Was ist Datensouveränität?

Die Datenhoheit, die manchmal auch als Datenresidenz bezeichnet wird, entwickelt sich schnell zu einem Kernbestandteil der rechtlichen, datenschutzrechtlichen, sicherheitsrelevanten und Governance-Strategien von Unternehmen, die mit der Speicherung, Verarbeitung und Übertragung von Daten befasst sind. Ein solides Konzept für die Datenverwaltung und den internationalen Datenverkehr, eine Schlüsselkomponente der Datensouveränität, hilft Unternehmen, ihre sensiblen Informationen vor Cyberangriffen und anderen Bedrohungen zu schützen.

Datensouveränität, Datenresidenz und Datenlokalisierung sind eng miteinander verknüpft. Tatsächlich sind sie so eng miteinander verknüpft, dass sie manchmal synonym verwendet werden. Es gibt jedoch einige wesentliche Unterschiede, die Unternehmen, die Cloud-Computing-Funktionen im Rahmen ihrer digitalen Transformation nutzen möchten, kennen sollten.

Datensouveränität: Daten, die in dem Land gespeichert und verarbeitet werden, in dem sie generiert wurden.

Datenspeicherort: Daten, die in einem anderen Land gespeichert werden als dem, in dem sie generiert wurden.

Datenlokalisierung: Der Vorgang der Einhaltung aller geltenden Gesetze und Anforderungen im Zusammenhang mit dem Datenspeicherort.

Datensouveränität, -speicherort und -lokalisierung sind entscheidende Bestandteile eines Konzepts, das als souveräne Cloud bekannt ist, eine Art Cloud-Computing, die Unternehmen dabei unterstützt, die Datenschutzgesetze bestimmter Regionen und Länder einzuhalten, in denen sie Kundendaten sammeln, verarbeiten und speichern.

Da sich die Cloud weiterhin auf der ganzen Welt ausbreiten, reichen traditionelle geografische Grenzen wie Grenzen nicht aus, um sensible Daten zu schützen. Außerdem zwingt der Aufstieg datenintensiver Technologien wie künstliche Intelligenz (KI) und maschinelles Lernen (ML), die von einem schnellen, sicheren Datenzugriff abhängen, Unternehmen dazu, strategischere Entscheidungen rund um die Cloud-Sicherheit zu treffen. KI, insbesondere generative KI, haben das Potenzial, wertvolle Innovationen voranzutreiben, aber sie benötigen eine schnelle, sichere Cloud-Infrastruktur, um zu funktionieren.

Hier kommt die Sovereign Cloud ins Spiel, ein Konzept, das Datensouveränität, betriebliche Souveränität und digitale Souveränität umfasst. Sovereign Cloud Frameworks helfen Unternehmen, das Vertrauen ihrer Kunden zu gewinnen und ihr Geschäft auszubauen, während sie die Gesetze zur Datenerfassung, Datenspeicherung und zum Datenschutz in den Regionen, in denen sie tätig sind, einhalten.

Die Bedeutung der Datensouveränität steht in engem Zusammenhang mit der wachsenden Bedeutung von Cloud-Computing-Umgebungen in den allgemeinen Wachstumsstrategien vieler Unternehmen.

Da immer mehr Unternehmensanwendungen in die Cloud verlagert werden, wird eine Cloud-Umgebung zu einer kritischen Infrastruktur – als wichtig für den Erfolg eines Unternehmens wie eine Fabrik, ein Bürogebäude oder ein wertvolles Stück geistiges Eigentum.

Die Anforderungen an die Datensouveränität beziehen sich in der Regel auf die Datenschutzbestimmungen in einem bestimmten Land oder einer bestimmten Region. Zu den wichtigsten Anliegen von Unternehmen, die lokale Gesetze einhalten wollen, gehören Cybersicherheit, Datensicherheit und Datenschutz, der Schutz sensibler Daten vor Verstößen und Malware sowie die Kontrolle darüber, welche Personen, Unternehmen und Anwendungen auf Daten zugreifen können.

