IRStone - stock.adobe.com

Digitale Souveränität gelingt nur in Zusammenarbeit

Sowohl auf EU- als auch unternehmerischer Ebene gibt es mittlerweile zahlreiche Initiativen, die Datenschutz, digitale Souveränität und Datensouveränität stärken sollen.

Wir kaufen auf Plattformen ein, Unternehmen verlagern Daten in die Cloud, unsere Gesundheitsdaten werden in elektronischen Akten gespeichert. Überall hinterlassen wir digitale Spuren, legen Daten ab, rufen online Anwendungen auf.

Dabei gilt es auf vertrauenswürdige Anbieter zu setzen. Doch so unbestritten die Bedeutung durchdachten Datenhandlings und -managements auch ist: Geht es um Datensouveränität, Einordnung und Herangehensweise, fällt die Orientierung aufgrund der Vielschichtigkeit des Themas schwer.

Gerade beim Thema Datenschutz und Cloud Computing gibt es nach wie vor Diskussionen: Einerseits sollen zwar immer mehr Anwendungen ausgelagert werden. Gleichzeitig wächst aber auch die Angst vor Datenverlust und -missbrauch, wenn sich Informationen nicht länger nur auf den eigenen Servern befinden. Um diesen Sorgen zu begegnen, macht es Sinn, sich mit dem Thema vertieft zu beschäftigen.

Technologien und Strategien für digitale Souveränität notwendig

Das Datenuniversum wächst und wächst. 2020 hat jeder Mensch bereits 1,7 Megabytes an Daten in nur einer Sekunde generiert, Tendenz steigend. Benötigt werden in zunehmendem Maße Technologien und Strategien, um dieser Menge zu begegnen und zugleich digitale Souveränität und Datensouveränität sicherzustellen. Was das bedeutet?

Firmen aber auch Einzelpersonen müssen sich ihrer individuellen Rollen und Funktionen stets bewusst sein und entsprechend handeln. Dazu gehören die kontinuierliche und verlässliche Überwachung und Selbstbestimmung über persönliche und unternehmensinterne Informationen. Nur die Einzelperson oder die jeweilige Organisation sollte das Recht haben, über diese Daten und den Umgang mit ihnen zu verfügen.

Außerdem muss kontinuierliche Transparenz und Rückverfolgbarkeit gewährleistet sein. Datensouveränität bedeutet aber auch, dass Staaten und ihre Regierungsorgane nicht ohne Weiteres auf Daten zugreifen sollten. Es gilt deshalb sicherzustellen, dass insbesondere die Möglichkeiten des Datenzugriffs in politischen Abkommen geregelt werden und dieses Problem nicht auf die Unternehmen übertragen wird. Dazu braucht es multilaterales Handeln und ein Update von bestehenden Rechtshilfeabkommen.

Projekte für mehr Datenschutz und digitale Souveränität

In den vergangenen Jahren wurden verschiedene Initiativen zur Stärkung der digitalen Souveränität initiiert. Insbesondere die Europäische Union und ihre Mitgliedsstaaten haben das Thema auf die Agenda gehoben. Dabei ist zwischen gesetzgeberischen und technischen Projekten zu unterscheiden.

Einige prominente Beispiele auf politischer Ebene sind der Digital Markets Act (DMA), der Data Governance Act (DGA) und der Digital Services Act (DSA). Sie alle zielen darauf ab, den fairen Wettbewerb digitaler Geschäftsmodelle, Transparenz, Interoperabilität und einheitliche Praktiken zu fördern. Seinen Anfang fand dieser Trend in der Datenschutzgrundverordnung, die – wie Europäer nicht ohne Stolz feststellen – mithin eine globale Strahlkraft entfaltet hat.

Aber selbst wenn die EU sich in der Rolle des Vorreiters und Standardsetzers gefällt: Es wird in Zukunft wichtiger werden, sich zumindest im transatlantischen Raum früher abzustimmen und gemeinsame Auffassungen zu entwickeln. Das jüngst ins Leben gerufene Trade and Tech Council (TCC) hat das Potenzial als ein Forum zu dienen, in dem genau das geschieht.

Wichtige europäische Cloud-Initiativen

Neben gesetzlichen Vorgaben zu Wettbewerb, Transparenz, Datenschutz und Interoperabilität werden auch vermehrt unternehmerische Initiativen gestartet. Dabei schließen sich Unternehmen mit der Zielsetzung Datensouveränität zusammen, mal mit, mal ohne politische Flankierung.

Der europäische Verhaltenskodex für Cloud-Dienste (EU Cloud Code of Conduct) will Cloud-Anbieter in Sachen EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) unterstützen und so das Vertrauen der Anwender stärken. Das Ziel sind höchste Datenschutzstandards.

