Einschätzung der EU-Datenschutzgesetze


Umfrage: IT-Fachleute gehen davon aus, dass Unternehmen in der Lage sind, der Anzeigepflicht von Datenschutzverstößen gemäß neuer EU-Gesetzgebung nachzukommen
Aller Wahrscheinlichkeit nach wird ein Bankinstitut das erste Unternehmen sein, das von der 100 Millionen-Euro-Strafe nach neuer EU-Datenschutzgesetzgebung betroffen ist

(03.06.15) - Varonis Systems führte im März dieses Jahres eine Umfrage unter IT-Fachleuten auf der CeBIT durch. Im Mittelpunkt der Erhebung standen Fragen zur generellen Einschätzung der neuen EU-Datenschutzgesetze. Noch im Frühjahr 2015 will die EU die Grundverordnung verabschieden. Allgemein wird erwartet, dass die Gesetze noch in diesem, spätestens im kommenden Jahr Gültigkeit erlangen.

Die wichtigsten Ergebnisse der Umfrage:

80 Prozent der Befragten gehen davon aus, dass das Unternehmen, das als erstes von der 100-Millionen-Euro-Höchststrafe betroffen sein wird, ein Bankinstitut ist. Diese Strafe wird verhängt, wenn Unternehmen und Organisationen nicht in der Lage sind den neuen EU-Datenschutzgesetzen zu entsprechen.

Weiter befragt in welchem Land dieses Bankinstitut läge, antworten 30 Prozent mit: in Deutschland, 28 Prozent mit: in den USA und 22Prozent vermuteten: in einem anderen EU-Land.

Lediglich 48 Prozent der Befragten gingen davon aus, dass ihr Unternehmen in der Lage ist, die Nutzer innerhalb der geforderten 72-Stunden-Zeitspanne über eine Datenschutzverletzung zu informieren.

Nur 31 Prozent der Befragten sind auf die neuen Gesetze angemessen vorbereitet und haben bereits entsprechende Pläne. Lediglich ein Drittel verfügt dann auch noch über die notwendigen Prozesse und Technologien, um das eigene Unternehmen vor der potenziell anfallenden Höchststrafe als Folge der neuen Gesetzgebung zu schützen.

Ganze 71 Prozent der Befragten waren sich grundsätzlich unsicher, was Unternehmen im Hinblick auf die umfassenden, mit der neuen EU-Gesetzgebung einhergehenden Compliance-Herausforderungen tun müssen.

Nur 22 Prozent tippten richtig in Bezug auf die Höhe der geplanten Höchststrafe bei einem Vorstoß gegen die neuen EU-Gesetze, nämlich 100 Millionen Euro. 41 Prozent gingen von nur 10 Millionen Euro aus und 32Prozent sogar von nur einer Million Euro. Ein sehr geringer Prozentsatz der Befragten tippte sogar auf eine Milliarde Euro.

Ein Drittel der Befragten ging davon aus, dass die neuen EU-Gesetze noch in diesem Jahr in Kraft treten, weitere 28 Prozent vermuteten 2016, und 7 Prozent gingen sogar davon aus, dass die Gesetze schlussendlich gar nicht umgesetzt würden. Ein weiteres knappes Drittel, nämlich 32 Prozent der Befragten, war sich nicht sicher, wann die neue Datenschutzgesetzgebung tatsächlich in Kraft treten wird.

David Gibson, Varonis Vice President of Marketing, sagte: "Wir gehen von einer umfassenden Überarbeitung der EU-Datenschutzgesetzgebung in den nächsten zwölf bis 24 Monaten aus. Die Strafen bei Zuwiderhandlungen liegen zwischen 2 Prozent der jährlichen Einnahmen und gehen bis zu einer Höchststrafe von 100 Millionen Euro, wenn es Unternehmen nicht gelingen sollte vertrauliche Daten von EU-Bürgern ausreichend vor Datenschutzverletzungen zu schützen. Zu diesem generellen Strafmaß kommen unter Umständen weitere Einzelforderungen, die sich selbst für ein Großunternehmen zu signifikanten Kosten aufaddieren."

