Datenschutz
Globale Lösungen, regionale Hürden
Fortsetzung des Artikels von Teil 1
Globale rechtliche Verpflichtungen
Im Juli 2020 hat der Nationale Volkskongress den Entwurf des Data Security Law vorgestellt. Dieses Gesetz gewährt China sogar eine extraterritoriale Gerichtsbarkeit im Falle eines Datenmissbrauchs, der Chinas Sicherheit gefährdet. Das bedeutet, dass Unternehmen und Individuen außerhalb Chinas rechtliche Verpflichtungen haben, sobald sie an China-bezogenen Datenaktivitäten beteiligt sind. Und nicht nur in China treffen Unternehmen auf sich ständig verändernde und verschärfende Regulierungen zum Datenschutz.
Eine neuere Regelung ist auch der California Consumer Privacy Act (CCPA). Der CCPA ist am 1. Januar 2020 in Kraft getreten und legt die Messlatte für die Verarbeitung und den Verkauf personenbezogener Daten für diejenigen Unternehmen höher, die in Kalifornien geschäftlich tätig sind. Es sind jedoch weitreichende Auswirkungen über den Bundesstaat Kalifornien hinaus zu erwarten. Bereits 2013 verabschiedete Singapur den Personal Data Protection Act (PDPA), der Bestimmungen darüber enthält, wie Unternehmen in Singapur personenbezogene Daten speichern und verarbeiten können. Zwei Faktoren erhöhen die Komplexität solch neuer Datenschutzbestimmungen: Erstens haben viele Regelungen einen extraterritorialen Geltungsbereich. Zum Beispiel gilt die EU-DSGVO für alle Organisationen innerhalb der EU-Mitgliedstaaten und für alle, die Geschäfte mit in der EU ansässigen Personen tätigen. Infolgedessen sind hiervon auch Unternehmen außerhalb der EU betroffen. Es kommt also nicht darauf an, wo das Unternehmen ansässig ist, sondern wo der entpsrechende Betroffene lebt. Zweitens müssen größere internationale Unternehmen unter Umständen eine Vielzahl von regulatorischen Anforderungen erfüllen, die sich zum Teil unterscheiden oder sogar widersprechen. Das ist nicht nur eine Herausforderung für die Corporate Governance, sondern stellt auch erhebliche technologische Anforderung an die Nutzung und den Einsatz von Daten im Unternehmen. Bei all diesen Anforderungen dürfen die Handhabbarkeit für IT-Administratoren und die Benutzerfreundlichkeit der eingesetzten Systeme nicht vernachlässigt werden.
Ein weiteres Problem: Datenschutzregelungen werden nicht selten als machtpolitische Spielbälle missbraucht. Ein Beispiel ist das Datenschutzabkommen „Privacy Shield“, das den Datentransfer zwischen den USA und der EU absichern sollte. Die Regelung hat Sicherheit vorgetäuscht, ohne sie garantieren zu können. Seit dem Urteil des EuGH im Sommer 2020 dürfen deutsche Unternehmen keine Cloud-Angebote von Microsoft, Google oder Apple für ihre Geschäftsprozesse nutzen, wenn diese nicht durch einen vertrauenswürdigen Anbieter EU-DSGVO-konform gesichert werden.
Um sich nicht strafbar zu machen, müssen Unternehmen immer stärker in juristische Ressourcen investieren. Doch auch technische Maßnahmen sind unumgänglich, um das Dilemma aus Compliance und globaler Zusammenarbeit zu lösen. Zum einen kann das Unternehmen den Pfad der Datenlokalisierung beschreiten. Das bedeutet, ein Maximum der Datenprozesse wird in die jeweiligen Regionen transferiert. Der Nachteil dieses Vorgehens ist ein hoher Ressourcenaufwand und das Ende der globalen Zusammenarbeit. Denn eine IT-Infrastruktur muss vor Ort aufgebaut werden. Dafür braucht es einen neuen Standort und eigene Serverkapazitäten. Ein weiterer Nachteil ist eine heterogene IT-Infrastruktur und der größere Personalaufwand. Das ist ein Rückschritt gegenüber den Ansätzen globaler Cloud-Dienste.
Virtuelle Entkopplung der Daten
Zwar erweitern lokale Bestrebungen wie zum Beispiel die europäische Gaia-X-Initiative die Optionen für Unternehmen, ihre Daten zu lokalisieren. Doch beispielsweise Office- und Kollaborationsplattformen von Microsoft oder E-Commerce-Applikationen von Alibaba können nicht weltweit datenschutzkonform lokalisiert werden. Es sind aber eben diese exklusiv von den führenden Cloud-Service-Providern bereitgestellten Lösungen, die den Kern der globalen Zusammenarbeit bilden.
Wie lassen sich global heterogene und dynamische Datenschutzregulierungen also vereinbaren? Eine Lösung kann eine virtuelle Entkopplung der Daten in den Cloud-Applikationen und -Prozessen sein. Diese Lösungen bieten die Anbieter selbst nicht an, Dritthersteller jedoch schon. Sie sollen es ermöglichen, die Cloud-Lösungen weltweit einheitlich zu nutzen, die eigenen Daten jedoch für konfigurierbare Regionen zu lokalisieren. Zusätzlich ist es notwendig, die Login-Daten von Cloud-Diensten zu pseudonymisieren. Denn was vielen nicht bewusst ist: Schon das Einloggen bei Cloud-Diensten führt zu einem Datenabfluss personenbezogener Daten, da eine Cloud-Authentisierung immer global erfolgt. Dem Schrems-II-Urteil folgend bringt dies juristischen Konsequenzen mit sich. Ein Unternehmen muss also sicherstellen, dass eine eindeutige Feststellung der Identität einer Person verhindert und keine verarbeitbaren personenbezogenen Daten an den Cloud-Betreiber vermittelt werden. Eine Lösung ist es, die Namen durch Pseudonyme zu ersetzen.
Der Einsatz von Cloud-Lösungen kann also zur Falle werden, wenn die globalen Datenschutzrichtlinien nicht berücksichtigt werden. Jede Digitalisierungsstrategie sollte daher auf entsprechende Lösungen angewiesen, um diese rechtliche Herausforderung umsetzen zu können.
Bruno Quint, Director Cloud Encryption, Rohde & Schwarz Cybersecurity
- Globale Lösungen, regionale Hürden
- Globale rechtliche Verpflichtungen
Lesen Sie mehr zum Thema