Die Europäische Union (EU) hat beispielsweise eine Datenschutz-Grundverordnung (DSGVO) erlassen, die von Unternehmen, die auf dem Gebiet der EU tätig sind und mit Daten von EU-Bürgern arbeiten, verlangt, einen sogenannten Datenschutzbeauftragten (DSB) zu ernennen, um sicherzustellen, dass Organisationen die Vertraulichkeit, Integrität und Zugänglichkeit der von ihnen erzeugten, verarbeiteten und gespeicherten Daten streng einhalten.

Die Datensouveränität wird durch die spezifischen Gesetze und Vorschriften bestimmt, die in der Region oder dem Land gelten, in der/dem die Daten generiert wurden.

Diese Gesetze variieren von Gebiet zu Gebiet, aber in der Regel bedeutet die Aussage, dass ein Land die „Souveränität über“ einen Teil der Daten hat, dass es die Zuständigkeit und Autorität darüber hat, wie diese Daten verwendet werden können und wer darauf zugreifen kann. Allerdings unterliegen Daten oft den Gesetzen mehrerer Länder (Datenresidenz und Datenlokalisierung), was die Verwaltung, Speicherung und Verarbeitung der Daten komplizierter macht.

In Fällen, in denen Daten in einem Land oder einer Region generiert, aber an einem anderen Ort gespeichert und/oder verarbeitet werden, muss die für die Daten verantwortliche Organisation sicherstellen, dass sie alle rechtlichen Anforderungen für den Umgang mit Datensätzen an beiden Orten erfüllt. Zum Beispiel könnten Unternehmen es für notwendig erachten, spezifische Datenschutzvereinbarungen zu erstellen oder spezifische Datenübertragungsprotokolle zu entwerfen und umzusetzen, um die Einhaltung von Vorschriften zu gewährleisten und potenzielle Konflikte in einem oder mehreren Gebieten zu vermeiden. Außerdem sollten Unternehmen, die Daten in mehreren Regionen oder Ländern speichern und verarbeiten, über alle relevanten Datenschutzgesetze, grenzüberschreitende Beschränkungen oder andere Bedenken informiert sein, die für die Wahrung des Datenschutzes und der Datenintegrität erforderlich sind.

Um effektiv zu sein, muss der Ansatz eines Unternehmens in Bezug auf die Datensouveränität auch zwei weitere entscheidende Komponenten umfassen: die betriebliche und die digitale Souveränität. Zusammen sind Daten, betriebliche und digitale Souveränität die drei wichtigsten Komponenten für eine souveräne Cloud-Infrastruktur. Die operative Souveränität stellt sicher, dass kritische Infrastrukturen für Einzelpersonen, Unternehmen und Anwendungen, die sie benötigen, immer verfügbar sind, während die digitale Souveränität sicherstellt, dass ein Unternehmen immer die Kontrolle über seine digitalen Assets hat. Sehen wir uns beide Begriffe genauer an und warum sie wichtig sind.

Die betriebliche Souveränität stellt sicher, dass kritische Infrastrukturen, die mit datenintensiven Anwendungen verbunden sind, immer verfügbar und zugänglich sind. Außerdem hilft die betriebliche Souveränität Unternehmen dabei, Transparenz und Kontrolle über ihre betrieblichen Prozesse zu wahren und Ineffizienzen zu erkennen.

Mit einem soliden Ansatz für die operative Souveränität kann ein Unternehmen auch dann sicherstellen, dass seine kritische Infrastruktur widerstandsfähig ist, selbst wenn eine bestimmte Region von einer Katastrophe betroffen ist. Zu diesem Zweck umfassen viele Ansätze zur betrieblichen Souveränität einen Geschäftskontinuität Notfallwiederherstellung (BCDR) oder Notfallwiederherstellung as a Service (DRaaS)-Plan. Schließlich hilft die betriebliche Souveränität Unternehmen bei der Einhaltung lokaler Vorschriften für die Infrastruktur, die zur Unterstützung von Cloud-Umgebungen in einer bestimmten Region erforderlich ist.

