Warum Datensouveränität in einer Cloud-First-Welt wichtiger denn je ist

Wer hat eigentlich die Kontrolle über die Daten Ihres Unternehmens, und wie genau? Wenn Ihre Daten in einem Land erzeugt, aber in einem anderen verarbeitet werden, haben Sie höchstwahrscheinlich Bedenken hinsichtlich der Datensouveränität. 

Wissen Sie, ob die Speicherung und Verarbeitung Ihrer Daten, einschließlich Sicherheitsmaßnahmen, den geltenden gesetzlichen Vorgaben entspricht? Und sind Ihnen relevante Gesetze für Ihre Daten bekannt? 

Möglicherweise müssen Sie die Vorschriften des Landes einhalten, in dem sich Ihr Unternehmen oder Ihre Niederlassung befindet. Es können aber auch die Regelungen des Landes oder der Region gelten, wo die Daten verarbeitet werden. Oder sogar beides gleichzeitig. 

Insbesondere multinationale Unternehmen müssen genau nachvollziehen können, wie ihre Daten in der Cloud und anderen digitalen Umgebungen verarbeitet und gesichert werden. Regierungen beanspruchen zunehmend die Hoheit über sämtliche Daten, die sich innerhalb ihrer Landesgrenzen befinden, unabhängig davon, woher sie stammen. 

Erfahren Sie im Folgenden, was es mit dem Begriff der Datensouveranität (auch Datenhoheit genannt) auf sich hat, was das für Ihr Unternehmen bedeutet und wie Sie sicherstellen können, dass Sie gesetzliche Vorschriften einhalten.  

Definition: Was ist Datensouveränität?

Daten sind das neue Gold. Angesichts ihres steigenden Werts für Unternehmen, Menschen und Regierungen erlassen immer mehr Länder Gesetze, die sich mit der Frage der Datensouveränität befassen. Insbesondere beanspruchen sie das Recht, die Verarbeitung, Speicherung und Weitergabe von Daten auf Servern in ihrem Hoheitsgebiet zu kontrollieren, unabhängig davon, wo sich das Unternehmen befindet, das diese Datenerzeugt hat. 

Mit der zunehmenden Nutzung von Cloud-Diensten verschwimmen geografische Grenzen und die Frage der Datenhoheit rückt immer stärker in den Fokus. Nach Angaben der Information Technology and Innovation Foundation verfügten im Jahr 2021 nur 62 Länder über entsprechende Regelungen. Heute sind es bereits über 100 Länder – Tendenz steigend.  

Wenn Ihr Unternehmen Rechenzentren und Cloud-Speicherlösungen in einem anderen Land nutzt, müssen diese unter Umständen den Gesetzen sowohl des Landes entsprechen, in dem die Daten erzeugt wurden, als auch denen des Ortes, an dem sie gespeichert oder verarbeitet werden. Datensouveränität betrifft in der Regel alle Aspekte: Speicherung, Übertragung, Verarbeitung und Sicherheit von Daten. 

Versierte Unternehmen wissen genau, welche Gesetze für ihre Daten gelten, unabhängig vom Speicherort, und haben klare Strategien für die Einhaltung dieser Vorschriften. Für multinationale Unternehmen kann das ein Balanceakt sein mit den neuen und sich ändernden Anforderungen Schritt zu halten. 

Um zu vermeiden, dass Sie gegen geltende Anforderungen zur Datensouveränität verstoßen, empfiehlt sich der Einsatz eines Services wie dem Hornetsecurity 365 Permission Manager. Damit können Sie: 

• Zugriffsrechte in all Ihren Microsoft 365-Anwendungen überwachen und steuern 
• sicherstellen, dass Datenschutz- und Datenresidenz-Vorgaben eingehalten werden, 
• unbefugte Zugriffe verhindern und  
• Compliance-Risiken reduzieren. 

Datenhoheit vs. Datenresidenz: Was ist der Unterschied? 

