Datenhoheit und DSGVO [Verständnis für Datensicherheit]

Datenhoheit und DSGVO [Verständnis für Datensicherheit]

Die Datenhoheit kann für viele Sicherheitsfachleute Verwirrung stiften, daher werden wir erläutern, was sie ist und wie sie sich auf die Datensicherheit Ihres Unternehmens bezieht.

Was ist Datenhoheit?

Datenhoheit ist das Konzept, dass Informationen und der Schutz und die Verwaltung dieser Informationen dem Land oder der Einzelperson gehören, in dem sie entstehen. Es ist die Überzeugung, dass Daten, die einem französischen Bürger gehören, beispielsweise nicht den US-Gesetzen und -Vorschriften unterliegen sollten, nur weil die Daten von einem amerikanischen Unternehmen gespeichert oder verarbeitet werden. Das amerikanische Unternehmen sollte stattdessen die Daten in Frankreich speichern und diese Daten sollten französischen Gesetzen oder Europäischen Union (EU) Gesetzen unterliegen. Dieses Konzept wird im digitalen Zeitalter immer wichtiger, da Cloud-Computing und andere Dienste die Übertragung persönlicher Daten und vertraulicher Informationen über Grenzen hinweg erfordern.

Warum ist Datenhoheit wichtig?

Datenhoheit ist wichtig, weil sie regelt, wie Daten verwaltet und gesichert werden sollten, spezifisch für das Land, in dem sie gesammelt wurden und nicht dort, wo der Sammler wohnt.

Einzelpersonen profitieren von der Datenhoheit, da sie sicher sein können, dass ihre Daten sicher und vor äußerem Eingriff oder Zugriff geschützt sind. Die Datenhoheit kann die Daten vor unbefugtem Zugriff oder Gebrauch schützen und sicherstellen, dass die Daten nicht für Zwecke verwendet werden, die nicht im besten Interesse des Unternehmens liegen. Darüber hinaus kann die Datenhoheit Unternehmen versichern, dass ihre Daten sowie die Daten ihrer Kunden sicher sind und in der Gerichtsbarkeit bleiben, in der sie entstanden sind. Dies kann Unternehmen mehr Vertrauen in die Nutzung von Cloud-Speichern und anderen digitalen Diensten geben, die die Datenübertragung über Grenzen hinweg erfordern. Schließlich kann es Unternehmen versichern, dass ihre Daten geschützt bleiben, auch wenn sie Anbieter wechseln, da die Daten innerhalb derselben Gerichtsbarkeit bleiben werden.

Ein Unternehmen, das sich nicht an die Datenschutzgesetze hält, kann für alle finanziellen Verluste haftbar gemacht werden, die sich aus dem Zugriff auf die Daten oder deren Missbrauch ergeben. Darüber hinaus kann das Unternehmen rechtliche Konsequenzen für die Nichteinhaltung der einschlägigen Datenschutzgesetze haben. Ein weiterer Aspekt ist das Reputationsrisiko. Ein Unternehmen kann im öffentlichen Meinungsbild Schaden nehmen, wenn aktuelle und potenzielle Kunden von dem Versäumnis des Unternehmens erfahren, die Kundendaten zu schützen.

Organisationen haben mehrere Probleme bei der Auslegung der Datensouveränität. Souveränität ist eine staatsspezifische Regelung, die vorschreibt, dass die in einem Land gesammelten und verarbeiteten Informationen innerhalb der Grenzen dieses Landes bleiben und den Gesetzen dieses Landes entsprechen müssen.

Dies kann komplexe, miteinander verbundene und widersprüchliche Gesetze zur Folge haben, die die Unternehmen befolgen müssen. Zum Beispiel könnte ein Land, das Informationen in der EU sammelt, Microsoft Azure oder Google Cloud Server verwenden. Beide sind US-Unternehmen, die nach US-Recht geregelt sind, was bedeutet, dass sie rechtlichen Aufforderungen der Regierung zur Offenlegung ausgesetzt sein könnten, ein Verstoß gegen EU Datenschutzgesetze.

In einer Geschäftswelt, in der internationaler Handel und Cloud-Speicherung die Norm sind, können diese Arten von Situationen Organisationen in unglaublich herausfordernden Bedingungen bringen.

Datensouveränität vs. Datenschutz vs. Datenlokalisierung vs. Datenresident

Die Datensouveränität, der Datenschutz, die Datenlokalisierung und die Datenresident sind vier miteinander verbundene Konzepte, die in der modernen digitalen Landschaft eine bedeutende Rolle spielen. Da der globale Informationsfluss schnell expandiert, müssen Unternehmen, Regierungen und Einzelpersonen diese komplexen Probleme navigieren, um die Einhaltung von Vorschriften zu gewährleisten und ihre Privatsphäre und ihr geistiges Eigentum zu schützen.

