Autor: Stan Kwong
Immer mehr Länder verabschieden Gesetze zum Schutz der Privatsphäre von Bürgern und lokalen Einrichtungen, indem sie festlegen, wie Daten sicher erhoben, gespeichert und verwendet werden können. Viele Organisationen sind dabei, die Einhaltung der regulatorischen Sicherheits- und Datenschutzauflagen in dieser sich verändernden geopolitischen Landschaft neu zu bewerten. In diesem Zusammenhang müssen einige relevante Begriffe definiert werden:
- Digitale Souveränität: die Möglichkeit der vollständigen Kontrolle über Ihre eigene digitale Umgebung – die Daten, Hardware und Software, auf die Sie vertrauen und die Sie erstellen.1 Mit anderen Worten: Personen sind Eigentümer ihrer Daten und haben die Kontrolle darüber, wie sie verwendet werden.
- Datenresidenz: der physische und geografische Speicher- und Verarbeitungsort von Daten und Metadaten.
- Datensouveränität: Daten unterliegen den Datenschutzgesetzen und Governance-Strukturen des Landes oder der Gerichtsbarkeit, in der sie erhoben, gespeichert, verarbeitet und verwendet werden.
- Gerichtsbarkeit: die rechtliche Befugnis für Rechenzentren und Clouds, die auf nationale Standards abgestimmt ist und von der Regierung des Landes unterstützt wird.
Gesetze zur Datensouveränität sollen die personenbezogenen Daten von Bürgern oder Einwohnern schützen, indem sie steuern, wer darauf Zugriff hat. Auf diese Weise wird verhindert, dass andere Länder und Gerichtsbarkeiten auf sensible Daten zugreifen.
Laut New York Times ist beispielsweise in den USA gerade eine Verfügung in Arbeit, die verhindern soll, dass Länder wie China Zugang zu US-Daten erhalten.2 Andere Länder verlangen, dass die personenbezogenen Daten ihrer Bürger innerhalb der Landesgrenzen bleiben.
Die Vorschriften zur Sicherstellung der Datensouveränität können auch erfordern, dass alle zugehörigen Daten wie Metadaten ebenfalls lokal gespeichert werden. Der Speicherort der Daten allein reicht jedoch nicht aus, um sicherzustellen, dass die Daten nur der lokalen Gerichtsbarkeit unterliegen. Unternehmen in der EU und anderen Regionen außerhalb der USA haben große Bedenken hinsichtlich der im U.S. CLOUD Act festgelegten Verfügungsgewalt. Gemäß dem CLOUD Act von 2018 müssen Technologieunternehmen mit Hauptsitz in den USA auf Anordnung von
US-Bundesbehörden angeforderte Daten, die auf den Servern des Unternehmens gespeichert sind, zur Verfügung stellen – unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind.3
Das bedeutet, dass Unternehmen, die einen Public-Cloud-Anbieter mit Sitz in den USA für sensible Daten nutzen, die lokalen Anforderungen an die Gerichtsbarkeit hinsichtlich Datensouveränität möglicherweise nicht einhalten können. Laut Schätzungen des Centre for European Policy Studies (CEPS) sind 92 % aller Daten der westlichen Welt derzeit in den USA gespeichert und inzwischen haben mehr als 100 Länder Gesetze zur Datensouveränität.4
Viele Länder haben sich von der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union inspirieren lassen. Dieses Gesetz verlangt von allen Unternehmen, die in der EU tätig sind oder Kunden in der EU haben, dass sie die Art und Weise ändern, wie sie personenbezogene Daten erheben, verarbeiten und speichern.
Aufgrund der sich ständig verändernden Landschaft der Datenschutzgesetze, einem erhöhten Risiko von Datenschutzverletzungen und von Angriffsvektoren, die sich kontinuierlich weiterentwickeln, wächst die Besorgnis darüber, dass ausländische Behörden und Unternehmen die Kontrolle über sensible nationale Daten, Unternehmensdaten und personenbezogene Daten erlangen könnten.
Organisationen, die gegen diese Gesetze verstoßen, riskieren Geldstrafen oder Gerichtsverfahren. Bis Mai 2022 wurden mehr als 900 Bußgelder aufgrund von Verstößen verhängt, wobei das höchste Bußgeld 746 Millionen Euro betrug.5
Die Strafen für die Nichteinhaltung der Vorschriften können mit Bußgeldern von bis zu 20 Millionen Euro (oder 4 % des weltweiten Umsatzes aus dem vorangegangenen Geschäftsjahr) geahndet werden.
