Cloud-Sicherheit

Was ist Datenhoheit?

Q: Was ist Datenhoheit?

Datensouveränität ist das Prinzip, dass Daten den Gesetzen und Governance-Strukturen des Landes oder der Gerichtsbarkeit unterliegen, in dem/der sie gesammelt oder gespeichert werden. Dies kann die Fähigkeit einer Regierung beeinflussen, rechtliche Befugnisse über Daten auszuüben, die sich physisch innerhalb ihrer Grenzen befinden, unabhängig davon, wo die Organisation die Daten primär speichert. Dies ist wichtig, da die Regeln, die Ihre Daten regeln, nicht davon abhängen, wo sich Ihr Unternehmen befindet. Sie werden davon bestimmt, wo die Daten gespeichert sind. Zum Beispiel unterliegt ein US-amerikanisches Unternehmen, das Kundendaten auf Servern in Frankfurt speichert, sowohl dem EU-Recht für diese Daten als auch dem amerikanischen Recht.

Q: Welche Geschäftsrisiken birgt die Nichteinhaltung von Gesetzen zur Datenhoheit?

Zu den Geschäftsrisiken gehören: Kategorie Geschäftswert der Einhaltung von Datensouveränität. Regulatorische Angleichung: Compliance ist mit einer potenziellen Reduzierung von Bußgeldern verbunden und deutet auf etablierte Governance-Praktiken hin. Vertragsberechtigung: Die Erfüllung lokaler Datenverarbeitungsanforderungen ermöglicht die Teilnahme an Verträgen des öffentlichen Sektors und regulierter Industrien. Operative Widerstandsfähigkeit: Proaktive Datenlokalisierungsstrategien minimieren Störungen durch regulatorische Änderungen. Reputation: Grenzüberschreitende Datenverwaltungspraktiken stehen im Zusammenhang mit Kundenvertrauen und Marktwahrnehmungen. Rechtliche und strategische Flexibilität: Die Existenz gut strukturierter Compliance-Frameworks kann mit organisatorischen Abläufen (in mehreren Gerichtsbarkeiten) in Verbindung gebracht werden.

Q: Welche Technologien ermöglichen Datenhoheit?

Datenhoheit geht über die Erfüllung gesetzlicher Anforderungen hinaus; sie erfordert auch geeignete technische Systeme. Um Hoheit wirklich durchzusetzen, müssen mehrere Technologien kombiniert werden: 1. Souveräne Cloud-Plattformen beziehen sich auf lokale Infrastrukturen, die innerhalb definierter rechtlicher und geografischer Grenzen betrieben werden, wodurch die Abhängigkeit von Systemen vermieden wird, die von ausländischen Mächten kontrolliert werden. 2. Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) gewähren der Organisation die Kontrolle über Verschlüsselungsschlüssel und können so die Fähigkeit des Cloud-Anbieters einschränken, Daten zu entschlüsseln, selbst auf rechtliche Anfragen hin. 3. Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) sind zwei verschiedene Ebenen, die dem Kunden das Behalten des Schlüssels ermöglichen. Die Cloud erleichtert typischerweise kryptografische Operationen, entschlüsselt die Daten aber im Allgemeinen nicht. 4. Datenresidenzkontrollen sind Konfigurationen, die die Datenreplikation oder -sicherung auf bestimmte Regionen beschränken. 5. Vertrauliches Rechnen bietet Hardware-Unterstützung (z. B. durch Intel SGX oder AMD SEV) zum Schutz von Daten während der Verarbeitung, ergänzend zum Schutz von ruhenden oder übertragenen Daten. 6. Die Zero-Trust-Architektur basiert auf der ständigen Überprüfung der Identität und dem Prinzip der geringsten Rechte für den Zugriff.

Autor: Ioana Grigorescu, Content Managerin

Geprüft von: George Ploaie, Chief Operating Officer (COO)

Was ist Datenhoheit?

