlich hinterher. Die Mehrheit der Befragten hat noch nicht damit begonnen, ihre Unternehmen aktiv für die kommenden Compliance-Anforderungen zu rüsten. Das hat die Studie "GDPR: The Impact on IT" von Spiceworks gezeigt. Die Betreiber des IT-Netzwerks haben dafür 779 IT-Verantwortliche aus den USA, Großbritannien sowie der Europäische Union befragt.

US-Amerikanische Unternehmen haben die Folgen der EU-Datenschutzgrundverordnung kaum im Blick.
US-Amerikanische Unternehmen haben die Folgen der EU-Datenschutzgrundverordnung kaum im Blick.
Foto: Sehenswerk - shutterstock.com

Den Umfrageergebnissen zufolge wird die Richtlinie zwar von vielen IT-Verantwortlichen begrüßt. Aber zumindest in den USA hat das Thema keine Priorität. Dazu kommt vielerort ein Mangel an Ressourcen, um die Anforderungen umzusetzen. Oft wissen die IT-Verantwortlichen auch nicht, welche Maßnahmen konkret anstehen. Offenbar ist ihnen auch die Dringlichkeit der Situation nicht bewusst. So machen beispielsweise die drohenden Vertragsstrafen den Managern in den USA weniger Sorgen als ihren Kollegen in der EU.

Gut vorbereitet sind die wenigsten

Laut der Spiceworks-Studie haben in Großbritannien bereits 40 Prozent und in der restlichen EU 28 Prozent der Unternehmen damit begonnen, sich auf die DSGVO vorzubereiten. In den USA sind es bislang nur fünf Prozent. Lediglich zwei Prozent der Unternehmen in den USA und der EU (außer Großbritannien) gaben an, sich bereits ausreichend auf die Datenschutzverordnung vorbereitet zu haben. In Großbritannien halten sich immerhin fünf Prozent für gut gerüstet.

Unternehmen reagieren spät auf EU-DSGVO
Unternehmen reagieren spät auf EU-DSGVO
Foto: Carmao

Dazu kommt ein weiteres Problem: In den USA sind 43 Prozent der befragten Manager der Ansicht, ihr Unternehmen sei von den neuen Datenschutzregeln gar nicht betroffen. Diese Einstellung teilen nur drei Prozent der IT-Verantwortlichen in Großbritannien und neun Prozent im Rest der EU. Und selbst unter den US-amerikanischen IT-Experten, die glauben, von der DSGVO betroffen zu sein, macht sich gerade einmal jeder zehnte Sorgen wegen möglicher Strafen. In der EU liegt dieser Anteil bei fast einem Drittel.

Es fehlt an Informationen

Außerdem fehlen in vielen Unternehmen offensichtlich die richtigen Kenntnisse, um die notwendigen Veränderungen umzusetzen. Demnach gaben nur neun Prozent der Befragten in den USA an, über die EU-DSGVO und die möglichen Auswirkungen der Richtlinie auf das Business informiert zu sein. Von den britischen Befragten halten sich dagegen 43 Prozent und von den Kollegen in der restlichen EU 36 Prozent für ausreichend informiert.

Lesen Sie mehr zum Thema EU-Datenschutzgrundverordnung:

"Einige Unternehmen, speziell in den USA, glauben, dass sie von den EU-zentrierten Regulierungsbestimmungen und potenziellen Strafen ausgenommen sind", sagte Peter Tsai, Senior Technology Analyst bei Spiceworks. "Es gibt allerdings massive Wissenslücken bei der Frage, inwiefern sich GDPR auf das Geschäft auswirkt." Die neuen Regularien beträfen schließlich jedes Unternehmen auf der Welt, das Daten von EU-Bürgern sammelt, konstatierte der Experte. Damit dürften IT-Abteilungen, die fälschlicherweise annehmen, GDPR ginge sie nichts an, nächstes Jahr mächtig unter Druck geraten, um die Anforderungen zu erfüllen.

Datenschutz hat keine Priorität

Um sich auf die neuen Regeln vorzubereiten, dokumentierten viele Unternehmen ihre Prozesse als Compliance-Beleg. Weitere verbreitete Maßnahmen sind der Umfrage zufolge Mitarbeiter-Trainings, Daten-Audits, eine Änderung der Daten-Management-Policies sowie die Zusammenarbeit mit externen Beratern. Allerdings planten 14 Prozent der IT-Verantwortlichen in der EU (15 Prozent in Großbritannien) und 21 Prozent in den USA für die nächsten zwölf Monate keine konkreten Maßnahmen, um sich auf GDPR vorzubereiten.

Maßnahmen zur Umsetzung der DSGVO
Maßnahmen zur Umsetzung der DSGVO
Foto: IDC

Fast jeder zweite von ihnen gab an, die Vorbereitung habe in seinem Unternehmen keine Priorität. Viele IT-Experten verstehen zudem die Anforderungen nicht, andere nannten Zeit- und Ressourcen-Mangel sowie den Kostendruck als Gründe.

Den Schwarzen Peter hat die IT-Abteilung

Immerhin befürworten 65 Prozent der Befragten in Großbritannien und 59 Prozent im Rest der EU die neue Datenschutzverordnung. In den USA sprechen sich dagegen nur 37 Prozent der IT-Verantwortlichen für die Richtlinie aus. Viele IT-Profis machen sich allerdings Sorgen wegen der Deadline am 18. Mai 2018. Mehr als ein Drittel der Befragten bezeichnete die erforderlichen Maßnahmen als unklar. Andere äußerten Bedenken, dass das Management ihres Unternehmens die Auswirkungen der Verordnung nicht einschätzen könne. Zusätzlich befürchten viele IT-Verantwortliche, dass sich im Zuge der neue Regularien die Komplexität in der IT erhöhen und damit ihre Arbeit erschweren könnte.

Trotz aller Schwierigkeit dürfen die Verantwortlichen den Kopf nicht in den Sand stecken. "Egal ob Sie in den USA oder in der EU ihren Sitz haben - Unternehmen sollten zumindest einmal damit anfangen, sich mit den möglichen Auswirkungen von GDPR zu beschäftigen", zitiert Spiceworks Brian Sandison, einen Netzwerk- und Server-Techniker aus Schottland. "Die IT-Abteilungen müssen sicherstellen, dass das Management die Anforderungen und Bedingungen der Richtlinie kennt und versteht." Dafür sei ein Mindestmaß an Vorbereitung notwendig. Denn bei einem Verstoß gegen die Verordnung sei es ist mehr als wahrscheinlich, dass die Geschäftsführung ihre IT-Abteilung zur Verantwortung ziehen werde, ist sich der IT-Verantwortliche sicher.