Was bedeutet Datenhoheit?

Datenhoheit bedeutet, dass die Daten den Gesetzen und Vorschriften des Landes oder der Region unterliegen, aus dem/der sie stammen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Das Konzept der Datenhoheit kennen
  • Datensouveränität, Datenresidenz und Datenlokalisierung vergleichen
  • Verstehen, wie sich Datenhoheit und Datenresidenz auf Programme zur Einhaltung des Datenschutzes auswirken können

Link zum Artikel kopieren

Was bedeutet Datenhoheit?

Der Begriff „Datenhoheit“ bezieht sich auf die Idee, dass Daten – wie z. B. geistiges Eigentum, Finanzdaten oder personenbezogene Informationen –, die an einem bestimmten geografischen Ort, wie z. B. einem bestimmten Land oder der EU, erhoben oder gespeichert werden, den Gesetzen dieses Ortes unterliegen sollten. Unabhängig davon, ob Menschen Kreditkarteninformationen auf einer E-Commerce-Website eingeben oder Kommentare auf einer Social-Media-Plattform posten, sollen Gesetze zur Datenhoheit dazu beitragen, dass diese Nutzerdaten von der Rechtssystem reguliert werden, in dem diese Nutzer Bürger sind.

Das weit gefasste Konzept der Datenhoheit ist häufig verwoben mit Fragen des Datenschutzes, des staatlichen Zugriffs auf Daten, der Sicherheit, des internationalen Wirtschaftswettbewerbs und der Menschenrechte. Einige Paradigmen der Datenhoheit wollen sicherstellen, dass Daten, die in einem Rechtsraum erzeugt werden, auch tatsächlich in diesem Rechtsraum verbleiben. Andere wollen sicherstellen, dass der Rechtsschutz für Daten, die in einem Rechtsraum erzeugt wurden, auch dann gilt, wenn sie in einem anderen Rechtsraum verarbeitet oder gespeichert werden. Wieder andere wollen sicherstellen, dass in einem Rechtsraum erzeugte Daten zumindest für die Strafverfolgung in diesem Rechtsraum verfügbar bleiben, unabhängig davon, ob sie anderswo verarbeitet oder gespeichert werden.

Fast jedes Land hat ein Datenschutzgesetz, das die persönlichen Daten seiner Bürger in gewisser Weise schützt. Relevante Beispiele für Regelungen zur Datenhoheit sind:

  1. Die Datenschutz-GrundverordnungBeschreibung (DSGVO) und die Datenschutzrichtlinie für elektronische Kommunikation
  2. Das kalifornische Verbraucherdatenschutzgesetz (CCPA und CPRA)
  3. Die australischen Datenschutzprinzipien (APP)
  4. Das japanische Gesetz zum Schutz persönlicher Daten (APPI)

Ein Beispiel für eine Verordnung zur Datenhoheit in der Praxis: Stellen Sie sich einen E-Commerce-Shop vor, der Waren an Kunden in der ganzen Welt verkauft, auch in der EU. Um Bestellungen von Kunden aus der EU abwickeln zu können, erhebt und verarbeitet der Shop eine Vielzahl von Nutzerdaten, darunter Namen, Adressen und Rechnungsinformationen.

Unabhängig davon, wo sich der E-Commerce-Shop befindet, gilt die DSGVO für die Daten von EU-Kunden. Das bedeutet, dass der Shop seine Kunden ausdrücklich über die Erhebung ihrer Daten informieren muss und nur solche persönlichen Daten erheben darf, die für die Transaktion relevant sind (in diesem Fall Informationen über die Bestellabwicklung). Will der Händler weitere personenbezogene Daten erheben und für andere Zwecke verwenden, z. B. für den Versand von Marketing-E-Mails, muss er die Einwilligung des Kunden einholen (die jederzeit widerrufen werden kann).

Darüber hinaus können Kunden gemäß der DSGVO Auskunft über die von ihnen gesammelten Daten verlangen und das Unternehmen auffordern, ihre Daten zu berichtigen oder zu löschen („Anfragen der betroffenen Person“). Das bedeutet, dass der E-Commerce-Shop auch Systeme zur Annahme und Beantwortung solcher Anfragen der betroffenen Person einrichten muss.

Wie wirken sich Datenhoheit und Datenlokalisierung auf Programme zur Wahrung des Datenschutzes aus?

Datenhoheit und Datenlokalisierung sind eng miteinander verbundene Konzepte. Wie bereits erwähnt, bedeutet Datenhoheit, dass Daten den Gesetzen des Landes oder der Region unterliegen, in der sie verarbeitet werden. Unter Datenlokalisierung versteht man dagegen die Speicherung von Daten innerhalb der physischen Grenzen des Landes oder der Region, aus dem bzw. der sie stammen. Sie wird häufig eingesetzt, um sicherzustellen, dass hochsensible Informationen, wie Bankdaten oder Gesundheitsinformationen, mit den lokalen Vorschriften entsprechend behandelt werden, da die Übertragung oder Verarbeitung dieser Daten in einer anderen Region das Risiko von Compliance-Verstößen birgt.

