What Is Data Sovereignty?

Michael Chen | Content Strategist | May 2, 2024

Datenhoheit bezieht sich auf die Anwendung von Gesetzen auf die Daten eines Benutzers – insbesondere darauf, welche Gesetze der jeweiligen Gerichtsbarkeit für diese Daten gelten und welche Rechte für jeden einzelnen Benutzer in Bezug auf Datenschutz, Nutzung durch eine Organisation und Einwilligung geschützt sind. Das bekannteste Beispiel für die Einbeziehung von Grundsätzen der Datenhoheit ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU), die festlegt, wie die Daten von EU-Bürgern in Bezug auf die Erhebung und Nutzung geschützt werden.

Was ist Datenhoheit?

Datenhoheit bezieht sich auf das Konzept, dass Daten den Gesetzen und Vorschriften des Landes unterliegen, in dem ihre Eigentümer ansässig sind. Im Allgemeinen legen die Regeln zur Datenhoheit die Verantwortung für die Verwaltung und den Schutz von Benutzerdaten bei der Organisation, die sie sammelt und verarbeitet. Die Organisation muss sich mit Fragen des Datenschutzes und der Sicherheit befassen und die Vorschriften des Landes oder des Bundesstaates einhalten, in dem der Benutzer seinen Wohnsitz hat. Das bedeutet, dass für Organisationen mit multinationalen Nutzerbasen mehrere Compliance-Ebenen erforderlich sind. Beispielsweise kann eine Organisation mit Nutzern in der EU und den Vereinigten Staaten verpflichtet sein, die EU-DSGVO sowie die Datenschutzgesetze einzelner Staaten einzuhalten.

Im Allgemeinen überschneiden sich die Gesetze zur Datenhoheit weltweit erheblich, wobei einige restriktiver sind als andere.

Wichtige Erkenntnisse

  • Datenhoheit bezeichnet das Konzept, nach dem rechtliche Fragen, Vorschriften und Einschränkungen im Zusammenhang mit Daten in die Zuständigkeit des Landes, Bundesstaats oder der Region fallen, aus dem/der die Daten stammen.
  • Die Bestimmung der Datenhoheit kann oft mit verwandten Themen wie Datenlokalisierung, Datenresidenz und Datenschutz verbunden sein.
  • Zu den bekanntesten Beispielen für Datenhoheit gehören die Datenschutz-Grundverordnung der EU, der California Consumer Privacy Act (CCPA) und das Konzept der indigenen Datenhoheit.
  • Organisationen müssen regionale Gesetze, ihre eigenen Cloud-Computing-Besonderheiten sowie ihren eigenen Sicherheits- und Hardwarezustand kontinuierlich überprüfen.

Datenhoheit erklärt

Datenhoheit ist ein schwerwiegendes Konzept mit vielen verschiedenen Aspekten, obwohl die Grundlagen in die folgenden Punkte unterteilt werden können:

  • Wer beteiligt ist. An der Datenhoheit können mehrere Parteien beteiligt sein, wobei die Verantwortung letztendlich bei der Organisation liegt, die die Daten sammelt oder verkauft. Zu den Parteien können diese Organisationen, die Personen, deren Daten erfasst werden, die Cloud-Anbieter, die die Daten speichern, und die Länder/Regionen/Staaten gehören, die die Gesetze zur Überwachung der Daten erlassen. Innerhalb einer Organisation kann die Aufsicht über die Datenhoheit IT-Abteilungen und Rechtsabteilungen umfassen.

  • Was auf dem Spiel steht. Für Organisationen, die die gesetzlichen Richtlinien nicht einhalten, kann dies zu einem komplexen und möglicherweise internationalen Netz aus rechtlichen Problemen und Bußgeldern führen. Rechtliche Konsequenzen können für eine Organisation zu weiteren Problemen führen, indem sie entweder Regionen von Kunden abschneiden oder den Geschäftsbetrieb zum Erliegen bringen.

    Investitionen in die Compliance können es Organisationen ermöglichen, gesetzliche Anforderungen zu erfüllen.

  • Wer profitiert. Während einzelne Dateneigentümer aufgrund des Fokus auf Schutz und Kontrolle von der Datenhoheit profitieren können, können auch Unternehmen Vorteile daraus ziehen. Ein Unternehmen kann auf der einen Seite einfach davon profitieren, indem es den Betrieb aufrechterhält und eine solide Grundlage für die zukünftige Einhaltung von Vorschriften schafft. Darüber hinaus kann eine konsequente Einhaltung dazu beitragen, das Vertrauen der Öffentlichkeit zu stärken, was als Teil der Öffentlichkeitsarbeit oder der Marketingbotschaft genutzt werden kann, um weitere Geschäfte zu generieren.