Staaten beanspruchen die Datensouveränität – also das Recht, über den Umgang mit Daten zu bestimmen – aus einer Vielzahl von Gründen: zum Schutz nationaler Interessen, zur Abwehr ausländischer Zugriffe auf Informationen, zur Stärkung der Rechte für Einzelpersonen auf Privatsphäre und sogar zur Förderung von Innovation und Wettbewerb.  

Das eigentliche Ziel besteht jedoch darin, die Kontrolle über persönliche und geschützte Daten zu behalten. Diese Kontrolle wird auf Grundlage der sogenannten Datenresidenz ausgeübt, also dem physischen Standort, an dem die Daten gespeichert sind. 

Nehmen wir an, Ihr multinationales Unternehmen hat seinen Hauptsitz in New York, unterhält aber auch eine Niederlassung in Paris. Daten, die in New York erzeugt oder erfasst werden, hätten ihre Datenresidenz in New York. Sobald diese Daten an das Pariser Büro übermittelt werden, unterliegen sie der Datenresidenz der  Europäischender Europäischen Union (EU). Und wenn eines der beiden Büros diese Daten wiederum an ein Datenzentrum in Großbritannien übermittelt, wären diese Daten in Großbritannien ansässig. Entsprechend variiert auch die geltende Datenhoheit je nach Aufenthaltsort der Daten. 

Gesetze zur Datenresidenz legen fest, wie Ihr Unternehmen Daten innerhalb einer bestimmten Gerichtsbarkeit speichern und verarbeiten darf. Diese Gesetze verfolgen dabei unter anderem folgende Ziele: 

• Bürgern mehr Kontrolle über ihre Daten zu geben, 
• Staatliche Überwachung von Einwohnern zu ermöglichen,  
• Cyberkriminalität und Identitätsdiebstahl vorzubeugen oder  
• Arbeitsplätze im eigenen Land zu schaffen und zu sichern.  

Datensouveränität und seine Herausforderungen: Gesetze und Anforderungen auf einen Blick

Den Überblick über die jeweils geltenden Gesetze und Anforderungen in den Ländern zu behalten, in denen Ihre Daten gespeichert oder verarbeitet werden, ist nicht einfach.  Die Regelungen ändern sich häufig und unterscheiden sich erheblich von Land zu Land. 

Einige Länder, darunter China, Russland und Indien, verfolgen besonders strenge Prinzipien der Datenhoheit und verlangen eine Datenlokalisierung, die grenzüberschreitende Übertragungen von Daten außerhalb der Landesgrenzen stark einschränken oder verbieten. 

Das chinesische Datenschutzgesetz (PIPL) schreibt beispielsweise vor, dass personenbezogene und bestimmte andere Daten das Land nur mit ausdrücklicher Genehmigung der Aufsichtsbehörden verlassen dürften. In anderen Fällen müssen Unternehmen spezifische Anforderungen für den internationalen Datentransfer Bitte erfüllen, etwa eine Sicherheitsbewertung, bevor Daten ins Ausland gesendet werden dürfen. 

Auch branchenspezifische Standards für die Datenlokalisierung existieren, insbesondere im Finanz- und Gesundheitswesen. Diese Sektoren verarbeiten besonders sensible personenbezogenen Daten und zählen zu den am häufigsten angegriffenen.  

In den Vereinigten Arabischen Emiraten (VAE) verpflichtet das Gesundheitsdatengesetz Gesundheitsdienstleister in den VAE dazu, Gesundheitsdaten ausschließlich innerhalb des Landes zu speichern und zu verarbeiten. Eine Weitergabe dieser Daten außerhalb der VAE ist ohne offizielle Genehmigung verboten.

In den Vereinigten Staaten gab es bislang nur wenige Beschränkungen für die Nutzung oder Übermittlung von Daten, aber das scheint sich zu ändern. Im April begann das US-Justizministerium mit der Durchsetzung einer präsidialen Verordnung mit dem Titel „Preventing Access to Americans‘ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern“. Diese Verordnung schränkt Transaktionen mit umfangreichen sensiblen personenbezogenen Daten und regierungsbezogenen Daten mit Einrichtungen in „besorgniserregenden Ländern“ wie China (einschließlich Hongkong und Macao), Kuba, Iran, Nordkorea, Russland und Venezuela ein.   

