Herr über die eigenen Daten

Beispiel Öffentliche Verwaltung

von - 27.01.2023
Für Sven L. Roth, Head of Business & Technology Solutions bei Capgemini in Deutschland, geht es bei Datensouveränität um Selbstbestimmung sowie die Hoheit über die eigenen Daten, bei digitaler Souveränität darum, die Abhängigkeit von marktbestimmenden Informationstechniken und Software-Anbietern zu minimieren und größtmögliche Vielfalt und Innovation zu fördern. Als Beispiel nennt er die öffentliche Verwaltung, die jährlich zahlreiche Fördergelder, Aufträge und Beschaffungen verteilt.
„Dafür werden Daten erhoben und ausgewertet, die oftmals bei Erfüllung oder Abschluss in die Hände des Auftragnehmers übergehen. Um die Datensouveränität der Verwaltung zu stärken, gibt es verschiedene Ansätze, in den zugrundeliegenden Verfahren einen Teil zur Datensouveränität einzuarbeiten und so die Bereitstellung der erhobenen Daten an den Auftraggeber sicherzustellen. Als Ergebnis können Organisationen über die erhobenen Daten selbstbestimmt verfügen und diese für die Entscheidungsfindung nutzen“, erklärt Sven L. Roth.

Mehr Souveränität gewünscht

(Quelle: Cisco )
Die Themen digitale Souveränität und Datensouveränität werden hierzulande als sehr wichtig wahrgenommen. Das zeigen Umfragen von Cisco und IDC. Im Juli 2022 hat Civey im Auftrag von Cis­co 2500 Bundesbürger und Bundesbürgerinnen zu ihrer Einschätzung rund um die Digitalstrategie der Bundesregierung befragt. Ein zentrales Ergebnis: Für 65 Prozent der Befragten ist es essenziell, dass Deutschland in Bezug auf die Digitalisierung maximale Handlungsfreiheit hat, sprich digitale Souveränität besitzt. Nur 10 Prozent finden das unwichtig. Von den Personen, denen digitale Souveränität wichtig ist, sagen fast ein Drittel, dass diese am besten durch die Ausbildung von IT-Fachkräften (29 Prozent) gewährleistet werden kann. Deutschland solle daher mehr Anstrengungen im Bereich Software (22 Prozent) und Hardware (10 Prozent) unternehmen. Gleichzeitig ist es 9 Prozent sehr wichtig, dass bei der Nutzung von IT-Lösungen auf verlässliche Partner/Staaten geachtet wird. Die oft diskutierten Open-Source-Lösungen sehen nur 6 Prozent der Befragten als wichtigen Hebel.
Beim Thema Videokonferenzen spielt für die Deutschen vor allem die Praktikabilität eine größere Rolle. Der wichtigste Aspekt ist eine stabile Ton- und Videoübertragung (37 Prozent). Erstaunlich: Wo die Daten gespeichert werden, hat für die Deutschen nicht die höchste Priorität, solange Verschlüsselung und Datenschutz gesichert sind. Nur für 2 Prozent ist es ein wichtiges Kriterium, dass ihre Videokonferenzdaten in der EU gespeichert werden.
(Quelle: Cisco )
Die Marktforscher von IDC haben für ihre Studie „Data Center in Deutschland 2022“ 150 Unternehmen mit mehr als 500 Mitarbeitern zum Thema Data-Center im Umbruch befragt. Neben Fragen zu aktuellen Herausforderungen im Rechenzentrum, Nachhaltigkeit oder dem Einsatz von internen und externen IT-Ressourcen ging es auch um das Thema Datenhoheit oder Datensouveränität. Ergebnis: Für 34 Prozent der Firmen ist es strategisch sehr wichtig oder wichtig, Datensouveränität zu erreichen. Und 56 Prozent sind gerade dabei, ihre Datensouveränität mit operativen Maßnahmen zu verbessern. Nur 10 Prozent beschäftigen sich überhaupt nicht mit dem Thema.

Keine pauschale Antwort

Doch was können Unternehmen konkret tun, um Datensouveränität zu erreichen? Wie müssen sie ihre Daten- oder IT-Strategie zu diesem Zweck gestalten? Für David Schönwerth vom Bitkom gibt es darauf keine pauschale Antwort: „Es kommt immer darauf an, welches Level an Souveränität ich als Unternehmen erreichen will, etwa welche Art von Daten ich verarbeite, welchen Vertragswerken ich unterliege oder welche Daten ich bereit bin, nach außen zu geben.“ Zudem stelle sich etwa die Frage: In welchen Märkten bin ich aktiv? Ein global tätiges Unternehmen wolle wohl eher eine weltweite Dateninfrastruktur aufbauen, so Schönwerth.
Sei der eigene Bedarf ermittelt, müssten Firmen entscheiden, was sie selbst entwickeln und was sie einkaufen. Was kostet das? Welche Kontrolle möchte ich? „Bei einer Buy-Entscheidung geht es dann darum, vertrauenswürdige Partner zu finden, in Europa oder darüber hinaus. Dafür benötigen Firmen zunächst ein Framework für die Beurteilung ihrer Partner und deren Leistungen. Welcher Anbieter trifft meine Anforderungen am besten? Firmen könnten bei der Auswahl etwa darauf achten, dass heute oder in Zukunft benötigte Schnittstellen zwischen potenziell relevanten Anbietern vorhanden sind“, erklärt David Schönwerth.

