DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

Ein Kommentar von Jürgen Venhorst, Country Manager DACH bei Netwrix

[datensicherheit.de, 27.05.2019] Am 25. Mai 2019 hat sich das endgültige Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) zum ersten Mal gejährt. Die DSGVO soll die Nutzung personenbezogener Daten reglementieren, um den Datenschutz zu verbessern. Entgegen vieler Voraussagen sind bisher die erwarteten Abmahnwellen ausgeblieben. Dennoch könnten gerade kleinere Unternehmen durch Bußgelder stark betroffen sein. Datenschutzverletzungen werden wohl auch in Zukunft nicht weniger – aber wenn sich Unternehmen an ein paar Grundsätze halten würden, könnten sie doch die eigene Datensicherheit „beträchtlich verbessern und Strafen im Zuge mangelhafter Datenschutzpraktiken vermeiden“, sagt Jürgen Venhorst, „Country Manager DACH“ bei Netwrix.

Bisher noch zurückhaltende Ahndung

Venhorst kommentiert: „Auch die Gesamtsumme der in Deutschland verhangenen Strafen nach Verstößen gegen die Verordnung hat sich mit insgesamt 485.000 Euro in Grenzen gehalten. Insgesamt 81-mal wurde eine Strafe verhängt, womit das durchschnittliche Strafmaß bei knapp 6.000 Euro lag.“ Vereinzelt seien Bußgelder von ein paar hundert Euro, teilweise aber auch mehreren zehntausend Euro bei Verstößen fällig geworden.
Besonders kleinere Unternehmen könne eine solche Strafe aber schon stark in Bedrängnis bringen. Der erste Fall sanktionierte Fall einer Datenschutzverletzung habe den Chatdienst „Knuddels“ 20.000 Euro gekostet.

Bequemlichkeit oder fehlendes Verständnis gefährden Datensicherheit

Venhorst: „Trotz dieser teils hohen Strafen haben sich die Praktiken, mit denen teils vertrauliche Daten gehandhabt werden, in vielen Unternehmen nicht verbessert. Der ,IT Risk Report‘ von Netwrix beschäftigt sich mit dem Stand der Datensicherheit in Unternehmen und wo es noch Verbesserungsbedarf gibt.“
Anhand des aktuellen Reports ließen sich einige Verhaltensweisen erkennen, die „in Bezug auf den Umgang mit Daten problematisch sind, aber aus Bequemlichkeit oder fehlendem Verständnis für IT-Sicherheit nicht geändert werden“. Beispielsweise versäumten es 42 Prozent der für den Report gefragten Unternehmen, essenzielle Grundlagen der IT-Sicherheit einzuhalten, wie z.B. regelmäßige Passwortänderungen für ihre Mitarbeiter vorzuschreiben.

Ein Drittel aktualisiert Software noch nicht einmal quartalsweise

Auch andere für die Datensicherheit essenzielle Punkte würden zu häufig missachtet, wie das regelmäßige Einspielen von Sicherheits- und Softwareupdates. „Während empfohlen wird, kritische Sicherheitsupdates so schnell wie möglich und andere Patches mindestens einmal wöchentlich aufzuspielen, aktualisiert ein Drittel der befragten Organisationen ihre Software noch nicht einmal quartalsweise“, berichtet Venhorst.
Hierdurch ergäben sich unter Umständen Sicherheitslücken, die in einer Kompromittierung des Netzwerks und schließlich einem Abwandern kritischer, respektive personenbezogener Daten resultieren könnten.

Sicherheitsmechanismen auf den Prüfstand stellen und bei Bedarf verbessern!

Eine positive Folge der DSGVO sei, dass Unternehmen dazu angehalten würden, ihren Umgang mit Daten zu hinterfragen. „Oftmals sind Firmen hierbei Sicherheitslücken oder unsichere Praktiken aufgefallen, die ohne Vorbereitung auf die Verordnung wahrscheinlich weiterhin unentdeckt geblieben wären“, so Venhorst. Des Weiteren sei die IT- und Datensicherheit innerhalb der Unternehmen stärker in den Fokus gerückt, wodurch Organisationen ihre Sicherheitsmechanismen auf der Prüfstand stellten und bei Bedarf verbesserten.
Venhorst warnt: „Datenschutzverletzungen werden in Zukunft nicht weniger, vielmehr wird ihre Zahl zunehmen.“ Wenn Unternehmen sich aber an ein paar Grundsätze halten würden, könnten sie die eigene Datensicherheit „beträchtlich verbessern und Strafen im Zuge mangelhafter Datenschutzpraktiken vermeiden“.

Foto: Netwrix

Jürgen Venhorst: DSGVO hat IT- und Datensicherheit innerhalb der Unternehmen stärker in den Fokus gerückt

Weitere Informationen zum Thema:

netwrix
2018 IT Risks Report

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 15.05.2019
Umfrage: Jedes vierte Unternehmen erwägt Daten aus der Cloud zu nehmen

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance