Data Sovereignty: Eine notwendige Kompetenz agiler Unternehmen!
Immer mehr Firmen erkennen die Cloud als Chance und lagern große Teile der Geschäftsdaten in den Onlinebereich aus, mit dem Ziel besser, kostengünstiger und von beliebigen Standorten aus tätig sein zu können. Ein Themengebiet, das in diesem Zusammenhang zunehmend an Bedeutung gewinnt, wäre die digitale Datensouveränität. Was unter dem Ausdruck „digitale Datensouveränität“ zu verstehen ist, warum diese für eine verantwortungsvolle Cloud-Strategie unentbehrlich ist und welche Schlüsselkomponenten für die uneingeschränkte Datenhoheit in der Cloud garantieren, offenbart Dir der nachfolgende Blogbeitrag.
Daten sind heute die wichtigste Ressource sowie Geschäftsgrundlage eines Unternehmens. Nicht ohne Grund werden sie in der zunehmend datenfokussierten wie auch digitalen Businesswelt als Gold des 21. Jahrhunderts benannt. Konsequent hat das Datenvolumen inzwischen ein gigantisches Format erlangt. Weiter noch: Fachkundigen Einschätzungen entsprechend soll das weltweite Datenaufkommen von 80 Zettabyte im Jahr 2022 auf ganze 175 Zettabytes im Jahr 2025 anwachsen – nicht letztlich infolge der steigenden Anzahl datenerzeugender Endgeräte, Gadgets mit Sensoren sowie Entwicklungstendenzen, wie Internet der Dinge, Big Data Analytics, Edge Computing oder künstliche Intelligenz.
Weil diese Entwicklung besonders unternehmensinterne IT-Ressourcen an die Grenzen führt, beschäftigen sich zunehmend mehr Firmen mit dem Inhalt Datenmigration in die Cloud.
Damit einhergehen aber auch viele Fragen hinsichtlich der Datensicherheit und der digitalen Datensouveränität.
Aber was ist mit dem Ausdruck Datensouveränität tatsächlich gemeint?
Datensouveränität: Ein Definitionsversuch!
Wörtlich verstanden heißt Datensouveränität einen souveränen, selbstbestimmten und reflektierten Umgang mit den persönlichen Daten im digitalen Raum. Im Unterschied zum „Privacygedanken“ geht es beim Modell der digitalen Datensouveränität darum, sowohl einzelne Personen als auch Unternehmen zu ermächtigen, die größtmögliche Beherrschung sowie Macht über Erhebung, Speicherung, Nutzung wie auch Weiterverarbeitung der persönlichen Daten zu erlangen.
Demnach steht bei der Datensouveränität nicht so die Privatsphäre selbst im Fokus, sondern eher die Befähigung wie auch Freiheit, Herr über die eigenen Daten zu sein. Man spricht in dem Rahmen ebenso von der informationellen Selbstbestimmung.
Die Datensouveränität stellt daher eine Ergänzung des bereits gegebenen Datenschutzes dar, dem grundsätzlichen Schutz personenbezogener Daten vor ungerechtfertigter und falscher Erhebung, Speicherung, Benutzung und Verarbeitung.
Datensouveränität und Cloud-Computing: Zentrale Elemente der Datensouveränität!
Datentransparenz und Datenkontrolle sind eine grundlegende Voraussetzung für die uneingeschränkte Datensouveränität in der Cloud. Bloß wenn allgemein bekannt ist, was für Geschäftsdaten wo, wann und von wem genutzt werden, funktionieren ein selbstbestimmter Umgang sowie eine aktive Einflussnahme. Außerdem sollte garantiert sein, dass niemand unabsichtlich Verfügungsgewalt über die Daten erhält, weder im Zugriff noch in der Weitergabe an Dritte.
Neben der persönlichen Datenkompetenz und der Datenkontrolle ist die so bezeichnete Normativität ein wichtiges Element der Datensouveränität. Sie sorgt für eine im Allgemeinen datensouveräne Gestaltung der datenverarbeitenden Anwendungen und Technologien.
Überdies setzt eine digitale Datensouveränität voraus, dass Politik und Gesetzgebung die rechtlichen Rahmenbedingungen für das datensouveräne Handeln im digitalen Raum schaffen und ebendiese durchsetzen. Hierzu zählt auch, dass technologische Mindestvoraussetzungen für die Datensouveränität definiert sowie deckungsgleiche, datenschutzfreundliche Anforderungen bereitgestellt werden.