In einer Geschäftswelt, in der internationaler Handel und Cloud-Speicherung die Norm sind, können diese Arten von Situationen Organisationen in unglaublich herausfordernden Bedingungen bringen.

Darüber hinaus wird einige Terminologie oft mit Souveränität verwechselt:

  • Datenresident: Resident bezieht sich oft auf Fälle, in denen ein Unternehmen oder eine andere Organisation Informationen an einem bestimmten geographischen Standort speichert, um günstige Bedingungen zu finden.

Regulierungskonformität. Dies könnte beinhalten, Standorte zu wechseln, um zu zeigen, dass der Großteil ihrer Geschäftsaktivitäten aus finanziellen Gründen in einem anderen Land stattfindet.

  • Datenlokalisierung: Im strengsten Sinne bezieht sich Lokalisierung auf die Anforderung, dass Daten, die an einem bestimmten Ort erstellt wurden, an diesem Ort verbleiben. Dies kann Compliance-Vorschriften einschließen, wie die Datenschutz-Grundverordnung der Europäischen Union (GDPR), für personenbezogene Daten, die sich auf die Bürger eines Landes beziehen und die Organisationen verpflichten, diese Informationen auf lokalen Servern zu speichern und die Übertragung außerhalb der Landesgrenzen zu beschränken oder zu verbieten.
  • Indigene Datensouveränität: Eine Untergruppe der Souveränität, die indigene Souveränität, bezieht sich speziell auf die Rechte indigener Nationen in den Vereinigten Staaten, Kanada und Australien (unter anderem Ländern), die Privatsphäre ihrer eigenen Informationen zu verwalten.

Schlüsselüberlegungen und Herausforderungen im Zusammenhang mit der Datensouveränität

Datensouveränität bezieht sich auf das Konzept, dass digitale Daten den Gesetzen und Vorschriften des Landes unterliegen, in dem sie gespeichert sind. Dies bedeutet, dass, wenn Daten physisch innerhalb der Grenzen eines Landes liegen, die Regierung Zuständigkeit darüber hat und ihre Datenschutzrichtlinien durchsetzen kann. Dieses Prinzip ist besonders wichtig für Organisationen, die über internationale Grenzen hinweg tätig sind, da sie die Regeln jeder Gerichtsbarkeit einhalten müssen, in der ihre Daten liegen.

Rechtliche und regulatorische Konformität für Datensouveränität

Eine der Haupt Herausforderungen im Zusammenhang mit der Datensouveränität ist die Notwendigkeit für Organisationen, unterschiedliche rechtliche und regulatorische Anforderungen in verschiedenen Ländern einzuhalten. Dies kann die Einhaltung von Datenschutzgesetzen, branchenspezifischen Vorschriften und internationalen Vereinbarungen beinhalten. Nichtkonformität kann zu erheblichen Geldstrafen, rechtlichen Schritten und Reputationsschäden führen, was es für Unternehmen unerlässlich macht, ihre Datenmanagementstrategien sorgfältig zu planen.

Bahnbrechende Fälle zur Etablierung der Datensouveränität

Die Entstehung der Souveränität als juristisches Konzept auf globaler Ebene kann auf das PRISM-Programm zurückgeführt werden, ein Beobachtungs- und geheimes Informationsbeschaffungsprogramm, das von der National Security Agency betrieben und von Edward Snowden aufgedeckt wurde.

PRISM und der U.S. PATRIOT Act

Die National Security Administration (NSA) beobachtet und sammelt Informationen, einschließlich Texte, Bilder, Filme, Telefonate, soziale Netzwerkinformationen und Videotelefonate über verschiedene Plattformen und Anbieter. Unabhängig von seiner zweifelhaften Rechtmäßigkeit sammelte die USA auch Informationen von ausländischen Staatsbürgern, die in das Netz gerieten.

Neben dem PRISM-Programm gab der U.S. PATRIOT Act der US-Regierung das Recht, Daten von jedem Server zu sammeln, der physisch innerhalb der US-Grenzen liegt, was oft auch ausländische Informationen umfasste, die nach verschiedenen Arten von Datenschutz- und Sicherheitsgesetzen geregelt waren.

Microsoft vs. Die Vereinigten Staaten

Obwohl dieser Fall keine Standards für die Datenhoheit in das Gesetz einbrachte, begann er die Diskussion. Ein anderer Fall, Microsoft Corp gegen die Vereinigten Staaten, diente als Meilenstein für das Konzept.

