vectorfusionart - stock.adobe.co
Daten in einem komplexen regulatorischen Umfeld schützen
DSGVO, Cloud Act, DPA – Daten werden heutzutage häufig über mehrere Rechtssysteme hinweg gemeinsam genutzt. Das müssen Unternehmen bei der Public Cloud unbedingt beachten.
Angesichts des wachsenden Datenvolumens ist es heute üblich, dass Daten über mehrere Rechtssysteme hinweg gemeinsam genutzt und gespeichert werden. Dies kann zwar die Innovation fördern und unsere Arbeitsweise verbessern, ruft aber auch neue Bedenken in Bezug auf die Datensouveränität auf den Plan – ein Thema, das ins Blickfeld gerückt ist, seit uns bewusster geworden ist, wie Unternehmen Kundendaten erfassen und speichern.
Laienhaft ausgedrückt handelt es sich bei Datensouveränität (Data Sovereignty) um ein Rechtsprinzip, nach dem Daten den Gesetzen des Landes unterliegen, in dem sie erfasst wurden. Unternehmen, die eine Public-Cloud-Lösungen nutzen, sollten diesen wichtigen Aspekt berücksichtigen, da sich die Rechenzentren von Hyperscalern überall auf der Welt befinden können.
Eine souveräne Cloud hingegen ist eine Cloud-Infrastruktur, die so konzipiert und aufgebaut ist, dass sie den lokalen Gesetzen in Bezug auf Datenschutz, -zugang und -kontrolle entspricht – und jegliche widersprüchlichen Gesetzesvorschriften berücksichtigt. In der Praxis bedeutet dies, dass Daten in dem Land gespeichert werden, in dem sie erhoben wurden, oder dass „virtuelle Datenräume“ genutzt werden, um grenzüberschreitende Datensouveränität zu ermöglichen, wie wir weiter unten erläutern werden.
Werfen wir also einen Blick auf die aktuelle Rechtslage zum Thema Datenschutz und untersuchen wir, wie der Aufbau einer souveränen Cloud Unternehmen dabei helfen kann, die oft widersprüchlichen Vorschriften einzuhalten.
Welche Datenschutzbestimmungen gelten für Unternehmen?
Wenn ein Unternehmen länderübergreifend tätig ist, kann die Einhaltung der sich ständig ändernden Datenschutzbestimmungen eine echte Herausforderung darstellen. Um dies zu veranschaulichen, hier eine Momentaufnahme der aktuellen rechtlichen Rahmenbedingungen in der EU, dem Vereinigten Königreich und den USA.
Schrems II (EU und UK)
Bis Mitte 2020 nahmen die EU und die USA an einem gemeinsamen Privacy-Shield-Abkommen teil. Dieses erlaubte es US-Unternehmen, personenbezogene Daten aus der EU zu erhalten, wenn sie sich an die EU-Standards für Datenschutz und Privatsphäre hielten. Im Juli 2020 erklärte der Gerichtshof der Europäischen Union dieses Abkommen jedoch aufgrund von Bedenken über die Überwachung durch US-Strafverfolgungsbehörden für ungültig. Dieses wegweisende Urteil ist als Schrems II bekannt.
Schrems II verpflichtet EU-Unternehmen, jede Datenübermittlung in ein Nicht-EU-Land einzeln zu prüfen. Obwohl das Vereinigte Königreich die EU verlassen hat, gilt Schrems II derzeit auch noch dort. Dies zwingt britische Unternehmen dazu, alternative Schutzmaßnahmen zum für ungültig erklärten Datenschutzschild zu finden, um den Datenverkehr zwischen dem Vereinigten Königreich und den USA zu schützen.
DSGVO/GDPR (EU) und DPA 2018 (UK)
Die EU-Datenschutz-Grundverordnung (DSGVO) und der britische Data Protection Act (DPA) 2018 sind beide darauf ausgelegt, Transparenz und Sicherheit in Bezug auf Kundendaten zu gewährleisten. Diese Vorschriften haben daher Auswirkungen auf die Datensouveränität. Nach der DSGVO müssen sich Cloud-Anbieter beispielsweise verpflichten, personenbezogene Daten nur auf der Grundlage rechtlicher Anfragen nach EU-Recht offenzulegen. Für in den USA ansässige Hyperscaler ergibt sich daraus ein klarer Konflikt mit dem US CLOUD Act (siehe unten). Obwohl Hyperscaler ihren Kunden versichern können, dass ihre Daten innerhalb der von ihnen gewählten Rechtsordnung gespeichert werden, können sie keinen vollständigen Schutz vor der US-Strafverfolgung garantieren.
CLOUD Act (USA)
2018 trat der US Clarifying Lawful Overseas Use of Data (CLOUD) Act in Kraft. Dieses Gesetz zwingt US-Cloud-Anbieter, Daten an Regierungs- oder Strafverfolgungsbehörden herauszugeben, wenn sie per Haftbefehl, Vorladung oder Gerichtsbeschluss dazu aufgefordert werden - auch wenn die betreffenden Daten in einem anderen Land gespeichert sind.
COPO Act 2019 (UK) und Artikel 49 der DSGVO (EU)
Es ist hervorzuheben, dass sowohl in der EU als auch im Vereinigten Königreich Rechtsvorschriften gelten, die dem CLOUD Act entsprechen. In der EU ist dies der Artikel 49 der DSGVO/GDPR und im Vereinigten Königreich ist es der Crime Overseas Production Orders (COPO) Act 2019.