Warum ist Datenhoheit wichtig?

Die Datenhoheit ist wichtig, weil sie sicherstellen kann, dass die für Daten geltenden Gesetze und Vorschriften eingehalten werden. Das ist heutzutage oft leichter gesagt als getan, denn in den letzten 20 Jahren hat sich die Art und Weise, wie Daten in Organisationen genutzt werden, völlig verändert. Als Daten dynamisch und mobil wurden, waren sie auch größeren Risiken ausgesetzt – Dateien blieben nicht mehr auf lokale Laufwerke und Geräte beschränkt, und Datenbanken begannen, Datensätze weit über einige spezifische Anwendungen hinaus zu speichern. Diese zusätzliche Datenreichweite brachte viele verschiedene Arten von Risiken mit sich. Der Schutz vor diesen Gefahren wurde immer wichtiger, insbesondere da Cyberangriffe immer ausgefeilter wurden und Datenübertragungen internationale Grenzen überschritten.

Zu den wichtigsten Bereichen der Datenhoheit gehören heute:

  • Legal. In den letzten Jahren haben verschiedene Länder und Regionen Datenschutzbestimmungen eingeführt, die sich mit Bedenken hinsichtlich des Datenschutzes, der Sicherheit und der Speicherung in Bezug auf den Standort der physischen Datenspeicherung befassen. Ein Beispiel dafür ist die EU-DSGVO. Diese Art von Vorschriften deckt Bereiche wie Daten von Website-Besuchern und Produktnutzungsdaten ab. Die Nichteinhaltung kann zu komplexen rechtlichen Problemen führen, die wiederum betriebliche und finanzielle Komplikationen nach sich ziehen können.

  • Sicherheit. Wer hat Zugriff auf vertrauliche Daten? Ob finanzielles, persönliches oder organisatorisches geistiges Eigentum – die Kontrolle des Zugriffs auf sensible Daten ist ein entscheidendes Element der Datenhoheit. In einigen Fällen befassen sich regionale Gesetze außerdem mit dem Datenschutzaspekt der Datenerhebung. All das kann auf die Notwendigkeit hinweisen, die Kontrolle über Sicherheit, Zugriff und Speicher aufrechtzuerhalten.

  • Kontinuität. In einer Welt global verteilter Daten könnten Anbieter von Public Clouds theoretisch Backups in Rechenzentren in anderen Ländern speichern. Das führt zu Problemen, wenn der Zugang und die Konnektivität durch schwere Ausfälle oder Naturkatastrophen unterbrochen werden. Es stellt sich außerdem die Frage der Gerichtsbarkeit: Wenn jemand das Rechenzentrum eines Cloud-Anbieters hackt, welche Gesetze würden dann gelten, um die verletzten Benutzer zu schützen, die auf der ganzen Welt ansässig sind? Strategien zur Datenhoheit können dazu beitragen, dass die Speicherung innerhalb bestimmter Regionen erfolgt. In Bezug auf den Zugang unter extremen Umständen ermöglicht dieser Ort eine schnelle Backup-Verbindung ohne Latenzprobleme aufgrund der geografischen Entfernung oder rechtliche Zugangsprobleme aufgrund regionaler Gesetze.

Wie funktioniert Datenhoheit?

Unternehmen, die Daten sammeln und speichern, müssen die Gesetze zur Datenhoheit der Länder, in denen sie tätig sind, einhalten. Diese Arbeit kann die Speicherung von Daten an bestimmten Orten, die Umsetzung von Sicherheitsmaßnahmen und die Sicherstellung des Umgangs mit Daten gemäß den örtlichen Vorschriften umfassen. Dies kann ein komplexer und herausfordernder Prozess sein, insbesondere für multinationale Unternehmen, die in mehreren Rechtsprechungen tätig sind.

Ein grundlegender Workflow für die Einhaltung der Datenhoheit kann wie folgt aussehen:

  1. Eine Organisation bewertet den aktuellen Zustand ihrer Daten, einschließlich ihrer internen Sicherheitsprotokolle und der physischen Standorte von Rechenzentren.
  2. Die Standorte der Kunden und Nutzer bilden dann die Grundlage für die Ermittlung der relevanten Gesetze zur Datenhoheit.
  3. Die IT- und Rechtsabteilungen der Organisation prüfen, ob sie die Gesetze der verschiedenen Regionen einhalten – und wenn nicht, müssen sie die notwendigen Schritte festlegen, um die Einhaltung zu erreichen.
  4. Die Organisation führt eine fortlaufende Umfrage unter ihren Kunden und Gesetzen durch, um sicherzustellen, dass keine Aktualisierungen verpasst werden.