Nehmen wir wieder den oben beschriebenen E-Commerce-Händler: Von dem Moment an, in dem er die persönlichen Daten verarbeitet, muss er die verschiedenen rechtlichen Rahmenbedingungen beachten, die für die gesammelten Verbraucherdaten gelten. Wenn das Unternehmen nicht die Vorschriften mit dem größtmöglichen Schutz auf alle Kundendaten anwenden will, muss das E-Commerce-Unternehmen seine Daten so zuordnen, dass die anwendbaren Datenschutzbestimmungen für diese persönlichen Daten gelten.

Darüber hinaus können die Vorschriften über die Datenhoheit erhebliche Auswirkungen auf Entscheidungen darüber haben, wo Daten verarbeitet und gespeichert werden. Einige dieser Gesetze wirken sich auch auf grenzüberschreitende Datenübermittlungen aus, da der rechtliche Schutz personenbezogener Daten den Daten nachfolgt, unabhängig davon, wo sie verarbeitet werden.

Wenn das E-Commerce-Unternehmen die Daten von EU-Bürgern in ein Rechenzentrum außerhalb der EU übertragen möchte, muss es sich überlegen, welchen der von der DSGVO zugelassenen rechtlichen Mechanismen es für die Übertragung der Daten nutzen möchte. Je nachdem, wo das Unternehmen ansässig ist, muss es möglicherweise besondere vertragliche Vereinbarungen treffen, um persönliche Daten aus der EU außerhalb der EU zu verarbeiten, oder sich nach einem Angemessenheitsrahmen wie dem EU-US-Datenschutzrahmen zertifizieren lassen.

Die Art der Datenhoheit und die Anforderungen an die Lokalisierung der persönlichen Daten, die ein Unternehmen verarbeitet, können ebenfalls die Entscheidung eines Unternehmens über die Nutzung einer cloudbasierten Speicherlösung beeinflussen. Cloud-Speicher bieten mehr Flexibilität und Skalierbarkeit, und viele bieten auch Lösungen zur Datenlokalisierung. Um jedoch sehr konservativen Rechtssystemen mit strengen Lokalisierungsanforderungen gerecht zu werden, muss ein Unternehmen möglicherweise zusätzlich zu –oder anstelle von – cloudbasierten Lösungen nach einer On-Premise-Speicherlösung suchen.

Wie Cloudflare Unternehmen bei der Datenhoheit und Datenlokalisierung unterstützt

Cloudflare bietet seinen Kunden und Endnutzern schon seit langem Datenschutz, noch bevor dieser Schutz gesetzlich verankert wurde. Wir glauben, dass man nicht über die Einhaltung bestimmter Gesetze sprechen sollte, sondern dass es wichtig ist, diese Einhaltung auch nachzuweisen.

Cloudflare ist nach ISO/IEC 27701:2019 zertifiziert (was der EU-DSGVO entspricht) und erfüllt die Anforderungen von ISO 27001/27002, Payment Card Industry Data Security Standards (PCI DSS) und SSAE 18 SOC 2 Type II. Cloudflare ist auch nach dem EU-US Data Privacy Framework, dem Swiss-US Data Privacy Framework und der britischen Erweiterung des EU Data Privacy Framework zertifiziert. Darüber hinaus ist Cloudflare nach dem EU Cloud Code of Conduct zertifiziert. Diese und andere Zertifizierungen geben Organisationen, die ihre sensiblen Daten über Cloudflare übertragen, Sicherheit und helfen Unternehmen, ihre eigenen Compliance-Verpflichtungen zu erfüllen und aufrecht zu erhalten.

Cloudflare befolgt seit langem Grundsätze, die sich an den gängigen Vorschriften zur Datenhoheit orientieren:

  • Cloudflare sammelt nur die persönlichen Daten, die wir für die Bereitstellung unserer Dienste und für die Verbesserung unserer Produkte für unsere Kunden benötigen.
  • Cloudflare verfolgt die Endnutzer unserer Kunden nicht über Internetwebsites hinweg, und wir erstellen keine Profile der Endnutzer unserer Kunden, um Werbung zu verkaufen.
  • Cloudflare gibt Kunden die Möglichkeit, auf ihre personenbezogen Daten zuzugreifen, sie zu korrigieren oder zu löschen
  • Cloudflare gibt Kunden die Kontrolle über die Informationen, die von verschiedenen Diensten verarbeitet werden – zum Beispiel alle Daten, die im Content Delivery Network (CDN) gecacht, in Workers Key Value Store gespeichert oder von der Web Application Firewall (WAF) erfasst werden

Darüber hinaus kann Cloudflare auch bei der Erfüllung aller Anforderungen an die Datenlokalisierung helfen. Unsere Data Localization Suite macht es Unternehmen leicht, Regeln und Kontrollen an der Internet-Edge festzulegen und Daten lokal gespeichert und geschützt zu halten.

Erfahren Sie mehr darüber, wie Sie die Dienste von Cloudflare nutzen und gleichzeitig die Datenhoheit einhalten können.