Nur noch neun Monate Zeit: Nur 2 % der Unternehmen sind bereit für die EU-DSGVO

Die Umfragen zeigen es deutlich: zahlreiche Unternehmen sehen sich vorbereitet für die europäische Datenschutz-Grundverordnung, doch nur bei wenigen stimmt das auch. Machen Sie diesen Fehler nicht – stellen sie die richtigen Fragen und minimieren Sie den Umfang der EU-DSGVO für Ihr Unternehmen.

 

Diese Woche ist uns seine Studie von Veritas ins Auge gefallen, bei der 900 Entscheidungsträger weltweit teilnahmen. Sie untersuchte, wie bereit für die EU-Datenschutzgrundverordnung (EU-DSGVO) sich Unternehmen einschätzen – und wie die Realität aussieht, wenn konkrete Folgefragen zu den jeweiligen Lösungsansätzen gestellt werden.

Von den 31 % der Entscheider, die sich vorbereitet einschätzten, konnten nur 2 % auf Nachfrage nachweisen, dass dies wirklich der Fall ist. Wie bei jeder Gesetzesänderung sind auch bei der EU-DSGVO Startschwierigkeiten zu erwarten. Aber in diesem Fall läuft die Deadline für Unternehmen bereits am 25. Mai 2018 aus – in weniger als einem Jahr also. Die Tatsache, dass nur 2 % der betroffenen Organisationen Compliance nachweisen können, ist ein großes Problem, das die Industrie schnellstens beheben sollte.

Vor allem ein Mythos über das EU-DSGVO sollte schnellstens aufgeklärt werden: Wofür Cloud-Service-Provider bei Sicherheitsfragen zuständig sind.

Fast die Hälfte aller Teilnehmer der Studie, die angaben, DSGVO-compliant zu sein, dachten, dass ausschließlich der Cloud-Service-Provider (CSP) verantwortlich für die Sicherheit ihrer Daten in der Cloud wäre. Damit liegen sie grundlegend falsch. In Wirklichkeit ist ein CSP nur verantwortlich für die Sicherheit seiner eigenen Infrastruktur – nicht Ihrer Daten.

Der Schutz von Informationen obliegt nach der EU-DSGVO dem „Verantwortlichen“. Das ist die Organisation, die die Daten sammelt – also in den meisten Fällen die gleiche, die die Informationen auch in die Cloud gibt.

Der beste Weg, die Sicherheit von sensiblen Daten in der Cloud zu garantieren, ist, sie vor dem externen Verarbeiten und Speichern zu verschlüsseln. Organisationen dürfen nie vergessen, dass die Sicherheit der Daten ihrer Angestellten, Kunden und ähnlicher Informationen einzig und allein in ihrer Verantwortung liegt. Bei der Suche nach einer geeigneten Datenverschlüsselungslösung sollten sich Organisationen deshalb folgende Fragen stellen, um die Auswirkungen des EU-DSGVO so gering wie möglich zu halten:

  1. Ist die Lösung Open Source? Nur Open-Source-Lösungen bieten völlige Gewissheit darüber, dass keine Hintertüren existieren, über die Daten angreifbar sind.
  2. Wer kontrolliert die Schlüssel? Der „Verantwortliche“ sollte die Kontrolle über die kryptografischen Schlüssel niemals aus der Hand geben. So sind Daten unlesbar für alle außer den Verantwortlichen – sogar, wenn sie gestohlen werden. Das führt zu Vorteilen unter der EU-DSGVO: wenn eine „Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, könnten Meldungen an Aufsichtsbehörden und Nutzer entfallen.
  3. Schützt die Lösung Daten at Rest, in Use und in Motion? Viele sogenannte Verschlüsselungslösungen schützen Daten erst, wenn diese ihr Speicher- oder Verarbeitungsziel bereits erreicht haben. Das reicht unter der EU-DSGVO nicht mehr aus: Diese fordert den Schutz sensibler Daten über ihren gesamten Lebenszyklus hinweg.
  4. Wie nutzbar sind die Daten, nachdem sie verschlüsselt wurden? Hierbei geht es weniger um die EU-DSGVO als vielmehr darum, dass eine Organisation mit ihren geschützten Daten auch arbeiten kann. Denn wenn es wegen der Verschlüsselungslösung deutlich mehr Zeit kostet, um daten zu durchsuchen oder verarbeiten, kann das das Geschäft schädigen – und das will niemand.

Mit dem Fokus auf den ersten drei Punkten können Unternehmen bereits große Schritte hin zur EU-DSGVO-Bereitschaft machen. Der vierte ist extrem wichtig für Integration und Usability der Lösung in einer Arbeitsumgebung. Die Geschichte lehrt zudem regelmäßig, dass Technologie, die es Menschen kompizierter macht, ihren Job zu erledigen, häufig einfach umgangen wird. Das eperi Gateway erfüllt alle Anforderungen der vier Fragen – auf unserer Lösungsseite können Sie mehr dazu erfahren.