Immer mehr Unternehmen sehen die Cloud als Chance und lagern große Anteile der Geschäftsdaten in den digitalen Raum aus, mit dem Ziel besser, sparsamer wie auch von beliebigen Orten aus arbeiten zu können. Ein Themengebiet, das in jenem Kontext mehr und mehr an Bedeutung bekommt, wäre nicht die digitale Datensouveränität. Was unter dem Begriff „digitale Datensouveränität“ zu erfassen ist, warum diese für eine gewissenhafte Cloud-Strategie unerlässlich ist und was für Schlüsselkomponenten für eine uneingeschränkte Datenhoheit in der Cloud sorgen, zeigt Ihnen der nachfolgende Blogbeitrag.
Daten sind mittlerweile die wichtigste Ressource sowie Geschäftsgrundlage einer Firma. Nicht grundlos werden sie in unserer mehr und mehr datenfokussierten und digitalen Businesswelt als das Gold des 21. Jahrhunderts benannt. Folgerichtig hat das Datenaufkommen indessen ein gigantisches Format erlangt. Weiter noch: Prognosen entsprechend soll das weltweite Datenaufkommen von 80 Zettabyte im Jahr 2022 auf ganze 175 Zettabytes im Jahr 2025 ansteigen – nicht zuletzt aufgrund der steigenden Zahl datenerzeugender Endgeräte, Gadgets mit Sensoren und Entwicklungstendenzen, wie Internet der Dinge, Big Data Analytics, Edge Computing oder künstliche Intelligenz.
Weil diese Dynamik besonders unternehmensinterne IT-Ressourcen an ihre Grenzen führt, befassen sich zunehmend mehr Unternehmen mit dem Inhalt Datenmigration in die Cloud.
Hiermit einher gehen aber ebenfalls zahlreiche Fragen hinsichtlich der Datensicherheit und der digitalen Datensouveränität.
Was ist mit dem Begriff Datensouveränität tatsächlich gemeint?
Datensouveränität: Kontrolle und Transparenz über Erhebung, Speicherung, Nutzung und Verarbeitung der eigenen Geschäftsdaten!
Wörtlich verstanden meint Datensouveränität den souveränen, selbstbestimmten sowie reflektierten Umgang mit den persönlichen Daten im Onlineraum. Im Gegensatz zum „Privacygedanken“ geht es beim Modell der digitalen Datensouveränität darum, sowohl einzelne Personen als auch Firmen zu befähigen, die größtmögliche Beherrschung sowie Macht über Erhebung, Speicherung, Nutzung wie auch Weiterverarbeitung der persönlichen Daten zu erhalten.
Demnach steht bei der Datensouveränität nicht so die Privatsphäre per se im Vordergrund, sondern eher die Fähigkeit und Freiheit, Herr über die persönlichen Daten zu sein. Man spricht in dem Rahmen ebenso von der informationellen Selbstbestimmung.
Die Datensouveränität stellt somit eine Verstärkung des schon gegebenen Datenschutzes dar, dem grundsätzlichen Schutz personenbezogener Daten vor ungerechtfertigter sowie falscher Erhebung, Speicherung, Benutzung sowie Verarbeitung.
Datensouveränität und Cloud-Computing: Zentrale Elemente der Datensouveränität!
Datentransparenz und Datenkontrolle sind eine elementare Grundvoraussetzung für die uneingeschränkte Datensouveränität in der Cloud. Bloß wenn bekannt ist, welche Businessdaten wo, wann und von wem verarbeitet werden, funktionieren ein selbstbestimmter Umgang und eine aktive Einflussnahme. Darüber hinaus sollte garantiert sein, dass niemand ungewollt Verfügungsgewalt über die Daten erhält, weder im Zugriff noch in der Weitergabe an Dritte. Außer der individuellen Datenkompetenz sowie der Datenkontrolle ist die so bezeichnete Normativität ein entscheidendes Detail der Datensouveränität. Sie sorgt für eine grundsätzlich datensouveräne Gestaltung der datenverarbeitenden Nutzungen und Technologien.
Des Weiteren setzt eine digitale Datensouveränität voraus, dass Politik und Gesetzgebung die rechtlichen Rahmenbedingungen für das datensouveräne Agieren im digitalen Raum modellieren und ebendiese durchsetzen. Dazu gehört auch, dass technologische Mindestvoraussetzungen für die Datensouveränität bestimmt sowie deckungsgleiche, datenschutzfreundliche Standards bereitgestellt werden.
Welche rechtlichen Rahmenbedingungen gelten für die Datensouveränität in der Cloud?