Datenhoheit ist das Prinzip, dass Daten den Gesetzen und Regierungsstrukturen des Landes oder der Gerichtsbarkeit unterliegen, in dem/der sie erfasst oder gespeichert werden. Dies kann die Fähigkeit einer Regierung beeinflussen, rechtliche Autorität über Daten auszuüben, die sich physisch innerhalb ihrer Grenzen befinden, unabhängig davon, wo die Organisation die Daten primär speichert.

Dies ist wichtig, weil der Regelsatz, der Ihre Daten regelt, nicht davon abhängt, wo sich Ihr Unternehmen befindet. Er wird davon bestimmt, wo die Daten gespeichert sind. Beispielsweise unterliegt ein US-amerikanisches Unternehmen, das Kundendaten auf Servern in Frankfurt speichert, für diese Daten sowohl dem EU-Recht als auch dem amerikanischen Recht.

Was ist der Unterschied zwischen Datenhoheit, Datenresidenz und Datenlokalisierung?

Diese drei Begriffe sind miteinander verknüpft, aber nicht identisch. Die Compliance-Einhaltung kann durch Abweichungen in ihrer Anwendung beeinflusst werden.

Datenhoheit ist ein Rechtsbegriff. Das Recht einer Nation, Daten innerhalb ihres Hoheitsgebiets zu regulieren. Es beantwortet die Frage: „Wer ist zuständig?“
Datenresidenz ist eine rechtliche oder vertragliche Anforderung, die vorschreibt, wo Daten geografisch gespeichert werden müssen. Es beantwortet die Frage: „Wo ‚leben‘ die Daten?“
Die Datenlokalisierung hat die strengste Form. Eine gesetzliche Anforderung, dass Daten sowohl innerhalb eines Landes gespeichert als auch verarbeitet werden müssen, mit Beschränkungen für den grenzüberschreitenden Transfer. Sie beantwortet die Frage: “Können die Daten überhaupt ausgelagert werden?”

Was ist eine „Souveräne Cloud“?

Eine souveräne Cloud ist ein Cloud-Dienst, der auf den Anforderungen eines Landes an die Datensouveränität basiert. Um sicherzustellen, dass ausländische Regierungen, Gerichte und Unternehmen keine Daten ohne die Genehmigung des Gastlandes erhalten können, werden souveräne Clouds von lokalen Einheiten (oder durch streng kontrollierte Partnerschaften) betrieben, im Gegensatz zu standardmäßigen Public Clouds, die von globalen Hyperscalern betrieben werden.

Lokal verwaltet und im Besitz: Betrieben von einem lokalen Unternehmen oder einem Joint Venture, bei dem die Einheimischen die Mehrheit halten.
Jurisdiktionale Abgrenzung: Nationale oder regionale Vorschriften am Datenstandort können den Prozess grenzüberschreitender Datenübertragungen beeinflussen.
Regulatorische Übereinstimmung: Sie erfolgen im Einklang mit nationalen Gesetzen, wie etwa der GDPR, Frankreichs SecNumCloud oder Deutschlands C5-Standard.

Welche Geschäftsrisiken birgt die Nichteinhaltung von Gesetzen zur Datenhoheit?

Geschäftsrisiken umfassen:

Kategorie	Geschäftlicher Wert der Einhaltung der Datensouveränität
Regulatorische Angleichung	Compliance ist mit einer potenziellen Reduzierung von Bußgeldern verbunden und deutet auf etablierte Governance-Praktiken hin.
Vertragsberechtigung	Die Einhaltung lokaler Datenverarbeitungsanforderungen ermöglicht die Teilnahme an Verträgen im öffentlichen Sektor und in regulierten Branchen.
Operative Resilienz	Proaktive Strategien zur Datenlokalisierung minimieren Störungen durch regulatorische Änderungen.
Reputation	Grenzüberschreitende Datenmanagementpraktiken stehen im Zusammenhang mit Kundenvertrauen und Marktperzeptionen.
Rechtliche und strategische Flexibilität	Das Vorhandensein gut strukturierter Compliance-Frameworks kann mit operativen Tätigkeiten von Organisationen (in mehreren Gerichtsbarkeiten) in Verbindung gebracht werden.