Welche rechtlichen Rahmenbedingungen gelten für die Datensouveränität in der Cloud?
Obwohl Cloud-Technologien aus dem Geschäftsalltag keinesfalls mehr wegzudenken sind, haben nach wie vor viele Unternehmen Bedenken gegen ihre Benutzung. Hauptsächlich dann, wenn die Server außerhalb der Europäischen Union liegen. Hier besteht aufgrund von nicht vorhandenen Sicherheitsvorschriften bezüglich der Datensicherheit die Gefährdung, dass die Geschäftsdaten analysiert oder sogar verkauft werden könnten.
Vor diesem Hintergrund sollten Firmen bei der IT-Sicherheitsstrategie sämtliche Datenhoheitsaspekte von Beginn an mitdenken, ansonsten könnten Firmen ihre Geschäftsgrundlage verlieren, von Klienten oder Mitarbeitern verklagt oder aber mit Sanktionen belegt werden.
In der Europäischen Union gibt es mittlerweile zahlreiche Aktivitäten sowie gesetzlich vorgeschriebene Grundbedingungen, welche die Datensouveränität von Unternehmen im digitalen Raum stärken sollen.
Abgesehen von individuellen Vertragsregelungen zwischen Auftraggebern und Anbietern sind nationale und weltweite Datenschutzverordnungen, beispielsweise die europäische Datenschutzgrundverordnung, knapp EU-DSGVO, und das deutsche Bundesdatenschutzgesetz relevante Richtlinien in puncto digitale Datensouveränität.
Die EU-Datenschutzgrundverordnung, kurz EU-DSGVO, die im Jahr 2018 in Kraft getreten ist, regelt beispielsweise den Datenschutz im europäischen Wirtschaftsraum und die Übertragung personenbezogener Daten aus der Europäischen Union in andere Gebiete.
Ein anderes Projekt zur Stärkung der Datensouveränität ist Gaia-X. Mit Gaia-X soll eine selbstbestimmte, performante sowie europäische Dateninfrastruktur geschaffen werden, die die Dependenz von außereuropäischen Cloud-Portalen, etwa der USA oder China, reduziert.
Was ist bei der Realisierung von Datenhoheit zu beachten?
Daten sind inzwischen eine zentrale Ressource für nutzenbringende Innovationen und technologischen Fortschritt. Ein guter Anstoß, warum sich Unternehmen vor der Datennutzung gleichfalls Gedanken über ihre Souveränität machen sollten.
Mit dem Ziel die Datensouveränität, den Datenschutz und den Unternehmenserfolg zu harmonisieren, empfiehlt es sich, kompetente Datenschutzbeauftragte zu Rate zu ziehen, die sich um sämtliche Belange in Relation mit der unternehmensweiten Datensouveränität kümmern.
Überdies sollte ein jedes Unternehmen überprüfen, welche Datenschutzrichtlinien und Datennutzungsrichtlinien Drittfirmen sowie Partnerunternehmen haben. Nicht zu übersehen ist in diesem Kontext die obligatorische Datenschutzerklärung, die ihre Methoden zur zuverlässigen Verarbeitung von Daten klar kommuniziert.
Des Weiteren sollten die folgenden technischen wie auch organisatorischen Maßnahmen umgesetzt werden:
· Pseudonymisierung sowie Verschlüsselung von Geschäftsdaten
· Gewährleistung von Vertraulichkeit und Integrität der eingesetzten Technologien und Anwendungen
· Überprüfung der technischen Belastbarkeit von IT-Systemen
· Wiederherstellung und Verfügbarkeit von Geschäftsdaten nach technischen Notfällen
· Kontinuierliche Prüfung, Bewertung sowie Bewertung der Schutzmaßnahmen
· Einhaltung sowie Einarbeitung der Datenschutzmaßnahmen durch Mitarbeiter
Fazit: Datenhoheit von Anfang an!
Tatsache ist: Die digitale Datensouveränität ist in Zeiten zunehmender Datenströme relevanter als je zuvor. Denn bloß, wer Herr seiner Daten ist, ist im Stande, das Potenzial zu nutzen und diese vor falschem Gebrauch abzusichern. Deshalb heißt es, von Beginn an mitzudenken – besonders beim Entwerfen einer gewissenhaften Cloud-Strategie.
Willst auch du mit datensouveränen Cloud-Möglichkeiten die maximale Kontrolle sowie Durchsichtigkeit im Umgang mit deinen hochsensiblen Daten wahren? Oder hast du noch Fragen zum Themengebiet? Sprich uns gerne an!