Was ist Datensouveränität?

Die Datenhoheit, die manchmal auch als Datenresidenz bezeichnet wird, entwickelt sich schnell zu einem Kernbestandteil der rechtlichen, datenschutzrechtlichen, sicherheitsrelevanten und Governance-Strategien von Unternehmen, die mit der Speicherung, Verarbeitung und Übertragung von Daten befasst sind. Ein solides Konzept für die Datenverwaltung und den internationalen Datenverkehr, eine Schlüsselkomponente der Datensouveränität, hilft Unternehmen, ihre sensiblen Informationen vor Cyberangriffen und anderen Bedrohungen zu schützen.

Datensouveränität, Datenresidenz und Datenlokalisierung sind eng miteinander verknüpft. Tatsächlich sind sie so eng miteinander verknüpft, dass sie manchmal synonym verwendet werden. Es gibt jedoch einige wesentliche Unterschiede, die Unternehmen, die Cloud-Computing-Funktionen im Rahmen ihrer digitalen Transformation nutzen möchten, kennen sollten.

Datensouveränität: Daten, die in dem Land gespeichert und verarbeitet werden, in dem sie generiert wurden.

Datenspeicherort: Daten, die in einem anderen Land gespeichert werden als dem, in dem sie generiert wurden.

Datenlokalisierung: Der Vorgang der Einhaltung aller geltenden Gesetze und Anforderungen im Zusammenhang mit dem Datenspeicherort.

Datensouveränität, -speicherort und -lokalisierung sind entscheidende Bestandteile eines Konzepts, das als souveräne Cloud bekannt ist, eine Art Cloud-Computing, die Unternehmen dabei unterstützt, die Datenschutzgesetze bestimmter Regionen und Länder einzuhalten, in denen sie Kundendaten sammeln, verarbeiten und speichern.

Da sich die Cloud weiterhin auf der ganzen Welt ausbreiten, reichen traditionelle geografische Grenzen wie Grenzen nicht aus, um sensible Daten zu schützen. Außerdem zwingt der Aufstieg datenintensiver Technologien wie künstliche Intelligenz (KI) und maschinelles Lernen (ML), die von einem schnellen, sicheren Datenzugriff abhängen, Unternehmen dazu, strategischere Entscheidungen rund um die Cloud-Sicherheit zu treffen. KI, insbesondere generative KI, haben das Potenzial, wertvolle Innovationen voranzutreiben, aber sie benötigen eine schnelle, sichere Cloud-Infrastruktur, um zu funktionieren.

Hier kommt die Sovereign Cloud ins Spiel, ein Konzept, das Datensouveränität, betriebliche Souveränität und digitale Souveränität umfasst. Sovereign Cloud Frameworks helfen Unternehmen, das Vertrauen ihrer Kunden zu gewinnen und ihr Geschäft auszubauen, während sie die Gesetze zur Datenerfassung, Datenspeicherung und zum Datenschutz in den Regionen, in denen sie tätig sind, einhalten.

Die Bedeutung der Datensouveränität steht in engem Zusammenhang mit der wachsenden Bedeutung von Cloud-Computing-Umgebungen in den allgemeinen Wachstumsstrategien vieler Unternehmen.

Da immer mehr Unternehmensanwendungen in die Cloud verlagert werden, wird eine Cloud-Umgebung zu einer kritischen Infrastruktur – als wichtig für den Erfolg eines Unternehmens wie eine Fabrik, ein Bürogebäude oder ein wertvolles Stück geistiges Eigentum.

Die Anforderungen an die Datensouveränität beziehen sich in der Regel auf die Datenschutzbestimmungen in einem bestimmten Land oder einer bestimmten Region. Zu den wichtigsten Anliegen von Unternehmen, die lokale Gesetze einhalten wollen, gehören Cybersicherheit, Datensicherheit und Datenschutz, der Schutz sensibler Daten vor Verstößen und Malware sowie die Kontrolle darüber, welche Personen, Unternehmen und Anwendungen auf Daten zugreifen können.

Die Europäische Union (EU) hat beispielsweise eine Datenschutz-Grundverordnung (DSGVO) erlassen, die von Unternehmen, die auf dem Gebiet der EU tätig sind und mit Daten von EU-Bürgern arbeiten, verlangt, einen sogenannten Datenschutzbeauftragten (DSB) zu ernennen, um sicherzustellen, dass Organisationen die Vertraulichkeit, Integrität und Zugänglichkeit der von ihnen erzeugten, verarbeiteten und gespeicherten Daten streng einhalten.

Die Datensouveränität wird durch die spezifischen Gesetze und Vorschriften bestimmt, die in der Region oder dem Land gelten, in der/dem die Daten generiert wurden.

Diese Gesetze variieren von Gebiet zu Gebiet, aber in der Regel bedeutet die Aussage, dass ein Land die „Souveränität über“ einen Teil der Daten hat, dass es die Zuständigkeit und Autorität darüber hat, wie diese Daten verwendet werden können und wer darauf zugreifen kann. Allerdings unterliegen Daten oft den Gesetzen mehrerer Länder (Datenresidenz und Datenlokalisierung), was die Verwaltung, Speicherung und Verarbeitung der Daten komplizierter macht.

