Wie Sie die Herausforderungen bei der Datenhoheit überwinden
Compliance ohne Einschränkung der globalen Geschäftstätigkeit
Gesetze zur Datenhoheit stehen ganz oben auf der Agenda von IT-, Datenschutz-, Compliance- und Sicherheitsverantwortlichen. Mehr als 100 Länder haben Gesetze zum Schutz der persönlichen Daten ihrer Bürger erlassen – und das ist auch gut so. Die Einhaltung dieser Gesetze kann für global tätige Unternehmen jedoch eine große Herausforderung darstellen.
Der Begriff „Datenhoheit“ hat viele Bedeutungen. Oft geht es um das Recht einer Gruppe oder einer Einzelperson, ihre eigenen Daten zu kontrollieren und zu pflegen. In den letzten Jahren wurde der Begriff spezifischer verwendet, um sich auf die Idee zu beziehen, dass Daten, die an einem bestimmten geografischen Ort – z. B. in einem bestimmten Land – erhoben oder gespeichert werden, den Gesetzen dieser Jurisdiktion unterliegen sollten. Unabhängig davon, ob Menschen Kreditkarteninformationen auf einer E-Commerce-Website eingeben oder Kommentare auf einer Social-Media-Plattform posten, tragen Gesetze zur Datenhoheit dazu bei, dass diese Nutzerdaten von der Regierung des Staates reguliert werden, in dem diese Nutzenden Bürger sind.
Viele Länder haben auch Datenschutzgesetze erlassen, die die Bedingungen regeln, unter denen Daten, die innerhalb der Grenzen eines Landes generiert wurden, in andere Länder übertragen werden können. Die EU-DSGVO erlaubt beispielsweise grenzüberschreitende Datenübertragungen in andere Länder nur dann, wenn bestimmte Übermittlungsmechanismen eingerichtet wurden (wie das neue EU-U.S. Data Privacy Framework). Andere Länder, wie z. B. Russland, haben jedoch Gesetze zur Datenlokalisierung erlassen, die unter bestimmten Umständen vorschreiben, dass Daten, die innerhalb der Landesgrenzen generiert werden, auch innerhalb der Landesgrenzen verbleiben.
In den letzten zehn Jahren haben immer mehr Länder Gesetze zur Datenhoheit und Datenlokalisierung erlassen, da globale Unternehmen immer mehr personenbezogene Daten sammeln. Regierungen sorgen sich zunehmend darum, dass die Daten ihrer Bürger für die Regierungen anderer Länder zugänglich sind. Auf Datenschutz bedachte Regierungen wollen nicht, dass ihre Gegner – und manchmal sogar ihre Verbündeten – auf Informationen über ihre Bürger zugreifen oder diese kontrollieren können.
Die TikTok-App hat die Themen Datenhoheit, Datenlokalisierung und Datenschutz in das Bewusstsein der Öffentlichkeit gerückt. US-Gesetzgeber waren besorgt, dass die chinesische Regierung ohne Wissen der US-Regierung auf die Daten von Millionen von US-amerikanischen TikTok-Nutzenden zugreifen könnte. Die Sorge rührt daher, dass die Muttergesellschaft von TikTok, ByteDance Ltd., ihren Sitz in China hat und das chinesische Recht von Unternehmen die Herausgabe von Daten verlangen kann. Da einige Gesetzgeber drohten, die App zu verbieten, musste ByteDance zusagen, US-Kundendaten in den Vereinigten Staaten zu speichern.
Ihr Unternehmen ist vielleicht nicht so groß wie TikTok, das weltweit mehr als 1 Milliarde Nutzende hat. Die Gesetze zur Datenhoheit und die Forderung nach einer stärkeren Datenlokalisierung könnten sich jedoch nach wie vor stark auf Ihr Unternehmen auswirken.
Die Herausforderungen der Datenhoheit bewältigen
Die Datenhoheit stellt jedes Unternehmen, das weltweit tätig sein will, vor große Herausforderungen. Wenn Ihr Unternehmen in Frankreich ansässig ist, Sie aber beschließen, Ihre Produkte sowohl in Kanada als auch in Argentinien zu vertreiben, müssen Sie möglicherweise Wege finden, um kanadische und argentinische Kundendaten aufgrund von gesetzlichen Verpflichtungen, Branchenrichtlinien oder Zertifizierungsstandards in den jeweiligen Ländern zu speichern.
