Was ist Datensouveränität?

Datensouveränität bezieht sich darauf, dass Daten den Gesetzen und Vorschriften ihres physischen Standorts unterliegen. Dies kann Daten im Speicher, in der Verarbeitung oder während der Übertragung betreffen, unabhängig vom physischen Standort einer Organisation.

Alle Daten, die innerhalb eines Landes, eines Bundesstaates, einer Region oder einer Gerichtsbarkeit im Speicher, in der Verarbeitung oder während der Übertragung liegen, unterliegen den einschlägigen Gesetzen und Vorschriften zur Datennutzung und zum Datenschutz. Gesetze zur Datensouveränität wurden geschaffen, um Einzelpersonen, Organisationen und Regierungen zu schützen und zu regulieren. Datenschutzbestimmungen umfassen Vorschriften zum Umgang mit personenbezogenen Gesundheitsdaten, Datensicherheitsstufen für Informationen des öffentlichen Sektors und die Einrichtung lokaler Datenspeicher für ausländische Unternehmen.

Datenresidenz bezieht sich auf den physischen Speicherort der Daten. Datensouveränität bezieht sich darauf, wie die Gesetze eines Standorts auf die Daten angewendet werden, die physisch an diesem Ort gespeichert sind. Sowohl Datensouveränität als auch Datenresidenz sind besonders wichtig im Bereich Cloud Computing und Cloud-Services, wo es möglich ist, Daten an jedem beliebigen Ort der Welt zu speichern. 

Alle Cloud-Speicher, Instances und Dienste werden auf physischen Maschinen ausgeführt, die an einen bestimmten geografischen Standort gebunden sind. Aufgrund dieser unterschiedlichen regulatorischen Rahmenbedingungen müssen Unternehmen sorgfältig abwägen, wo sich ihre Cloud-Instanzen befinden und wo Cloud-Dienste ausgeführt werden. Die Datensouveränität dieser Speicher und Instances ist eine äußerst wichtige Entscheidung.

Die Datensouveränität fällt in der Regel unter die Funktionen Governance, Risiko und Compliance des Cybersicherheits- und Rechtsprogramms eines Unternehmens.

Der AWS Digital Sovereignty Pledge ist unsere Verpflichtung, AWS-Kunden die fortschrittlichsten Kontrollmechanismen und Features für Datensouveränität in der Cloud anzubieten. Wir bieten Ihnen die Flexibilität, zu entscheiden, wie und wo Sie Ihre Workloads für die Datenlokalisierung ausführen möchten.

Der AWS Digital Sovereignty Pledge umreißt vier Schlüsselbereiche, in denen AWS in Funktionen investiert, um Kunden dabei zu unterstützen, ihre sich weiterentwickelnden Anforderungen an die digitale Souveränität zu erfüllen.

Kontrolle darüber, wo Ihre Daten gespeichert sind

Unternehmen müssen stets die Möglichkeit haben, zu entscheiden, wo ihre Daten gespeichert werden. AWS hat seinen Kunden schon immer die Wahl gelassen, wo ihre Daten gespeichert werden, mit AWS-Regionen und Availability Zones in Nordamerika, Südamerika, Europa, dem Nahen Osten, Afrika, im asiatisch-pazifischen Raum sowie in Australien und Neuseeland.

Wenn eine AWS-Region nicht nah genug ist, um Ihre Anforderungen an die Datenresidenz zu erfüllen, bietet AWS verschiedene verteilte Infrastrukturlösungen an, die ein konsistentes Cloud-Erlebnis innerhalb einer geografischen Grenze bieten. Mit AWS-Regionen, AWS Local Zones, AWS Dedicated Local Zones, AWS Outposts und AWS Wavelength haben Sie die Möglichkeit, Ihre Workloads dort auszuführen, wo sie benötigt werden.

Kontrolle darüber, wie auf Daten zugegriffen werden kann

Unternehmen müssen über Schutzmaßnahmen verfügen, um unbefugten Zugriff auf Daten zu verhindern. Das AWS Nitro System wurde beispielsweise entwickelt, um Einschränkungen durchzusetzen, sodass niemand, auch niemand bei AWS, auf Kunden-Workloads auf EC2 zugreifen kann. Zugriffsberechtigungen und -beschränkungen müssen so gestaltet sein, dass je nach Datentyp ein Höchstmaß an Datenschutz gewährleistet ist.

Datenverschlüsselungsfunktionen

Unternehmen müssen in der Lage sein, Daten während der Übertragung, im Ruhezustand und im Speicher zu verschlüsseln. Organisationsdaten sollten standardmäßig verschlüsselt werden, wobei bei Bedarf eine stärkere Verschlüsselung möglich sein sollte. Alle AWS-Services unterstützen bereits die Verschlüsselung, wobei die meisten auch die Verschlüsselung mit vom Kunden verwalteten Schlüsseln unterstützen, auf die AWS keinen Zugriff hat.