Datenhoheit vs. Datenlokalisierung vs. Datenresidenz vs. Datenschutz

Datenhoheit ist ein komplexes Konzept, das mehrere verschiedene, miteinander verbundene Elemente enthält. Gerichtsbarkeiten, Gesetze und Standorte der Hardware fließen in die dynamische Formel der Datenhoheit ein. Die wichtigsten Elemente dieses Konzepts sind:

Datenhoheit

Im Kern bezieht sich die Datenhoheit auf die rechtliche Aufsicht über Daten auf der Grundlage der Vorschriften des Landes, in dem sie generiert wurden. Variablen wie eine globale Nutzerbasis, Telearbeiter und Cloud-Speicher-Rechenzentren machen dieses anfängliche Konzept viel komplexer. Aus diesem Grund sind Faktoren wie der Speicherort der Daten, der Ort der Datenerfassung und die Art der Datenerfassung für das Verständnis der anstehenden Probleme von entscheidender Bedeutung.

Datenlokalisierung

Die Datenlokalisierung liegt irgendwo zwischen Datenresidenz und Datenhoheit. Der Begriff bezieht sich auf die Idee, dass Daten, die von den Bürgern einer Region generiert werden, auch in dieser Region verbleiben sollten, bevor sie extern verwendet werden. Einschränkungen bei der Datenlokalisierung ergeben sich aus Datenschutz- und Sicherheitsbedenken, insbesondere wenn Organisationen mit sensiblen, personenbezogenen oder finanziellen Daten umgehen.

Datenresidenz

Als Datenresidenz wird der physische Standort der Daten einer Organisation bezeichnet. Wenn Daten in einem anderen Land oder einer anderen Region gespeichert werden als dem/der, in dem/der sie generiert wurden, gelten die Gesetze zur Datenhoheit dieser bestimmten Region, was die Einhaltung der Vorschriften noch komplexer macht.

Datenschutz

Datenschutz bezieht sich auf den Schutz der personenbezogenen Daten der Benutzer. Websites und Anwendungen können diese Daten auf verschiedene Weise erfassen, z. B. über Formulare, vom Benutzer bereitgestellte Informationen und Website-Cookies. Themen wie Einwilligung und die Rechtmäßigkeit der Datenerhebung stehen bei den Bedenken hinsichtlich des Datenschutzes im Vordergrund, und Regionen haben damit begonnen, eigene Datenschutzgesetze einzuführen, um die Bürger vor Betrug und Missbrauch zu schützen.

Wichtige Unterschiede

Die Hauptunterschiede zwischen Datenhoheit, Datenlokalisierung, Datenresidenz und Datenschutz ergeben sich aus ihrer Beziehung zueinander. Datenhoheit bezieht sich auf den Gesamtbereich, der Gerichtsbarkeiten, Bürger, Organisationen und Gesetze umfasst. Die Datenlokalisierung gibt vor, wie Benutzerdaten behandelt werden sollten, während sich Datenresidenz und Datenschutz auf die Definitionen beziehen, die bei der Untersuchung der umfassenderen Konzepte verwendet werden. Die folgende Abbildung veranschaulicht, wie diese Konzepte zusammenwirken.

Hoheit vs. Lokalisierung vs. Residenz

Datenschutz bezieht sich auf die Anforderung, persönliche und sensible Informationen zu schützen – andernfalls riskiert man den Verlust des Kundenvertrauens, schlechte Presse oder sogar Geldstrafen und Strafverfolgung.

Datenhoheit Datenlokalisierung Datenresidenz
Die rechtliche Aufsicht über Daten basiert auf den Vorschriften des Landes, in dem sie generiert und/oder verarbeitet werden. Das Konzept, dass Daten, die von den Bürgern einer Region generiert werden, vor der externen Nutzung in dieser Gerichtsbarkeit verbleiben sollten Der physische Ort, an dem eine Organisation ihre Daten speichert und/oder verarbeitet

Geschichte der Datenhoheit

Mit der Entwicklung von Computern von zimmergroßen Kolossen zu Desktop-Geräten hat sich auch der Datenzugriff weiterentwickelt. Die Sicherheit wurde zum Bereich der physischen Speichermedien, lokalen Netzwerke und Rechenzentren. Als Daten immer portabler und dynamischer übertragbar wurden, tauchten die ersten Vorstellungen von Datenhoheit auf. In der EU beschränkte die Datenschutzrichtlinie von 1995 die Verarbeitung und Speicherung von Daten von EU-Bürgern auf diese Grenzen. Auf der anderen Seite des Atlantiks betrachteten die Vereinigten Staaten die Datenhoheit ebenfalls aus verschiedenen Blickwinkeln, darunter der PATRIOT Act von 2001, der die Frage, auf welche Bürgerdaten die US-Regierung rechtlich zugreifen kann, grundlegend veränderte. Das Gesetz gewährte der Bundesregierung Zugriff auf Daten, die in amerikanischen Gerichtsbarkeiten gespeichert sind, sowie auf Daten, die von Unternehmen verwaltet werden, die innerhalb der US-Grenzen tätig sind.

