Woran der Datenschutz im Unternehmen krankt

Unnötiges Risiko

Ob auf deutscher oder europäischer Ebene: Die Unternehmen sind heute kaum darauf vorbereitet, gegenwärtiges oder künftiges Recht umzusetzen. Gemäß einer von Compuware beauftragten Umfrage von Vanson Borne in Deutschland, Großbritannien, Frankreich, Benelux, Italien, Australien und den USA aus dem vorigen Jahr…

• maskieren oder schützen nur 20 Prozent der Firmen ihre Kundendaten, bevor sie diese zu Testzwecken weitergeben;

• sind sich 43 Prozent der Befragten, die Kundendaten weitergeben, der gegenwärtigen Gesetzgebung oder ihrer Folgen nicht bewusst;

• verlassen sich 87 Prozent der Unternehmen, die Kundendaten unmaskiert an Dritte weitergeben, auf einfache "Non-Disclosure-Agreements (NDAs)".

Kürzlich hat Compuware eine Reihe seiner deutschen Kunden befragt, um die Zahlen zu validieren. Dabei zeigte sich, dass 26 Prozent - durchweg große Unternehmenskunden - persönliche Daten in Systemtests verwenden. Damit setzen sie sich selbst einem großen Risiko aus, da Testumgebungen in der Regel deutlich weniger abgesichert und geschützt sind als Produktionsumgebungen. Zudem sind viele Forscher und Tester nicht in Sachen Datenschutz ausgebildet. Daher sollten Unternehmen hier unbedingt anonymisierte oder zumindest maskierte Daten verwenden. Dies gilt umso mehr für ausgelagerte Dienste. Denn obwohl es in Deutschland Gesetze in Bezug auf Datenkontrolleure sowie Datenverarbeiter gibt, fallen Outsourcing-Dienstleister nicht darunter.

Kosten für die Umsetzung

Zur Umsetzung eines durchgängigen Datenschutzes und der neuen zu erwartenden Richtlinien sollten sich die Unternehmen in Deutschland natürlich auf höhere Kosten einstellen. Dabei überblicken viele nicht einmal ihre gegenwärtigen Ausgaben für Datenschutzmaßnahmen. So wissen zum Beispiel 82 Prozent der Firmen in Großbritannien nicht, wie viel Geld ihre IT derzeit für den Datenschutz ausgibt. Dies zeigt eine Untersuchung von London Economics im Auftrag des Information Commissioner’s Office (ICO). In Deutschland dürfte die Lage ähnlich sein. Werden Maßnahmen für die zu erwartenden Richtlinien umgesetzt, führt dann mangelndes Projektmanagement immer wieder zu Budgetüberschreitungen, sodass manches Datenschutzprojekt vorzeitig abgebrochen werden musste.

Wer diese Kosten scheut, auf den können aber erhebliche Konsequenzen zukommen. Zum Beispiel drohen der neuen EU-Direktive zufolge bei Nichtbeachtung der Gesetze Strafen von bis zu 100 Millionen Euro oder fünf Prozent des jährlichen Firmenumsatzes. Bislang wurden je nach Art der Datenschutzverletzung schon finanzielle Strafen von bis zu 300.000 Euro oder Haftstrafen von bis zu zwei Jahren verhängt.

Um die Datenschutzregeln einzuhalten, müssen Unternehmen eine umfassende Strategie entwickeln, die alle Formen der Datennutzung (primär oder sekundär) abdeckt - sozusagen eine "Blaupause für die Gesetzesbeachtung". Für die Umsetzung ist dann ein effizientes und effektives Projektmanagement nötig, um die Investitionskosten zu minimieren sowie bestehende Anwendungen und Praktiken anzupassen.