Datenresidenz (Data Residency)
Datenresidenz (Data Residency) bezieht sich auf den physischen oder geografischen Standort der Daten oder Informationen eines Unternehmens. Ähnlich wie Datensouveränität bezieht sich Datenresidenz auf Gesetze und regulatorischen Anforderungen, die für Daten auf der Grundlage der Datengesetze in einzelnen Ländern oder Regionen gelten, in der sie sich befinden.
Unternehmen, die Cloud Computing nutzen, speichern Daten in dem Land, aus dem sie stammen, oder außerhalb seiner Landesgrenzen. Wenn Unternehmen jedoch gehostete Dienste über das Internet bereitstellen, kann dies zu Problemen mit der Datenresidenz führen. Oft wissen die Kunden von Cloud Computing nicht, wo sich ihre Daten befinden. Da Cloud-Anbieter Daten weltweit in verschiedenen Rechenzentren speichern, müssen sich die Nutzer über die lokalen Gesetze und Vorschriften zur Datenresidenz im Klaren sein.
Um zu verstehen, welche Datengesetze und -vorschriften für ihre Daten gelten, müssen die Nutzer wissen, wo sich die Rechenzentren ihres Cloud-Anbieters befinden, und sich über die Richtlinien zur Datenresidenz für den jeweiligen Standort informieren. Außerdem sollten Cloud-Nutzer darauf achten, dass in ihren Service Level Agreements (SLAs) mit Cloud-Anbietern festgelegt ist, wo ihre Daten gespeichert werden dürfen und wo nicht.
Was sind Anforderungen an die Datenresidenz?
In den meisten Teilen der Welt gelten für Unternehmen lokale Datenvorschriften, die vorschreiben, wie die Daten der Bürger oder Einwohner eines Landes innerhalb seiner Grenzen erfasst, bereinigt, verarbeitet und gespeichert werden müssen. Der Hauptgrund, warum sich Unternehmen für die Speicherung von Daten an verschiedenen Standorten entscheiden, hängt oft mit Vorschriften, Datenrichtlinien und Steuern zusammen.
Unternehmen dürfen jedoch Daten übertragen, wenn sie die lokalen Datenschutzgesetze einhalten. In diesem Fall müssen die Unternehmen die Nutzer benachrichtigen und ihre Zustimmung einholen, bevor sie ihre Daten erhalten und verwenden.
Wie unterscheiden sich Datenresidenz, Datensouveränität und Datenlokalisierung?
Datenresidenz, Datensouveränität und Datenlokalisierung sind Begriffe, die aufgrund einiger Überschneidungen oft für Verwirrung sorgen. Unternehmen müssen jedoch die Unterschiede zwischen diesen Begriffen kennen, um erhebliche Geldstrafen für Verstöße gegen die Vorschriften zu vermeiden.
Die Datenresidenz bezieht sich darauf, wo die Daten physisch und geografisch gespeichert sind. Bei der Datensouveränität geht es nicht nur darum, wo die Daten gespeichert sind, sondern auch um die Gesetze und Vorschriften, die für die Daten an dem Ort gelten, an dem sie physisch gespeichert sind. Im Falle der Datensouveränität gelten für verschiedene Datensubjekte unterschiedliche Datenschutz- und Sicherheitsvorschriften, je nachdem, wo sich die Rechenzentren befinden, in denen die Informationen gespeichert sind.
Im Gegensatz dazu verlangt Datenlokalisierung, dass alle Daten, die innerhalb der Grenzen eines Landes erzeugt werden, auch dort verbleiben. Im Gegensatz zur Datenresidenz und Datensouveränität wird die Datenlokalisierung konsequent auf die Erstellung und Speicherung personenbezogener Daten angewandt.
Viele staatliche Richtlinien und Vorschriften befassen sich speziell mit Fragen des Datenschutzes und der Datenlokalisierung. Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Datenschutz- und Sicherheitsgesetz zum Schutz medizinischer Daten in den USA. Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Richtlinien zum Schutz der Daten von Kredit- und Debitkarteninhabern.
Weltweit gibt es unterschiedliche Datenschutzgesetze, darunter das deutsche Bundesdatenschutzgesetz, der britische Data Protection Act und die EU-Datenschutz-Grundverordnung (EU-DSGVO). Die DSGVO-Anforderungen an Datenresidenz regeln jedoch nur die Verarbeitung personenbezogener Daten von in der EU ansässigen Personen, eine wichtige Komponente der EU-Gesetze zum Schutz der Privatsphäre und Menschenrechte.
Die EU-Gesetze zur Datenresidenz enthalten keine spezifischen Lokalisierungsanforderungen. Viele Unternehmen in der Region ergreifen jedoch Maßnahmen, um die Datenlokalisierung der regulierten Daten zu gewährleisten, bevor sie Daten aus ihrem Herkunftsland heraus transferieren.
Unternehmen können Cloud-Datenverschlüsselungs-Tools verwenden, um Daten vor unerwünschtem Zugriff zu schützen und die Einhaltung der Datenlokalisierungsvorschriften unabhängig von ihrem geografischen Standort zu gewährleisten. Cloud-Verschlüsselungsdienste wandeln Benutzerdaten in chiffrierten Text um, bevor sie in der Cloud gespeichert werden.
Im April 2015 hat die Object Management Group die Data Residency Working Group gegründet, um Fragen der Datenresidenz zu untersuchen. Zu den untersuchten Themen gehören die Kontrolle und Dokumentation von Daten in Cloud-Computing-Umgebungen, automatisierte Maßnahmen zum Schutz von Quellcode-Daten und einheitliche Komponentenmodelle für verteilte, Echtzeit- und eingebettete Systeme.