Was ist Datenhoheit?

Die Datenhoheit bezieht sich auf den Grundsatz, dass Daten, die in einem bestimmten Land erzeugt oder erfasst werden, den Gesetzen dieses Landes unterliegen. Dazu gehören fast alle Arten von Daten, z. B. personenbezogene Daten, Finanzunterlagen oder geistiges Eigentum.

Dieses Konzept unterliegt vielen verschiedenen Datenschutzbestimmungen. Einige zielen darauf ab, sicherzustellen, dass die Daten physisch in dem Land verbleiben, in dem sie erstellt wurden. Andere möchten sicherstellen, dass für Daten, die an einem Ort erzeugt, aber an einem anderen gespeichert werden, der gleiche Rechtsschutz gilt.

Wie wirkt sich die Hoheit auf den Datenschutz und die Datensicherheit aus?

Insbesondere ist die Hoheit untrennbar mit dem Datenschutz verbunden. Warum? Denn so wird sichergestellt, dass die Daten den Rechtsprechungsvorschriften des Landes unterliegen, in dem sie sich befinden und dessen Benutzer:innen Bürger:innen sind. Das bedeutet, dass Organisationen lokale Datenschutzgesetze einhalten müssen, die häufig Einschränkungen enthalten für:

• Datenerhebung
• Datenverarbeitung
• Gemeinsame Nutzung von Daten
• Datenspeicherung
• Datenzugriff
• Daten-Governance

Die Hoheit hat auch erhebliche Auswirkungen auf die Datensicherheit. Datenschutzgesetze betonen in der Regel den Datenschutz und schreiben robuste Sicherheitsmaßnahmen vor – Verschlüsselung, Zugriffskontrolle, kontinuierliche Überwachung und mehr. Das bedeutet, dass ausländische Organisationen den lokalen Vorschriften unterliegen, wenn sie mit Daten umgehen, die aus dem jeweiligen Rechtsraum stammen.

Beispiel: Die Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung wird oft als das weltweit umfassendste Datenschutzgesetz angesehen. Jede Einrichtung, die personenbezogene Daten von Personen innerhalb der Europäischen Union (EU) verarbeitet, muss die DSGVO einhalten, unabhängig davon, wo die Organisation ihren Sitz hat.

Stellen Sie sich beispielsweise einen multinationalen Anbieter von Cloud-Diensten vor, der seinen Sitz in den Vereinigten Staaten hat, aber in Frankreich tätig ist. Gemäß den Anforderungen der Datenschutz-Grundverordnung muss dieses Unternehmen unter anderem die folgenden Regeln einhalten:

• Datenerfassung: Der Cloud-Anbieter muss die ausdrückliche Zustimmung einholen, bevor er personenbezogene Daten von EU-Bürgerinnen und -Bürgern erfasst oder verarbeitet.
• Datenspeicherung: Das Unternehmen muss die personenbezogenen Daten der Bürger:innen in einem Rechenzentrum in der EU speichern.
• Datenzugriff: Es muss strenge Zugriffskontrollmechanismen einführen, um das Risiko einer Datenverletzung zu mindern. Ebenso sollten die Bürgerinnen und Bürger in der Lage sein, ihre Datenschutzrechte auszuüben, z. B. Zugriff auf ihre Daten, Berichtigung von Ungenauigkeiten und Aufforderung zur Löschung ihrer personenbezogenen Daten.

Zusätzlich zu diesen Gesetzen unterliegt derselbe Anbieter von Cloud-Diensten auch den Vorschriften an jedem anderen Ort, an dem er personenbezogene Daten verarbeitet.

Beispiel: Kalifornisches Verbraucherschutzgesetz (California Consumer Privacy Act, CCPA)

Der CCPA und sein Nachfolger – der California Privacy Rights Act (CPRA) – sind die beiden wichtigsten Gesetze zur Datenhoheit in den USA. Im Allgemeinen gilt er für Unternehmen, die personenbezogene Daten von Einwohnern Kaliforniens erfassen und bestimmte Umsatzschwellen erreichen.

