EU-Datenschutzgesetze: Jedes dritte Unternehmen ist unvorbereitet

Unternehmen in Deutschland, Frankreich und Großbritannien sind für die neuen EU-Datenschutzgesetze nur schlecht vorbereitet. Das zeigt die Studie (PDF) “Unterschiedlicher Bereitschaftsgrad für neuen EU-Datenschutz” des Sicherheitsunternehmens FireEye. Die Befragten bemängeln unter anderem die fehlende Beratung zu den Gesetzen.

Die Studie behandelt das Verständnis von und die Erwartungen an die Richtlinie zur Netz- und Informationssicherheit (NIS) und an die Datenschutz-Grundverordnung (DS-GV), die von der Europäischen Union vorgesehen sind. Im Frühjahr 2015 will die EU die Grundverordnung verabschieden. Diese stellt Unternehmen FireEye zufolge vor umfassende Compliance-Herausforderungen, die bis spätestens 2017 bindend eine Lösung benötigen.

Die NIS-Richtlinie soll ebenfalls in diesem Jahr eingeführt werden. Unternehmen müssen infolgedessen im Reporting von Sicherheitsvorfällen umdenken.

Unter anderem sehen die neuen Verordnungen folgendes vor:

• Nutzer müssen innerhalb von 72 Stunden über Datenlecks informiert werden
• Nutzer erhalten das Recht, eine Kopie ihre personenbezogenen Daten zu erfragen (auch in elektronischer Form)
• Nutzer dürfen das Löschen sämtlicher personenbezogener Daten fordern, sofern es kein Gesetz gibt, diese zu speichern
• Unternehmen mit über 250 Mitarbeitern müssen einen Datenschutzbeauftragten anstellen

“Das letzte Jahr hat gezeigt, dass Sicherheitsverletzungen unvermeidbar sind, da Angreifer immer neue Wege finden, Sicherheitsvorkehrungen zu umgehen. Die EU-Richtlinien sind ein wichtiger Schritt dahin, sich dieser Bedrohungen anzunehmen”, sagt Richard Turner, Vice President EMEA bei FireEye.

Unternehmen sind sich der Bedeutung nicht bewusst

Trotz der drohenden Geldstrafen bei Datenlecks – bis zu 100 Millionen Euro oder 5 Prozent der jährlichen Einnahmen – haben bislang nur 39 Prozent der befragten Unternehmen alle Maßnahmen der NIS-Richtlinie umgesetzt. Noch weniger sind für die DS-GV gerüstet. Das kann aber auch daran liegen, dass die EU noch keine finalen Bestimmungen beschlossen hat.

Ein Drittel der Unternehmen gab an, dass sie die Auswirkungen der NIS-Richtlinie respektive der DS-GV auf die eigenen, bestehenden Datenschutz- und Sicherheitsvorkehrungen nicht verstehen. Die EU stellt 38 Prozent der Befragten zufolge genügend klare Richtlinien in alle Bereichen der Compliance-Anforderungen bereit.

Wie die Studie aber auch zeigt, sind Unternehmen in Deutschland besser auf die NIS-Richtlinie vorbereitet als in anderen europäischen Ländern. Hierzulande glauben 46 Prozent, dass alle erforderlichen Vorkehrungen getroffen wurden.

Angst vor Geldstrafen und keine Beratung

Am meisten machen sich Unternehmen Sorgen über mögliche Geldstrafen bei Datenlecks (58 Prozent). Dieselbe Zahl der Befragten befürchtet Auswirkungen auf das Geschäft oder den Gewinn. 57 Prozent haben Angst vor Reputationsschäden durch Datenschutzvergehen.

Bei der Umsetzung der neuen EU-Datenschutz fühlen sich über 60 Prozent der Teilnehmer überhaupt nicht oder nur schlecht beraten. Als größte Herausforderung sehen 64 Prozent die zusätzlichen Kosten für Hard- und Software. Für 23 Prozent ist die Umsetzung der Richtlinie die größte Schwierigkeit.

Unternehmenseigene Sicherheitsbestimmungen auf dem Prüfstand

“In Deutschland nimmt das Thema Datenschutz bei der Bevölkerung wie bei der Gesetzgebung einen hohen Stellenwert ein. Daher schenken hiesige Unternehmen diesem Thema besonders große Aufmerksamkeit”, sagt Frank Kölmel, Vice President Central & Eastern Europe bei FireEye.

“Mit den neuen Richtlinien stehen die schon jetzt hohen Maßstäbe der unternehmenseigenen Sicherheitsbestimmungen dennoch auf dem Prüfstand. Hierin liegt jedoch auch die Chance, mit der Überarbeitung der Sicherheitsvorkehrungen auch den Schutz vor Advanced Cyber Attacks sinnvoll voranzutreiben. Unternehmen müssen sicherstellen, dass sie Sicherheitslücken in einem angemessenen Zeitrahmen erkennen, verhindern, analysieren und beheben können.“

“Wir ermutigen Unternehmen jeder Größe dazu, Maßnahmen einzuführen, die Risiken durch Zero-Day-Exploits und unbekannte Malware entschärfen. Es ist wichtig, schon heute mit der Vorbereitung der Compliance mit den neuen Richtlinien zu beginnen, damit sie nicht unvorbereitet ertappt werden”, sagt Adam Palmer, International Government Affairs Director bei FireEye.