Digitale Souveränität beschreibt den Grad der Kontrolle eines Unternehmens über seine digitalen Assets, einschließlich Daten, Software, Inhalte und digitale Infrastruktur. Die digitale Souveränität ist für das Konzept der souveränen Cloud vor allem im Zusammenhang mit der Governance und Transparenz von Bedeutung. Unternehmen, die die Zugriffskontrolle für ihre digitalen Ressourcen nutzen, müssen Regeln festlegen, wer über Berechtigungen verfügt und wer eingeschränkt ist. Diese Regeln müssen so eingerichtet werden, dass sie leicht durchsetzbar sind, wie zum Beispiel Policy-as-Code, ein Prozess, der es Unternehmen ermöglicht, ihre Infrastruktur und Verfahren auf wiederholbare Weise zu verwalten.

Transparenz, ein weiterer wichtiger Aspekt der digitalen Souveränität, bezieht sich auf die Fähigkeit eines Unternehmens, seine Prozesse und Ergebnisse zu überprüfen. Transparenz stellt sicher, dass Unternehmen Einblick in ihre wichtigsten betrieblichen Workflows erhalten, sodass sie erkennen können, was funktioniert und was geändert werden muss.

Im Großen und Ganzen haben Unternehmen, die einen souveränen Cloud-Ansatz für die Datensouveränität in einer Cloud-Computing-Umgebung wählen möchten, zwei Optionen zur Auswahl: Public Cloud oder Distributed Cloud. In den meisten Ländern helfen Public-Cloud- und Multi-Cloud-Implementierungen Unternehmen dabei, ihre Cloud-Workloads einzusetzen und gleichzeitig die Kontrolle über ihre Daten in einer bestimmten Region zu behalten. Eine typische Public-Cloud-Architektur umfasst eine Plattform-Cloud-Schicht, wie eine Hybrid-Cloud-Plattform, die eine stabile, konsistente Cloud-Bereitstellung ermöglicht.

Die zweite Option ist das verteilte Cloud-Bereitstellungsmodell, z. B. ein lokaler Infrastrukturanbieter oder ein lokales Rechenzentrum. Diese sind für Unternehmen attraktiv, die mehr Kontrolle über ihre Daten benötigen. Ein verteiltes Cloud-Bereitstellungsmodell gibt Ihnen im Wesentlichen die Möglichkeit, Workloads und Plattformen in einer beliebigen Infrastruktur Ihrer Wahl bereitzustellen.

Um einen effektiven Ansatz zur Datensouveränität zu implementieren, sollten Unternehmen die folgenden Schritte befolgen:

Da Bürger und Aufsichtsbehörden weltweit weiterhin Bedenken hinsichtlich der Datensouveränität äußern, helfen souveräne Cloud-Ansätze Unternehmen dabei, die Integrität ihrer Daten zu gewährleisten, unabhängig davon, wo sie gespeichert und verarbeitet werden.

In den kommenden Jahren wird die Art und Weise, wie Unternehmen ihre Daten erfassen, sichern, speichern und den Zugriff darauf kontrollieren – insbesondere, wenn sie neue, datenintensive Technologien wie KI und ML nutzen möchten – enorme Auswirkungen auf Wachstum und Sicherheit haben. Die Souveränität der Daten steht im Mittelpunkt dieser Bedenken. Daher hilft die Wahl eines Cloud-Anbieters, der über ein tiefes Verständnis dafür verfügt, Unternehmen bei der Umsetzung eines starken souveränen Cloud-Ansatzes und bei der Erreichung ihrer Ziele für die digitale Transformation. Partner in Regionen und Ländern, in denen Unternehmen eine Cloud-Umgebung einrichten möchten, müssen über Strategien zur Minderung gängiger Risiken wie Cyberangriffe, Naturkatastrophen und Ausfallzeiten verfügen.