Welche Technologien ermöglichen Datenhoheit?

Datensouveränität bedeutet nicht nur die Einhaltung gesetzlicher Vorschriften; sie umfasst auch die Verfügbarkeit geeigneter technischer Systeme. Um Souveränität wirklich durchzusetzen, müssen mehrere Technologien kombiniert werden:

Souveräne Cloud-Plattformen bezeichnen lokale Infrastrukturen, die innerhalb definierter rechtlicher und geografischer Grenzen betrieben werden, wodurch eine Abhängigkeit von Systemen, die von ausländischen Mächten kontrolliert werden, vermieden wird.
Kundenverwaltete Verschlüsselungsschlüssel (CMEK) ermöglichen der Organisation die Kontrolle über Verschlüsselungsschlüssel, wodurch die Fähigkeit des Cloud-Anbieters, Daten zu entschlüsseln, potenziell eingeschränkt wird, selbst als Reaktion auf rechtliche Anfragen.
Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) sind zwei unterschiedliche Ansätze, die dem Kunden die Möglichkeit bieten, den Schlüssel zu behalten. Die Cloud erleichtert typischerweise kryptografische Operationen, entschlüsselt die Daten aber im Allgemeinen nicht.
Datenresidenzkontrollen sind Konfigurationen, die die Datenreplikation oder -sicherung auf bestimmte Regionen beschränken.
Vertrauliches Rechnen bietet Hardware-Unterstützung (z.B. durch Intel SGX oder AMD SEV) zum Schutz von Daten während der Verarbeitung, zusätzlich zu ruhenden Daten oder Daten während der Übertragung.
Die Zero-Trust-Architektur basiert auf der ständigen Überprüfung der Identität und dem Prinzip der geringsten Rechte für den Zugriff.

Welche Herausforderungen birgt die Datenhoheit?

Die praktische Anwendung von Datensouveränität kann komplexe Überlegungen mit sich bringen. Die Hauptbedenken werden in drei Schlüsselbereiche unterteilt:

Kosten. Die Kosten, die mit dem Aufbau souveräner Cloud-Infrastruktur unterscheidet sich von denen einer Standard- Public Cloud.
Management. Organisationen, die in mehreren Rechtsgebieten tätig sind, müssen in jedem Land unterschiedliche Regeln befolgen.
Gesetze. Souveräne Rechtssysteme können divergierende Auslegungen zulassen, und technische Lösungen stellen möglicherweise keine universell anwendbare Antwort dar.

Weitere zu berücksichtigende Bereiche umfassen:

Im Gegensatz zu globalen Hyperscalern kann die Anzahl kleinerer, souveränitätskonformer Anbieter mit deren Funktionsumfang in Verbindung stehen.
Unterschiede bei der Normenentwicklung zwischen Ländern können die Entstehung einer konsistenten globalen Compliance-Haltung beeinflussen.

Schlussfolgerung

Datensouveränität ist kein Compliance-Problem, sondern ein strategisches Thema für Unternehmen. Das Verständnis ihrer Komponenten, ihrer Abgrenzung von Datenresidenz und Lokalisierung sowie der beteiligten Technologien und Organisationsstrukturen bietet Unternehmen eine Grundlage für das weitere Vorgehen. Kostenüberlegungen, Komplexitätsfaktoren und das Fehlerrisiko sind Aspekte, die es zu bewerten gilt.

Was ist Datenhoheit?

Was ist Datenhoheit?

Was ist der Unterschied zwischen Datenhoheit, Datenresidenz und Datenlokalisierung?

Was ist eine „Souveräne Cloud“?

Welche Geschäftsrisiken birgt die Nichteinhaltung von Gesetzen zur Datenhoheit?

Welche Technologien ermöglichen Datenhoheit?

Welche Herausforderungen birgt die Datenhoheit?

Schlussfolgerung

Bereit anzufangen?