Obwohl Cloud-Technologien aus dem Businessalltag nicht mehr wegzudenken sind, haben nach wie vor etliche Unternehmen Bedenken gegen die Nutzung. Insbesondere dann, wenn die Server außerhalb der Europäischen Union sind. Hier besteht angesichts von nicht vorhandenen Sicherheitsvorschriften in puncto Datensicherheit die Gefahr, dass die Geschäftsdaten analysiert oder sogar verkauft werden könnten.
Infolgedessen müssen Firmen bei der IT-Sicherheitsstrategie sämtliche Datenhoheitsaspekte von Beginn an mitdenken, andernfalls könnten Firmen ihre Geschäftsgrundlage verlieren, von Klienten oder Mitarbeitern verklagt oder sogar mit Sanktionen versehen werden.
Innerhalb der Europäischen Union gibt es inzwischen etliche Unternehmungen und gesetzlich vorgeschriebene Grundbedingungen, die die Datensouveränität der Unternehmen im digitalen Raum stärken sollen.
Abgesehen von maßgeschneiderten Vertragsregelungen zwischen Auftraggebern und Dienstleistern sind nationale und internationale Datenschutzverordnungen, wie die europäische Datenschutzgrundverordnung, kurz EU-DSGVO, und das deutsche Bundesdatenschutzgesetz entscheidende Richtlinien in puncto digitale Datensouveränität.
Die EU-Datenschutzgrundverordnung, welche im Jahr 2018 in Kraft getreten ist, reglementiert beispielsweise den Datenschutz im europäischen Wirtschaftsraum und die Übertragung personenbezogener Daten aus der Europäischen Union in andere Gebiete.
Ein anderes Projekt zur Kräftigung der Datensouveränität ist Gaia-X. Mit Gaia-X soll eine selbstbestimmte, performante sowie europäische Dateninfrastruktur erschaffen werden, welche die Dependenz von außereuropäischen Cloud-Plattformen, beispielsweise der USA oder China, reduziert.
Was ist bei der Umsetzung von Datenhoheit zu beachten?
Daten sind inzwischen eine zentrale Ressource für nutzenbringende Innovationen und technologischen Progress. Ein guter Anstoß, weshalb sich Firmen vor der Datennutzung auch Sorgen über deren Souveränität machen sollten.
Mit dem Ziel die Datensouveränität, den Datenschutz sowie den Unternehmenserfolg zu harmonisieren, empfiehlt es sich, professionelle Datenschutzbeauftragte zu Rate zu ziehen, die sich um sämtliche Belange in Relation mit der unternehmensweiten Datensouveränität sorgen.
Darüber hinaus sollte ein jedes Unternehmen überprüfen, welche Datenschutzrichtlinien wie auch Datennutzungsrichtlinien Drittfirmen sowie Partnerunternehmen haben. Keinesfalls zu vergessen ist in diesem Rahmen die obligatorische Datenschutzerklärung, welche ihre Methoden zur zuverlässigen Verarbeitung von Daten transparent kommuniziert.
Zusätzlich sollten die folgenden technischen wie auch organisatorischen Mittel angewandt werden:
- Pseudonymisierung und Verschlüsselung von Geschäftsdaten
- Gewährleistung von Vertraulichkeit sowie Integrität der eingesetzten Technologien wie auch Anwendungen
- Überprüfung der technischen Belastbarkeit von IT-Systemen
- Wiederherstellung und Nutzbarkeit von Geschäftsdaten nach technischen Notfällen
- Kontinuierliche Überprüfung, Bewertung sowie Evaluierung der Schutzmaßnahmen
- Befolgung sowie Anlernung der Datenschutzmaßnahmen durch Angestellte
Fazit: Datenhoheit von Anfang an!
Fakt ist: Die digitale Datensouveränität ist in Zeiten zunehmender Datenströme relevanter als je zuvor. Denn bloß, wer Herr seiner Daten ist, ist in der Lage, das Potenzial zu nutzen und sie vor Missbrauch abzusichern. Deshalb gilt es, diese von Anfang an mitzudenken – besonders beim Entwickeln einer gewissenhaften Cloud-Planung.
Möchten auch Sie mit datensouveränen Cloud-Möglichkeiten die maximale Kontrolle und Transparenz im Gebrauch mit Ihren hochsensiblen Daten wahren? Oder gibt es noch Fragen zum Themengebiet?
Kontaktieren Sie uns oder melden Sie sich zu unserem kommenden Business Breakfast zum Thema „Multicloud: Die richtige Wahl für Ihr Unternehmen – Vorteile, Risiken und Rechtliches im Fokus“ an!