Schließlich müssen Unternehmen, die einen starken Ansatz für Datensouveränität und souveräne Cloud-Services entwickeln möchten, sicherstellen, dass ihr Cloud-Anbieter über eine starke Gesamtstrategie für Cloud-Services verfügt, die mit den Gesetzen der Länder oder Regionen übereinstimmt, in denen sie tätig sind. Hier sind einige der wichtigsten Merkmale, auf die Unternehmen achten sollten, wenn sie CSPs und andere potenzielle Partner in Betracht ziehen, um einen starken Ansatz für die Datensouveränität zu entwickeln.

Data-Governance-Fähigkeiten: Der Data-Governance-Ansatz eines CSP zeigt, dass er über die richtigen Richtlinien und Verfahren verfügt, um mit sensiblen Daten erfolgreich umzugehen und die erforderlichen Einschränkungen anzuwenden. Sie sollten auch regelmäßige Audits bereitstellen, die belegen, dass die Richtlinien, die sie eingeführt haben, eingehalten werden.

Service Level Agreements (SLAs): Wenn es darum geht, ein SLA für die Datensouveränität in einer souveränen Cloud-Umgebung zu erstellen, sollten die drei wichtigsten Bereiche, die das SLA abdecken sollte, Kontrolle (Cloud-Management), Verfügbarkeit und Leistung sein.

Einhaltung von Vorschriften: CSPs und andere Partner, die Unternehmen bei der Einhaltung der Anforderungen an die Datenhoheit unterstützen, sollten über ein hohes Maß an Fachwissen in allen Datenschutzgesetzen der Regionen verfügen, in denen sie tätig sind. Im Idealfall sollten Unternehmen und ihre CSPs gemeinsam dafür verantwortlich sein, sich über neue Vorschriften auf dem Laufenden zu halten und Strategien zu deren Umsetzung zu entwickeln.

Datenverschlüsselung: Es ist von entscheidender Bedeutung, dass CSPs im Bereich der souveränen Cloud über robuste Datenverschlüsselungsfunktionen wie kryptografische Schlüssel verfügen, um sicherzustellen, dass sie sensible Daten sicher und zugänglich halten können. Kryptografische Schlüssel wandeln Daten in einen Verschlüsselungsalgorithmus um, der nur von jemandem mit den richtigen Berechtigungen (Schlüssel) entschlüsselt werden kann. Dies gibt Unternehmen vollständige technische Sicherheit und Kontrolle darüber, wer wann auf ihre Daten zugreifen kann.

Resilienz: Ein starker Ansatz für die Datensouveränität und souveräne Cloud-Umgebungen sollte starke Ausfallsicherheitsfunktionen beinhalten. Unternehmen sollten nur CSPs in Betracht ziehen, die nachweislich Kunden bei ihren Bemühungen um Widerstandsfähigkeit und Wiederaufbau in den betreffenden Ländern oder Regionen unterstützt haben. Wenn es um eine souveräne Cloud-Umgebung geht, sollten alle Cloud-Bereitstellungen über integrierte Wiederherstellungs- und Failover-Funktionen verfügen, die auf den jeweiligen Compliance-Bereich zugeschnitten sind, in dem Daten gespeichert werden.

1. Worin besteht der Unterschied zwischen Datensouveränität und digitaler Souveränität?

Datensouveränität bedeutet, dass ein Unternehmen jederzeit vollständige Kontrolle über seine Daten behält: wie sie gespeichert, verschlüsselt, geschützt und geografisch lokalisiert werden. Der Fokus liegt klar auf dem Umgang mit Informationen und der Sicherstellung, dass nur das Unternehmen selbst über deren Nutzung entscheidet. Digitale Souveränität umfasst diesen Aspekt, geht jedoch weit darüber hinaus. Sie beschreibt die Fähigkeit, nicht nur Daten, sondern das gesamte digitale Ökosystem zu kontrollieren – einschließlich Infrastruktur, Betrieb, Workloads, KI‑Modelle, Governance, Transparenz und regulatorische Nachweisführung. Während Datensouveränität also einen klar abgegrenzten Bereich abdeckt, steht digitale Souveränität für den umfassenden Anspruch, alle digitalen Abhängigkeiten zu reduzieren und eine selbstbestimmte technologische Umgebung zu schaffen. Kurz gesagt: Datensouveränität schützt Daten, digitale Souveränität schützt die digitale Handlungsfähigkeit eines Unternehmens.

