GDPR: IT-Abteilungen sorglos und unvorbereitet

IT-Abteilungen, vor allem jene in US-Unternehmen, machen sich wenig Gedanken über die neue Datenschutzrichtlinie GDPR. Das kann fatale Folgen haben.

von Susann Klossek 29.06.2017 11:01

Am 18. Mai 2018 tritt die neue Datenschutzrichtlinie General Data Protection Regulation (GDPR) in Kraft. Das Netzwerk für die IT-Branche Spiceworks hat darum untersucht, wie sich IT-Abteilungen weltweit darauf vorbereiten. Zwar wird die neue Richtlinie von vielen IT-Verantwortlichen begrüsst (vgl. Grafik 1), über die Auswirkungen auf ihr Business sind IT-Abteilungen in den USA aber bisher nur zu 9 Prozent informiert (vgl. Grafik 2).

Grafik 1: GDPR wird von den meisten europäischen Unternehmen begrüsst
Quelle: Spiceworks Grafik 1: GDPR wird von den meisten europäischen Unternehmen begrüsst Quelle: Spiceworks

Und auch was die Vorbereitungen auf GDPR betrifft, hinken die Amerikaner extrem hinterher. Fast so, als ginge sie die ganze Angelegenheit nichts an. Die Mehrheit hat hier noch nicht damit begonnen, ihr Unternehmen aktiv für die Compliance-Anforderungen zu rüsten. In der EU (inkl. UK) bereiten sich wesentlich mehr IT-Abteilungen auf die künftigen Anforderungen vor.

Unklarer Massnahmen-Katalog

Vor allen in den Staaten hat das Thema keine Priorität. Zudem mangelt es vielerorts an Ressourcen, die neuen Anforderungen umzusetzen. Schliesslich wissen viele IT-ler offensichtlich auch nicht, welche Massnahmen überhaupt konkret anstehen. Mehr als ein Drittel aller Befragten bezeichnet die erforderlichen Massnahmen als unklar. Ein Grossteil ist davon überzeugt, dass das Management ihres Unternehmens die Auswirkungen der Verordnung nicht einschätzen könne.

Grafik 2: US-Firmen sind nicht über die Auswirkungen von GDPR auf ihr Unternehmen informiert
Quelle: Spiceworks Grafik 2: US-Firmen sind nicht über die Auswirkungen von GDPR auf ihr Unternehmen informiert Quelle: Spiceworks

Lesen Sie auf der nächsten Seite: Mehr Arbeit, Training und Kosten

Viele IT-Profis machen sich auch Sorgen wegen der Deadline. Ein Grund mehr, jetzt mit den Vorbereitungen zu beginnen. Trotzdem planen 14 Prozent der IT-Verantwortlichen in der EU (UK: 15%) und 21 Prozent in den USA für die nächsten zwölf Monate keine konkreten Massnahmen, um sich auf GDPR vorzubereiten. Die Angst, GDPR werde die Komplexität in der IT erhöhen, deren Arbeit erschweren und vermehrt Anwenderschulungen nach sich ziehen, hält viele IT-ler noch von konkreten Massnahmen ab (vgl. Grafik 3).

Grafik 3: Ängste: Unklarer Massnahmenkatalog, zu frühe Deadline, uninformiertes Management, mehr Arbeit, Training und Kosten
Quelle: Spiceworks Grafik 3: Ängste: Unklarer Massnahmenkatalog, zu frühe Deadline, uninformiertes Management, mehr Arbeit, Training und Kosten Quelle: Spiceworks

Keine Angst vor Strafe

US-Firmen sind offensichtlich auch unempfindlich gegenüber drohender Vertragsstrafen. 43 Prozent der Befragten in US-Unternehmen sind zudem der Ansicht, überhaupt nicht von GDPR betroffen zu sein (UK: 3%, EU: 9%). Unter den wenigen, die glauben, von GDPR tangiert zu sein, machen sich aber nur schlappe zehn Prozent Sorgen wegen möglicher Strafen. In der EU liegt der Wert bei rund einem Drittel.

In Grossbritannien und der restlichen EU sind die Unternehmen besser vorbereitet: Hier haben immerhin 40, respektive 28 Prozent der Unternehmen mindestens damit begonnen, sich auf die neuen Datenschutzrichtlinien vorzubereiten (vgl. Grafik 4). In den USA sind es bisher nur 5 Prozent. Für ausreichend vorbereitet halten sich in den USA und in der EU nur zwei, in UK fünf Prozent.

Grafik 4: Viele sind noch wenig für GDPR gerüstet. 43 Prozent der US-Firmen glauben, sie sind nicht davon betroffen
Quelle: Spiceworks Grafik 4: Viele sind noch wenig für GDPR gerüstet. 43 Prozent der US-Firmen glauben, sie sind nicht davon betroffen Quelle: Spiceworks

Nächste Seite: Mindestmass an Vorbereitung unabdingbar

IT trägt Verantwortung

«Einige Unternehmen glauben, dass sie von den EU-zentrierten Regulierungsbestimmungen und potenziellen Strafen ausgenommen sind», sagt Peter Tsai, Senior Technology Analyst bei Spiceworks. Es gibt allerdings massive Wissenslücken bei der Frage, inwiefern sich GDPR auf das Geschäft auswirkt. GDPR betrifft jedes Unternehmen weltweit, das Daten von EU-Bürgern sammelt.

Damit dürften IT-Abteilungen, die fälschlicherweise annehmen, GDPR ginge sie nichts an, nächstes Jahr mächtig unter Druck geraten, um die Anforderungen zu erfüllen. Ein Mindestmass an Vorbereitung ist also dringend notwendig. Bei einem Verstoss gegen die Verordnung ist es mehr als wahrscheinlich, dass die Geschäftsführung ihre IT-Abteilung zur Verantwortung ziehen wird.