Im Jahr 2013 suchte das US-Justizministerium Informationen von Microsoft-Servern im Zusammenhang mit Drogenhandelsfällen zu sammeln, die untersucht wurden. Microsoft weigerte sich, weil die Informationen in einem Zentrum in Irland gespeichert waren, außerhalb (nach Ansicht von Microsoft) der US-Gerichtsbarkeit und unterliegen irischen Datenschutzgesetzen.

Microsoft verlor die anfängliche rechtliche Herausforderung, legte jedoch Berufung beim 2. U.S. Circuit Court of Appeals ein, der mit den Ergebnissen nicht einverstanden war und den Fall an den U.S. Supreme Court weiterleitete, währenddessen der Kongress das CLOUD Act verabschiedete. Dieses Gesetz besagte im Wesentlichen, dass ein US-Unternehmen Informationen im Zusammenhang mit der Strafverfolgung übergeben muss, unabhängig davon, wo diese Informationen gespeichert sind. Es fügte jedoch spezifische Anforderungen für den Schutz der Informationen von ausländischen Staatsbürgern hinzu, deren Informationen auf Servern von US-Unternehmen in nicht-US-Gerichtsbarkeiten existieren, insbesondere in Fällen, in denen die USA Datenschutzgesetze mit diesen Ländern haben.

Das CLOUD Act legte auch Standards für ausländische Länder fest, die Zugang zu in den USA gehosteten Informationen suchen, vorbehaltlich der Aufsicht durch US-Gerichte und dem Nachweis von Rechts- und Beweisverdiensten.

Wie hängt die Datenhoheit mit der DSGVO zusammen?

Die DSGVO wurde 2018 in den teilnehmenden EU-Ländern verabschiedet und setzt strenge Standards für den Schutz der Privatsphäre und des Eigentums an Verbraucherinformationen. Diese Gesetze deckten auch die Souveränität ab.

Unter der DSGVO müssen alle Informationen, die von Bürgern der EU gesammelt werden, auf Servern in EU-Rechtsgebieten oder in Ländern mit ähnlichem Umfang und Strenge in ihren Schutzgesetzen aufbewahrt werden. Auf diese Weise fallen die Informationen unter die strengen Sicherheitsgesetze der EU und die Bürger bleiben unter diesem Schutz.

Insbesondere gilt dieses Gesetz sowohl für Prozessoren als auch für Controller, was bedeutet, dass sowohl Unternehmen, die Informationen sammeln und diejenigen, die Dienstleistungen zur Datenerfassung anbieten, unter dieses Gesetz fallen.

Was bedeutet das für Anbieter und Unternehmen außerhalb der EU? Wenn Sie in der EU tätig sind oder Unternehmen durch Sammeln von Informationen von EU-Bürgern bedienen, fallen Sie unter die DSGVO. Eine Verletzung dieser Verordnung könnte zu Geldstrafen von bis zu 4% Ihres gesamten weltweiten Jahresumsatzes führen.

Wie man mit Cloud-Service-Anbietern auf Datenhoheit zugeht

Es versteht sich von selbst, dass, wenn Sie mit einer internationalen Kundenbasis arbeiten oder in fremden Ländern tätig sind, die Datenhoheit ein wichtiger Aspekt Ihres Geschäfts ist.

Mit diesem Gedanken im Hinterkopf sollten mehrere Faktoren Ihre Organisation in Betracht ziehen:

  • Serverstandorte: Es sollte klare und vereinbarte Standorte für die Speicherung und Verarbeitung geben. Einige Cloud-Anbieter werden versuchen, die Cloud-Abdeckung nach “Region” zu teilen, um flexibel zu bleiben, daher je spezifischer diese Anbieter sein können, desto besser.
  • Lokale Gerichtsbarkeit und Datenschutzgesetze: Ihre Organisation sollte ein gutes Verständnis der anwendbaren Datenschutzgesetze und Gesetze haben. Diese Gesetze könnten beeinflussen, wie diese Informationen in dieses Land hinein oder aus diesem Land heraus geregelt sind, und ob diese Arten von Dateiübertragungen sogar legal sind.
  • Datenbesitz und Verbraucherrechte abbilden: Neben Datenschutz- und Sicherheitsgesetzen sollten Sie ein gutes Verständnis für Verbraucherrechte haben: Zum Beispiel sind Informationen, die durch die DSGVO geschützt sind, Eigentum des Verbrauchers. Das bedeutet, dass diese Personen verlangen können, dass ihre Informationen ihnen zur Verfügung gestellt oder gelöscht werden. Vorschriften wie die DSGVO – oder neuerdings der California Consumer Privacy Act (CCPA) – setzen strenge Grenzen dafür, wie diese Informationen verarbeitet und genutzt werden können.
  • Bestimmen Sie die Tools zur Informationsverwaltung: Jeder Cloud- oder Serviceanbieter sollte auch wichtige Informationsverwaltungsfunktionen wie umfassende Audit-Protokolle, Aufbewahrung, Abhilfemaßnahmen und fortgeschrittene Analysen bieten.