Es gibt aber noch weitere Initiativen, die es sich zur Aufgabe gemacht haben, die Datensicherheit und somit Souveränität in der Cloud voranzutreiben und zu stärken. Ein Beispiel ist das IPCEI-CIS-Vorhaben (Important Project of Common European Interest), das ein Edge-Cloud-Kontinuum in Europa etablieren möchte und die benötigte Infrastruktur für ein Datenökosystem bereitstellt, um etwa Initiativen wie GAIA-X zu unterstützen. Hier sind sowohl politische Akteure wie die deutsche und französische Regierung als auch Verbände und Unternehmen engagiert.

Die Kooperation von europäischen Ländern und Cloud-Anbietern in einem föderierten Cloud-System ist Kern von GAIA-X, das als dezentrale Dateninfrastruktur angelegt ist. Oberste Prämisse: Alle Firmen und Organisationen sollen von einer sicheren Cloud profitieren können, ohne sich dabei an einen bestimmten Provider binden zu müssen. Eine erste konkrete Initiative unter diesem Dach könnte das Catena-X Automotive Network sein, das sich für durchgängige Datenketten für alle Teilnehmer der automobilen Wertschöpfungskette einsetzt. Dabei geht es insbesondere um den sicheren Informationsaustausch zwischen Unternehmen der Automobilindustrie.

Ben Brake, IBM

„Um Daten souverän zu teilen, braucht es die Möglichkeit, dass der Datengeber zu jeder Zeit die Kontrolle darüber behält, wer was und wie mit den Daten macht.“

Ben Brake, IBM

Dennoch bereiten einige Trends auch Sorge: Digitale Souveränität darf nicht in digitalem Protektionismus enden. Wo immer Marktbarrieren errichtet werden, sollte man Haltung beziehen – im eigenen aber vor allem im europäischen Interesse: Ein Kontinent, der stark auf Export setzt, darf auch für datengetriebene Geschäftsmodelle keine Grenzen ziehen.

Sechs Tipps für mehr Datensicherheit und -souveränität

Wie aber sollen sich kleine und mittlere Unternehmen, darunter viele Hidden Champions, Weltmarktführer in bestimmten Nischen, in dieser Debatte positionieren und welche Schlussfolgerungen gilt es zu ziehen? Es geht immerhin um den Schutz des Intellectual Property (IP), also dem Kern des geschäftlichen Erfolgs.

Souveränität verlangt sowohl Wissen und Erfahrung als auch die richtigen Tools. Um dieses wichtige Thema in seiner Gesamtheit in den Unternehmen umzusetzen, werden technologische Ansätze benötigt, die helfen, digital souverän zu agieren, relevante Informationen umfassend zu schützen, zugleich aber innovativ und wettbewerbsstark vorzugehen. Hier einige zentrale Tipps auf einen Blick:

  • Offene, hybride Multi-Cloud Plattformen bieten sich als Grundlage für künftige IT-Strukturen an. Statt lediglich auf einen einzigen Cloud-Anbieter und die Public Cloud zu setzen, um ein Kontinuum von dem eigenen Rechenzentrum über öffentliche Clouds bis hin zu den Edges zu schaffen. Hierzu braucht es offene Standards und Technologien, die intelligent zu einer Plattform zusammengefügt werden. Durch die Offenheit wird darüber hinaus eine Technologievielfalt möglich.
  • Für eine erfolgreiche digitale Souveränität ist es außerdem essenziell, dass Daten und die aus ihnen resultierenden Erkenntnissen stets dem Unternehmen gehören, das sie generiert und/oder erarbeitet hat. Um Daten souverän zu teilen, braucht es auch die Möglichkeit, dass der Datengeber zu jeder Zeit die Kontrolle darüber behält, wer was und wie mit den Daten macht.
  • Persönliche oder hochgradig regulierte Daten unterliegen laut Vorgaben der DSGVO einem besonderen Schutz. Deshalb müssen Unternehmen genau festlegen, welche Daten sie wo und wie speichern und bearbeiten.
  • Die Rechenzentren des Cloud-Providers sollten sich aus dieser Überlegung heraus in der Europäischen Union befinden.
  • Um hundertprozentige Sicherheit zu garantieren, ist verlässliche Encryption vonnöten. Ein Keep-your-own-Key-Ansatz (KYOK) bietet ein Plus an Sicherheit, da die Schlüssel in den Händen des Eigentümers bleiben und daher nur berechtigte User Zugang zu den verschlüsselten Daten haben. 
  • Wartung und Datensicherung sind weitere Aspekte, die hinsichtlich eines umfassenden Sicherheitsansatzes Beachtung finden sollten.

Über den Autor:
Ben Brake ist Director Government and Regulatory Affairs bei IBM.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Datenverwaltung

ComputerWeekly.de
Close