2. Was bedeutet Datensouveränität in einer hybriden Cloud‑Umgebung?

In einer hybriden Cloud beschreibt Datensouveränität die Fähigkeit eines Unternehmens, auch beim Einsatz verteilter Cloud‑Architekturen die alleinige Kontrolle über seine Daten sicherzustellen. Dies umfasst verschlüsselte Speicherung, die Nutzung eigener Schlüssel, eine eindeutige regionale Datenverortung sowie Technologien, die Verarbeitung und Zugriff strikt kontrollieren. Trotz der Flexibilität hybrider Modelle bleibt garantiert, dass Daten nicht unkontrolliert verschoben, eingesehen oder verarbeitet werden können. Selbst wenn Workloads in der Cloud laufen, bleiben Eigentum, Zugriff und Schutzmechanismen vollständig in der Verantwortung des Unternehmens. Datensouveränität stellt so sicher, dass Cloud‑Vorteile realisiert werden können, ohne regulatorische Anforderungen zu verletzen oder die Kontrolle über kritische Informationen zu verlieren.

3. Was bedeutet operative Souveränität?

Operative Souveränität bezeichnet die Fähigkeit eines Unternehmens, digitale Systeme zuverlässig, sicher und nachvollziehbar zu betreiben. Sie stellt sicher, dass kritische Anwendungen jederzeit verfügbar bleiben, dass der Betrieb transparent und kontrolliert erfolgt und dass klar definiert ist, wer auf welche Systeme zugreifen darf. Dabei geht es nicht nur um technische Resilienz, sondern auch um organisatorische Verantwortlichkeiten: Wer betreibt die Infrastruktur, wer administriert die Systeme und wie wird der Schutz vor Störungen gewährleistet? Operative Souveränität schafft damit eine stabile Grundlage, auf der digitale Dienstleistungen unabhängig, sicher und kontinuierlich bereitgestellt werden können.

4. Was ist der Unterschied zwischen operativer Souveränität und Datensouveränität?

Operative Souveränität bezieht sich auf den sicheren und unabhängigen Betrieb digitaler Systeme, einschließlich Infrastruktur, Zugriffssteuerung, Betriebsprozessen und Resilienz. Datensouveränität konzentriert sich dagegen ausschließlich auf die Kontrolle über Informationen: deren Schutz, Speicherung, Verschlüsselung und Verarbeitung. Beide Konzepte sind eng miteinander verbunden, adressieren jedoch unterschiedliche Ebenen. Datensouveränität schützt die Daten, operative Souveränität schützt die Fähigkeit, Systeme zuverlässig zu betreiben. Gemeinsam ermöglichen sie eine souveräne Nutzung der Cloud, die sowohl technische als auch regulatorische Anforderungen erfüllt.

5. Was ist IBM Sovereign Core und welche Probleme löst es für Unternehmen?

IBM Sovereign Core ist eine KI‑fähige Softwareplattform, die speziell für den Aufbau souveräner Cloud‑ und KI‑Umgebungen entwickelt wurde. Sie ermöglicht Unternehmen, Behörden und Dienstleistern, digitale Workloads vollständig unter eigener Kontrolle zu betreiben – unabhängig von externen Technologieanbietern. Die Plattform reduziert regulatorische Risiken, schafft transparente Governance‑Strukturen und erlaubt den sicheren Betrieb hochsensibler Anwendungen. Gleichzeitig erleichtert sie die Einführung von KI, indem sie Schutzmechanismen, Nachweisbarkeit und volle Kontrolle über Modelle, Daten und Ausführungsumgebungen bereitstellt. Unternehmen behalten damit die volle Entscheidungsgewalt über ihre digitalen Prozesse, ihre Infrastruktur und die gesamte Wertschöpfung rund um Daten und künstliche Intelligenz. Pressemitteilung (auf Deutsch).