Datensouveränität als Spektrum: die richtige Balance finden

Während einige Szenarien in dieser Debatte noch rein theoretisch durchgespielt werden, sind die möglichen Folgen für Führungskräfte im Tagesgeschäft bereits allgegenwärtig. Jede Entscheidung darüber, wo Daten gespeichert werden, wer sie verwaltet und wie sie geschützt werden, kann nun finanzielle, rechtliche und rufschädigende Konsequenzen haben. Darum ist es essenziell, alle Facetten von Datensouveränität von Grund auf zu verstehen. Schwarz-Weiß-Denken ist bei diesem Thema noch weit verbreitet: Entweder werden Daten in einer festungsartigen Einrichtung gespeichert, die von der Außenwelt abgeschottet ist, oder sie fließen frei in der Public Cloud, oft auch als Fachbereichsinitiativen mit den entsprechenden Konsequenzen, Stichwort „Schatten IT“. Die Realität ist jedoch deutlich vielschichtiger. Souveränität ist ein Spektrum, und Unternehmen sollten sich die Mühe machen, ihren Platz darauf zu finden: eine Regelung, die ausreichend Sicherheit und Kontrolle bietet und ihnen gleichzeitig genügend Agilität und Flexibilität für Innovationen lässt. Wenn diese Faktoren berücksichtigt werden, können Unternehmen kosteneffizient und agil agieren und sich trotzdem effektiv vor regulatorischen Risiken und Betriebsstörungen schützen.

Das Spektrum der Souveränität

An einem Ende des Spektrums befinden sich vollständig souveräne Datenspeicher, die oft als „Dark Sites“ bezeichnet werden. Dabei handelt es sich um On-Premises-Systeme, die in sich geschlossen und vom Internet und der Außenwelt abgeschottet sind. Solche Einrichtungen sind für bestimmte Einheiten des Militärs, Geheimdienste und einige wenige Regierungsbereiche unverzichtbar. Oft ist es streng reglementiert, wer in solchen Räumlichkeiten arbeiten darf und unter welchen Bedingungen, um das höchstmögliche Level an Sicherheit und Kontrolle zu gewährleisten.

Manch einer mag sich fragen: Sollten nicht alle Organisationen die maximale Kontrolle über ihre Daten und Infrastruktur behalten? Im Alltag wären solche Maßnahmen für die allermeisten Unternehmen jedoch übertrieben. Ein so hohes Maß an Souveränität macht Systeme sehr starr und teuer in der Wartung. Es mindert die Agilität von Organisationen und würde ihnen die Vorteile der Cloud-Technologie verwehren, die sie möglicherweise für ihre Skalierung und Flexibilität benötigen.

In einigen Branchen müssen Unternehmen den genau diesen Spagat zwischen Kontrolle und Flexibilität meistern, beispielsweise Banken, Versicherungen, Gesundheitsdienstleister und Energieunternehmen. Die Aufsichtsbehörden erlegen ihnen strenge Auflagen über bestimmte Arten von Informationen auf. Sicherheit und Kontrolle sind daher wichtig für diese Unternehmen. Gleichzeitig müssen sie sich aber möglichst kundenfreundlich aufstellen. Sie benötigen daher mehr Flexibilität in ihren Systemen und sind stark auf Konnektivität, Zusammenarbeit und Geschwindigkeit angewiesen. Daher haben viele von ihnen hybride Modelle eingeführt, bei denen sie ihre sensibelsten Daten, etwa Patientenakten und Finanzdaten, lokal speichern, während sie für weniger kritische Workloads die Skalierbarkeit und Effizienz der Cloud nutzen.

Die richtige Balance lässt sich am Beispiel einer globalen Bank mit Kunden in Europa, Nordamerika und Asien erklären: Die Aufsichtsbehörden verlangen in den einzelnen Regionen unterschiedliche Vorschriften für die Speicherung und Verarbeitung personenbezogener Daten. Eine zu starke Zentralisierung würde gegen die Compliance-Vorschriften verstoßen, eine zu starke Lokalisierung würde jedoch die Effizienz beeinträchtigen. Das „richtige Maß“ an Souveränität bietet daher ein Hybridmodell: Sensible Daten wie Kundenkontodaten bleiben innerhalb der Landesgrenzen, während weniger kritische Analyse-Workloads zu Gunsten der Geschwindigkeit und Skalierbarkeit in der Cloud ausgeführt werden.

Der Schlüssel für dieses Gleichgewicht ist die Dateninfrastruktur. Transparenz-Tools verfolgen, wo sich Daten befinden, und erleichtern die Implementierung und Umsetzung von Richtlinien, die verhindern, dass Informationen die falschen Grenzen überschreiten. Schließlich können Lebenszykluskontrollen auch sicherstellen, dass Datensätze überall, wo sie existieren, sicher gelöscht werden können. Somit sind Beschränkungen weder zu restriktiv noch zu lax, sondern genau richtig, um gleichzeitig Compliance zu garantieren und Wachstum zu ermöglichen.

