Dies ist Teil 2 unserer Serie über die Datenresidenz. Lesen Sie hier Teil 1 über Datenresidenz: Sind lokale Datencenter wirklich sicher?
Ein wichtiges und nicht ausser Acht zu lassendes Thema: Datenresidenz, auch bezeichnet als «Datenlokalisierung» oder «Datensouveränität». Nimmt ein Unternehmen, welches mit sensiblen Daten arbeitet, die Datensicherheit ernst, dann gilt es die Data-Residency-Gesetze und ihre Konsequenzen auf die Datensicherheit genau zu prüfen. Diese Regeln machen Vorgaben geltend für den Standort der Datenhaltung – über verschiedene Gerichtsbarkeiten sowie geografische Gebiete hinweg – zum Schutz vor unbefugtem Zugriff. Doch ist dieser Schutz wirklich hinreichend?
Mit der Einführung von GDPR wird das europäische Datenschutzrecht über die Grenzen der Europäischen Union anwendbar. Andere Staaten (z.B. die USA oder China) tun es der EU gleich, – einfach auch darum, weil sie auf Augenhöhe behandelt werden wollen und grundsätzlich gross genug sind, um ihre eigenen Interessen (auch im Bereich Datenschutz) durchzusetzen. Fakt ist: Regulatorische Vorgaben wie GDPR u.a. erfordern einen immer strengeren Umgang mit sensiblen und personenbezogenen Daten. Aber auch Datenlokalsierungs- oder Datenresidenzgesetze sind durch Firmen gleichermassen zu beachten, damit sensible Daten ein bestimmtes Hoheitsgebiet trotz Datenschutz nicht verlassen.
Wir haben es bereits ausgeführt: Datenschutz- und Datenresidenzgesetze sind nur schwer, wenn überhaupt in Einklang zu bringen. Es ist deshalb fraglich, ob eine lokale Lösung im Land des Hauptsitzes eines Unternehmens compliant ist, wenn sensible Daten von Bürgern anderer Länder in diesen lokalen Datencentern verarbeitet werden. Eine lokale Datenbewirtschaftung, welche die Datenbewirtschaftung im jeweiligen Herkunftsland sicherstellt, sobald Daten entsprechender BürgerInnen betroffen sind, ist technisch nur theoretisch machbar, faktisch aber nicht bezahlbar und operativ nach heutigem Stand auch nicht betreibbar.
Ein weiterer Aspekt: Der Wettbewerb um Daten bzw. Erkenntnisse, die sich aus diesen Daten ergeben (Big Data), welcher zwischen den grossen globalen Wirtschaftsblöcken ausgefochten wird. Schon heute haben die USA Probleme damit, wenn Daten ihrer Bürger oder Firmen auf chinesischer IT-Infrastruktur verarbeitet werden. Man darf davon ausgehen, dass es China im Umkehrschluss gleichsieht. Viele weitere Länder haben ähnliche Richtlinien eingeführt, verschärfen stetig die Datenschutz- und besonders Datenlokalisierungsgesetzte und legen diese auch immer strenger aus.
Beantworten Sie für sich, liebe Leserin, lieber Leser, die folgende Frage: Wird China die IT-Infrastruktur ihrer Belt and Road Initiative (BRI) auf Azure oder AWS hosten, wenn befürchtet werden muss, dass die USA im Konfliktfall diese kritische Infrastruktur unter ihre Kontrolle bringen, gar mit einem Knopfdruck abschalten kann?
Mit 100% Sicherheit wird eine globale Wirtschaftsmacht auf Technologien und IT-Infrastrukturen setzen, die sie (wenn erforderlich) unter ihre Kontrolle bringen kann.
Die wachsende Liste von Ländern, die Lokalisierung vorschreiben, bedeutet sowohl für
- international tätige Unternehmen als auch
- lokal tätige Unternehmen mit ausländischen Mitarbeitenden oder Kunden wie auch für
- jede Institution mit relevanten globalen Geschäftsbeziehungen,
dass sie kaum den relevanten Datenschutz- und Datenresidenzgesetzen werden Folge leisten können, und deshalb stets mit einem permanenten Risiko konfrontiert sind, nicht compliant zu sein, d.h. Gesetzte oder Verordnungen zu verletzen oder generell dem Datenschutz nicht genügend Rechnung zu tragen.
Was also tun?
Unternehmen müssen zwischen folgenden drei Varianten abwägen, wollen sie Data Privacy und Data Residency Regeln in gleichem Masse beachten:
1. Es ist möglich, dass Unternehmen lediglich in ihren wichtigsten Märkten Compliance im Rahmen der Datenschutzgesetzte anstreben. Da die Zukunftsmärkte vieler Unternehmen in Asien und speziell in China liegen, ist das für europäische oder amerikanische Unternehmen eine nicht ganz einfache, wenn nicht gar eine unmögliche Aufgabe. Natürlich gilt dies gleichermassen für Unternehmen aus dem südostasiatischen Wirtschaftsraum, die sich im Westen etablieren wollen (vgl. unsere Argumente im Teil 1).
2. Unternehmen hosten ihre Daten regional, um den geltenden Bestimmungen zu begegnen. Z.B., indem Daten von europäischen Mitarbeitenden und Kunden in Europa auf Gaia, Daten amerikanischer Bürger in den USA auf AWS, Google oder Azure, Daten von in China domizilierten Personen auf Huawei oder AliCloud gehosten werden etc. Dieser Ansatz wirkt aber eher theoretisch. Die technischen Hürden für eine gesicherte Datenverteilung sind sehr hoch und die Kosten aufgrund mehrerer komplett getrennter Umgebungen betriebswirtschaftlich wohl kaum zu rechtfertigen. Kommt hinzu, dass kleinere Länder kein eigenes Cloud-Ökosystem anbieten und deshalb notgedrungen einem oder allen anderen der oben genannten Lösungen vertrauen müssen. Generell wäre mit einer Verdoppelung bis Vervierfachung der heutigen IT-Kosten zu rechnen. Die wenigsten Unternehmen werden sich das leisten (können).
3. Eine weitere Alternative ist die Verschlüsselung der Daten und dabei die Schlüssel auf verschiedene Jurisdiktionen zu basieren. Daten amerikanischer Bürger werden mit Schlüsseln aus den USA verschlüsselt, Daten europäischer Bürger mit «Europa-Schlüssen», Daten chinesischer Bürger mit chinesischen Schlüsseln verschlüsselt etc. Schlussendlich bedeutet dies lokale Verschlüsselung (Schlüssel, Methode, Ort) unter Kontrolle des jeweiligen Unternehmens bei gleichzeitiger Einhaltung der geltenden Datenschutzgesetze ohne dabei den Schutz der Daten und deren Lokalisierung zu kompromittieren.
Erfahren sie in einem nächsten Blog dieser Serie mehr über diese dritte Option und warum diese eigentlich die einzig sinnvolle Alternative darstellt, Daten global sicher unter gleichzeitiger Einhaltung der Regulatorien zu schützen. Cheers.
DE 
EN 