Nehmen wir an, ein E-Commerce-Unternehmen mit Sitz in Frankreich bedient kalifornische Verbraucher:innen. Gemäß den Datenschutzbestimmungen des CCPA muss dieses Unternehmen die entsprechenden Vorschriften einhalten, darunter:

• Datenerfassung: Das Unternehmen muss die Einwohner:innen vor oder zum Zeitpunkt der Datenerhebung über die Kategorien personenbezogener Daten informieren, die es erfasst.
• Gemeinsame Nutzung von Daten: Außerdem muss er den Verbraucherinnen und Verbrauchern auf seiner Website einen eindeutigen und gut sichtbaren Link zur Verfügung stellen, über den sie sich gegen den Verkauf ihrer Daten entscheiden können.
• Datenzugriff: Das Unternehmen muss den Einwohnern Zugriff auf alle persönlichen Daten gewähren, die in den letzten 12 Monaten erfasst wurden.

Insbesondere unterliegt dieses französische Unternehmen auch der DSGVO, wenn es personenbezogene Daten von EU-Bürgern verarbeitet. Dies führt zu einem komplexen und oft widersprüchlichen Geflecht von Anforderungen an die Einhaltung von Vorschriften.

Datenhoheit vs. Datenlokalisierung vs. Datenresidenz

Datenlokalisierung und Datenresidenz sind verwandte, aber unterschiedliche Konzepte unter dem übergreifenden Dach der Datenhoheit. Betrachten wir die wichtigsten Unterschiede:

1. Datenhoheit: Ein Rechtsgrundsatz, der besagt, dass Daten den Gesetzen des Landes unterliegen, in dem sie erhoben werden. Die Hoheit konzentriert sich auf die gerichtliche Kontrolle und die Einhaltung der lokalen Datenschutzbestimmungen.
2. Datenlokalisierung: Ein Verfahren zur Datenspeicherung, bei dem Organisationen Daten innerhalb der physischen Grenzen ihres Ursprungsortes aufbewahren. Dies trägt dazu bei, die Einhaltung der Gesetze zur Datenhoheit durchzusetzen und aufrechtzuerhalten. So wird die Datenlokalisierung häufig eingesetzt, um sicherzustellen, dass sensible Informationen – wie Bankdaten oder medizinische Unterlagen – durch lokale Vorschriften geschützt sind.
3. Datenresidenz: Bezieht sich auf den genauen physischen Ort, an dem die Daten gespeichert werden, und umfasst in der Regel die Infrastruktur des Rechenzentrums. Organisationen wählen die Optionen für die Datenresidenz auf der Grundlage der Einhaltung gesetzlicher Vorschriften, der Latenzzeit und der Anforderungen an die Notfallwiederherstellung. Ein Rechenzentrum in einem Land kann logistisch und rechtlich sinnvoller sein als die Speicherung von Informationen an einem anderen Ort.

Zusammenfassend lässt sich sagen, dass Hoheit beide verwandte Konzepte umfasst. Organisationen müssen jedoch alle drei Aspekte berücksichtigen, um Datenströme zu verwalten und die Vorschriften einzuhalten.

Die Datenhoheit ist wichtig für die nationale Sicherheit, da sie es den Regierungen ermöglicht, die Speicherung und Verarbeitung sensibler Daten zu regeln und die grenzüberschreitende Übermittlung bestimmter Arten von Daten zu beschränken. Dies kann dazu beitragen, Datenschutzverletzungen und unbefugten Zugriff durch ausländische Stellen zu verhindern.

Gleichzeitig wird den Verbraucherinnen und Verbrauchern immer bewusster, wie Organisationen mit ihren personenbezogenen Daten umgehen. Eine Umfrage aus dem Jahr 2023 ergab, dass 68 % der Menschen weltweit entweder etwas oder sehr besorgt über den Online-Datenschutz sind. Angesichts zunehmender Bedenken ist es wichtiger denn je, dass Unternehmen Daten-Governance transparent und angemessen umsetzen – insbesondere, da neue Vorschriften die Anforderungen an die regulatorische Compliance weiter verschärfen.

