Sind Ihre Daten international oder gar global über mehrere Standorte verteilt, ist eine gezielte Analyse der geltenden Gesetze und Vorschriften mit Blick auf diese Standorte zwingend. Dann stecken Sie auch mitten in einer neuen Herausforderung: Data Residency. Und die Lage ist, kurz gesagt, unübersichtlich. GDPR, CloudAct, Privacy Shield, Schrems II, etc.: Eine klare Aussage, ob Pragmatismus oder Paranoia angesagt ist, ist weitestgehend Ansichtssache. Ist dies tatsächlich so oder kann mit etwas mehr Abstand eine generellere Sicht auf wahrscheinliche Zukunftsszenarien gewonnen werden? Wir wollen mit folgenden Ausführungen zu mehr Übersicht und so hoffentlich auch zu besseren Entscheidungen beitragen. Entscheidungen, welche nach wie vor einen Ermessensspielraum beinhalten, der jedes Unternehmen für sich ausfüllen muss.
Die Digitalisierung führt zu tieferen Transaktionskosten und zu höherer Produktivität. Und bemühen sich die Unternehmen in diesem Kontext (endlich) um besseren Datenschutz, werden sie auch schon mit einer neuen Herausforderung konfrontiert: Data Residency. Denn unter Umständen sind die Daten trotz besserem Datenschutz nicht viel sicherer. Oder umgekehrt können Unternehmen geltende Data Residency-Anforderungen erfüllen, dabei aber gleichzeitig gegen Datenschutzbestimmungen verstossen. Die Lage ist zu aller Unbill auch noch unübersichtlich, also alles andere als klar. Gegenwärtig werden bspw. viele Diskussionen darüber geführt, wie GDPR auf die grossen Technologiefirmen aus den USA anzuwenden ist. Reicht ein Datacenter in Europa, um den Datenhunger dieser Firmen und der amerikanischen Regierung zu stillen? Ist das überhaupt die richtige Frage?
Schutz gegen wen?
Die Diskussion nur auf Provider aus den USA zu beziehen, wird der Problematik nicht gerecht. Was ist mit China, Russland etc.? Werden wir auch deren Lösungen akzeptieren, wenn sie mit ihren Datacentern in Europa stehen? Huawei lässt grüssen! Die Wahrscheinlichkeit für eine gegenseitige, globale Akzeptanz der Äquivalenz aller Datenschutzbemühungen tendiert meiner Ansicht nach gegen Null.
Mit 100% Sicherheit werden es Politik, Wirtschaft und Zivilgesellschaft nicht schaffen, Compliance-Vorschriften global geltend durchzusetzen, um Data Privacy und Data Residency in Einklang zu bringen.
Angesichts der wachsenden extraterritorialen Geltungsbereiche der Privacy Regeln und neu bald auch von Regelungen, welche z.B. die KI betreffen, machen auch rein lokale Lösungen potenziell problematisch. Jedes Land hat Einwohner und Besucher aus anderen Ländern (in der Regel zwischen 10-30%). Für diese gelten unter Umständen Regeln aus deren Heimatländern: ein Beispiel sind Geschäftsreisende mit vertraulichen Informationen auf ihren Laptops oder Handys.
Mit 100% Sicherheit wird uns ein Konflikt im Zusammenhang mit Data Privacy- und/oder Data Residency-Vorschriften im extraterritorialen Geltungsbereich in irgendeiner Form tangieren und den Schutz unserer Daten reduzieren.
Schutz von was?
Privat wollen wir primär unsere Entscheidungsfreiheit schützen. Eine Firma ihre Assets (IP, Wettbewerbsstellung, Kundendaten etc.). Es geht also primär um Daten und den Schutz von deren Nutzung, wenn diese Nutzung nicht in unserem Interesse ist. Alle (natürliche und juristische Personen) haben Daten, welche sie als schützenwert betrachten und deren Verwendung sie kontrollieren wollen.
Es liegt in der Natur der Sache: Private (Menschen) und Unternehmen besitzen immer schützenswerte Daten – je persönlicher, je wichtiger diese Daten sind, desto zwingender ist deren Schutz.
Wir möchten uns also gegen kriminelle Nutzung (Cyber Crime), gegen beeinflussende Nutzung (Marketing) und gegen ungerechtfertigte staatliche Nutzung (Privacy) schützen. Nicht zufälligerweise sind dies die aktuell mächtigsten Treiber, die mit allen Mitteln (legalen und illegalen) nach diesen Daten zu greifen versuchen.
Es ist eine Tatsache: Datenkraken (auch im öffentlichen Dienst) und Kriminelle wollen unsere schützenswerten Daten. Dies auf Kosten unserer Freiheit, unserer Sicherheit und unserer wirtschaftlichen Prosperität.
Schutz mit welchen Mitteln?
Schutz vor Kriminellen, skrupellosen Firmen und übergreifenden staatlichen Institutionen bedingen einen gut kontrollierten Zugriff auf die schützenswerten Daten. Dieser Schutz wiederum verlangt Antworten auf primär zwei zentrale Fragen:
- Wie sind die Schutzobjekte zu schützen (vor wem, mit welchen Massnahmen)?
- Wie gut sind die auf die Schutzobjekte zugreifenden Aktoren (Mensch & Maschine) identifizierbar (wer darf) und autorisierbar (was darf)?
Menschen und Unternehmen sind im Streben nach Effizienz und Wettbewerbsfähigkeit, nach Sicherheit und Freiheit heute gezwungen, Antworten auf Data Residency und Data Privacy zu finden.
Die Ausführungen ergeben in der Konsequenz nur sehr wenig Spielraum für Kompromisse oder Vertrauen, wenn es um den Schutz von Daten geht. Jedes Unternehmen, jeder Private muss die Datenstandorte und die damit verbundenen Data Privacy- und Data Residency-Risiken proaktiv für sich selbst einschätzen. Ein weiteres Fazit, welches zumindest ich aus den Darlegungen ziehe, ist, dass es wirksame Massnahmen braucht, um diesen unangenehmen Realitäten etwas entgegenzusetzen. Schliesslich müssen wir uns ernstlich fragen, ob die heute als Allheilmittel gepriesenen Data Residency-Lösungen in unserer globalisierten Welt überhaupt eine Lösungsoption sind, ob Data Privacy und Data Residency überhaupt sinnvoll in Einklang zu bringen sind. Ich bin da sehr skeptisch und möchte diesen Aspekt in weiteren Folgen dieses Blogs noch vertiefen. Bleiben Sie also dran, denn es werden auch Lösungsansätze erläutert. Cheers.
DE 
EN 