In der EU regelt die Datenschutz-Grundverordnung (GDPR) streng den Umgang mit personenbezogenen Daten von EU-Bürgern an Server außerhalb Europas, ganz gleich, wo sich diese Server befinden. Bei Verstößen gegen das Gesetz werden hohe Geldstrafen verhängt: bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Das Gesetz gilt für alle Unternehmen, die in oder mit der EU-Geschäfte machen, unabhängig vom Unternehmenssitz.Warum Compliance im Zeitalter der Cloud noch komplexer wird   

Warum Compliance im Zeitalter der Cloud noch komplexer wird

Die Einhaltung von Vorschriften zur Datensouveränität und Lokalisierung ist heute wichtiger – und zugleich schwieriger – denn je. Denn Cloud-Umgebungen sind längst zur Standardlösung für die Datenverarbeitung und -speicherung geworden. Um gesetzeskonform zu handeln, müssen Unternehmen genau wissen, wo sich die Server befinden, auf denen ihre Daten gespeichert sind. Dies gilt sowohl im Hinblick auf den eigenen Unternehmensstandort als auch auf den Ort der tatsächlichen Datenspeicherung. 

Mit der zunehmenden Nutzung von Cloud- und Multi-Cloud-Umgebungen ist auch die Komplexität der Datenhoheit gestiegen. Wenn Daten über mehrere Cloud-Plattformen verteilt sind, von denen jede ihre eigenen Sicherheitskontrollen und -protokolle hat, wird die Einhaltung von Gesetzen immer schwieriger, berichtet die Cloud Security Alliance.  

Um gleichzeitig Sicherheit, Verfügbarkeit und Compliance zu gewährleisten, speichern manche Unternehmen ihre Daten mehrfach – ob bewusst oder unbewusst – und bewahren einige Anwendungen weiterhin vor Ort auf. Das Ergebnis: unkontrollierte Daten, verteilt über verschiedene Systeme und Speicherorte. 

Gerade mit zunehmendem Einsatz von KI ist es noch wichtiger, seine Daten zu kennen. Generative KI greift über öffentliche Cloud-Dienste auf riesige Datenmengen aus unterschiedlichsten Quellen und weltweiten Standorten zu, , wodurch die Einhaltung der Datenhoheit zu einer noch größeren Herausforderung wird. 

Bis 2027 wird die digitale Datensouveränität für mindestens 70 Prozent der Unternehmen weltweit ein zentrales Kriterium bei der Auswahl generativer KI-Dienste in der Public Cloud sein, prognostiziert Gartner.  

Strategien zur Einhaltung von Gesetzen zur Datenhoheit 

Um die Herausforderungen der Datenhoheit zu bewältigen, entwickeln Unternehmen zunehmend Strategien für den rechtskonformen Umgang mit Daten. Einem Bericht aus dem Jahr 2022 zufolge verfügten 98 Prozent der IT-Abteilungen in den USA und der EU entweder bereits über solche Strategien oder waren im Begriff, sie umzusetzen. Diese Strategien umfassen Folgendes: 

Datenflüsse nachvollziehen 

Nur wenn Sie genau wissen, wohin alle Daten gehen, sobald sie das Unternehmen verlassen, können Sie ermitteln, welche Gesetze gelten und wie diese einzuhalten sind. 

Doch den Überblick darüber zu behalten, wo sich Ihre Daten befinden und welche Gesetze den Umgang mit ihnen regeln, ist nicht nur für multinationale Unternehmen eine komplexe Herausforderung, sondern für jede Organisation, die Transaktionen mit einem internationalen Kundenkreis abwickelt.  