In dieser Ära ging es um physische Medien, Einwahlmodems und das Internet als Nischendienst. In den darauffolgenden Jahren hat sich die digitale Transformation jedoch in allen Branchen und Gemeinden verbreitet und umfasst den Internetzugang zu Hause, Online-Finanztransaktionen, personenbezogene Daten über soziale Medien bis hin zur alltäglichen Cloud-Speicherung, digitalen Währungen und Geräten des Internet of Things (IoT). Plötzlich wuchs die Bedeutung der Datenhoheit exponentiell. Unternehmen begannen, Daten über internationale Grenzen hinweg auszutauschen, Cyberkriminalität wurde zu einem alltäglichen Risiko, Bürger tätigten Online-Einkäufe von weit entfernten Orten aus und Regierungen wurden dabei erwischt, wie sie illegal persönliche Daten überwachten. All diese Veränderungen führten dazu, dass eine gewisse Ordnung im Chaos geschaffen werden musste, insbesondere da verschiedene Gerichtsbarkeiten beteiligt waren.

Heute umfasst der Begriff der Datenhoheit eine Vielzahl von Themen, darunter lokale Gesetzmäßigkeiten, Datenschutzbedenken, der physische Standort von Cloud-Speicherservern und vieles mehr. Da Geräte immer stärker in jeden Aspekt unseres täglichen Lebens integriert werden und Unternehmen die Grenzen der Telearbeit erweitern, wird die Datenhoheit mit jedem Jahr komplizierter – und wichtiger.

Datenhoheit & DSGVO

1995, zu Beginn des Internetzeitalters, trat die Data Protection Directive (DPD) der EU in Kraft. Die offiziell als Richtlinie 95/46/EG bekannte Datenschutzrichtlinie war grundlegend für die Art und Weise, wie die Welt den Datenschutz im Hinblick auf Grundrechte und -freiheiten betrachtet. Zu den wesentlichen Themen in der DPD gehörten:

  • Transparenz bei der Verarbeitung der Daten von EU-Bürgern
  • Festlegung von Zweck und Ziel der Speicherung und Verarbeitung
  • Gesetze für die Datenübertragung außerhalb der EU
  • Einschränkungen, wie und warum personenbezogene Daten verarbeitet werden können, um den Datenschutz zu gewährleisten

In den 20 Jahren, die seitdem vergangen sind, hat die Datennutzung weltweit explosionsartig zugenommen, zunächst durch den Breitband-Internetzugang zu Hause, dann durch das Aufkommen der sozialen Medien und schließlich durch die Nutzung von Geräten des Internet of Things (IoT) wie Smartphones, die alle ständig große Mengen an personenbezogenen Daten sammeln. Diese Entwicklung offenbarte die Lücken im Schutz des DPD, da Daten auf eine Weise zu fließen begannen, die zuvor unvorstellbar war.

Die 2016 verabschiedete und seit 2018 geltende Datenschutz-Grundverordnung (DSGVO) hat die DPD abgelöst und baut auf allen ihren Kerngrundsätzen auf, einschließlich grundlegender Datenrechte, Vorschriften für Aufsichtsbehörden und Beschränkungen bei der Übermittlung personenbezogener Daten an Drittländer. Bezeichnenderweise wurde in der DSGVO festgelegt, dass Organisationen personenbezogene Daten nur auf gesetzlich zulässige Weise erheben und verarbeiten dürfen, einschließlich der Einwilligung der betroffenen Person, vertraglicher Verpflichtungen oder des öffentlichen Interesses an einer offiziellen Autorität. Bedenken hinsichtlich der Einwilligung und der staatlichen Autorität kamen in dem Jahrzehnt vor Inkrafttreten der DSGVO auf, als Enthüllungen über die amerikanische Datennutzung im Rahmen des PATRIOT Act bekannt wurden. Die DSGVO hat den Zugang zu personenbezogenen Daten, das Eigentum an diesen Daten, die Einwilligung, Beschwerden und Einschränkungen geklärt und vereinfacht, um strengere rechtliche Grenzen und mehr Eigenverantwortung zu schaffen, während die Haftung und Verantwortung auf Organisationen und Datenverantwortliche verlagert wird.

