DavoeAnimation - stock.adobe.com

Tipp

Eine Einführung in die Data Sovereignty für Cloud-Administratoren

Unternehmen müssen beim Cloud-Einsatz gesetzliche Vorgaben zur Datensouveränität einhalten, um Datenschutz, Compliance und Kontrolle über sensible Daten zu gewährleisten.

von
Zuletzt aktualisiert:16 Aug. 2025

Heutzutage legen Verbraucher großen Wert auf den Schutz ihrer Privatsphäre und die Kontrolle über ihre persönlichen Daten. Unternehmen müssen mit erheblichen Konsequenzen rechnen, wenn sie Informationen nicht gemäß den Gesetzen und Vorschriften zur Data Sovereignty schützen.

Data Sovereignty (Datenhoheit) ist das Konzept, dass Daten den Gesetzen und Vorschriften des Landes unterliegen, in dem sie verarbeitet oder gespeichert werden. Laut der IAPP unterliegen 79 Prozent der Weltbevölkerung irgendeiner Form von Datenschutzgesetzen. Daher sind Datenhoheit und Datenschutz wichtige Aspekte der heutigen Cloud-Verwaltungspraktiken.

Um den Umfang des Problems richtig einschätzen zu können, müssen Cloud-Administratoren die folgenden drei Schlüsselelemente des Datenmanagements verstehen:

1. Data Sovereignty: Daten unterliegen den Gesetzen und Vorschriften des Landes oder der Gerichtsbarkeit, in dem/der sie gespeichert, verarbeitet oder übertragen werden.

2. Datenlokalisierung: Daten müssen innerhalb der Grenzen eines bestimmten Landes gespeichert und verarbeitet werden.

3. Datenresidenz: Die Entscheidung, Daten an einem bestimmten Ort zu speichern, der mit einer Reihe ausgewählter Vorschriften konform ist.

Vor dem Hintergrund dieser drei Aspekte werden nun die Vorteile und Herausforderungen der Implementierung eines effektiven und konformen Datenhoheitssystems in einer Cloud-Umgebung untersucht.

Szenarien zur Datenhoheit
Abbildung 1: Die Datenhoheit wird durch die Gesetze und Vorschriften der Länder bestimmt, in denen die Daten erstellt, gespeichert, verarbeitet oder gespeichert werden. Es können die Vorschriften mehrerer Länder gelten.

Die Rolle des Datenmanagements bei der Einhaltung der Compliance

Ein effektives Datenmanagementsystem trägt zur Einhaltung gesetzlicher Vorschriften bei. Es kann dem Unternehmen außerdem einen besseren Einblick in die gespeicherten Daten verschaffen, sodass diese Informationen besser für die geschäftliche Agilität genutzt werden können.

Betrachten Sie die Arten von Daten, mit denen ein Unternehmen arbeitet. Dabei kann es sich um personenbezogene Daten von Kunden und Mitarbeitern handeln. Es können auch behördliche Informationen oder Gesundheitsdaten sein. Einige Informationen sind möglicherweise urheberrechtlich geschützt oder geistiges Eigentum Ihres Unternehmens.

Unabhängig von der Art der Informationen müssen Unternehmen die Einhaltung der Datenverwaltungsvorschriften in alle Aspekte der Cloud-Planung und des Cloud-Betriebs integrieren. Die Nichteinhaltung der Anforderungen kann schwerwiegende Folgen haben, darunter die folgenden:

  • Reputationsschäden
  • rechtliche Schritte und Strafen
  • finanzielle Aufwendungen

Wie im Bericht Ausblick für 2025: Trends und Einblicke zur Datenintegrität (2025 Outlook: Data Integrity Trends and Insights) erwähnt, erzielen Unternehmen durch ein Data-Governance-Programm erhebliche Vorteile. Tatsächlich gaben 50 Prozent der Befragten an, dass sie durch ihre Data-Governance-Initiative die Einhaltung gesetzlicher Vorschriften verbessert haben.

Best Practices für die Implementierung von Data Sovereignty in der Cloud

Cloud-Administratoren können die folgenden Best Practices nutzen, um einen effektiven Plan für Datenhoheit in ihren Unternehmen zu implementieren:

  • Wissen Sie, wo das Unternehmen seine Daten speichert, ob in der Cloud oder On-Premises. Bei multinationalen Unternehmen können Daten in verschiedenen Rechtsräumen gespeichert sein.
  • Machen Sie sich mit den geltenden Gesetzen vertraut, die für den Ort gelten, an dem das Unternehmen Daten speichert und verarbeitet.
  • Machen Sie sich mit dem Weg vertraut, den Daten während der Übertragung zwischen Storage- und Verarbeitungszentren nehmen können. Edge Computing, IoT und Content Delivery Networks erfordern jeweils eigene Überlegungen.
  • Prüfen und wählen Sie Cloud Service Provider (CSPs) sorgfältig aus. Achten Sie besonders auf Compliance-Erklärungen und Zertifizierungen.
  • Überprüfen Sie regelmäßig die Compliance-Zertifizierungen der CSPs.
  • Implementieren Sie ein umfassendes Sicherheits- und Zugriffskontrollsystem, um zu verwalten, wer auf Ressourcen zugreifen oder Änderungen an Storage- und Rechenkonfigurationen vornehmen darf.
  • Führen Sie regelmäßige Audits und Compliance-Prüfungen durch.
  • Überwachen Sie regulatorische Änderungen, um Änderungen zu identifizieren, auf die das Unternehmen reagieren muss.
  • Implementieren Sie einen Datenklassifizierungsmechanismus und einen Data-Governance-Prozess, um Informationen zu identifizieren, die möglicherweise Datenhoheitsanforderungen unterliegen.
  • Stellen Sie sicher, dass Disaster-Recovery-Pläne und alternative Standorte den Anforderungen an die Data Sovereignty entsprechen.
  • Planen Sie die Datenportabilität, um eine Bindung an einen Anbieter oder die Notwendigkeit eines CSP-Wechsels aufgrund mangelnder Compliance zu vermeiden.

