Was bedeutet Datenhoheit in der Cloud?
Datenschutz, Datenverschlüsselung, Datentransfer und Datenspeicherung fallen alle unter den Begriff der Datenhoheit. Mit der zunehmenden Regulierung müssen Firmen zunehmend auf das richtige Information-Governance-System und den richtigen Cloud-Anbieter achten.
Wir alle führen ein Leben im Netz. Wir tätigen Geschäfte online. Wir pflegen Kontakte online. Und wir vernetzen uns online. Individuen, Unternehmen und Regierungen sorgen sich aus diesem Grund immer mehr um die Sicherheit der digitalen Informationen, also darum, wie sie die persönliche Privatsphäre, Unternehmensdaten und Regierungsgeheimnisse in der Cloud und im Internet allgemein schützen können. Während sich Regierungen und Aufsichtsbehörden um die Regulierung bemühen, müssen sich Unternehmen eine neue Arbeitsweise mit online verarbeiteten Daten aneignen. Sie müssen sich der Risiken bewusst sein und auf sichere Technologien setzen.
Viele Staaten versuchen derzeit die aktuelle Gesetzgebung zum Thema Datenschutz zu überarbeiten oder neue Rechtsvorschriften einzuführen. Brasilien, zum Beispiel, hat den Brazilian Internet Act verabschiedet, der sich mit der Behandlung und Nutzung persönlicher Daten im Internet befasst. Hong Kong reformierte seine Datenschutzgesetze in 2012, der Abschnitt zum internationalen Datentransfer ist allerdings noch nicht in Kraft getreten. Auch die Europäische Union (EU) beschäftigt sich mit dem Thema Datenschutz. Hier wird das Thema als General Data Protection Regulation (GDPR) behandelt. Die Datenschutz-Grundverordnung löst die aus dem Jahr 1995 stammende Datenschutzrichtlinie der Europäischen Gemeinschaft (Richtlinie 95/46/EG) ablösen.
Wie wirkt sich die Datenschutz-Grundverordnung auf Unternehmen aus?
Auch wenn die GDPR nur eine EU-Verordnung ist, beeinflusst sie das Geschäft aller globalen Organisationen. Sie beabsichtigt, die Regeln zur Verarbeitung von personenbezogenen Daten EU-weit zu vereinheitlichen. Ihre Implementierungsphase soll zwei Jahre andauern und betrifft sowohl öffentliche Stellen als auch private Unternehmen in 28 Ländern – darunter auch Deutschland.
Ziel der Datenschutz-Grundverordnung ist es, personenbezogene Daten innerhalb der EU zu schützen und einen freien Datenverkehr innerhalb des Europäischen Marktes sicherzustellen. Die möglichen Bußgelder für Verstöße seitens der Organisationen betragen zwei Prozent des globalen Umsatzes. Für manche Firmen könnte das milliardenhohe Strafzahlungen bedeuten. Angesichts dessen ergeben sich einige Fragen, die Unternehmen ihren Cloud-Anbietern stellen sollten, um solche Verstöße zu vermeiden.
Werden meine Daten innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert?
Der europäische Wirtschaftsraum (EWR) umfasst alle Länder der EU sowie Island, Norwegen und Liechtenstein. Ohne vorab getroffene gesetzliche Vorschriften dürfen Daten den EWR nicht verlassen. Unternehmen müssen ihre Standardvertragsklauseln oder Binding Corporate Rules (BCRs) dementsprechend anpassen. Dabei handelt es sich um die unternehmenseigenen Richtlinien zum Umgang mit persönlichen Daten. Bisher erlauben sie, intern personenbezogene Daten in andere Staaten mit nicht angemessenem Datenschutzniveau zu übertragen.
Den Datentransfer von EU-Ländern in die USA regelte bislang das Safe-Harbor-Abkommen. Dieses wurde vom Europäischen Gerichtshof (EuGH) Anfang Oktober jedoch für ungültig erklärt. Alternativ könnte ein europäisch-amerikanisches Datentransferabkommen die Regelung des Transfers von Daten übernehmen, die Unternehmen in die USA schicken müssen. An dem System wird jedoch noch gearbeitet.
Besteht eine Zusammenarbeit mit anderen Zulieferern?
Cloud-Anbieter arbeiten üblicherweise mit Zulieferern zusammen. Diese unterstützen sie dabei, Information zu verarbeiten, zu übertragen und zu speichern. Unternehmen müssen ihre Information Governance deshalb so ausrichten, dass ihre Geschäftspartner ebenfalls unter die Datenschutz-Gesetzgebung fallen und diese befolgen müssen.
Welche technisch-organisatorischen Maßnahmen wurden getroffen?
Jeder Cloud-Anbieter sollte Maßnahmen zum Schutz personenbezogener Daten umsetzen. Unternehmen müssen genau wissen, wie ihre Dienstleister ihre Daten sichern und schützen. Auch die EG-Datenschutzrichtlinie sieht dies schon als wichtige Voraussetzung für europäische Unternehmen an.
Was sollten Unternehmen bei ihrer Cloud-Strategie beachten?
Unternehmen müssen die Regulierungen nicht nur verstehen, sondern selbst auch eine sichere Arbeitsweise mit der Cloud und die Kontrolle über die Daten gewährleisten können. Hierfür brauchen sie jedoch verschiedene Möglichkeiten für die Entwicklung ihrer Cloud-Strategien, da sich Datenschutzgesetze nun im Wandel befinden.