Die DSGVO, die weithin als das einflussreichste Datenschutzgesetz der Geschichte anerkannt ist, hat dazu beigetragen, weltweit Maßnahmen zum Datenschutz voranzutreiben. In den Vereinigten Staaten haben mehrere Bundesstaaten eigene Gesetze zu den von ihren Einwohnern generierten Daten verabschiedet, darunter der California Consumer Privacy Act und der Colorado Privacy Act. Südafrika, Thailand, Singapur und andere Länder folgten ebenfalls.

5 wesentliche Herausforderungen hinsichtlich der Datenhoheit

Die Datenhoheit kann ein einzigartiger und oft herausfordernder Weg sein – sobald eine Organisation ihre Ziele erreicht hat, geht der Prozess aufgrund dynamischer Vorschriften und neuer Richtlinien aus aufstrebenden Gebieten weiter. Organisationen müssen bei all diesen Variablen den Überblick behalten, wenn sie wichtige IT-Entscheidungen treffen und die Auswirkungen abschätzen. Die folgende Liste stellt die häufigsten Herausforderungen der Datenhoheit dar:

  • Der länderübergreifende Betrieb. Für Organisationen, die in mehreren Ländern tätig sind, kann die Datenhoheit schnell komplexer werden. Die Vorschriften zur Datenerhebung hängen von der Gerichtsbarkeit ab, in der die Prozesse stattfinden. Ein internationales Unternehmen muss sich möglicherweise mit den regionalen Unterschieden und Nuancen der Datenschutzgesetze in den Gebieten auseinandersetzen, in denen es tätig ist.

  • Schnelllebige Gesetze. Bestehende Gesetze wie die EU-DSGVO und der CCPA in den Vereinigten Staaten werden möglicherweise weiterhin aktualisiert, auch wenn andere Gerichtsbarkeiten ihre eigenen Versionen des Datenschutzes einführen. Jede Organisation ist dafür verantwortlich, diese Änderungen zu verfolgen, um die Einhaltung der Vorschriften zu gewährleisten, da die rechtliche Haftung für den Datenschutz und den Schutz der Privatsphäre eher bei juristischen Personen als bei Einzelpersonen liegen kann. Zum Beispiel hat das Vereinigte Königreich nach seinem Austritt aus der EU im Jahr 2020 weiterhin den Standard der DSGVO beibehalten, kann aber unabhängig davon bestimmen, wie sich das Gesetz für Einwohner des Vereinigten Königreichs weiterentwickelt.

  • Datenspeicherorte der Lieferanten. Wenn Ihre Organisation eine Public Cloud für ihre Datenanforderungen verwendet, können die physischen Speicher- und Verarbeitungsorte der Public Cloud zu einem Faktor werden. Wenn Datenschutzgesetze vorschreiben, dass Daten im Zuständigkeitsbereich eines Benutzers verbleiben müssen, können Organisationen entscheiden, ob sie mit Anbietern über spezifische rechtliche Anforderungen bezüglich des geografischen Standorts kommunizieren.

  • Anfangsinvestitionen. Die Datenhoheit erfordert ein finanzielles Engagement. Wenn Sie ein lokales Rechenzentrum betreiben, könnte dies eine Migration in die Cloud bedeuten. Wenn Sie vertrauliche Daten wie Finanzinformationen sammeln, müssen Sie möglicherweise neue Sicherheitsebenen einführen. Die spezifischen Schritte, die erforderlich sind, um eine solide Datenhoheit zu erreichen, sind für jede Organisation einzigartig. Sie können außerdem einen erheblichen Zeit- und Arbeitsaufwand für die Umschulung der Mitarbeiter in diesen spezifischen Bereichen erfordern. Wie auch immer Ihre Reise zur Datenhoheit aussehen mag, sie wird mit Sicherheit mit unerwarteten Herausforderungen verbunden sein, sodass Ihre Organisation darauf vorbereitet sein muss, die Kosten zu tragen.

  • Der Preis des Erfolgs. Vielleicht hat Ihre Organisation als lokales Unternehmen angefangen, aber ihr Tätigkeitsbereich hat sich erweitert, als Ihre Produkte oder Dienstleistungen an Zugkraft gewannen. Mit dieser Expansion wächst auch der Kundenstamm, und mit dem Kundenstamm nehmen auch die Probleme im Zusammenhang mit der Datenhoheit zu, insbesondere wenn sich die Reichweite Ihrer Kunden auf neue Gebiete mit unterschiedlichen Vorschriften erstreckt. Die Datenhoheit muss bei der Planung von Expansion und Wachstum ein ständiger Bestandteil der Gleichung sein, da ihre Missachtung später erhebliche rechtliche Konsequenzen nach sich ziehen kann.