Gibson sagte weiter: "Zudem markieren die neuen Datenschutzgesetze einen Wendepunkt: Von einem Modell der weitgehenden Selbstregulierung hin zu einer Durchsetzungs- und Kontrollregelung. Die darauf basierenden Gesetze betreffen jede Organisation, jedes Unternehmen, das personenbezogene Daten europäischer Bürger und Bürgerinnen speichert. Das gilt auch für US-amerikanische Unternehmen, die in Europa tätig sind. Unternehmen sind dringend gefordert, Kundendaten ausreichend zu schützen und dies nachweislich auf dem dazu notwendigen Level des Datenschutzes. Dazu gehört es, innerhalb von 72 Stunden über Datenschutzverletzungen informieren zu können. Alle EU-Bürger dürfen zudem das Löschen sämtlicher personenbezogener Daten fordern. Auch darauf müssen Unternehmen vorbereitet sein."

Dazu Mark Deem, Partner bei Cooley LLP, UK, erklärte: "Im Hinblick auf den stark erweiterten Geltungsbereich der neuen EU-Datenschutzgesetze sowie das damit einhergehende deutlich erhöhte Strafmaß, werfen die Umfrageergebnisse ein interessantes Licht darauf, in welchem Umfang Unternehmen und Organisationen tatsächlich angemessen vorbereitet sind. Und dies sowohl in Bezug auf die umfassenden Compliance-Anforderungen als auch in Bezug darauf, wie im Falle einer Datenschutzverletzung gemäß der neuen EU-Gesetze zu verfahren ist. In der Tat ist das potentiell verhängte Strafmaß innerhalb der neuen Gesetzgebung deutlich näher an Geldbußen, die üblicherweise bei Bestechungsfällen oder Kartellrechtsverstößen verhängt werden. Für den kompletten Finanzsektor werden Datenschutz und Compliance ganz genau so wichtig sein wie die Compliance mit der Finanzaufsicht FCA. Auch wenn die Gesetze vermutlich nicht vor 2017 endgültig in Kraft treten, sind Unternehmen, die datenbasiert Waren und Dienstleistungen in der EU anbieten, gut beraten, sich schon jetzt entsprechend auf die neuen Compliance-Herausforderungen vorzubereiten. Meiner Einschätzung nach gibt es noch viel Nachholbedarf, wollen Unternehmen nicht zu Leidtragenden der neuen EU-Datenschutzgesetzgebung werden."

Varonis hat sieben Empfehlungen für Sie zusammengestellt, die dazu beitragen, sich auf die mit den neuen EU-Gesetzen einhergehenden Compliance-Herausforderungen vorzubereiten:

Minimieren Sie Datenerhebungen - Der EU-Gesetzesentwurf enthält strikte Richtlinien, um die Datensammelwut von Unternehmen gegenüber Verbrauchern zu limitieren.

>>Unmittelbare Anzeigepflicht bei Datenschutzverstößen:
Die unmittelbare Anzeigepflicht bei Datenschutzverstößen ist eine neue Anforderung, die auf alle in Europa tätigen Unternehmen zukommt.

>> Seien Sie zurückhaltend beim Aufbewahren von Daten: Die Minimierungsgebote innerhalb der neuen Gesetze gelten nicht nur für den Umfang der erhobenen Daten, sondern wirken sich auch darauf aus wie lange Daten aufbewahrt werden dürfen. Mit anderen Worten: Sie sollten Daten nur solange speichern wie es für den ursprünglich intendierten Zweck tatsächlich nötig ist.