In Fällen, in denen Daten in einem Land oder einer Region generiert, aber an einem anderen Ort gespeichert und/oder verarbeitet werden, muss die für die Daten verantwortliche Organisation sicherstellen, dass sie alle rechtlichen Anforderungen für den Umgang mit Datensätzen an beiden Orten erfüllt. Zum Beispiel könnten Unternehmen es für notwendig erachten, spezifische Datenschutzvereinbarungen zu erstellen oder spezifische Datenübertragungsprotokolle zu entwerfen und umzusetzen, um die Einhaltung von Vorschriften zu gewährleisten und potenzielle Konflikte in einem oder mehreren Gebieten zu vermeiden. Außerdem sollten Unternehmen, die Daten in mehreren Regionen oder Ländern speichern und verarbeiten, über alle relevanten Datenschutzgesetze, grenzüberschreitende Beschränkungen oder andere Bedenken informiert sein, die für die Wahrung des Datenschutzes und der Datenintegrität erforderlich sind.

Um effektiv zu sein, muss der Ansatz eines Unternehmens in Bezug auf die Datensouveränität auch zwei weitere entscheidende Komponenten umfassen: die betriebliche und die digitale Souveränität. Zusammen sind Daten, betriebliche und digitale Souveränität die drei wichtigsten Komponenten für eine souveräne Cloud-Infrastruktur. Die operative Souveränität stellt sicher, dass kritische Infrastrukturen für Einzelpersonen, Unternehmen und Anwendungen, die sie benötigen, immer verfügbar sind, während die digitale Souveränität sicherstellt, dass ein Unternehmen immer die Kontrolle über seine digitalen Assets hat. Sehen wir uns beide Begriffe genauer an und warum sie wichtig sind.

Die betriebliche Souveränität stellt sicher, dass kritische Infrastrukturen, die mit datenintensiven Anwendungen verbunden sind, immer verfügbar und zugänglich sind. Außerdem hilft die betriebliche Souveränität Unternehmen dabei, Transparenz und Kontrolle über ihre betrieblichen Prozesse zu wahren und Ineffizienzen zu erkennen.

Mit einem soliden Ansatz für die operative Souveränität kann ein Unternehmen auch dann sicherstellen, dass seine kritische Infrastruktur widerstandsfähig ist, selbst wenn eine bestimmte Region von einer Katastrophe betroffen ist. Zu diesem Zweck umfassen viele Ansätze zur betrieblichen Souveränität einen Geschäftskontinuität Notfallwiederherstellung (BCDR) oder Notfallwiederherstellung as a Service (DRaaS)-Plan. Schließlich hilft die betriebliche Souveränität Unternehmen bei der Einhaltung lokaler Vorschriften für die Infrastruktur, die zur Unterstützung von Cloud-Umgebungen in einer bestimmten Region erforderlich ist.

Digitale Souveränität beschreibt den Grad der Kontrolle eines Unternehmens über seine digitalen Assets, einschließlich Daten, Software, Inhalte und digitale Infrastruktur. Die digitale Souveränität ist für das Konzept der souveränen Cloud vor allem im Zusammenhang mit der Governance und Transparenz von Bedeutung. Unternehmen, die die Zugriffskontrolle für ihre digitalen Ressourcen nutzen, müssen Regeln festlegen, wer über Berechtigungen verfügt und wer eingeschränkt ist. Diese Regeln müssen so eingerichtet werden, dass sie leicht durchsetzbar sind, wie zum Beispiel Policy-as-Code, ein Prozess, der es Unternehmen ermöglicht, ihre Infrastruktur und Verfahren auf wiederholbare Weise zu verwalten.

Transparenz, ein weiterer wichtiger Aspekt der digitalen Souveränität, bezieht sich auf die Fähigkeit eines Unternehmens, seine Prozesse und Ergebnisse zu überprüfen. Transparenz stellt sicher, dass Unternehmen Einblick in ihre wichtigsten betrieblichen Workflows erhalten, sodass sie erkennen können, was funktioniert und was geändert werden muss.

Im Großen und Ganzen haben Unternehmen, die einen souveränen Cloud-Ansatz für die Datensouveränität in einer Cloud-Computing-Umgebung wählen möchten, zwei Optionen zur Auswahl: Public Cloud oder Distributed Cloud. In den meisten Ländern helfen Public-Cloud- und Multi-Cloud-Implementierungen Unternehmen dabei, ihre Cloud-Workloads einzusetzen und gleichzeitig die Kontrolle über ihre Daten in einer bestimmten Region zu behalten. Eine typische Public-Cloud-Architektur umfasst eine Plattform-Cloud-Schicht, wie eine Hybrid-Cloud-Plattform, die eine stabile, konsistente Cloud-Bereitstellung ermöglicht.