In 6 Schritten die Datenhoheit beim Cloud-Computing unterstützen

Wenn es um die Datenhoheit geht, gibt es keine einheitliche Lösung, die für jede Organisation funktioniert. Einige allgemeine Anforderungen sind jedoch unabhängig von der vorhandenen Technologie oder den Geschäftszielen einer Organisation konsistent. Die folgenden sechs Schritte stellen einen allgemeinen Leitfaden dar, um möglicherweise die Datenhoheit zu erlangen.

1. Finden Sie heraus, was Sie haben

Wie werden Ihre Daten gespeichert? Wo befindet sie sich bzw. wo werden sie verarbeitet? Verwenden Sie ein lokales Rechenzentrum, einen Cloud-Anbieter oder eine Kombination aus beidem? Über welche rollenbasierten Zugriffs- und andere Sicherheitsmaßnahmen verfügen Sie? Benötigen Sie Unterstützung für Edge-Geräte in der Nähe einer Zuständigkeitsgrenze? Und wie werden Sie in Zukunft expandieren? Bevor Entscheidungen zur Datenhoheit getroffen werden, muss Ihre Organisation diese Art von Fragen klären, um den vollen Umfang dessen zu erfassen, was die Einhaltung von Vorschriften vorantreiben wird.

2. Seien Sie sich darüber im Klaren, was Sie wollen

Haben Sie die obigen Fragen beantwortet? Gut, nehmen Sie nun diese Informationen und überlegen Sie, was Sie damit tun müssen – und wollen. Die regulatorische Compliance ist natürlich wichtig. Da die betreffenden Strategien jedoch auch Ihre IT-Entscheidungen, Ihre Rechtsabteilung und Ihr Budget beeinflussen werden, sollten Sie im Rahmen des Prozesses auch klare Geschäftsziele festlegen. Ein allgemeiner Fahrplan, eine Liste der benötigten Hardware und Daten sowie Bewertungen des besten/schlechtesten Falls können wichtige Kriterien für die Entwicklung Ihrer Strategie zur Datenhoheit sein.

3. Seien Sie sich über Ihre Möglichkeiten im Klaren

In vielen Fällen führt die Überschneidung Ihrer Compliance-, Geschäfts- und Betriebsanforderungen zu einer Cloud-Lösung. Das kann die Anbindung eines bestehenden lokalen Rechenzentrums über ein Hybridmodell, die Migration eines lokalen Rechenzentrums in die Cloud oder die Berücksichtigung der praktischen Anforderungen an die Compliance mit dem Angebot eines Cloud-Anbieters beinhalten. Ihre Organisation sollte Cloud-Anbieter anhand technischer, finanzieller und Compliance-bezogener Anforderungen bewerten und dabei Faktoren wie Migrationsdienste, physische Rechenzentrumsstandorte und Serviceregionen berücksichtigen.

4. Treffen Sie eine Auswahl – oder mehrere

Inzwischen haben Sie Ihre aktuelle Situation verstanden, Ihre spezifischen Bedürfnisse aufgelistet und die Möglichkeiten verschiedener Cloud-Anbieter erkundet. Die Zusammenführung all dieser Informationen sollte zu einer übersichtlichen Auswahlliste mehrerer Anbieter führen. Setzen Sie sich mit jedem Anbieter in Verbindung und lassen Sie sich, wenn möglich, eine Demo oder Testversion zeigen. Dann ist es an der Zeit, die erforderlichen Anbieter auszuwählen und einen Migrationsplan zu erstellen. Im Rahmen dieses Schritts können Sie die Service Level Agreements (SLAs) jedes Anbieters gründlich prüfen, um herauszufinden, wie sich seine Dienstleistungen mit den funktionalen Anforderungen Ihrer Organisation decken.

5. Behalten Sie Änderungen stets im Blick

Funktionalität, Sicherheit und Compliance – auch nach der Migration und dem Start muss Ihre Organisation möglicherweise wichtige Leistungskennzahlen und Sicherheitsprobleme überwachen, um sicherzustellen, dass alles wie geplant verläuft. Regelmäßige Audits können ein notwendiger Bestandteil der heutigen datengesteuerten Geschäftsabläufe sein, ebenso wie die Berücksichtigung regionaler Aktualisierungen und neu erlassener Gesetze. In dieser Phase sollte sich Ihre Organisation auch auf ein Worst-Case-Szenario vorbereiten: Was ist, wenn Sie die Zusammenarbeit mit einem leistungsschwachen Anbieter beenden müssen?

6. Nehmen Sie bei Bedarf Änderungen vor

Wenn Sie mit Ihrem gewählten Anbieter nicht zufrieden sind, gibt es immer eine andere Option. Außerdem gibt es immer neue technologische Möglichkeiten, die genutzt werden können. Selbst wenn in Ihrem Unternehmen alles reibungslos läuft, kann es nie schaden, sich mit dem Markt zu befassen, wobei natürlich die Schwierigkeiten der Migration zu berücksichtigen sind. Es kann besonders wichtig sein, alle Ihre Optionen zu kennen, wenn bei Ihren Vertragslieferanten etwas schief läuft – zum Beispiel, wenn sie die in ihren SLAs festgelegten Leistungsstandards nicht erfüllen oder wenn ihr Kundenservice zu wünschen übrig lässt.