Cloud-Ausfallsicherheit

Unternehmen müssen in der Lage sein, digitale Souveränität ohne das Risiko von Datenverlusten zu erreichen. Die Kontrolle über Ihre Daten und eine hohe Verfügbarkeit sind entscheidende Faktoren für die Datensouveränität, sodass Unternehmen das Risiko von Datenverlusten proaktiv mindern müssen. Dadurch können Sie Ihren Betrieb auch im Falle unerwarteter Ereignisse aufrechterhalten. Derzeit bietet AWS die höchste Netzwerkverfügbarkeit aller Cloud-Anbieter. Jede AWS-Region umfasst mehrere Availability Zones (AZs), bei denen es sich um vollständig isolierte Infrastrukturpartitionen handelt. Um Probleme besser isolieren zu können und eine hohe Verfügbarkeit zu erreichen, können Kunden Anwendungen über mehrere AZs in derselben AWS-Region partitionieren.

Das Verständnis und die Einbeziehung von Anforderungen an die Datensouveränität sind für die Einhaltung von Vorschriften von entscheidender Bedeutung. Hier sind einige Überlegungen, die Sie zu Beginn Ihrer Reise zur Datensouveränität berücksichtigen sollten:

Planen Sie die Einhaltung der Vorschriften zur Datenlokalisierung

Die Einhaltung der Gesetze beginnt mit dem Verständnis der Vorschriften, die für die Geschäftstätigkeit Ihres Unternehmens gelten. Diese Datengesetze und -vorschriften können die geografischen Tätigkeitsbereiche Ihres Unternehmens, die von Ihnen gespeicherten und verarbeiteten Datentypen (z. B. Gesundheits- und Finanzdaten), Kunden und die Daten Ihrer Mitarbeiter sowie die Aufbewahrungsdauer von Datenerfassungsprotokollen umfassen.

Recherchieren Sie und kommunizieren Sie mit den zuständigen Aufsichtsbehörden und Strafverfolgungsbehörden, um sicherzustellen, dass Sie konforme Systeme erstellen und sich über den Prozess im Ereignis einer Meldung von Verstößen im Klaren sind.

Nicht jedes Unternehmen verfügt über einen Experten für Datensouveränität. Die Zusammenarbeit mit einem Compliance-Berater kann hilfreich sein, um über die sich ständig ändernden Vorschriften auf dem Laufenden zu bleiben. 

Implementieren Sie detaillierte Zugriffskontrollen

Die Datenresidenz kann gefährdet sein, wenn nur ein Benutzer Daten an einen anderen physischen Speicherort kopiert. Um dies zu verhindern, sollten Sie mit grundlegenden Best Practices für das Identity and Access Management beginnen und strenge privilegierte Zugriffskontrollen für Administratoren mit erhöhten Rechten implementieren. 

Um Ihre Speicherorte zu automatisieren und zu überwachen, Ihre Daten zu verschlüsseln und Datenresidenz-Integritätsschutz durchzusetzen, können Sie AWS Control Tower verwenden. Die AWS Control Tower-Kontrollbibliothek enthält eine Gruppe von Kontrollen für die digitale Souveränität. Diese Kontrollen können Datensouveränitätskonfigurationen durchsetzen, Aktionen verhindern, Ressourcenänderungen erkennen, detaillierte Zugriffsbeschränkungen durchsetzen, die Standardverschlüsselung aktivieren und Ausfallsicherheitsfunktionen bereitstellen.

Schaffen Sie Ausfallsicherheit für unternehmenskritische Systeme

Die Geschäftskontinuität im Katastrophenfall hängt von zuverlässigen Backup- und Failover-Systemen ab. Um die Vorschriften zur Datensouveränität einzuhalten, müssen sich diese Systeme in derselben Region befinden, damit die gleiche Datensouveränität wie bei Ihren üblichen Betriebsabläufen gewährleistet ist.

Ausfallsicherheit schaffen für Ihre unternehmenskritischen Systeme bedeutet, Ihre Daten auf mehrere Availability Zones zu verteilen, um die Datenlokalisierung zu verstärken.

Für Kunden, die Workloads On-Premises oder für Remote-Anwendungsfälle ausführen, können Sie AWS-Services nutzen, die spezifische Funktionen für die kontinuierliche Unterstützung bei Netzwerkunterbrechungen sowie Remote-Computing und -Speicher bieten. Zu diesen Services gehören AWS Outposts und Amazon EKS Anywhere.

Suchen Sie sich einen Cloud-Partner, der Transparenz und Sicherheit bietet.

Die Wahl des Speicherorts Ihrer Daten ist nicht nur eine wichtige Entscheidung, sondern Unternehmen müssen auch darauf vertrauen können, dass die Systeme ihres Cloud-Dienstleisters wirklich den Datensouveränitätsregeln der jeweiligen Gerichtsbarkeit entsprechen. Beziehen Sie einen Compliance-Experten mit ein und sprechen Sie mit dem Compliance-Team des Anbieters, um sich zu vergewissern.