Mit der Expansion Ihres Unternehmens steigen auch die Anforderungen an die Einhaltung der Datenhoheit. Möglicherweise müssen Sie Wege finden, Ihre Daten in bestimmten Ländern zu verarbeiten und zu speichern, oder Sie müssen erhebliche Transaktionskosten in Kauf nehmen, um grenzüberschreitende Datenübertragungen zu ermöglichen.
Diese Herausforderungen sind für kleine Unternehmen besonders schwer zu bewältigen. Ein neu gegründetes Unternehmen könnte beispielsweise nicht über die Ressourcen verfügen, um Kundendaten in jedem Land zu speichern, in dem es tätig sein möchte. Die Führungskräfte des Start-ups müssen möglicherweise schwierige Entscheidungen über die globale Expansion treffen, wenn eine Datenlokalisierung erforderlich ist und das Unternehmen es sich nicht leisten kann, Datenspeicher in mehreren Ländern rund um den Globus einzurichten.
Globale Unternehmen müssen nicht nur darüber nachdenken, wie sie die Anforderungen an die Datenübertragung und -lokalisierung erfüllen können, sondern sie müssen auch die Herausforderungen verstehen, die Datenhoheit und Datenlokalisierung für die datengesteuerte Entscheidungsfindung mit sich bringen können. Sie möchten vielleicht aggregierte Daten analysieren, um wichtige Geschäftsentscheidungen zu treffen. Wenn Ihre Daten jedoch auf mehrere Länder verteilt sind, können Sie die Daten möglicherweise nicht einfach zentralisieren, um umfassende Analysen durchzuführen.
Dieser Herausforderung begegnete ich in meiner früheren Funktion als CISO eines großen globalen Unternehmens. Wir waren in Dutzenden von Ländern geschäftlich tätig und mussten in vielen dieser Länder Daten im Land bewahren, um die Vorschriften einzuhalten. Gleichzeitig mussten wir aber auch Entscheidungen über Betrug und Geldwäsche treffen, wofür ein Gesamtüberblick der Daten erforderlich ist.
Um die Datenaggregation zu ermöglichen und gleichzeitig die Gesetze zur Datenhoheit einzuhalten, entwickelten wir Regeln für den Datenzugriff und schufen eine Kontrollumgebung, um sicherzustellen, dass die Regeln für die Datenspeicherung und den Datenzugriff eingehalten wurden. Wir nannten dies unser Governance-Programm „Data Visa“ („Datenvisum“). Wir haben eine Reihe strenger Sicherheits-, Zugangs- und Datenkontrollen entwickelt, die rund um die Uhr überwacht werden, um sicherzustellen, dass es zu keinen Verstößen kommt. Das war fast so etwas wie ein vertrauliches oder hochrangiges Netz in der Regierung – wir hatten hochgesicherte Netze, aus denen die Daten nicht herauskommen konnten. Wir haben dieses Programm dann den Aufsichtsbehörden der Länder vorgestellt und ihnen erklärt, wie wichtig dieser Ansatz für unseren Fortbestand als Unternehmen ist. Wir haben die erforderlichen staatlichen Genehmigungen erhalten, um diesen Ansatz der Datenverwaltung voranzutreiben. Die meisten kleineren Unternehmen verfügen jedoch nicht über diesen Einfluss bei den Behörden oder über die Möglichkeit, intern innovative Data-Governance-Programme zu entwickeln.
Vorschriften einhalten und gleichzeitig Kosten und Komplexität kontrollieren
Wie können global agierende Unternehmen die Anforderungen an Datenhoheit und Datenlokalisierung erfüllen, ohne ein eigenes Rechenzentrum in mehreren Ländern zu errichten? Die Cloud scheint eine naheliegende Antwort zu sein. Sie müssen jedoch auch andere Fälle als den typischen Public Cloud-Anbieter berücksichtigen. Diese Unternehmen setzten auf ein zentralisiertes Modell zur Datenspeicherung. Ja, viele Cloud-Anbieter haben mehrere regionale Rechenzentren auf der ganzen Welt, aber höchstwahrscheinlich nicht an jedem Standort bzw. Land, in dem ihr Unternehmen tätig ist.