In jedem Fall sollte eine Neubewertung und Überarbeitung immer Teil des Plans sein, wenn es um Technologie geht, und noch mehr, wenn es um datengesteuerte Wirtschaftlichkeit und Sicherheit geht.

Best Practices für die Datenhoheit

Auch wenn es für die Datenhoheit selten eine Einheitslösung gibt, gibt es doch in fast jeder Situation verschiedene Best Practices. Dazu können folgende gehören:

  • Verstehen Sie, wohin Ihre Daten gehen. Für die Speicherung, Verarbeitung und Übertragung ist der Standort von Bedeutung. Der erste Schritt zu einer soliden Datenhoheit ist die Identifizierung aller physischen Standorte. Sobald diese Liste erstellt ist, können Organisationen nach relevanten regionalen Gesetzen suchen, um die Einhaltung der Vorschriften zu überprüfen (oder Risiken zu ermitteln, wenn die Vorschriften nicht eingehalten werden).

  • Treffen Sie kluge Entscheidungen zur Datenlokalisierung. Die Datenlokalisierung vereinfacht die Einhaltung von Vorschriften und regulatorischen Risiken, indem sichergestellt wird, dass gespeicherte Daten physisch in dem Land verbleiben, in dem sie erfasst wurden. In vielen Fällen kann die Datenlokalisierung der schnellste Weg sein, um Compliance zu erreichen. Dieser Ansatz kann also viele der Komplikationen beseitigen, die entstehen, wenn Daten internationale oder staatliche Grenzen überschreiten.

  • Schützen Sie vertrauliche Daten. Es gibt einen Unterschied zwischen vertraulichen personenbezogenen Daten und beispielsweise allgemeinen Benutzerdaten, die von Websites erfasst werden. Vertrauliche Daten, ob es sich um medizinische, finanzielle oder andere Daten handelt, können angemessene Schutzmaßnahmen erfordern, um gesetzliche und ethische Richtlinien zu erfüllen. Organisationen müssen möglicherweise eine Richtlinie speziell für die Verwaltung und den Schutz vertraulicher Daten erstellen. Um die Compliance aufrechtzuerhalten, können Unternehmen in Erwägung ziehen, die zu diesem Zweck erstellten Richtlinien regelmäßig zu überprüfen und zu aktualisieren.

  • Überprüfen Sie Ihre Cloud-Anbieter. Cloud-Speicher bieten gegenüber lokalen Rechenzentren erhebliche Vorteile, darunter Geschwindigkeit, Kosten und Skalierbarkeit. Jede Organisation, die Benutzerdaten verarbeitet, muss jedoch wissen, wo die Datenerfassung stattfindet. Da Cloud-Anbieter theoretisch Dienstleistungen für Organisationen auf der ganzen Welt erbringen könnten, ist es Aufgabe der Organisationen, ihre Anbieter zu überprüfen und sicherzustellen, dass die richtigen Optionen für die Datenhaltung für die Einhaltung regionaler Vorschriften vorhanden sind.

Ein entscheidender und beständiger Aspekt der oben aufgeführten bewährten Verfahren ist die Notwendigkeit, sich über regionale Gesetze und Vorschriften auf dem Laufenden zu halten. Compliance ist ein dynamischer und fortlaufender Prozess, bei dem neue Technologien entstehen und sich die Leitlinien ständig weiterentwickeln – manchmal sehr schnell. Selbst wenn eine Organisation ihre Grundsätze zur Datenhoheit festgelegt hat, sind eine fortlaufende Validierung und Einhaltung von regelmäßigen Überprüfungen in allen relevanten Regionen und Gerichtsbarkeiten abhängig.

Die Anforderungen an die Datenhoheit mit Oracle Sovereign Cloud erfüllen

Um Organisationen auf der ganzen Welt bei der Bewältigung der vielen verschiedenen Anforderungen an die Datenhoheit zu unterstützen, bietet Oracle eine Reihe von Oracle Cloud Infrastructure (OCI) Hoheitslösungen an – Bereitstellungsmodelle, die darauf ausgelegt sind, spezifische kommerzielle und behördliche Anforderungen mit allen OCI-Funktionen zu erfüllen. Diese Angebote unterstützen die Kunden bei der Kontrolle über die Datenhaltung, den Zugriff und die Compliance-Akkreditierungen für ihre Organisationen. Darüber hinaus helfen die nationalen Sicherheitsregionen von Oracle bei der Bereitstellung sicherer Regierungsnetzwerke für streng geheime und vertrauliche Workloads, während Oracle EU Sovereign Cloud Public Cloud-Services, Preise und Programme im Einklang mit den EU-Compliance-Anforderungen bereitstellen kann.