Vorteile einer ordnungsgemäßen Datenhoheit

Organisationen, die die Anforderungen an die Datenhoheit verstehen und ordnungsgemäß einhalten, profitieren letztlich in mehrfacher Hinsicht:

• Stärkere Compliance: Die Nichteinhaltung von Vorschriften kann erhebliche Folgen haben, einschließlich hoher Geldstrafen und strafrechtlicher Sanktionen. Bei Verstößen gegen die DSGVO können beispielsweise Gebühren von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes fällig werden, je nachdem, welcher Betrag höher ist. Datenhoheit erfordert eine effektive Datenverwaltung, die dazu beitragen kann, rechtliche Risiken zu minimieren.
• Mehr Datensicherheit: Die Datenhoheit ermöglicht es Unternehmen, die Kontrolle über ihre sensiblen Daten zu behalten und sie vor unberechtigtem Zugriff zu schützen. Lokale Datenspeicherungspraktiken verbessern die Übersicht und verbessern die Zugriffsverwaltung, Verschlüsselung und andere Sicherheitsmaßnahmen. Durch die Konzentration der Ressourcen in einem bestimmten Rechtsraum können die Prozesse zur Reaktion auf Vorfälle zudem schneller umgesetzt und auf den geltenden Rechtsrahmen ausgerichtet werden.
• Höheres Kundenvertrauen: Die nachweisliche Verpflichtung zum Schutz von Kundendaten kann das Vertrauen der Zielgruppen stärken. Dies stärkt nicht nur die Kundenbeziehungen, sondern verschafft auch einen Wettbewerbsvorteil gegenüber Unternehmen mit unzureichenden Sicherheitsvorkehrungen.
• Mehr Geschäftskontinuität: Grundsätze wie die Datenresidenz gewährleisten, dass Unternehmen im Falle einer Katastrophe oder Störung auf sensible Daten zugreifen können. Wenn die Informationen innerhalb einer bestimmten Gerichtsbarkeit aufbewahrt werden, ist es einfacher, wichtige Dienste wieder online zu bringen und die Wiederherstellung abzuschließen.

Datenhoheit zu erlangen ist leichter gesagt als getan. Auf dem Weg dorthin können Sie auf einige entmutigende Hindernisse stoßen:

1. Komplexe Vorschriften
   Die Datenhoheit wird exponentiell schwieriger, wenn man in verschiedenen Gerichtsbarkeiten expandiert. Wenn Sie ein multinationales Unternehmen sind, müssen Sie verstehen, wie sich die gesetzlichen Regelungen an den jeweiligen Standorten überschneiden, ergänzen oder voneinander abweichen.
   Außerdem können einige Vorschriften mit anderen kollidieren, insbesondere wenn Daten grenzüberschreitend übertragen werden. Dies führt zu rechtlicher Unsicherheit und Verwirrung, was das Risiko der Nichteinhaltung von Vorschriften erhöhen kann.
   Erschwerend kommt hinzu, dass sich die Datenschutzbestimmungen laufend ändern. Die Unternehmen müssen sich über die neuesten Entwicklungen und Änderungen auf dem Laufenden halten, um ihre Verfahren entsprechend anzupassen.
2. Cloud-Computing
   Die grenzenlose Natur des Cloud-Computing kann für multinationale Unternehmen ein Problem darstellen. Cloud-Dienste sind oft über mehrere Länder mit unterschiedlichen Vorschriften verteilt. Einige Rechtsordnungen schränken beispielsweise die Wahl des Cloud-Anbieters ein, indem sie vorgeben, wo Daten verarbeitet oder gespeichert werden dürfen.
3. Infrastrukturkosten
   Die Datenhoheit kann mit hohen Kosten verbunden sein. So kann es beispielsweise erforderlich sein, neue Rechenzentren einzurichten und zu betreiben, um den Anforderungen eines anderen Landes zur Datenlokalisierung gerecht zu werden. Möglicherweise müssen Sie auch Ihre Datensicherheitsstrategie durch neue grundlegende Schutzmaßnahmen aufrüsten.