Was ist mit Sovereign Clouds?

Eine Sovereign Cloud ist eines der effektivsten Tools zur Gewährleistung der Datenkonformität. Die Bereitstellung beginnt mit der Idee, dass Daten den Gesetzen eines Landes unterliegen, also der Data Sovereignty. Daher muss sich die Sovereign-Cloud-Infrastruktur vollständig innerhalb des angegebenen Landes befinden. Alle Aspekte des Cloud-Betriebs finden innerhalb der Landesgrenzen statt, wodurch die Einhaltung der Vorschriften gewährleistet ist. Insbesondere die Datenverarbeitung und -speicherung erfolgt innerhalb der Sovereign Cloud, die sich vollständig innerhalb der Landesgrenzen befindet.

Wie funktionieren Sovereign Clouds?

Einer der ursprünglichen Vorteile des Cloud Computing besteht darin, dass es für Benutzer und Unternehmen keine Rolle spielt, wo die Speicherung und Verarbeitung stattfindet. CSPs konnten Rechenzentren überall auf der Welt einrichten und das wichtigste physische Anliegen war, den Verbrauchern einen schnellen Zugriff auf die Daten zu ermöglichen. Mit der Zunahme von Vorschriften zur Data Sovereignty müssen Unternehmen nun jedoch den physischen Speicherort von Daten sorgfältig verwalten.

Sovereign Clouds ermöglichen eine enge Verwaltung der Daten, indem alle Cloud-Computing- und Storage-Ressourcen innerhalb einer einzigen Grenze platziert werden und die Offenlegung von Informationen außerhalb dieses Bereichs verhindert wird. Dies erleichtert Folgendes:

  • Einhaltung bekannter und vorhersehbarer Gesetze und Vorschriften
  • eingeschränkter Datenzugriff
  • vollständige Kontrolle über die Daten innerhalb festgelegter Grenzen

Datenresidenz und Sovereign Clouds

Sovereign Clouds tragen zur Klärung und Durchsetzung von Datenmanagementpraktiken bei, indem sie Daten auf bestimmte Standorte beschränken und sie bestimmten Gesetzen unterwerfen.

Es ist wichtig, zwischen Datenresidenz und Data Sovereignty zu unterscheiden.

  • Datenresidenz definiert den geografischen Standort, an dem Daten gespeichert werden, was mit bestimmten Anforderungen verbunden sein kann. Dies ist ein logistischer oder technischer Aspekt der Datenkontrolle.
  • Data Sovereignty definiert, welche Gesetze und Vorschriften aus Sicht der Datenverwaltung für diese Daten gelten. Sie regelt, wer auf die Daten zugreifen oder sie regulieren darf. Sie gilt auch dafür, wer die Offenlegung von Daten erzwingen kann.

Es ist davon auszugehen, dass Sovereign Clouds – und Private Clouds – weiter wachsen werden, um den Datenschutzanforderungen gerecht zu werden. Data Sovereignty ist keine Herausforderung, die bald verschwinden wird.

Data Sovereignty in Deutschland

Die Vorgaben zur Verarbeitung und Speicherung personenbezogener Daten, die direkt mit dem Prinzip der Data Sovereignty verknüpft sind, werden in Deutschland durch für die Daten von EU-Bürgern geltende Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geregelt.

Die DSGVO schreibt vor, dass personenbezogene Daten nur den Europäischen Wirtschaftsraum (EWR) verlassen dürfen, wenn ein angemessenes Datenschutzniveau gewährleistet wird. Unternehmen müssen bei der Nutzung von Cloud-Diensten genau prüfen, wo ihre Daten gespeichert und verarbeitet werden.

Außerdem gibt es in Deutschland branchenspezifische Anforderungen an die Datenverarbeitung. Zu den betroffenen Branchen gehören die folgenden:

  • Gesundheitswesen: Das Digitale-Versorgungs-Gesetz (DVG) oder das Patientendaten-Schutz-Gesetz (PDSG) behandelt den Umgang mit sensiblen Gesundheitsdaten. Die Nutzung von Cloud-Diensten ist nur mit höchsten Sicherheitsstandards wie Verschlüsselungen und Zugriffsmanagement möglich.
  • Öffentliche Verwaltung: Die Datenverarbeitung muss meist innerhalb nationaler Grenzen erfolgen, es wird also auf souveräne oder private Cloud-Infrastrukturen gesetzt.
  • Finanzsektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellt klare Anforderungen an die Auslagerung von IT-Diensten. Die Mindestanforderungen an das Risikomanagement beinhalten unter anderem Vorgaben zur Datenlokalisierung und Zugriffskontrolle. Durch DORA (Digital Operational Resilience Act) werden diesen Anforderungen noch einmal verschärft.

Data Sovereignty in der Cloud

Unternehmen müssen beim Cloud-Einsatz gesetzliche Vorgaben zur Data Sovereignty beachten, also die rechtliche Bindung von Daten an nationale Gesetze. Zentrale Aspekte sind Datenresidenz, -lokalisierung und -souveränität. Verstöße können rechtliche, finanzielle und reputationsbezogene Folgen haben. Best Practices umfassen beispielsweise die sorgfältige Auswahl von Cloud-Anbietern, regelmäßige Audits und die Nutzung souveräner Cloud-Lösungen. In Deutschland gelten zusätzlich branchenspezifische Vorschriften, etwa durch DSGVO oder BDSG und Dora.

Erfahren Sie mehr über Datenschutz und Compliance