Datenhoheit: Data Sovereignty erklärt

Datenhoheit bezeichnet die Verfügungsbefugnis über Daten und dient als Sammelbegriff für die vielen Facetten im Zusammenhang mit der Verarbeitung digitaler Daten – dazu zählen der Schutz, die Verschlüsselung, die Übertragung und die Speicherung. Wer Daten in der Cloud speichert oder IT-Dienste von externen Dienstleistern nutzt, muss auf einen angemessenen Datenschutz achten und die rechtlichen Regelungen kennen. Welche Vorgaben gibt es zur Datenhoheit und wie bewahren Sie sich Ihre Data Sovereignty?

Was ist Datenhoheit?

Datenhoheit (engl. Data Sovereignty) ist ein rechtlicher Begriff, der sich auf gesetzliche Richtlinien im Zusammenhang mit Daten bezieht. Datenhoheit ist zudem eng verknüpft mit Datenschutz, Datensouveränität, Cloud Computing und technologischer Souveränität. Gesetze zur Datenhoheit schaffen Regeln für die Verfügungsbefugnis von Regierungen und Unternehmen über digitale Nutzer- und Geschäftsdaten. Datenhoheit bezieht sich somit konkret auf die Fragen:

  • Wem gehören Daten?
  • Wer darf Daten speichern?
  • Wie dürfen Daten gespeichert werden?
  • Wie dürfen Daten verwendet werden?
  • Wie sind Daten zu schützen?
  • Was passiert bei Datenmissbrauch?
Fakt

Die Definition von Datenbesitz ist in Zeiten von organisierten Cyberangriffen, Mikrotargeting, Targeted Advertising und Datenkraken wie Google, Apple, Facebook und Tencent keineswegs klar. Privatnutzer und Firmen, die Cloud-Dienste und externe Server verwenden, wissen oft nicht, dass ihre extern gespeicherten Daten nicht immer nur ihnen gehören. Genau hier kommt Datenhoheit ins Spiel.

Da immer mehr kleine und mittelständische Firmen Cloud Computing, also die Auslagerung von Firmendaten und -technologie auf externe Server, zu schätzen wissen, ist die Bedeutung von Datenhoheit nicht zu vernachlässigen. Insbesondere wenn Server in Ländern liegen, in denen Datenschutzrichtlinien nicht europäischen Standards entsprechen, sollte die Frage der Data Sovereignty eindeutig geklärt sein.

Datenhoheit und die Cloud

Die Vorteile von Cloud Computing sind bestens bekannt. Sobald sensible Daten jedoch nicht unternehmensintern, sondern auf externen Servern und möglicherweise in anderen Ländern gespeichert werden, stellen sich die Fragen nach Datensicherheit und Datenbesitz.

Wenn vertraglich nicht anders geregelt, besteht bei Drittanbietern die Gefahr, dass Daten analysiert und verkauft werden. Unternehmen, die persönliche Daten verarbeiten, sind in der EU jedoch dazu verpflichtet, höchste Datensicherheit zu garantieren. Daher kommt es auf nachweisbaren Datenschutz und moderne Compliance-Richtlinien an. Sowohl bei Unternehmen, die ihre IT auslagern, als auch bei Unternehmen, die IT-Dienste anbieten. Verliert oder vernachlässigt ein Unternehmen die Datenhoheit über Geschäfts- und Kundendaten, kann das schwerwiegende rechtliche Konsequenzen haben.

Datenhoheit und die drei Stadien von Daten

Daten können im Internet, in Unternehmensnetzwerken und in der Cloud folgende drei Stadien einnehmen:

  • Data-in-use: Daten, die gerade benutzt werden
  • Data-in-motion: Daten, die gerade übertragen werden
  • Data-at-rest: Daten, die lokal oder in der Cloud gespeichert sind

Vor der zunehmenden Digitalisierung wurde Datenhoheit vor allem im Zusammenhang mit Data-at-rest, also gespeicherten Daten, diskutiert. Heute gelten andere Maßstäbe: Datensicherheit, Revisionssicherheit und Data Sovereignty gelten unabhängig vom Speicherort, vor allem wenn externe Anbieter Unternehmensdaten verarbeiten. Unternehmen müssen sich ihre Datenhoheit für alle drei Stadien bewahren. Umsetzen lässt sich dieser hohe Maßstab an den Datenschutz durch Verschlüsselungssoftware, die dafür sorgt, dass nur auftraggebende Unternehmen sensible, verschlüsselte Daten decodieren können.