Schließlich können sich die laufenden Kosten für Infrastruktur, Wartung und Einhaltung von Vorschriften zu einer hohen Betrag summieren. Für kleinere Organisationen können diese Faktoren zu kostspielig sein.

Sind Sie besorgt über die Bewältigung dieser Herausforderungen? Im Folgenden finden Sie einige Schritte, die Sie unternehmen können, um Ihre Reise zur Datenhoheit auf dem richtigen Fuß zu beginnen:

Durchführung eines Datenaudits

Zu wissen, wo Ihre Daten erhoben, gespeichert, verarbeitet und übertragen werden, ist entscheidend für die Einhaltung gesetzlicher Vorgaben. Schließlich können Sie Vorschriften nur einhalten, wenn Sie wissen, welche für Ihr Unternehmen gelten. Führen Sie ein Audit durch und erstellen Sie eine Karte der grenzüberschreitenden Datenströme, um die für Sie relevanten Gerichtsbarkeiten zu ermitteln.

Ihre Compliance-Landschaft verstehen

Außerdem ist es wichtig, die Datenschutzgesetze in jedem Land, in dem Sie tätig sind, genau zu erforschen und zu verstehen. Dazu gehört das Verständnis der spezifischen Anforderungen an die Datenerfassung, -speicherung, -verarbeitung usw.

Die Beratung durch Rechtsexperten oder die Einstellung eines Compliance-Beauftragten mit Fachkenntnissen in internationalen Datenschutzgesetzen kann dabei helfen, diese Komplexität zu bewältigen. Dieses Grundlagenwissen ist entscheidend für die Entwicklung wirksamer Datenverwaltungsstrategien, die mit dem lokalen Rechtsrahmen in Einklang stehen.

Lokale Rechenzentren nutzen

Ein Rechenzentrum mag teuer sein, aber es kann Ihnen helfen, die Anforderungen an die Datenlokalisierung zu erfüllen. So wird sichergestellt, dass die Informationen für die lokalen Behörden zugänglich bleiben.

Für multinationale Unternehmen könnte dies die Einrichtung mehrerer Rechenzentren in verschiedenen Regionen bedeuten, die durch einen hybriden Cloud-Ansatz koordiniert werden können, um lokale Compliance mit betrieblicher Effizienz in Einklang zu bringen.

Umsetzung von Data-Governance-Richtlinien

Die Entwicklung und Umsetzung umfassender Data-Governance-Strategien ist für die Gewährleistung der Datenhoheit unerlässlich. Diese Richtlinien sollten Verfahren für die Datenverwaltung, einschließlich Datenklassifizierung, Zugriffskontrollen, Datenhandhabungsprotokolle und Überwachung der Einhaltung der Vorschriften, umreißen.

Schaffung eines Aufsichtsrahmens, der klare Verantwortlichkeiten für den Datenschutz und die Einhaltung der Vorschriften zuweist. Überprüfen und aktualisieren Sie diese Richtlinien regelmäßig, um sie an sich ändernde Vorschriften und Geschäftsanforderungen anzupassen und sicherzustellen, dass alle Aspekte konform und sicher sind.

Die richtigen Lösungen einsetzen

Erweiterte Datensicherheitsfunktionen können Ihnen helfen, die Anforderungen an die Datenhoheit effektiver zu erfüllen. Eine robuste Plattform für die Identitäts- und Zugriffsverwaltung (IAM) kann verschiedene Kontrollmechanismen anbieten, wie Multi-Faktor-Authentifizierung (MFA) und risikobasierte adaptive Authentifizierung, um den Datenzugriff auf autorisierte Personen zu beschränken.

Von Verschlüsselung und Authentifizierung bis hin zu Hardware-Sicherheitsmodulen (HSMs) und Public Key Infrastructure (PKI) bietet Entrust eine ganze Reihe von Lösungen, die Ihnen helfen, Ihre zahlreichen Compliance-Anforderungen zu erfüllen.