Um die Anforderungen an Datenhoheit und Datenlokalisierung zu erfüllen, müssen Sie mit Technologieunternehmen zusammenarbeiten, mit denen Sie Daten überall dort speichern und verarbeiten können, wo Sie Kunden haben.Sie müssen auch die Flexibilität haben, den Ort der Datenspeicherung zu wählen, Daten zu entschlüsseln, Verschlüsselungsschlüssel zu speichern, Datenprüfungen durchzuführen und Protokolle zu führen, um sicherzustellen, dass Ihre Kontrollumgebung den gesetzlichen Verpflichtungen zur Datenhoheit entspricht.
Je nachdem, wie Sie Ihre rechtlichen Verpflichtungen einschätzen, müssen Sie vielleicht Daten in einem bestimmten Land speichern, aber dennoch in der Lage sein, Daten für Analysen außerhalb dieses Landes zu aggregieren. Gleichzeitig könnten Sie rechtlich verpflichtet sein, dass die Daten niemals in einer dritten Gerichtsbarkeit zugänglich sein dürfen. Angesichts solch komplizierter rechtlicher Verpflichtungen werden Sie auch darüber nachdenken wollen, wie Sie die Zugriffskontrolle für diese Daten einrichten.
Die Einhaltung von Gesetzen zur Datenhoheit und Datenlokalisierung könnte auch ein Überdenken der Art und Weise erfordern, wie App aufgebaut ist und wo sie ausgeführt wird. So kann zum Beispiel durch die Erstellung von serverlosen Apps und deren Ausführung in bestimmten geografischen Regionen sichergestellt werden, dass die von der App verwendeten Daten dort bleiben, wo sie hingehören. Dieser Ansatz kann auch die Nutzererfahrung verbessern, da Apps physisch näher an den Nutzenden betrieben werden.
Wichtig ist auch die Festlegung einheitlicher Sicherheitsrichtlinien für alle Ihre Datenspeicher. Die Einheitlichkeit trägt dazu bei, dass es keine Schwachstellen in Ihrem globalen Netzwerk gibt. Zudem ermöglicht sie es Ihnen, die Komplexität der Verwaltung zahlreicher unterschiedlicher Umgebungen mit mehreren Tools zu vermeiden.
Vorwärtskommen ohne Einschränkungen
Sofern Sie sich bisher nicht mit Datenhoheit befasst haben, sollten Sie jetzt mit der Planung beginnen. In naher Zukunft werden Sie wahrscheinlich mit einer wachsenden Zahl von Gesetzen konfrontiert sein, die Sie verpflichten, Daten innerhalb bestimmter geografischer Grenzen zu speichern und zu verarbeiten. Wenn Ihr Unternehmen weltweit expandiert, stoßen Sie möglicherweise auf verschiedene, bereits bestehende Anforderungen an die Datenhoheit und die Datenlokalisierung.
Die gute Nachricht ist, dass die Einhaltung der Anforderungen an Datenhoheit und Datenlokalisierung nicht bedeuten muss, dass Sie ein neues Rechenzentrum errichten oder Ihre Expansionspläne einschränken müssen. Mit der richtigen Strategie können Sie Daten in jedem Land, in dem Sie geschäftlich tätig sind, sicher speichern und verarbeiten und dennoch zentral auf diese Daten zugreifen, um sie zu analysieren und Entscheidungen zu treffen – ohne übermäßige Kosten oder Komplexität.
Erfahren Sie, wie Cloudflare mit der Cloudflare Data Localization Suite Unternehmen bei der Einhaltung von Vorschriften zur Datenhoheit und Datenlokalisierung unterstützt.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Autor
Grant Bourzikas — @grantbourzikas
Chief Security Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Welche Herausforderungen die Datenhoheit für globale Unternehmen mit sich bringt
Wie Ihr Unternehmen die Gesetze einhalten kann, ohne seine geschäftlichen Aktivitäten einzuschränken
Worauf Sie bei Technologiepartnern achten sollten, um die Datenhoheit zu optimieren
Verwandte Ressourcen: