Die Datenschutz-Grundverordnung (DSGVO) hat die Welt des Datenschutzes verändert – größtenteils zum Besseren. Diese bahnbrechende europäische Richtlinie hat jedoch nicht nur neue Maßstäbe für den Schutz von Verbraucherdaten im Internet gesetzt, sondern auch eine Flut von Regulierungsmaßnahmen ausgelöst, die auf der zweifelhaften Idee beruhten, dass die Lokalisierung von Daten ihre Privatsphäre und Sicherheit erhöht.
Datenschutzgesetze mit Lokalisierungsbestimmungen gab es in einigen Ländern schon vor der DSGVO, oft aus Gründen der nationalen Sicherheit. Doch seit die DSGVO im Jahr 2018 in Kraft trat, haben nach Angaben der Kommission der Vereinten Nationen für Handel und Entwicklung mindestens 30 Länder neue Datenschutzgesetze erlassen oder bestehende geändert, und viele von ihnen beschränken die Übermittlung personenbezogener Daten an bestimmte andere Länder.
Datenschutz ist meine Leidenschaft und das Thema wurde noch nie so ernst genommen wie heute. Ich denke ständig darüber nach und bin froh, dass so viele andere Menschen Aufsichtsbehörden und Unternehmen dies ebenfalls tun. Aber die Lokalisierung von Daten macht sie nicht privater. Der zunehmende Druck, manchmal uneinheitliche und inkompatible Regeln zur Datenlokalisierung einzuhalten, kann es für Unternehmen sogar schwieriger machen, die Privatsphäre der von ihnen verarbeiteten Daten zu schützen. Und eine Nichteinhaltung der Vorschriften ist kostspielig. Das hat Meta erfahren, als die irischen Aufsichtsbehörden gegen das Unternehmen eine Geldstrafe von 1,2 Mrd. EUR für die Übertragung lokal erstellter Daten in die Vereinigten Staaten verhängten.
Die DSGVO wird allgemein als Goldstandard für den Schutz der Privatsphäre angesehen. Sie verankert die Rechte betroffener Personen und schreibt Praktiken für den Umgang mit Daten vor, die von Gesetzgebern in anderen Ländern übernommen wurden. Darüber hinaus haben viele Unternehmen aufgrund der umfassenden Anforderungen der DSGVO den Ansatz gewählt, die Standards der DSGVO auf alle von ihnen verarbeiteten personenbezogenen Daten anzuwenden. Infolgedessen sind die persönlichen Daten von Milliarden von Menschen weltweit auf dem von der DSGVO festgelegten Niveau geschützt, unabhängig davon, ob sie in Europa leben oder nicht.
Eine der (vielleicht unbeabsichtigten) Auswirkungen der DSGVO ist jedoch die Tatsache, dass die geografische Lage nunmehr als Indikator für den Ausmaß an Datenschutz angesehen wird. Vor der DSGVO gab es nur begrenzte Anwendungsfälle für die Datenlokalisierung. Regierungen haben die Lokalisierungsanforderungen in Verträge geschrieben, um bestimmte Daten vor Ausländern zu schützen, oder autoritäre Staaten haben sie vorgeschrieben, um den Zugriff der Regierung auf private Daten zu ermöglichen. Mit der DSGVO hat sich der Fokus aber noch stärker auf die Regulierung grenzüberschreitender Datenübermittlungen konzentriert. Als das Urteil Schrems II des Europäischen Gerichtshofs 2020 das EU-US Privacy Shield für ungültig erklärte, spornte es eine Reihe von Regulierungsbehörden zu der Ansicht an, dass eine Übermittlung von EU-Daten in die Vereinigten Staaten nach den von diesem Gericht festgelegten Standards nicht zulässig wäre. Und da einige der größten Cloud-Anbieter ihren Sitz in den USA haben, hatte diese Entscheidung erhebliche Auswirkungen für Unternehmen auf der ganzen Welt.
Die Idee hinter der Datenlokalisierung – dass Daten an dem Ort gespeichert und verarbeitet werden sollten, an dem sie generiert werden – ist verlockend einfach. Wenn die Daten der Bürger eines Landes auf Servern innerhalb des Landes bleiben, so die Überlegung, kann das Land diese Daten sicher aufbewahren und sicherstellen, dass die Daten in Übereinstimmung mit den lokalen Gesetzen behandelt werden. In der Praxis führt dies jedoch zu einem stärker fragmentierten Internet, in dem Datenschutz und Sicherheit nur schwer zu gewährleisten sind. Durch die Schaffung künstlicher geografischer Silos verringert die Datenlokalisierung unsere Fähigkeit, Sicherheitslücken zu erkennen und proaktiv zu beheben. Wenn Daten zu Bot-Trends in Indien beispielsweise nicht an Cybersicherheitsexperten in Indiana weitergegeben werden können, wird das Internet für alle gefährlicher. Zudem kann die Lokalisierung von Daten auch gefährliche Auswirkungen auf die nationale Sicherheit eines Landes haben, wie die Ukraine nach dem Einmarsch Russlands im Jahr 2022 feststellen musste.
Soweit zu den allgemeinen Folgen. Für einzelne Organisationen, die angesichts der zunehmenden Verbreitung von Lokalisierungsvorschriften zurechtkommen müssen, ist das Bestehen so vieler nationaler, regionaler und lokaler Vorschriften ein großes Problem. Es ist beängstigend, eine IT-Infrastruktur zusammenflicken zu müssen, die alle diese Bedürfnisse ohne Abstriche bei der Performance erfüllen können soll.
Es ist beängstigend, aber nicht unmöglich, wenn man bei der Bewertung von Sicherheits- und Datenschutzlösungen die richtigen Fragen stellt. Sowohl regulatorische Verpflichtungen als auch die Anforderungen von Kunden und Nutzern können Sie mit Produkten und Anbietern erfüllen, die einer proaktiven Einhaltung der Vorschriften, Ausfallsicherheit und Transparenz den Vorrang einräumen.
Bei der Evaluierung, ob ein Sicherheitstool Ihnen helfen kann, die Anforderungen an die Datenlokalisierung zu erfüllen und die Ergebnisse zu liefern, die Ihre Nutzer erwarten, sollten Sie diese drei wichtigen Fragen berücksichtigen:
Verfügt es über eine wirklich globale Präsenz und Ausrichtung?
Ein Tool gibt Ihnen keine Kontrolle über den Speicherort von Daten, wenn die zugrundeliegende Software und Hardware nicht bereits in vielen Ländern und Regionen einsatzbereit und konform ist. Außerdem sollten Sie sich für einen Anbieter entscheiden, der die Feinheiten der Datenschutzbestimmungen in allen Ländern, in denen er Nutzer hat, sorgfältig berücksichtigt hat.
Gibt das Tool einen Überblick darüber, wo (und wie) Ihre Daten verarbeitet werden?
Sie können nicht sicher sein, dass Sie die lokalen Vorschriften für den Umgang mit Daten einhalten, wenn Sie nicht genau wissen, wo sich Ihre Daten befinden, und Ihnen nicht deutlich erklärt wird, was mit ihnen während der Übertragung und im Ruhezustand geschieht.
Stellt der Anbieter Datenschutz und Sicherheit an erste Stelle?
Das Unternehmen, das hinter dem Produkt steht, sollte über eine ganze Reihe von datenschutzrelevanten Zertifizierungen von Standardisierungsorganisationen und Regierungsbehörden verfügen. Außerdem sollte es nachweisen können, dass es seit jeher die Verschlüsselung von Benutzerdaten sicherstellt, unabhängig davon, wo diese Daten gespeichert sind. Und es sollte Erfahrung darin haben, sich gegen staatliche Datenanfragen zu wehren, die mit den Datenschutzgesetzen des Heimatlandes der betroffenen Person in Konflikt stehen.
Bei Cloudflare sind wir der Meinung, dass die Art und Weise, wie Sie Ihre Daten schützen, wichtiger ist als der Ort, an dem Sie dies tun. Wir haben ein globales Cloud-Netzwerk aufgebaut, das den Datenschutz an die erste Stelle setzt, indem es die Sicherheit an die erste Stelle setzt, und wir verfügen über die Zertifizierungen, die unseren Ansatz best ätigen – ISO 27701 und ISO 27018 – sowie eine Validierung gemäß dem EU-US-Datenschutzrahmen und dem EU Cloud Code of Conduct.
Da wir jedoch erkannt haben, dass einige unserer Kunden Tools zur Lokalisierung benötigen, haben wir die Macht dieses globalen Netzwerks in die Hände unserer Kunden gelegt, und zwar mit einer Reihe von Lokalisierungstools, die einen zentralen Einblick in den Zustand ihrer Daten und die Kontrolle darüber bieten, wo sie verwendet und gespeichert werden.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Wie die geografische Lage ein Indikator für das Ausmaß an Datenschutz wurde
Die Unzulänglichkeiten der Datenlokalisierung
Drei wichtige Fragen bei der Bewertung von Sicherheitstools