Zusammenarbeit mit souveränitätskonformen Cloud-Anbietern

Diese auch als „souveräne Clouds“ bezeichneten Umgebungen speichern sämtliche Daten jeder Organisation (einschließlich Metadaten) auf lokalen Servern. Dadurch bleiben die Daten im Einklang mit lokalen Gesetzen und sind vor fremdem Zugriff geschützt. 

Anbieter auswählen, die Rechenzentren in den erforderlichen Regionen betreiben und rechtskonforme Rahmenbedingungen einhalten 

Ein Beispiel dafür ist Hornetsecurity. Mit unserem 365 Permission Manager können Sie sicherstellen, dass Ihre Datenverarbeitung den Anforderungen an Datenhoheit und -schutz gerecht wird. 

Auch Backup und Disaster Recovery rechtskonform gestalten 

Die Sicherung Ihrer Daten ist von grundlegender Bedeutung für die Cybersicherheit und die Widerstandsfähigkeit im Falle einer Geschäftsunterbrechung. Gleichzeitig muss Ihre Backup-Lösung auch die Anforderungen an die Datenresidenz und den Datenschutz erfüllen. 

Wie Hornetsecurity-Lösungen die Einhaltung der Datensouveränität unterstützen 

In einer zunehmend globalisierten Welt müssen sich Unternehmen darüber informieren, welche Länder die Datenhoheit über ihre Informationen beanspruchen und welche Gesetze dort gelten. Außerdem müssen sie sich laufend über Gesetzesänderungen informieren und gegebenenfalls Änderungen vornehmen. Je mehr Märkte Ihr Unternehmen erschließt, desto wichtiger und komplexer wird diese Aufgabe. 

Der 365 Permission Manager von Hornetsecurity unterstützt die Datensouveränität für alle Ihre Transaktionen und Interaktionen mit Microsoft 365-Diensten und -Lösungen: Teams, SharePoint, OneDrive und Gruppen. Diese leistungsstarke Lösung: 

• Bietet einen vollständigen Überblick über alle Ihre M365-Berechtigungen, 
• Verhindert, dass Benutzer sensible Informationen weitergeben, 
• Protokolliert jede Datenfreigabe, 
• Meldet Verstöße in Echtzeit, 
• Benachrichtigt Benutzer über Verstöße und fordert sie zur Korrektur auf und 
• Entfernt automatisch Daten und Dateien, die unter Verletzung von Richtlinien geteilt wurden, und kann sogar den Zugriff des verantwortlichen Benutzers einschränken oder entziehen. 

Der M365 Permission Manager ist die Premium-Lösung für M365-Benutzer, mit der Sie Ihre Daten nachverfolgen und den Überblick über Freigaben und Übertragungen behalten können. 

Lassen Sie nicht zu, dass komplexe Berechtigungen und Vorschriften Ihr Geschäft ausbremsen. Sie können sich darauf verlassen, dass Sie alle für Ihr Unternehmen geltenden Gesetze zur Datenhoheit einhalten. Erfahren Sie mehr über 365 Permission Manager oder buchen Sie jetzt Ihre Demo! 

Fazit 

Die Datensouveränität wird für Unternehmen immer wichtiger, um die Einhaltung von Vorschriften zu gewährleisten, sensible Informationen zu schützen und die Komplexität der globalen Datenverarbeitung in einer Welt, in der Cloud-Technologien zum Standard geworden sind, zu bewältigen. 

Die Gesetze können streng sein und die Strafen bei Nichteinhaltung hart, darunter hohe Geldstrafen oder sogar die Einschränkung des Geschäftsbetriebs. 

Gerade jetzt ist es entscheidend, den Überblick über Ihre Datenflüsse, Verarbeitungsprozesse und Dienstleister zu behalten, sowie sicherzustellen, dass alle Lösungen den geltenden Vorschriften entsprechen.  

Moderne Tools wie der 365 Permission Manager von Hornetsecurity helfen Ihnen dabei, die Kontrolle zu behalten und Ihre Compliance-Vorgaben zuverlässig umzusetzen.