Der COPO Act des Vereinigten Königreichs enthält ähnliche Grundsätze wie der CLOUD Act. Er geht jedoch noch weiter, indem er es den Behörden ermöglicht, jeden Cloud-Anbieter, der außerhalb des Vereinigten Königreichs tätig ist, zur Herausgabe von Daten an sie zu zwingen – vorausgesetzt, das Vereinigte Königreich hat ein Designated International Cooperation Agreement (DICA) mit dem betreffenden Land unterzeichnet.
In Zukunft werden wahrscheinlich weitere Länder ähnliche Gesetze erlassen, so dass internationale Organisationen möglicherweise mit widersprüchlichen rechtlichen Verpflichtungen jonglieren müssen.
GAIA-X (EU)
Das von Deutschland und Frankreich initiierte, sich derzeit in der Umsetzungsphase befindliche GAIA-X Framework wurde von Unternehmen, Regierungsvertretern und Wissenschaftlern in ganz Europa entwickelt. Es bildet die Grundlage für ein vernetztes System, das viele Anbieter von Cloud-Diensten miteinander verbindet und in dem Daten dezentralisiert und gebündelt werden, wobei Infrastrukturen und Sicherheitsstandards der nächsten Generation zum Einsatz kommen.
Implementierung der souveränen Cloud
Angesichts dieser komplexen regulatorischen Landschaft ist es keine Überraschung, dass das Interesse von Unternehmen an Sovereign Clouds wächst. Dabei stehen ihnen zwei Möglichkeiten zur Verfügung: Entweder sie wenden sich an einen regionalen Storage-Anbieter, der innerhalb bestimmter nationaler Grenzen operiert, oder sie bauen ihre eigene Sovereign Cloud auf, indem sie Private Cloud Storage On-Premises nutzen.
Dies bedeutet jedoch nicht, dass Unternehmen auf Hyperscaler verzichten müssen. Oft ist eine hybride Multi-Cloud-Strategie – eine Kombination aus privaten und Public Clouds – der beste Ansatz. Auf diese Weise können Unternehmen die richtige Cloud für die richtige Datenmenge nutzen und von der ganzen Bandbreite der von verschiedenen Cloud-Anbietern angebotenen Dienste profitieren.
Für Unternehmen, die immer noch Daten zwischen Ländern verschieben müssen, entstehen so genannte „virtuelle Datenräume“, die grenzüberschreitende Datensouveränität ermöglichen. Diese beruhen auf Datenbeziehungen zwischen vertrauenswürdigen Partnern – Datenanbieter, Nutzer, Vermittler und so weiter – mit denselben hohen Standards für die Speicherung und den Austausch von Daten. Entscheidend ist, dass die betreffenden Daten an ihrem Ursprungsort gespeichert werden und nur dann zwischen den Standorten verschoben werden, wenn dies unbedingt erforderlich ist.
Die Rolle von Object Storage beim Aufbau einer souveränen Cloud
Unabhängig davon, ob Unternehmen ihre eigene souveräne Cloud aufbauen oder mit Dienstleistern zusammenarbeiten, die dies anbieten können, bleibt die wichtigste Voraussetzung für diese Clouds dieselbe – Object Storage. Und warum? In erster Linie ist Objektspeicher wesentlich skalierbarer und kostengünstiger als Block- oder Dateispeicher.
Darüber hinaus ist Objektspeicher S3-API-kompatibel. Da die S3-API de facto zum Cloud-Standard geworden ist, können souveräne Clouds mit einer S3-kompatiblen Speicherinfrastruktur dieselbe Rolle spielen wie die Public Cloud, was eine einfache Datenmobilität ermöglicht.
„Während die Datenwirtschaft floriert, müssen Unternehmen mit den Gesetzen und Vorschriften, die sich auf die Datensouveränität beziehen, Schritt halten und sicherstellen, dass sie die Vorschriften einhalten.“
Sascha Uhl, Cloudian
Objektspeicher bieten außerdem automatisierten Datenschutz und in zunehmendem Maße auch Schutz vor Ransomware durch Datenunveränderlichkeit und Verschlüsselung. Die Unveränderbarkeit von Daten verhindert, dass Cyberkriminelle Daten verändern oder löschen, so dass diese Daten im Falle eines Ransomware-Angriffs schnell wiederhergestellt werden können, ohne dass Lösegeld gezahlt werden muss. Die Verschlüsselung verhindert, dass Hacker Daten lesen oder in irgendeiner Weise veröffentlichen können, wodurch die Ransomware-Erpressung entfällt.
Und das Fazit? Während die Datenwirtschaft floriert, müssen Unternehmen mit den Gesetzen und Vorschriften, die sich auf die Datensouveränität beziehen, Schritt halten und sicherstellen, dass sie die Vorschriften einhalten. Souveräne Clouds mit einer Basis aus Objektspeicher sind die beste Möglichkeit, dies zu erreichen. Wenn ein Unternehmen nicht über das nötige Fachwissen verfügt, um eine eigene souveräne Cloud zu erstellen, können lokale Serviceanbieter die Lücke schließen.
Über den Autor:
Sascha Uhl ist Object Storage Technologist bei Cloudian.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.