Transparenz als Basis

Matthias Zacher von IDC nennt drei wichtige Elemente für Unternehmen, um Datensouveränität zu erreichen: Prozesse, Technologien und Mitarbeiter. Firmen sollten demnach ihre Prozesse und die darin verarbeiteten Daten analysieren, um möglichst umfassende Transparenz über ihre Daten zu erhalten. „Nur wenn bekannt ist, welche Daten, wo, wann und von wem verarbeitet werden, gelingen ein selbstbestimmter Umgang und eine aktive Einflussnahme. Zudem ist es wichtig, die Daten zu klassifizieren. Welche Daten haben welchen Wert für unser Unternehmen? Wie gehen wir mit den Daten um? Wer ist als Daten-Owner für die jeweiligen Daten verantwortlich?“, so Matthias Zacher.
Firmen sollten zudem Technologien einsetzen, um Transparenz über die Standorte der Datenspeicher zu erhalten, Daten zum besseren Schutz verschlüsseln oder Lösungen installieren, die verhindern, dass Daten (unbemerkt) aus dem Unternehmen abfließen. Doch die besten Technologien seien sinnlos, wenn die Daten-Owner und Mitarbeiter als Datennutzer nicht für die Thematik sensibilisiert würden und keine persönliche Datenkompetenz besäßen. Dafür sind laut Zacher regelmäßige Schulungen rund um Datensouveränität und Compliance notwendig.
Schließlich müssen Firmen auch gesetzliche Rahmenbedingungen wie die DSGVO, das IT-Sicherheitsgesetz oder auch branchenspezifische Anforderungen oder Regularien einhalten. Beispiele sind etwa Banken, das Gesundheitswesen oder Energieversorger und andere Unternehmen aus kritischen Infrastrukturen (KRITIS), für die strengere Vorgaben für das Speichern und Verarbeiten von Daten gelten. „Man muss das alles zusammen ganzheitlich betrachten. Wenn sich Vorgaben oder Modalitäten ändern, müssen Firmen reagieren“, resümiert Matthias Zacher.

Privacy by Design und by Default

Auch Christoph Herrnkind, Sprecher des Cloud-Anbieters WIIT in Deutschland, sieht die DSGVO als Mittel, um die Einhaltung des Datenschutzes als wichtigen Bestandteil der Datensouveränität zu erreichen. Unternehmen sollten sich seiner Meinung nach mit Tools ausstatten, die die Komplexität bei der Einhaltung von Datenschutz und Sicherheit automatisch bewältigen können.
Sven L. Roth
Head of Business & Technology Solutions bei Capgemini in Deutschland
Foto: Capgemini
„Datensouveränität ist für Unternehmen der zweitwichtigste Beweggrund, ihre Cloud-Kapazitäten bei europäischen Anbietern aufzustocken, nach der Erhöhung der IT-Kapazitäten insgesamt.“
Unternehmen rät er, bereits bei der Gestaltung ihrer Produkte und Dienstleistungen die Grundsätze des „Privacy by Design“ und des „Privacy by Default“ einzubeziehen. „Privacy by Design stellt sicher, dass sie alle für den Datenschutz und die Datensicherheit relevanten Punkte bereits in der Designphase eines Systems, Services, Produkts oder Prozesses und dann während des gesamten Lebenszyklus berücksichtigen“, so Christoph Herrnkind. „Privacy by Default verlangt von den Unternehmen, dass sie nur die Daten verarbeiten, die zur Erreichung eines spezifischen Zwecks erforderlich sind. Das Prinzip steht in Verbindung mit den grundlegenden Datenschutzprinzipien der Datensparsamkeit und der Zweckbindung.“

Spezialfall Cloud

Eine zentrale Rolle spielen digitale Souveränität und Datensouveränität beim Thema Cloud-Computing. Viele Unternehmen haben einen hohen Anspruch an den Umgang mit Daten. Der derzeitige Markt wird allerdings hauptsächlich von nicht europäischen Cloud-Anbietern dominiert. Dadurch steigt das Risiko der Abhängigkeit. Doch es gibt eine Gegenbewegung.
Die IT-Trends-Studie 2022 von Capgemini zeigt, dass Unternehmen zunehmend auf Clouds von europäischen Anbietern setzen. Mehr als drei Viertel der Befragten wollen die Cloud-Kapazitäten bei europäischen Anbietern ausbauen – bei außereuropäischen sind es nur 35,6 Prozent. „Datensouveränität spielt dabei eine ganz zentrale Rolle, sie ist für Unternehmen der zweitwichtigste Beweggrund, ihre Cloud-Kapazitäten aufzustocken, nach der Erhöhung der IT-Kapazitäten insgesamt“, kommentiert Sven L. Roth das Ergebnis.
Checkliste Cloud-Anbieter
Der Kunde eines Cloud-Anbieters muss sich darauf verlassen können, dass der Anbieter sich vollumfänglich an die Service Level Agreements (SLAs) hält und die Server auch an den angegebenen Orten gehostet werden. Die DSGVO kann laut WIIT dabei als Rahmen für eine Checkliste dienen, welche Pflichten der Cloud-Provider erfüllen muss:
  • Ist die Verwendung der Daten auf Bereiche beschränkt, für die der Kunde seine Zustimmung gegeben hat?
  • Informiert der Provider seinen Kunden unverzüglich, wenn ein Auftrag des Kunden nach Ansicht des Cloud-Anbieters gegen das Gesetz verstößt?
  • Zeichnet der Provider die im Auftrag des Kunden durchgeführten Verarbeitungen auf?
  • Kooperiert der Provider auf Anfrage mit der Aufsichtsbehörde?
  • Implementiert der Provider technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten?
  • Benachrichtigt der Provider den Kunden ohne ungerechtfertigte Verzögerung, sobald er eine Verletzung der Datensicherheit entdeckt?
  • Gibt es einen Datenschutzbeauftragten?
  • Hält der Provider die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer ein?
Verwandte Themen