Verwenden Sie mehrere Cloud-Dienste verbunden in einer Sequenz eines Geschäftsprozesses, sprechen wir von einer Multi-Cloud-Nutzung. Die Chancen sind hoch, dass die gleichen Daten und Cloud-Dienste in mehreren Geschäftsprozessen Ihres Unternehmens zum Einsatz kommen. Gratulation – Sie haben die Cloud verinnerlicht. Und unser Beileid – Sie haben die höchste Stufe der Komplexität für den Datenschutz erreicht.
Während wir uns im bisherigen Verlauf dieses Trend-Blogs primär mit dem Thema Data Residency und der damit verbundenen Verschlüsselungsthematik befasst haben, soll Teil V die spezielle Herausforderung des Datenschutzes in der Multi-Cloud vertiefen. Gleichzeitig werden wir aufzeigen, dass die heraus gewonnen Erkenntnisse auch zu einem effektiven Datenschutz bei gleichzeitiger Erfüllung von Data Residency-Regelungen führen. Um eine allgemeingültige Aussage zu machen, nehmen wir folgendes Szenario an:
Sie sind ein europäisches Unternehmen mit lokalem Shop bei Ihrem lokalen Telekom-Anbieter, nutzen eine amerikanische CRM-Lösung, gehostet in Irland und ordern Produkte bei einem chinesischen Provider, dessen Lösung auf AliCloud in China läuft. Ihre Kunden haben Sie primär in Europa. Darunter sind neben Bürgern aus der gesamten EU auch lokal ansässige Bürger aus Indien, China, USA und Kanada.
Es stellen sich folgende Herausforderungen:
- Über Ihre Kunden, bestehend aus Bürgern Europas, der USA und von Kanada, sollten Sie keine Daten an die Lösung des chinesischen Providers senden.
- Über Ihre Kunden, die Bürger aus Europa, China und Indien einschliessen, sollten Sie keine Daten in der amerikanischen CRM-Lösung führen. Für die europäischen Kunden ist die Datenhaltung auf dem System in Irland vertretbar, weil Irland ja der GDPR untersteht. Für die in Europa ansässigen Bürger aus Indien und China ist die Lage schon weniger eindeutig.
Schon nur diese zwei durchaus plausiblen Einschränkungen zeigen das Problem von sich überschneidenden Vorschriften auf. Mit unverschlüsselten Daten laufen Sie permanent Gefahr, Vorschriften der USA, von Kanada, Indien, China und/oder Europa zu verletzen.
Mit unverschlüsselten Daten laufen Sie permanent Gefahr, eine oder mehrere Data Residency-Vorschriften zu verletzen.
Wie sähe dies mit einer Multi-Cloud Verschlüsselung aus?
Sie erfassen einen neuen Kunden indischer Staatsangehörigkeit, aktuell wohnhaft in Deutschland, in Ihrem-CRM System. Die BYOE-Verschlüsselung erkennt die entsprechende Staatszugehörigkeit und nimmt für die Verschlüsselung der PII (Personal Identifiable Information) den indischen Schlüssel, welcher konform mit den indischen Vorschriften ist. Dieser Kunde bestellt nun auf Ihrer Website einen Artikel aus China. Die Shop-Lösung löst infolgedessen die Bestellung auf der chinesischen Plattform aus. Dabei wird das Paket so adressiert, dass es an Ihr deutsches Verteilzentrum geschickt wird. Der QR Code verweist dabei auf Ihre CRM-Lösung zur Identifikation des Kunden. In China wird der Code eingescannt. Die CRM-Seite erkennt die Anfrage, autorisiert den chinesischen Lieferanten aber als nicht berechtigt für die PII indischer Bürger. Bei der Bestätigung wird nur das deutsche Verteilzentrum angezeigt. In Deutschland angekommen, scannt der Deutsche Zoll das Paket. Die offizielle Natur der Anfrage von lokalen Behörden wird von der CRM-Lösung erkannt und die Informationen des echten Empfängers werden dem Zollbeamten angezeigt. Das verzollte Paket gelangt anschliessend in die Verteilzentrale. Hier erlaubt es der QR-Code, die echte Lieferadresse auf das Paket zu drucken. Danach erfolgt die Auslieferung.
Wäre dagegen der Besteller chinesischer Staatsbürger und käme die Anfrage vom chinesischen Export, dann würde das CRM-System möglicherweise anders entscheiden und hätte die echte Zieladresse bereits angezeigt.
Das Beispiel soll aufzeigen, dass verschiedene Cloud-Instanzen, welche mit verschiedenen Schlüsseln operieren, neue Möglichkeiten bieten, um Daten anzuzeigen oder eben auch nicht. Wird Verschlüsselung auf diese Art (z.B. länderspezifisch) eingesetzt, erhöht sie die Datensicherheit substanziell bei gleichzeitiger Einhaltung unterschiedlicher nationaler Datenschutz- und Datenresidenzgesetzen.
Haben auch Sie eine ähnlich gelagerte Multi-Cloud Situation mit Kunden aus allen Herren Ländern, so sprechen Sie mit uns. Wir suchen Kunden wie Sie mit den speziellen Herausforderungen von morgen – um Ihnen den sicheren Datenschutz der Zukunft zu bieten.
Das war der vorläufige Abschluss der Trend-Blog Serie «Data Residency». Wir hoffen, wir konnten neue Betrachtungsweisen einbringen und idealerweise auch Lösungsansätze für Ihre Herausforderungen in den Bereichen Data Security und Data Residency aufzeigen. War der Trend Blog zu komplex, zu einfach, zu oberflächlich, genau richtig, …? Wir freuen uns über jedes konstruktive Feedback.
DE 
EN 