AWS hat stets die Wahlfreiheit der Kunden in Bezug auf ihre Datensouveränität in den Vordergrund gestellt und ihnen die vollständige Kontrolle über den Speicherort und die Bewegung ihrer Daten ermöglicht. Von Anfang an hat uns der „Sovereign-by-Design”-Ansatz von AWS das Vertrauen unserer Kunden eingebracht, zu denen einige der weltweit datenschutz- und datensicherheitsbewusstesten Unternehmen gehören.

Die Führung einer aktuellen Karte Ihrer aktuellen Datenlandschaft ist für die Aufrechterhaltung einer konformen Datenarchitektur unerlässlich. Erwägen Sie die Umsetzung der folgenden Maßnahmen:

Sortieren und sichern Sie sensible Daten

Der Schutz sensibler Daten umfasst integrierte Kontrollen, darunter Tagging, Identitäts- und Zugriffsmanagement, Verschlüsselung, Isolierung und Regeln für sensible Daten im Ruhezustand, während der Übertragung und bei der Verarbeitung. 

Wählen Sie den Speicherort Ihrer Daten gemäß den geltenden Gesetzen

Wählen Sie anhand Ihrer Recherchen zu Ihren Geschäftsabläufen, Kunden und Datentypen die Datenstandorte, die Ihren Anforderungen am besten entsprechen. Beachten Sie, dass sich Ihre Anforderungen an den Datenstandort mit den Veränderungen Ihres Unternehmens ändern können und die Datensouveränität davon beeinflusst werden kann.

Wählen Sie einen vertrauenswürdigen Cloud-Anbieter

Durch eine strenge Überprüfung öffentlicher Cloud-Anbieter können Sie Vertrauen in deren Zusicherungen zur Datensouveränität gewinnen. Wählen Sie einen Anbieter mit gut etablierten Abläufen an dem von Ihnen gewählten Datenstandort. 

Halten Sie sich über Compliance-Verpflichtungen auf dem Laufenden

Gesetze und Vorschriften zum Thema Daten ändern sich ständig. Sie müssen sicherstellen, dass Sie über die neuesten Vorschriften auf dem Laufenden bleiben, neue Anforderungen vorhersehen und Berichtspflichten erfüllen. Wählen Sie einen Beauftragten innerhalb Ihres Unternehmens oder eines Partnerunternehmens, der dafür verantwortlich ist, über sich ändernde Gesetze auf dem Laufenden zu bleiben. Erstellen Sie eine interne Datenschutzrichtlinie, die Ihren Verpflichtungen entspricht.

Verschiedene geografische Standorte auf der ganzen Welt haben sehr unterschiedliche Gesetze und Vorschriften in Bezug auf den Datenspeicher, die Verarbeitung und den Umgang mit Daten. Die Zuständigkeiten können sich überschneiden, was zusätzliche Datenvorschriften für die Speicherung und den Umgang mit Daten mit sich bringt. Beispielsweise haben Spanien, Frankreich und andere EU-Länder interne Gesetze zur Datensouveränität, müssen aber auch die EU-Gesetze einhalten. Stark regulierte Branchen wie das Gesundheitswesen und der Finanzsektor haben ebenfalls unterschiedliche Vorschriften. Einige Länder haben eigene Gesetze zur Datensouveränität in Bezug auf die Rechte indigener Völker. 

Die Ausübung extraterritorialer Geschäftstätigkeiten kann Auswirkungen auf Ihre Anforderungen an die Daten-Governance haben. Beispielsweise müssen australische Unternehmen bei der Verarbeitung von Daten von EU-Bürgern die DSGVO einhalten. 

Für Organisationen mit mehreren weltweit registrierten Entitäten werden Datensouveränität und die Einhaltung unterschiedlicher extraterritorialer Vorschriften zu einer hochkomplexen Angelegenheit.

Alle Unternehmen, ob groß oder klein, müssen sich sorgfältig mit dem Thema Datensouveränität auseinandersetzen, um sicherzustellen, dass sie ihre gesetzlichen Verpflichtungen bei der Verwaltung von Daten einhalten. Bei grenzüberschreitenden Aktivitäten, multinationalen Unternehmen und Organisationen, die in stark regulierten Branchen tätig sind, gewinnen Überlegungen zur Datensouveränität an Bedeutung. Überlegen Sie, wie Sie die Speicherung von Daten verwalten, wie Sie Daten übertragen und wie Sie Daten verarbeiten.

Es ist wichtig, einen Cloud-Anbieter zu wählen, der sich mit Datensouveränität bestens auskennt. Ihr Cloud-Anbieter muss seinen Kunden integrierte Datenschutzmaßnahmen gemäß den regionalen Anforderungen bieten und eine breite Palette an Funktionen für Daten-Governance, digitale Identität und Verwaltung des Zugriffs, Datensicherheit und Datenschutzkontrollen bereitstellen.

Erfahren Sie mehr über Digitale Souveränität bei AWS, um weitere Informationen, Fallbeispiele und die neuesten Produktaktualisierungen in diesem wichtigen Bereich Sicherheit, Identität und Compliance zu erhalten.