So viel wie nötig, so wenig wie möglich

Diese Balance hängt von drei Faktoren ab:

• Regulatorische Verpflichtungen schreiben vor, wo Daten gespeichert werden dürfen und wie sie verarbeitet werden müssen, wobei oft wenig Spielraum für Kompromisse bleibt.
• Leistungsanforderungen können Nähe und geringe Latenz erfordern, insbesondere in Branchen wie dem Finanzwesen oder der industriellen Automatisierung.
• Und dann gibt es noch die Abhängigkeit von Anbietern. Die Konzentration kritischer Workloads auf einen einzigen Hyperscaler kann den Betrieb vereinfachen und eine bequeme kurzfristige Option sein. Diese Anbieter sind wertvolle Technologiepartner, unterliegen jedoch auch den Gesetzen und dem Druck der Gerichtsbarkeiten, in denen sie ihren Hauptsitz haben. Eine übermäßige Abhängigkeit von ihnen kann strategische Risiken mit sich bringen, etwa wenn sich, wie momentan, die geopolitische Situation ändert. Wenn beispielsweise ein Hyperscaler gezwungen ist, Kundendaten auf Anfrage seiner Regierung zur Verfügung zu stellen, wird diese Angelegenheit vermutlich nicht mehr in der IT, sondern vom Vorstand entschieden.

Unternehmen müssen diese Faktoren sorgfältig abwägen, um zu entscheiden, wie viel Souveränität sie brauchen, um handlungssicher zu sein, ohne Innovationen zu behindern oder untragbare Kosten zu verursachen. Auch Governance und die Datenarchitektur sind dabei zu berücksichtigen. Ein Unternehmen muss Klarheit darüber haben, wo sich Daten befinden, wie sie bewegt werden und wer sie auf ihrem Weg berührt. So viel Transparenz erfordert eine kontinuierliche Abbildung der Datenflüsse und die Bereitschaft, zu handeln, wenn sich etwas ändert, zum Beispiel durch neue Vorschriften oder sich ändernde Geschäftsprioritäten.

Damit die Daten-Compliance gewährt ist, müssen bei Datenschutz, Sicherheit und Speicherort sowohl die lokalen als auch die globalen Vorschriften berücksichtigt werden. Internationale Unternehmen müssen nachweisen, dass sie die Anforderungen jeder Gerichtsbarkeit erfüllen können, in der sie aktiv sind, von der DSGVO in Europa bis hin zu branchenspezifischen Vorschriften in den Vereinigten Staaten oder Asien. Dabei können sich die Vorschriften zum Speicherort von Daten jederzeit weiterentwickeln und die Bedeutung von „souverän“ kann sich grundlegend verändern. Eine Dateninfrastruktur, die zu einem späteren Zeitpunkt neu konfiguriert werden kann, macht die datenbezogenen Prozesse eines Unternehmens zukunftssicher. Schließlich muss die Souveränität über den gesamten Lebenszyklus der Daten hinweg verwaltet werden. Erstellung, Nutzung, Speicherung und Löschung sind Teil ein und derselben Verantwortungskette. Denn nur wenn Systeme Daten sicher löschen können, sobald diese nicht mehr benötigt werden, sind sie wirklich souverän.

Fazit: Regeln einhalten, Wachstum ermöglichen

Die Entscheidung darüber, wie souverän Daten in einem Unternehmen gehandhabt werden können, wirkt sich stark auf seine Wettbewerbsfähigkeit aus: Übermäßige Vorsicht kann die Geschäftsabläufe erschweren und geradezu lähmend wirken. Zu viel Unbedarftheit hingegen kann große regulatorische und sicherheitstechnische Risiken mit sich bringen. Wer jedoch sein ideales Level an Souveränität erreicht hat, kann sich flexibel an neue Technologien anpassen, ohne dass die Vertrauenswürdigkeit gegenüber Kunden und Partnern darunter leidet.

Souveränität ist weder statisch noch ein Schalter, den man umlegen kann. Vorschriften ändern sich, Cyber-Bedrohungen entwickeln sich weiter und geschäftliche Prioritäten verschieben sich. Was heute als Grenzwert für ausreichend Souveränität gilt, kann morgen schon unzureichend sein. Aus diesem Grund sollte Souveränität als ein fortlaufender Governance-Prozess behandelt werden. Sie muss regelmäßig überprüft und sich anpassen lassen.

Unternehmen müssen auch beachten, dass Souveränität längst kein reich technisches Anliegen mehr ist. Die Entscheidungen in diesem Bereich bestimmen, wie widerstandsfähig ein Unternehmen gegenüber regulatorischen Änderungen und Marktstörungen ist. Zudem beeinflussen sie direkt die Wettbewerbsfähigkeit sowie die Wachstumschancen eines Unternehmens. Die binäre Sichtweise auf Souveränität ist überholt. Die Zukunft liegt darin, das Spektrum zu verstehen und die richtige Balance zu finden.