Datenhoheit: Data Sovereignty erklärt

Datenhoheit bezeichnet die Verfügungsbefugnis über Daten und dient als Sammelbegriff für die vielen Facetten im Zusammenhang mit der Verarbeitung digitaler Daten – dazu zählen der Schutz, die Verschlüsselung, die Übertragung und die Speicherung. Wer Daten in der Cloud speichert oder IT-Dienste von externen Dienstleistern nutzt, muss auf einen angemessenen Datenschutz achten und die rechtlichen Regelungen kennen. Welche Vorgaben gibt es zur Datenhoheit und wie bewahren Sie sich Ihre Data Sovereignty?

Datenhoheit (engl. Data Sovereignty) ist ein rechtlicher Begriff, der sich auf gesetzliche Richtlinien im Zusammenhang mit Daten bezieht. Datenhoheit ist zudem eng verknüpft mit Datenschutz, Datensouveränität, Cloud Computing und technologischer Souveränität. Gesetze zur Datenhoheit schaffen Regeln für die Verfügungsbefugnis von Regierungen und Unternehmen über digitale Nutzer- und Geschäftsdaten. Datenhoheit bezieht sich somit konkret auf die Fragen:

• Wem gehören Daten?
• Wer darf Daten speichern?
• Wie dürfen Daten gespeichert werden?
• Wie dürfen Daten verwendet werden?
• Wie sind Daten zu schützen?
• Was passiert bei Datenmissbrauch?

Da immer mehr kleine und mittelständische Firmen Cloud Computing, also die Auslagerung von Firmendaten und -technologie auf externe Server, zu schätzen wissen, ist die Bedeutung von Datenhoheit nicht zu vernachlässigen. Insbesondere wenn Server in Ländern liegen, in denen Datenschutzrichtlinien nicht europäischen Standards entsprechen, sollte die Frage der Data Sovereignty eindeutig geklärt sein.

Die Vorteile von Cloud Computing sind bestens bekannt. Sobald sensible Daten jedoch nicht unternehmensintern, sondern auf externen Servern und möglicherweise in anderen Ländern gespeichert werden, stellen sich die Fragen nach Datensicherheit und Datenbesitz.

Wenn vertraglich nicht anders geregelt, besteht bei Drittanbietern die Gefahr, dass Daten analysiert und verkauft werden. Unternehmen, die persönliche Daten verarbeiten, sind in der EU jedoch dazu verpflichtet, höchste Datensicherheit zu garantieren. Daher kommt es auf nachweisbaren Datenschutz und moderne Compliance-Richtlinien an. Sowohl bei Unternehmen, die ihre IT auslagern, als auch bei Unternehmen, die IT-Dienste anbieten. Verliert oder vernachlässigt ein Unternehmen die Datenhoheit über Geschäfts- und Kundendaten, kann das schwerwiegende rechtliche Konsequenzen haben.

Daten können im Internet, in Unternehmensnetzwerken und in der Cloud folgende drei Stadien einnehmen:

• Data-in-use: Daten, die gerade benutzt werden
• Data-in-motion: Daten, die gerade übertragen werden
• Data-at-rest: Daten, die lokal oder in der Cloud gespeichert sind

Vor der zunehmenden Digitalisierung wurde Datenhoheit vor allem im Zusammenhang mit Data-at-rest, also gespeicherten Daten, diskutiert. Heute gelten andere Maßstäbe: Datensicherheit, Revisionssicherheit und Data Sovereignty gelten unabhängig vom Speicherort, vor allem wenn externe Anbieter Unternehmensdaten verarbeiten. Unternehmen müssen sich ihre Datenhoheit für alle drei Stadien bewahren. Umsetzen lässt sich dieser hohe Maßstab an den Datenschutz durch Verschlüsselungssoftware, die dafür sorgt, dass nur auftraggebende Unternehmen sensible, verschlüsselte Daten decodieren können.

Unternehmen im öffentlichen Sektor und in der freien Wirtschaft müssen in Zeiten der Digitalisierung zwei Grundregeln beachten, um Datensicherheit zu garantieren:

1. IT-Infrastruktur muss jederzeit sicher, flexibel und modern sein.
2. Die Datenhoheit über Kunden-, Nutzer- und Geschäftsdaten muss garantiert sein.

Nur mit entsprechenden Sicherheitsvorkehrungen und vertraglichen Regelungen können Firmen Geschäftsgeheimnisse schützen und persönliche Daten gemäß den EU-Datenschutzrichtlinien verarbeiten. Firmen sollten stets wissen, wie Drittdienstleister mit Daten umgehen und welche Nutzungsrechte sie haben. Da es auch in Sachen Data Sovereignty rechtliche Unklarheiten und Grauzonen gibt, sollte vertraglich geregelt sein, was mit Daten geschieht und wie sie gespeichert, verarbeitet und übertragen werden.

Ein kleines Beispiel:

Möchte ein Produktionsunternehmen die eigene Leistung erhöhen, kann es die Cloud- und Web-Dienste eines Managed Service Providers nutzen. Per Datenanalyse könnte dieser Anbieter beispielsweise Prognosen zu Wartungsaufgaben erstellen und das Optimierungspotenzial des Unternehmens feststellen.