Wichtig ist für jedes Unternehmen, aktuelle technologische Infrastruktur- und Governance-Richtlinien zu überprüfen und jeweils – wenn nötig – entsprechend anzupassen. Eine allgemeingültige und ausgefertigte Lösung existiert nicht, weshalb Unternehmen eine Reihe von relevanten Faktoren beachten sollten.
Der physische Standort von Daten ist vor allem für Unternehmen von Bedeutung, die darauf bestehen, wichtige Daten im eigenen Land oder hinter der Unternehmens-Firewall zu behalten. Im Hinblick auf die Gesetzgebung spielt die Frage nach dem Ort der Daten und wie man die Kontrolle über sensible Informationen behalten kann, eine fundamentale Rolle.
Die Speicherung der Daten On-Premise oder In-Country beruhigt die Eigentümer der Daten, insbesondere, wenn diese in hochregulierten Branchen arbeiten. In der Online-Welt haben Daten allerdings drei Stadien: in Benutzung (Data-in-use), in Übertragung (Data-in-motion) und im Ruhezustand (Data-at-rest). Die volle Datenkontrolle haben Unternehmen häufig nur mit Daten in gespeichertem Zustand, sogenannten “ruhenden Daten”, in Verbindung gebracht. In der Praxis müssen Unternehmen das Thema Datenkontrolle jedoch vom physischen Ort ihrer Daten abkoppeln. Hier ist eine Technologie vonnöten, die in der Lage ist, die Informationen jederzeit in allen der drei Stadien zu schützen, nicht nur dort, wo sie gespeichert sind.
In einer von Cyberattacken und Datenlecks bedrohten Welt ist vor allem die Verschlüsselung der Informationen von großer Bedeutung – egal, ob diese sich auf dem iPad eines Unternehmens, einem privaten Laptop oder einem unternehmenseigenen Server befinden. IT-Lösungen, wie Customer Managed Encryption Keys, können hier zum Einsatz kommen.
Sie geben Nutzern die vollständige Kontrolle über die Dateien und deren Entschlüsselung. Wenn sie die eingesetzten Schlüssel deaktivieren, ist keiner mehr in der Lage, die Daten zu entschlüsseln, auch nicht der Anbieter der Lösung. Verschlüsselung hilft Unternehmen außerdem dabei, zu bestimmen, an welchen Orten sich die Dateien öffnen lassen. Die dazu getroffenen Regelungen können Unternehmen direkt mit der Sensibilität der Daten verknüpfen.
Zudem können Unternehmen mithilfe von Information-Rights-Management-Tools (IRM) entscheiden, ob sie Dateien nach einer gewissen Zeit unwiderruflich löschen oder mit dem Nutzernamen und der IP-Adresse des Ursprungsrechners versehen wollen. Auf diese Weise können sie die Dokumente eindeutig als Kopie kennzeichnen. Unternehmen haben mit solchen Lösungen ebenso die Möglichkeit, die Dokumente nur zur Online-Betrachtung freizugeben. Darüber hinaus sollten nur Personen mit einer Berechtigung diese Dateien auch einsehen können. Entweder hat ein Mitarbeiter die Genehmigung, auf eine Datei zuzugreifen oder er hat sie nicht. Nur mit dieser Berechtigung, lässt sich die Datei auch öffnen.
Mit den gesetzlichen Regulierungen zur Datenhoheit müssen sich auch die Governance-Bestimmungen von Unternehmen ändern. Unternehmen müssen sicherstellen, dass ihre internen Richtlinien und Maßnahmen als sicherer Hafen für Informationen gelten. Eine Überprüfung der unternehmenseigenen Datenschutz- und Datentransfer-Regelungen durch nationale Behörden kann dazu beitragen. Der Prozess kann allerdings einige Jahre dauern.
In den einzelnen Ländern können zusätzlich andere Bestimmungen zur Datenhoheit gelten. Wenn Unternehmen in diesen Ländern agieren, müssen sie deren gesetzliche Vorgaben ebenfalls einhalten. Bei der Abstimmung von Geschäftsinteressen und Datenschutzvorgaben ist eine große Sorgfalt erforderlich und in der Regel auch die Unterstützung durch kompetente Partner. Unternehmen sollten bei der Auswahl eines Cloud-Anbieters daher darauf achten, dass dieser die Datenhoheitsregelungen aller Länder erfüllt, in denen das Unternehmen Geschäfte abwickelt.
Fazit
Immer mehr Unternehmen arbeiten mit der Cloud. Und immer mehr Staaten versuchen die Gesetzgebung an das Online-Leben ihrer Bürger anzupassen. Verstöße gegen die Regulierungen seitens der Unternehmen ahnden Behörden mit hohen Bußgeldern. Unternehmen sollten rechtzeitig ihre Infrastruktur zur Datenkontrolle und ihre Compliance-Richtlinien auf die rechtlichen und technischen Anforderungen im internationalen Umfeld abstimmen. Moderne Content-Management- und Verschlüsselungslösungen sowie die richtigen Cloud-Anbieter sind hier wichtig.
Der Autor
Tommy Grosche, der Autor dieses Expertenbeitrags für ITespresso, ist Vertriebsdirektor Kontinental-EMEA bei Intralinks. Das Unternemen bietet eine Technologieplattform an, auf der Unternehmen File-Sharing- und Synchronisierungsdienste einrichten und viruille Datenräume nutzen können. Was einst vornehmlich für komplexe Verhandlungen für das Top-Management und im Finanzsektor zum Einsatz kam, wird inzwischen in vielen Branchen und von Mitarbeitern auf unterschiedlichen Hierarchiestufen für die Zusmamenarbeit genutzt.