Neben den Einschränkungen bei Speicherung und Verarbeitung personenbezogener Daten regeln viele Gesetze zur Datensouveränität auch, wohin Daten übertragen werden dürfen. So debattieren die Gesetzgeber in Indien beispielsweise darüber, welche Arten von Bürgerdaten die Landesgrenzen verlassen dürfen.6 Dies führt bei multinationalen Unternehmen zu Problemen, wenn sie bestimmte Daten nicht außerhalb einer lokalen Gerichtsbarkeit übermitteln dürfen. Es kann sich auch auf den internationalen Handel auswirken, wenn zwischen den Ländern keine Verträge über den Datenaustausch ausgehandelt werden.
Aus dem Bestreben, Daten als neue strategische Ressource zu schützen, ergibt sich eindeutig der Bedarf an Sovereign Clouds, die es ermöglichen, Daten abzusichern und verantwortungsvoll zu nutzen.
Kunden möchten von allen Vorteilen der Cloud profitieren, müssen aber auch eine wachsende Anzahl von sich ständig verändernden Datenschutzgesetzen einhalten. Gleichzeitig müssen Unternehmen ihre Daten in der Cloud vor immer ausgereifteren Cyberangriffen schützen.
Da sich die Gesetze zur Datensouveränität auf Geschäftsabläufe auswirken, suchen Unternehmen nach Möglichkeiten, diese besser einzuhalten und Compliance-Risiken zu minimieren. Sie müssen in der Lage sein, Daten lokal und sicher auf einer Plattform zu speichern und zu verarbeiten, auf die von außerhalb nicht zugegriffen werden kann.
Hier kommen die sorgfältig konzipierten Sovereign Clouds ins Spiel, die aus diesen Gründen gefragter sind als je zuvor. Und VMware ist bestens positioniert, seine Multi-Cloud-Strategie um VMware Sovereign Cloud zu erweitern.
Vorteile von VMware Sovereign Cloud für Cloud-Anbieter und Kunden
Ein großer Vorteil der Sovereign Cloud ist sowohl für Cloud-Anbieter als auch für Kunden die Compliance. Cloud-Anbieter können durch den Aufbau von Sovereign Clouds Compliance mit lokalen regulatorischen Auflagen und der entsprechenden Gerichtsbarkeit sicherstellen. Kunden erhalten die Gewissheit, dass ihr Datenschutz gewahrt bleibt und ihre Daten innerhalb der entsprechenden Gerichtsbarkeit von einem Partner gespeichert, gesichert und geschützt werden, der sich mit den lokalen Gesetzen auskennt.
Sovereign-Cloud-Anbieter können auch das lokale Unternehmenswachstum beschleunigen, da sie die sichere Ausweitung auf Regierungsdaten ermöglichen und eine landesweite Fähigkeit für digitale Infrastruktur und Resilienz entwickeln. Da die Datenwirtschaft zu einer Frage der nationalen Sicherheit wird, brauchen souveräne Staaten eigene digitale Fähigkeiten, um zu vermeiden, dass sie bei der Verarbeitung ihrer Daten auf ausländische Hilfe und ausländische Verarbeiter angewiesen sind.
VMware Sovereign Cloud Provider können Kunden dabei unterstützen, das volle Potenzial hinsichtlich des Schutzes von nationalen und personenbezogenen Daten sowie von Unternehmensdaten zu erschließen, indem Folgendes sichergestellt wird:
- ALLE Daten (Kundendaten und Metadaten) verbleiben im eigenen Land.
- Alle geltenden und sich ständig verändernden Datenschutzgesetze werden eingehalten.
- Durch Autonomie bei der Auswahl digitaler Anbieter wird die Kontinuität digitaler Services sichergestellt.
- Alle Kundendaten werden fachgerecht und ohne Zugriff aus dem Ausland verwaltet.
Der Cloud-Service durch VMware Sovereign Cloud Provider wurde speziell für die Anforderungen an die Datensouveränität entwickelt. Er bietet Flexibilität und Skalierbarkeit beim Speichern und Verarbeiten der Daten und erfüllt gleichzeitig Anforderungen an Datenresidenz und -souveränität. In unseren nächsten Blogs geht es um Markttrends, Auswirkungen und Bedürfnisse, die wir festgestellt haben.
Sie möchten sich näher informieren? Dann lesen Sie die VMware-Sovereign Cloud – Lösungsübersicht. Oder finden Sie jetzt einen VMware Sovereign Cloud Provider.
Quellen:
- World Economic Forum: What is digital sovereignty and why is Europe so interested in it?, März 2021
- New York Times: The Era of Borderless Data Is Ending, Mai 2022
- Wikipedia: CLOUD Act, Stand Juni 2022
- Bloomberg: Google Scrapped Cloud Initiative in China, Other Markets, Juli 2020
- Tessian: 30 Biggest GDPR Fines So Far (2020, 2021, 2022), Stand Juli 2022
New York Times: The Era of Borderless Data Is Ending, Mai 2022
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn, Youtube & Podcast