Compute Engine
Die ideale IaaS für Ihre Workloads
  • Kostengünstige vCPUs und leistungsstarke dedizierte Cores
  • Höchste Flexibilität ohne Mindestvertragslaufzeit
  • Inklusive 24/7 Experten-Support

Welche Bedeutung hat Datenhoheit für Unternehmen?

Unternehmen im öffentlichen Sektor und in der freien Wirtschaft müssen in Zeiten der Digitalisierung zwei Grundregeln beachten, um Datensicherheit zu garantieren:

  1. IT-Infrastruktur muss jederzeit sicher, flexibel und modern sein.
  2. Die Datenhoheit über Kunden-, Nutzer- und Geschäftsdaten muss garantiert sein.

Nur mit entsprechenden Sicherheitsvorkehrungen und vertraglichen Regelungen können Firmen Geschäftsgeheimnisse schützen und persönliche Daten gemäß den EU-Datenschutzrichtlinien verarbeiten. Firmen sollten stets wissen, wie Drittdienstleister mit Daten umgehen und welche Nutzungsrechte sie haben. Da es auch in Sachen Data Sovereignty rechtliche Unklarheiten und Grauzonen gibt, sollte vertraglich geregelt sein, was mit Daten geschieht und wie sie gespeichert, verarbeitet und übertragen werden.

Ein kleines Beispiel:

Möchte ein Produktionsunternehmen die eigene Leistung erhöhen, kann es die Cloud- und Web-Dienste eines Managed Service Providers nutzen. Per Datenanalyse könnte dieser Anbieter beispielsweise Prognosen zu Wartungsaufgaben erstellen und das Optimierungspotenzial des Unternehmens feststellen.

Obwohl in diesem Fall das auftraggebende Unternehmen die Datenhoheit haben sollte, bedeutet das nicht, dass es zwangsläufig auch Zugriff auf sämtliche Datenanalysen des beauftragten Unternehmens hat. Wenn nicht anders vertraglich geregelt, kommt hinzu, dass Teile der Daten weiterverwendet oder an Dritte verkauft werden könnten. Hier entstehen durch mangelnde Datenhoheit ein Sicherheitsrisiko und ein Wettbewerbsnachteil für Unternehmen.

Welche rechtlichen Rahmenbedingungen gelten für Data Sovereignty?

Ob für kleine Online-Händler oder vernetzte Großproduktion – die Auswertung von Kunden- und Geschäftsdaten ist wichtig, um Produktion und Dienstleistungen an Kundenerwartungen und -verhalten anzupassen. Da es heute fast unmöglich ist, Daten hermetisch vom Zugriff Dritter abzuschotten, sind rechtliche Rahmenbedingungen nötig. Neben individuellen Vertragsregelungen zwischen Auftraggebern und Dienstleistern sind nationale und internationale Datenschutzverordnungen wie die EU-Datenschutz-Grundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz entscheidende Richtlinien in puncto Datenhoheit.

Zum Vergleich: In den USA gibt es kein allgemeines Datenschutzgesetz, das grundsätzliche Richtlinien für den Schutz von Personendaten vorgibt. Während es in der EU spezifische Datenschutz-Regelungen für Branchen gibt, beruht der Datenschutz hier auf der Selbstverpflichtung von US-Unternehmen. Hinzu kommt, dass US-Behörden umfassende Verfügungsbefugnisse über Daten haben. Nutzen deutsche oder europäische Unternehmen die Dienste von amerikanischen Cloud-Anbietern oder Web-Dienstleistern können somit Datenschutzlücken entstehen.

Was ist bei der Umsetzung von Datenhoheit zu beachten?

