Noch im Sommer 2017 veröffentlichte der ITK-Branchenverband Bitkom eine Studie, nachdem jedes fünfte IT- und Digital-Unternehmen die Datenschutzgrundverordnung bislang ignorierte.
Eine Folgeuntersuchung im September 2017 zeigte, dass branchenübergreifend erst 13 Prozent der Organisationen erste Maßnahmen zur Umsetzung der DSGVO begonnen oder abgeschlossen haben. Als Marktbeobachter fragt man sich zurecht: Auf was warten die Manager dort eigentlich?
Kommentar von Otto Neuer, Vice-President Sales, EMEA Central, Talend
Der Datenschutz ist vielen Menschen sehr wichtig. Daher verwundert es kaum, dass 68 Prozent der Verbraucher dem Umgang der Unternehmen mit ihren persönlichen Daten misstrauen. Außerdem haben 61 Prozent der Facebook-Nutzer schon einmal ihre Datenschutzeinstellungen auf Facebook verändert, so eine Studie des Software-Anbieters Gigya.
Interessant ist in diesem Zusammenhang auch ein Report des Software-Herstellers Pegasystems, dass rund 82 Prozent der europäischen Verbraucher beabsichtigen, ihre neuen Rechte im Sinne der DSGVO in Anspruch zu nehmen. Gleichzeitig planen nur elf Prozent der Unternehmen, Verbraucheranfragen zur Datenlöschung zu automatisieren. Die übrigen Organisationen haben offenbar überhaupt nicht vor, die Vorschriften zum Stichtag zu erfüllen (21 Prozent) oder beabsichtigen, jede Anfrage manuell zu bearbeiten (68 Prozent).
Der hohe Anteil an manueller Bearbeitung ist erstaunlich. Zum einen ist das vergleichsweise teuer und zum anderen erhalten so mehr Personen umfassenden Zugriff auf alle Anwendungen, die personenbezogene Daten enthalten, wie beispielsweise CRM- und ERP-Lösungen. Statt den Datenschutz zu verbessern, erhöht dieses Vorgehen sogar die Risiken.
Mit Blick auf die DSGVO-Deadline sind diese Zahlen alarmierend, denn die Kunden vertrauen darauf, dass Unternehmen die Privatsphäre und den Datenschutz respektieren. Dieses Vertrauen ist eine der Voraussetzungen dafür, dass Nutzer überhaupt dazu bereit sind, personenbezogene Informationen preiszugeben.
Es ist offensichtlich, dass viele Organisationen den Stichtag zunächst abwarten wollen. Schließlich werden Datenschutzbestimmungen immer noch als Kostenfaktor wahrgenommen. Die Situation ist vergleichbar mit IT-Investitionen in die IT-Sicherheit oder in das Backup: Beide Aspekte verschlingen kostenbares IT-Budget, bringen aber keinen operativen Gewinn. Eine Kosten-Nutzenanalyse führt damit direkt zu einem unverantwortlichen Spiel mit dem Risiko. Solange der Ernstfall nicht eintritt, ist die Relevanz eher theoretischer Natur und CIOs sowie Datenschutzbeauftragte haben es mitunter schwer, das Management von Investitionen zu überzeugen – sie konkurrieren dabei mit innovativen, gewinnversprechenden Technologien wie künstlicher Intelligenz, Blockchain oder dem Internet der Dinge.
Doch anders als der Titel der Verordnung vermuten lässt, ist nicht der Datenschutz per se die größte Herausforderung für Unternehmen, sondern vielmehr die vollständige und automatisierte Bereitstellung der Daten für den Verbraucher. Die meisten Unternehmen haben keine umfassende und integrierte Sicht auf ihre Kundendaten, weil diese in mehreren Silos über Marketing, Vertrieb und Kundenservice verteilt liegen und nicht in einer zentralen Datenbank integriert sind.
Wer die Entwicklung zum Thema Datenschutz über die Monate verfolgt, wird schnell erkennen, dass es für Konsumenten immer wichtiger wird, selbstbestimmt über die eigenen Daten bestimmen zu können. Darüber hinaus unterliegt der Datenschutz auch einer Risikobewertung. Die abwartende Haltung vieler Unternehmen ist leichtsinnig, da Prüfungen durch Datenschutzbehörden zu erwarten und bereits angekündigt sind. Das abwartende Verhalten der Unternehmen kann erhebliche finanzielle Auswirkungen haben. Sollten zudem eine große Anzahl von Anwendern auf ihrem Recht bestehen, Details über die gespeicherten Daten zu erfahren oder die Löschung beantragen, ist dies manuell kaum noch realisierbar. Dabei gibt es heute schon elegante Wege, zum Beispiel über einen zentralen Datalake die kundenbezogenen Daten zentral zu erfassen und allen Abteilungen in bereinigter Form entsprechend den Zugriffsrechten zur Verfügung zu stellen. Den Stichtag im Mai 2018 sollten Manager also weiterhin fest im Blick haben und sich jetzt mit konkreten Projekten zur Umsetzung der DSGVO beschäftigen.
Quellen:
Bitkom Studie DSGVO bei IT-Unternehmen
Bitkom Studie DSGVO bei Unternehmen insgesamt
Gigya: 2017 State of Consumer Privacy and Trust survey
http://info.gigya.com/rs/672-YBF-078/images/201704-Gigya-DS-Privacy_Survey_Report-web.pdf
Autor: Otto Neuer