Konforme und sichere Datenverwaltung mit Kiteworks

Die Kiteworks-Plattform bietet technologie- und branchenunabhängige Sicherheitskontrollen, die den Anforderungen an Governance, Compliance und Sicherheit nahezu jeder Anwendung gerecht werden. Funktionen wie unveränderliche Protokolle, sichere Dateiübertragung und Geschäftsanalysen unterstützen Unternehmen, die komplexe Vorschriften jonglieren und gleichzeitig den Unternehmensbetrieb aufrechterhalten.

Um solche Operationen zu unterstützen, hat die Kiteworks-Plattform die folgenden Funktionen:

  • Sicherheit und Compliance: Kiteworks verwendet AES-256-Verschlüsselung für ruhende Daten und TLS 1.2+ für Daten während der Übertragung. Die gehärtete virtuelle Appliance, granulare Kontrollen, Authentifizierung und andere Integrationen des Sicherheitsstapels sowie umfassende Protokollierung und Auditing ermöglichen es Organisationen, sensible Daten zu schützen und dabei eine effiziente Governance und Compliance zu gewährleisten.
  • Sicheres Teilen von Dateien: Kiteworks unterstützt sicheres Teilen von Dateien für das Management von Risiken durch Dritte (TPRM), wodurch Organisationen vertrauliche Daten, wie persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI) und geistiges Eigentum (IP), mit Dritten teilen können, während sie den Industrie- und Regierungsvorschriften, wie dem Health Insurance Portability and Accountability Act (HIPAA), Federal Information Processing Standards (FIPS) und Cybersecurity Maturity Model Certification (CMMC), unter anderen.
  • SIEM-Integration: Organisationen können ihre Umgebungen sicher halten, indem sie Metadaten aus sensiblen Inhaltskommunikationen mit Sicherheitsinformationen und Event Management (SIEM) Daten für einheitliche Alarme, Protokollierung und Event-Reaktion integrieren. Integrationen umfassen IBM QRadar, ArcSight, FireEye Helix, LogRhythm, unter anderen. Kiteworks hat auch eine Integration mit dem Splunk Forwarder und der Splunk App.
  • Audit-Protokollierung: Kiteworks ermöglicht eine unveränderliche Audit-Protokollierung und ermöglicht es Organisationen, darauf zu vertrauen, dass sie Angriffe früher erkennen können, während sie die korrekte Beweiskette für forensische Untersuchungen aufrechterhalten. Da die Plattform Metadaten aus mehreren sensiblen Inhaltskommunikationskanälen zusammenführt und standardisiert, sparen ihre einheitlichen Syslog und Alarme Sicherheitsoperationsteams (SOC) wertvolle Zeit und helfen Compliance-Teams bei der Vorbereitung auf Audits.
  • Einzelmietenumgebung in der Cloud: Dateiübertragungen, Dateispeicherung und Zugriff auf Dateien erfolgen auf einer dedizierten Kiteworks-Instanz, die vor Ort, auf Logging-as-a-Service-Ressourcen oder in der Cloud vom Kiteworks Cloud-Server gehostet wird. Dies bedeutet keine gemeinsame Laufzeit, keine gemeinsamen Datenbanken oder Repositories, Ressourcen oder ein potentielles Risiko für Cross-Cloud-Verletzungen oder Angriffe.
  • Datenübersicht und -verwaltung: Das CISO-Dashboard in der Kiteworks-Plattform gibt Organisationen einen Überblick über ihre Daten: wo sie sich befinden, wer darauf zugreift, wie sie genutzt werden und ob sie den Anforderungen entsprechen. Helfen Sie Ihren Unternehmensleitern, fundierte Entscheidungen zu treffen, und Ihrer Compliance-Führung, regulatorische Anforderungen einzuhalten.

Erfahren Sie mehr darüber, wie Kiteworks Organisationen dabei hilft, die Datenhoheit zu verwalten und Metadaten für alle sensiblen Inhaltskommunikationen in einer einzigen Ansicht zu zentralisieren, indem Sie heute eine individuelle Demo planen.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks