DSGVO-Test: Datenschützer fühlen IT-Dienstleistern auf den Zahn

Der Sektor der IT-Dienstleister ist im Allgemeinen im Bilde, dass die europäische Datenschutz-Grundverordnung (DSGVO) seit Mai 2018 gilt. Die Firmen arbeiten auch daran, die Vorschriften für sich selbst und gegebenenfalls für ihre Kunden umzusetzen, wobei aber noch Luft nach oben ist. So mangelt es teils insbesondere an Werkzeugen oder Verfahren, um zu dokumentieren, dass die Regeln eingehalten werden. Zu diesem Ergebnis kommt das Global Privacy Network (GPEN) in seiner jährlichen themenspezifischen Kontrollaktion ("Sweep"), in deren Fokus diesmal 356 Firmen im IT-Bereich in 18 OECD-Ländern standen.

In eigener Sache: c't wissen DSGVO

Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

• c't wissen DSGVO im heise shop

Schwierigkeiten mit internen Kontrollen

Eine Mehrheit der geprüften Stellen hat eigene Teams gebildet, "um die Einhaltung der Datenschutzgesetze sicherzustellen", berichtet die französische Datenschutzbehörde CNIL aus dem am Dienstag veröffentlichten Ergebnissen. In den meisten Fällen bieten IT-Dienstleister demnach einleitende Schulungen an, um ihre Mitarbeiter für das Thema generell zu sensibilisieren. Viele der untersuchten Betriebe hätten aber Schwierigkeiten, interne Kontrollmechanismen einzurichten.

Fast ein Viertel von ihnen habe dazu keine Pläne, schreibt die Kontrollinstanz. Mehr als die Hälfte der geprüften Organisationen habe aber Verfahren eingerichtet, um Sicherheitsvorfälle und Datenschutzpannen zurückzuverfolgen. Es fehlten aber manchmal Mechanismen, um auf solche Ereignisse auch angemessen zu reagieren. Einige IT-Häuser verfügten auch nicht über die Mittel, um sich mit Beschwerden oder Ersuchen betroffener Personen zu befassen, ihre Rechte etwa auf Auskunft oder gegebenenfalls Korrekturen im Einklang mit der DSGVO auszuüben.

In Frankreich hat die CNIL 24 IT-Dienstleister unter die Lupe genommen. Alle haben laut der Umfrage eine Analyse durchgeführt, um festzustellen, ob sie selbst einen Datenschutzbeauftragter ernennen müssen. Die große Mehrheit der Unternehmen untersuchte auch ihren Status unter der DSGVO, also ob sie etwa als Unterauftragnehmer agieren oder anderweitig haften. "Große Organisationen haben dokumentierte und umfassende Verfahren zur Verbreitung einer Datenschutzkultur eingeführt", lobt die Behörde. Die am weitesten fortgeschrittenen hätten Vorgaben rund um die Privatsphäre bereits in der Entwicklungsphase in Projekte aufgenommen.

Schulungen für Mitarbeiter

Die Mehrheit der geprüften französischen Stellen hat angegeben, dass sie Sensibilisierungsmaßnahmen für ihre Mitarbeiter zum Datenschutz durchgeführt haben. Diese reichen von der Dokumentation bis zu Schulungen. Einige Befragte räumten aber auch ein, dass sie keine Verfahren zur Reaktion auf Sicherheitsvorfälle implementiert haben. Nur wenige Akteure unterstützen ihre Kunden dabei, etwa Datenschutz-Folgenabschätzungen zu entwickeln.

In Großbritannien führen nur 67 Prozent der Teilnehmer regelmäßig Audits für ihre Datenschutzpraktiken durch. Alle IT-Firmen, die den Fragebogen zurückschickten, verfügen nach eigenen Angaben aber über einen leitenden Mitarbeiter, der verantwortlich ist für das Thema allgemein und die DSGVO. In früheren Jahren hatte das GPEN unter anderem bereits Mängel im Internet der Dinge, bei Online-Diensten für Kinder oder Apps aufgedeckt. (mho)