Erfahren Sie, warum Gartner die verteilte Cloud von Oracle als führend bezeichnet hat, da sie Kunden mit regulierten Daten alle Vorteile der Cloud bietet, mit größerer Kontrolle über den Betrieb, die Datenresidenz und die Nähe.

Datenhoheit – Häufig gestellte Fragen

Was versteht man unter Datenhoheit?

Datenhoheit bezieht sich auf das Konzept, dass die Datengesetze einer bestimmten Gerichtsbarkeit für Daten gelten, die innerhalb ihrer Grenzen gespeichert und generiert werden. Daher unterliegen die personenbezogenen Daten eines Benutzers in einem bestimmten Land den Gesetzen dieses Landes. Ähnlich verhält es sich, wenn ein Cloud-Anbieter Daten in einem anderen Rechtsraum als sein Kunde speichert. In diesem Fall können mehrere Vorschriften gelten. In den meisten Fällen liegt die Verantwortung für die Entwirrung und Einhaltung dieser Vorschriften bei der Organisation, die sowohl die Daten erfasst als auch den Cloud-Anbieter für Dienstleistungen bezahlt, wie z. B. ein Technologieunternehmen mit einer Smartphone-App.

Was ist ein Beispiel für die Grundsätze der Datenhoheit?

Eines der bekanntesten Beispiele für die Grundsätzen der Datenhoheit ist die DSGVO der EU. Die 2016 konzipierte und seit 2018 geltende Datenschutz-Grundverordnung (DSGVO) gilt für EU-Bürger und legt Vorschriften zum Schutz personenbezogener Daten, zur Datenerhebung, zum Datenschutz und zur Nutzung von Daten in der Automatisierung fest. Die DSGVO wird oft als das einflussreichste Datenschutzgesetz bezeichnet, das es gibt.

Warum ist die Datenhoheit so wichtig?

Im Zeitalter der Disketten wurde die Datenhoheit aufgrund der begrenzten Möglichkeiten der Datenübertragung nicht viel diskutiert. Da Konnektivität und IoT-Geräte jedoch immer leistungsfähiger werden, werden ständig und überall Daten generiert und auch über Grenzen hinweg übertragen. Die Datenhoheit ist wichtig, weil sie bestimmt, was Unternehmen mit Nutzerdaten tun dürfen, insbesondere mit personenbezogenen Daten, die über soziale Medien erhoben werden, oder mit Finanzdaten, die über Banking-Apps erhoben werden. Darüber hinaus kann jedes Gerät oder jede Website aufgrund von Hackern ein potenzielles Datenschutzrisiko darstellen, wodurch sich die Frage stellt, wer für den Datenschutz und die Sicherheit verantwortlich sein sollte. Initiativen zur Datenhoheit helfen dabei, klare Richtlinien, Einschränkungen und Haftungen für die Unternehmen festzulegen, die Daten sammeln, verarbeiten und speichern.

Was ist Datenhoheit in den USA?

In den Vereinigten Staaten gibt es kein einheitliches, allumfassendes Gesetz zur Datenhoheit für ihre Bürger. Die Federal Trade Commission ist befugt, Organisationen, die sich nicht an die Datenschutzrichtlinien halten, zu untersuchen und zu verfolgen. Auf bundesstaatlicher Ebene deckt der California Consumer Privacy Act (CCPA) viele der gleichen Bereiche ab wie die EU-Datenschutz-Grundverordnung (DSGVO), was angesichts des erheblichen Beitrags des Bundesstaates zur Gesamtwirtschaft des Landes – insbesondere zum Technologiesektor – besonders wichtig ist. Auch andere Bundesstaaten wie Oregon, Colorado und Virginia haben Datenschutzgesetze, und in den letzten Jahren haben weitere Bundesstaaten Gesetzesentwürfe mit unterschiedlichem Umfang eingebracht. In diesem Zusammenhang wurden mit der Einführung des USA PATRIOT Act von 2001 viele Fragen zum Datenschutz und zur Datenethik aufgeworfen, die vor der DSGVO gestellt wurden. Es sollte beachtet werden, dass der CLOUD Act von 2018 mit der Datenhoheit zusammenhängt. Dieses Gesetz konzentriert sich jedoch auf Cloud-Service-Anbieter und ihre Verantwortung in Bezug auf Daten, falls Strafverfolgungsbehörden Haftbefehle oder Vorladungen vorlegen.