Die zweite Option ist das verteilte Cloud-Bereitstellungsmodell, z. B. ein lokaler Infrastrukturanbieter oder ein lokales Rechenzentrum. Diese sind für Unternehmen attraktiv, die mehr Kontrolle über ihre Daten benötigen. Ein verteiltes Cloud-Bereitstellungsmodell gibt Ihnen im Wesentlichen die Möglichkeit, Workloads und Plattformen in einer beliebigen Infrastruktur Ihrer Wahl bereitzustellen.

Um einen effektiven Ansatz zur Datensouveränität zu implementieren, sollten Unternehmen die folgenden Schritte befolgen:

Da Bürger und Aufsichtsbehörden weltweit weiterhin Bedenken hinsichtlich der Datensouveränität äußern, helfen souveräne Cloud-Ansätze Unternehmen dabei, die Integrität ihrer Daten zu gewährleisten, unabhängig davon, wo sie gespeichert und verarbeitet werden.

In den kommenden Jahren wird die Art und Weise, wie Unternehmen ihre Daten erfassen, sichern, speichern und den Zugriff darauf kontrollieren – insbesondere, wenn sie neue, datenintensive Technologien wie KI und ML nutzen möchten – enorme Auswirkungen auf Wachstum und Sicherheit haben. Die Souveränität der Daten steht im Mittelpunkt dieser Bedenken. Daher hilft die Wahl eines Cloud-Anbieters, der über ein tiefes Verständnis dafür verfügt, Unternehmen bei der Umsetzung eines starken souveränen Cloud-Ansatzes und bei der Erreichung ihrer Ziele für die digitale Transformation. Partner in Regionen und Ländern, in denen Unternehmen eine Cloud-Umgebung einrichten möchten, müssen über Strategien zur Minderung gängiger Risiken wie Cyberangriffe, Naturkatastrophen und Ausfallzeiten verfügen.

Schließlich müssen Unternehmen, die einen starken Ansatz für Datensouveränität und souveräne Cloud-Services entwickeln möchten, sicherstellen, dass ihr Cloud-Anbieter über eine starke Gesamtstrategie für Cloud-Services verfügt, die mit den Gesetzen der Länder oder Regionen übereinstimmt, in denen sie tätig sind. Hier sind einige der wichtigsten Merkmale, auf die Unternehmen achten sollten, wenn sie CSPs und andere potenzielle Partner in Betracht ziehen, um einen starken Ansatz für die Datensouveränität zu entwickeln.

Data-Governance-Fähigkeiten: Der Data-Governance-Ansatz eines CSP zeigt, dass er über die richtigen Richtlinien und Verfahren verfügt, um mit sensiblen Daten erfolgreich umzugehen und die erforderlichen Einschränkungen anzuwenden. Sie sollten auch regelmäßige Audits bereitstellen, die belegen, dass die Richtlinien, die sie eingeführt haben, eingehalten werden.

Service Level Agreements (SLAs): Wenn es darum geht, ein SLA für die Datensouveränität in einer souveränen Cloud-Umgebung zu erstellen, sollten die drei wichtigsten Bereiche, die das SLA abdecken sollte, Kontrolle (Cloud-Management), Verfügbarkeit und Leistung sein.

Einhaltung von Vorschriften: CSPs und andere Partner, die Unternehmen bei der Einhaltung der Anforderungen an die Datenhoheit unterstützen, sollten über ein hohes Maß an Fachwissen in allen Datenschutzgesetzen der Regionen verfügen, in denen sie tätig sind. Im Idealfall sollten Unternehmen und ihre CSPs gemeinsam dafür verantwortlich sein, sich über neue Vorschriften auf dem Laufenden zu halten und Strategien zu deren Umsetzung zu entwickeln.

Datenverschlüsselung: Es ist von entscheidender Bedeutung, dass CSPs im Bereich der souveränen Cloud über robuste Datenverschlüsselungsfunktionen wie kryptografische Schlüssel verfügen, um sicherzustellen, dass sie sensible Daten sicher und zugänglich halten können. Kryptografische Schlüssel wandeln Daten in einen Verschlüsselungsalgorithmus um, der nur von jemandem mit den richtigen Berechtigungen (Schlüssel) entschlüsselt werden kann. Dies gibt Unternehmen vollständige technische Sicherheit und Kontrolle darüber, wer wann auf ihre Daten zugreifen kann.

Resilienz: Ein starker Ansatz für die Datensouveränität und souveräne Cloud-Umgebungen sollte starke Ausfallsicherheitsfunktionen beinhalten. Unternehmen sollten nur CSPs in Betracht ziehen, die nachweislich Kunden bei ihren Bemühungen um Widerstandsfähigkeit und Wiederaufbau in den betreffenden Ländern oder Regionen unterstützt haben. Wenn es um eine souveräne Cloud-Umgebung geht, sollten alle Cloud-Bereitstellungen über integrierte Wiederherstellungs- und Failover-Funktionen verfügen, die auf den jeweiligen Compliance-Bereich zugeschnitten sind, in dem Daten gespeichert werden.