Laut DSGVO müssen Unternehmen, die personenbezogene Daten verarbeiten, „geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Datenschutz und Datenhoheit sind für Unternehmen also komplexe Aufgaben. Vor allem die Balance zwischen dem Schutz von Unternehmensdaten, personenbezogenen Daten und einer starken Marktposition kann sich als schwierig erweisen. Da die DSGVO sich in erster Linie auf personenbezogene Daten konzentriert, müssen Firmen sicherstellen, dass Nutzer über die Weiterverarbeitung ihrer Personendaten informiert sind und dieser bewusst zustimmen. Gleichzeitig ist die Analyse von Nutzerdaten für digitale Firmen ein entscheidender Erfolgsfaktor.

Um Datenhoheit, Datenschutz und Unternehmenserfolg zu harmonisieren, empfiehlt sich die Einstellung von Datenschutzbeauftragten, die sich um die Datenhoheit Ihres Unternehmens kümmern. Zudem ist individuell zu klären, welche Datenschutz- und Datennutzungs-Richtlinien Drittfirmen und Partnerunternehmen haben. Nicht zu vergessen ist die obligatorische Datenschutzerklärung, die Ihre Maßnahmen zur sicheren Verarbeitung von Daten transparent kommuniziert. Wesentliche technische und organisatorische Maßnahmen, die hier von Unternehmen zu beachten sind, umfassen:

  • Pseudonymisierung und Verschlüsselung von Daten
  • Vertraulichkeit und Integrität der Systeme
  • Technische Belastbarkeit der Systeme
  • Wiederherstellung und Verfügbarkeit von Daten nach technischen Notfällen
  • Regelmäßige Überprüfung, Bewertung und Evaluierung der Schutzmaßnahmen
  • Einhaltung und Einarbeitung der Datenschutzmaßnahmen durch Mitarbeiter
IONOS Object Storage
Daten sicher und günstig speichern

Ersetzen Sie eigene, kostenintensive Speicherlösungen mit IONOS Object Storage. Es ist hochgradig skalierbar, äußerst kosteneffizient und integriert sich in Ihre Anwendungsszenarien. Die extrem hohe Ausfallsicherheit unserer Server sowie eine individuelle Zugriffssteuerung schützen Ihre Daten zuverlässig.

Ausblick: Datenhoheit in Deutschland und Europa

Gaia-X lautet die europäische Initiative für eine hochsichere, datenschutzkonforme und markttaugliche Dateninfrastruktur in Europa. Gaia-X versteht sich als Gegenentwurf zu mangelhaften Datenschutzbestimmungen im außereuropäischen Ausland, insbesondere zum US-CLOUD-Act. US-Behörden können legal und ohne Richterbeschluss auf Daten zugreifen, sofern diese auf Servern liegen, die dem US-CLOUD-Act unterstehen. Das gilt auch, wenn es sich um amerikanische Provider mit europäischen Rechnerzentren handelt.

Mit Partnern wie IONOS Cloud arbeitet Gaia-X an einer Dateninfrastruktur, die Europas Alternative zum Cloud Computing durch Amazon Web Services, IBM, Google, Alibaba oder Microsoft Azure werden soll. So können Unternehmen Daten auf innereuropäischen Rechnerzentren hochsicher verarbeiten, höchste Datensicherheit und Data Sovereignty genießen und den Abfluss von Industrie- und Personendaten an außereuropäische Akteure verhindern. Bestandteil der Infrastruktur werden transparente, frei wählbare Netzknoten und Rechenzentren sein, deren Attribute, Fähigkeiten und Anforderungen klar kommuniziert sind. Kunden sollen mühelos Anbieter wechseln können, ohne sich durch Cloud- und Vendor-Lock-In von Web-Dienstleistern und Managed Serivce Providern abhängig zu machen.

Tipp

Die DSGVO definiert konkrete Richtlinien für die Verarbeitung personenbezogener Daten. Unternehmen sind unter anderem auch dazu verpflichtet, Schutzmaßnahmen zu dokumentieren und nachzuweisen. Lesen Sie hierzu auch folgenden weiterführenden Artikel über die EU-DSGVO-Anforderungen.

War dieser Artikel hilfreich?
Page top