Obwohl in diesem Fall das auftraggebende Unternehmen die Datenhoheit haben sollte, bedeutet das nicht, dass es zwangsläufig auch Zugriff auf sämtliche Datenanalysen des beauftragten Unternehmens hat. Wenn nicht anders vertraglich geregelt, kommt hinzu, dass Teile der Daten weiterverwendet oder an Dritte verkauft werden könnten. Hier entstehen durch mangelnde Datenhoheit ein Sicherheitsrisiko und ein Wettbewerbsnachteil für Unternehmen.

Ob für kleine Online-Händler oder vernetzte Großproduktion – die Auswertung von Kunden- und Geschäftsdaten ist wichtig, um Produktion und Dienstleistungen an Kundenerwartungen und -verhalten anzupassen. Da es heute fast unmöglich ist, Daten hermetisch vom Zugriff Dritter abzuschotten, sind rechtliche Rahmenbedingungen nötig. Neben individuellen Vertragsregelungen zwischen Auftraggebern und Dienstleistern sind nationale und internationale Datenschutzverordnungen wie die EU-Datenschutz-Grundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz entscheidende Richtlinien in puncto Datenhoheit.

Zum Vergleich: In den USA gibt es kein allgemeines Datenschutzgesetz, das grundsätzliche Richtlinien für den Schutz von Personendaten vorgibt. Während es in der EU spezifische Datenschutz-Regelungen für Branchen gibt, beruht der Datenschutz hier auf der Selbstverpflichtung von US-Unternehmen. Hinzu kommt, dass US-Behörden umfassende Verfügungsbefugnisse über Daten haben. Nutzen deutsche oder europäische Unternehmen die Dienste von amerikanischen Cloud-Anbietern oder Web-Dienstleistern können somit Datenschutzlücken entstehen.

Laut DSGVO müssen Unternehmen, die personenbezogene Daten verarbeiten, „geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Datenschutz und Datenhoheit sind für Unternehmen also komplexe Aufgaben. Vor allem die Balance zwischen dem Schutz von Unternehmensdaten, personenbezogenen Daten und einer starken Marktposition kann sich als schwierig erweisen. Da die DSGVO sich in erster Linie auf personenbezogene Daten konzentriert, müssen Firmen sicherstellen, dass Nutzer über die Weiterverarbeitung ihrer Personendaten informiert sind und dieser bewusst zustimmen. Gleichzeitig ist die Analyse von Nutzerdaten für digitale Firmen ein entscheidender Erfolgsfaktor.

Um Datenhoheit, Datenschutz und Unternehmenserfolg zu harmonisieren, empfiehlt sich die Einstellung von Datenschutzbeauftragten, die sich um die Datenhoheit Ihres Unternehmens kümmern. Zudem ist individuell zu klären, welche Datenschutz- und Datennutzungs-Richtlinien Drittfirmen und Partnerunternehmen haben. Nicht zu vergessen ist die obligatorische Datenschutzerklärung, die Ihre Maßnahmen zur sicheren Verarbeitung von Daten transparent kommuniziert. Wesentliche technische und organisatorische Maßnahmen, die hier von Unternehmen zu beachten sind, umfassen:

• Pseudonymisierung und Verschlüsselung von Daten
• Vertraulichkeit und Integrität der Systeme
• Technische Belastbarkeit der Systeme
• Wiederherstellung und Verfügbarkeit von Daten nach technischen Notfällen
• Regelmäßige Überprüfung, Bewertung und Evaluierung der Schutzmaßnahmen
• Einhaltung und Einarbeitung der Datenschutzmaßnahmen durch Mitarbeiter

Gaia-X lautet die europäische Initiative für eine hochsichere, datenschutzkonforme und markttaugliche Dateninfrastruktur in Europa. Gaia-X versteht sich als Gegenentwurf zu mangelhaften Datenschutzbestimmungen im außereuropäischen Ausland, insbesondere zum US-CLOUD-Act. US-Behörden können legal und ohne Richterbeschluss auf Daten zugreifen, sofern diese auf Servern liegen, die dem US-CLOUD-Act unterstehen. Das gilt auch, wenn es sich um amerikanische Provider mit europäischen Rechnerzentren handelt.

Mit Partnern wie IONOS Cloud arbeitet Gaia-X an einer Dateninfrastruktur, die Europas Alternative zum Cloud Computing durch Amazon Web Services, IBM, Google, Alibaba oder Microsoft Azure werden soll. So können Unternehmen Daten auf innereuropäischen Rechnerzentren hochsicher verarbeiten, höchste Datensicherheit und Data Sovereignty genießen und den Abfluss von Industrie- und Personendaten an außereuropäische Akteure verhindern. Bestandteil der Infrastruktur werden transparente, frei wählbare Netzknoten und Rechenzentren sein, deren Attribute, Fähigkeiten und Anforderungen klar kommuniziert sind. Kunden sollen mühelos Anbieter wechseln können, ohne sich durch Cloud- und Vendor-Lock-In von Web-Dienstleistern und Managed Serivce Providern abhängig zu machen.