Durch die Digitalisierung steigt die Menge der verarbeiteten und ausgewerteten Daten kontinuierlich an. Dadurch ist es für Privatpersonen und Unternehmen oftmals kaum noch nachzuvollziehen, wer die eigenen Daten nutzt und wo sie gespeichert sind. Das schränkt die selbstbestimmte Kontrolle über Daten stark ein. Selbstbestimmung im digitalen Raum und die Kontrolle über die eigenen Daten ist für Unternehmen allerdings von integraler Bedeutung.
Der Schutz und die Wahrung der digitalen Privatsphäre haben vor allem in den letzten Jahren immer mehr an Bedeutung gewonnen. Das verdeutlicht auch die 2016 eingeführte Datenschutz-Grundverordnung (DSGVO), mit der die EU die Verarbeitung personenbezogener Daten regelt. Datensouveränität ist allerdings mehr als nur der reine Schutz privater Daten: Der Begriff beschreibt die selbstbestimmte Kontrolle über die eigenen Daten sowie deren Erhebung, Speicherung, Nutzung und Verarbeitung.
Bei der Speicherung der Daten spielt auch der Ort eine wichtige Rolle, an dem sich das Rechenzentrum befindet. Viele der aktuellen Bedenken im Zusammenhang mit der Datensouveränität beziehen sich auf die Durchsetzung von Datenschutzbestimmungen und das Verhindern, dass Daten, die in einem fremden Land gespeichert sind, von der dortigen Regierung vorgeladen werden können. Die weit verbreitete Einführung von Cloud-Computing-Diensten, die neue digitale Welt sowie neue Ansätze für die Datenspeicherung, einschließlich der Objektspeicherung, haben die traditionellen geopolitischen Grenzen mehr als je zuvor durchbrochen. Viele Länder haben als Reaktion auf die neuen Herausforderungen Compliance-Anforderungen aktualisiert oder neue Gesetze erschaffen. Sie schreiben vor, dass die Kundendaten in dem Land verbleiben müssen, in dem der Kunde ansässig ist.
Kunden eines Cloud-Anbieters müssen sich darauf verlassen können, dass der Anbieter sich vollumfänglich an die Service Level Agreements (SLAs) hält und die Server auch an den angegebenen Orten gehostet werden. Die DSGVO kann dabei als Rahmen für eine Checkliste dienen, welche Pflichten der Cloud-Provider erfüllen muss:
- Ist die Verwendung der Daten auf Bereiche beschränkt, für die der Kunde seine Zustimmung gegeben hat?
- Informiert der Provider seinen Kunden unverzüglich, wenn ein Auftrag des Kunden nach Ansicht des Cloud-Anbieters gegen das Gesetz verstößt?
- Zeichnet der Provider die im Auftrag des Kunden durchgeführten Verarbeitungen auf?
- Kooperiert der Provider auf Anfrage mit der Aufsichtsbehörde?
- Implementiert der Provider technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten?
- Benachrichtigt der Provider den Kunden ohne ungerechtfertigte Verzögerung, sobald er eine Verletzung der Datensicherheit entdeckt?
- Gibt es einen Datenschutzbeauftragten?
- Hält der Provider die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer ein?
Um stets die optimalen Bedingungen für die Selbstbestimmung im digitalen Raum zu gewährleisten, sollten sich Unternehmen mit Tools ausstatten, die die Komplexität bei der Einhaltung von Datenschutz und Sicherheit automatisch bewältigen können. Bereits bei der Gestaltung von Produkten und Dienstleistungen sollten Unternehmen die Grundsätze des Privacy by Design und des Privacy by Default einbeziehen. Privacy by Design stellt sicher, dass sie alle für den Datenschutz und die Datensicherheit relevanten Punkte bereits in der Designphase eines Systems, Services, Produkts oder Prozesses und dann während des gesamten Lebenszyklus berücksichtigen. Privacy by Default verlangt von den Unternehmen, dass sie nur die Daten verarbeiten, die zur Erreichung eines spezifischen Zwecks erforderlich sind. Das Prinzip steht in Verbindung mit den grundlegenden Datenschutzprinzipien der Datensparsamkeit und der Zweckbindung.
Die größte aktuelle Bedrohung für die Datenhoheit ist die Präsenz einer großen Anzahl von Cloud-Anbietern aus den USA und dem asiatischen Raum auf dem europäischen Markt, die nicht mit den europäischen Gesetzen konform sind. Während die DSGVO vollständig in Kraft trat, drängten diese Anbieter mit einfachen Cloud-Diensten mit sehr niedrigen Einstiegshürden auf den Markt. Sie haben zahlreiche Kunden angezogen, die die Angebote getestet und auch Produktionsumgebungen eingerichtet haben. Heute versuchen diese Cloud-Anbieter, sich an die hier geltenden Anforderungen anzupassen, aber das könnte ein langer Weg sein. Auf der anderen Seite riskieren Kunden, die sich für diese Anbieter entschieden haben, in eine sehr schwierige Situation zwischen den Cloud-Anbietern und ihren Kunden und Behörden zu geraten, die den Schutz der Daten fordern.
WIIT nutzt mehrere Software-Tools, um die Governance bezüglich der im Unternehmen verarbeiteten Daten zu verbessern. Sie sind vollständig DSGVO-konform und stehen dem Endkunden zur Verfügung, um das Bewusstsein für dieses Thema zu schärfen und eine vertrauensvolle Geschäftsbeziehung zu sichern.