>> Neue Definition personenbezogener Daten: Die EU hat die Definition der sogenannten personenbezogenen Daten deutlich erweitert; diese Änderung ist besonders wichtig, weil sich die neuen EU-Datenschutzgesetze auf den Schutz genau dieser personenbezogenen Daten konzentrieren.
Verwenden Sie klare und deutliche Formulierungen: Um Daten zu erheben brauchen Sie die eindeutige Einwilligung eines Konsumenten (also sein klares "opt-in").

>>Recht auf Datenlöschung: Mit dem sogenannten "Recht auf Löschung" können Verbraucher eine einmal erteilte Einwilligung in Bezug auf die Datenerhebung widerrufen; Unternehmen müssen diese Daten dann löschen.

Cloud Computing – Die neuen EU-Datenschutzgesetze gelten analog für das Cloud Computing. Das Gesetz folgt den Daten.

Umfrage-Methodologie
Die 145 internationalen Umfrageteilnehmer repräsentieren das Fachpublikum der weltweit größten IT-Technologie Messe, der CeBIT in Hannover, Deutschland, mit 221.000 Besuchern im März dieses Jahres. Die Befragten repräsentierten zu 16 Prozent deutsche Banken, zu jeweils 3 Prozent US-Banken und EU-Bankhäuser, 45 Prozent der Befragten rekrutierten sich aus anderen deutschen Wirtschaftsbereichen und Unternehmen, 26 Prozent aus anderen EU-Wirtschaftsbereichen und Unternehmen und 7 Prozent waren US-amerikanische Unternehmen.
(Varonis Systems: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Detaillierte Einblicke in die Gehaltsstrukturen

    APSCo (Association of Professional Staffing Companies) Deutschland veröffentlicht den ersten umfassenden Gehaltscheck für die Staffing-Branche und schafft damit eine wichtige Grundlage für mehr Gehaltstransparenz. Die Ergebnisse unterstützen Staffing-Unternehmen in ihrer Vorbereitung auf die bevorstehenden Anforderungen der EU-Richtlinie zur Gehaltstransparenz, die ab 2026 verpflichtend wird.

  • Gute Bedingungen für GenAI-Anwendungen

    Ein Großteil der weltweiten KI-Investitionen fließt in den Finanzsektor. 2023 wurden in der Branche 87 Milliarden US-Dollar in KI investiert - deutlich mehr als im Gesundheitswesen (76 Milliarden) oder in der Telekommunikations- und Medienbranche (75 Milliarden).

  • 9 Prozent der Unternehmen nutzen generative KI

    Die deutsche Wirtschaft nimmt bei Künstlicher Intelligenz Fahrt auf. Erstmals beschäftigt sich mehr als die Hälfte (57 Prozent) der Unternehmen mit KI. Jedes fünfte Unternehmen (20 Prozent) nutzt bereits KI. Vor einem Jahr waren es erst 15 Prozent, 2022 nur 9 Prozent. Mehr als jedes Dritte (37 Prozent) plant oder diskutiert derzeit den KI-Einsatz, nach 28 Prozent 2023 und 25 Prozent 2022.

  • Studie zu Lieferkettengesetzen

    Für neun von zehn Unternehmen in Deutschland ist Personalmangel die größte Hürde bei der Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG). Das zeigt eine neue Studie der EQS Group in Zusammenarbeit mit der Hochschule für angewandte Wissenschaften Ansbach. Während Unternehmen in ihrem eigenen Geschäftsbereich nur ein geringes Risiko für LkSG-Verstöße sehen, schätzen sie dieses bei ihren mittelbaren Lieferanten deutlich höher ein.

  • Unternehmen evaluieren Krisenmanagementpläne

    Das Business Continuity Institute (BCI) hat seinen aktuellen Crisis Management Report 2024 veröffentlicht. Untersucht wurde der globalen Status des Krisenmanagements im vergangenen Jahr. Der von F24 gesponserte Report stützt sich auf Umfragen und strukturierte Interviews mit leitenden Resilienz-Experten und ermöglicht dadurch detaillierte Einblicke in den aktuellen Stand des Krisenmanagements.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen