Foto: NicoElNino - shutterstock.com
Am 16. Juli 2020 hat der Europäische Gerichtshof das Datenschutzabkommen Privacy Shield für ungültig erklärt. Die Entscheidung macht deutlich: Europäische Daten sind in den USA und auch in vielen anderen nicht-europäischen Ländern vor dem Zugriff Dritter nicht sicher, wenn Gesetze vor Ort einen solchen Zugriff legitimieren. Dieses Urteil war sicher eines der medienwirksamsten im vergangenen Jahr. Doch für global agierende Unternehmen geht es nicht nur um die jeweiligen lokalen Datenschutzbestimmungen ihrer Hauptsitze.
International befindet sich ein Großteil der Staaten in einem "Privacy Race", bei dem die Europäische Datenschutzgrundverordnung (EU-DSGVO) nur die Initialzündung war. Sobald Unternehmen in einem Land geschäftlich tätig sind, unterliegen sie den dortigen, mehr oder minder klaren und häufig unterschiedlich strikt gehandhabten, Datenschutzregulierungen. Im Fall von Zuwiderhandlungen drohen hohe Strafen - bis hin zum Entzug der Genehmigung für den Geschäftsbetrieb in dem jeweiligen Land.
Diese Entwicklung widerspricht aber dem Grundgedanken einer globalen Kollaboration innerhalb von Unternehmen. Einer Kollaboration, die insbesondere durch die vielgenutzten Cloud-Services, wie Microsoft 365, beschleunigt wird, weil diese den weltweiten Datenzugriff innerhalb der Unternehmen optimieren und eine reibungslose Kollaboration über Landesgrenzen hinweg versprechen. International tätige Unternehmen müssen deshalb nach Datenschutzlösungen suchen, die dieser dynamischen Entwicklung standhalten.
Datenschutzregelungen am Beispiel von Chinas Gesetzgebung
Bereits seit 2017 gilt in der Volksrepublik China das Cyber Security Law (CSL). Neben weitreichenden Vorschriften für die Einhaltung von Datensicherheit und für das Melden von IT-Sicherheitsvorkommnissen enthält das Gesetz auch das Prinzip der Datenlokalisierung. Dieses schreibt vor, dass personenbezogene Daten weitestgehend in China abzuspeichern sind. Zudem ermöglicht das CSL Behörden den Zugriff auf Daten, wenn illegale Aktivitäten festgestellt werden. Im Verlauf der vergangenen Jahre wurde das Gesetz mit einer Vielzahl von Bestimmungen und technischen Normen konkretisiert.
Foto: Rohde&Schwarz
Anders als in der EU-DSGVO sieht das CSL unter bestimmten Bedingungen auch eine Meldepflicht für einen Datentransfer ins Ausland vor. Wenn Unternehmen beispielsweise personenbezogene Informationen von mehr als 500.000 Personen von China aus ins Ausland transferieren möchten oder die Menge der Daten ein Terabyte überschreitet, bedarf es einer behördlichen Genehmigung. Diese aktive Rolle der lokalen Behörden und die weitreichende Definition von Daten, die nicht übertragen werden dürfen (zum Beispiel Daten, die die sozialen und öffentlichen Interessen beeinträchtigen könnten oder die von den Behörden als nicht übertragbar eingestuft werden) schränken die Möglichkeit, Daten außerhalb der VR China abzuspeichern, für in China agierende Unternehmen erheblich ein.
Im Juli 2020 hat der Nationale Volkskongress der VR China den Entwurf des "Data Security Law" vorgestellt. Dieses Gesetz gewährt China sogar eine extraterritoriale Gerichtsbarkeit im Falle eines Datenmissbrauchs, der Chinas Sicherheit gefährdet. Das bedeutet, dass Unternehmen und Individuen außerhalb der VR China rechtliche Verpflichtungen haben, sobald sie an China-bezogenen Datenaktivitäten beteiligt sind.
Lokalisierung des Datenverkehrs
Unternehmen stellt das globale "Privacy Race" vor enorme Herausforderungen. Denn nicht nur in China treffen sie auf sich ständig verändernde und verschärfende Regulierungen. Zudem agieren in ein und demselben Land Datenschutzbehörden lokal unterschiedlich rigide und oft abhängig von politischen Rahmenbedingungen. Die Investition in rechtliche und organisatorische Ressourcen vor Ort ist daher unabdingbar.
Es gibt mehrere technische Auswege aus diesem Dilemma. Zum einen die Datenlokalisierung. Dabei transferiert das Unternehmen ein Maximum der Datenprozesse in die jeweiligen Regionen. Nachteil dieses Vorgehens ist ein hoher Ressourcenaufwand und eine sehr heterogene IT-Infrastruktur, die schwer zu verwalten ist und einen erhöhten Personalaufwand zur Folge hat.
Außerdem müssen sich Unternehmen bei der Datenlokalisierung einem weiteren Problem stellen: Zwar erweitern lokale Bestrebungen wie die europäische Gaia-X-Initiative die Optionen für Unternehmen, um ihre Datenprozesse zu lokalisieren. In vielen Fällen steht jedoch nicht die Dateninfrastruktur im Mittelpunkt des Interesses, sondern die Applikationen, die exklusiv von den größten Cloud-Service-Providern bereitgestellt werden. Bekannte Beispiele sind Microsoft, wenn es um Office- und Kollaborationsapplikationen geht, oder Alibaba für den Bereich E-Commerce. Und genau diese weltweit genutzten Applikationen können nicht weltweit für Unternehmen datenschutzgemäß lokalisiert werden.
"Glokalisierung" des Datenverkehrs
Wie also lassen sich für populäre Cloud-Applikationen wie Microsoft 365 eine vereinheitlichte weltweite Infrastruktur einerseits und die global so heterogenen und dynamischen Datenschutzregulierungen andererseits vereinbaren, wenn eine Datenlokalisierung nicht möglich ist? Die Lösung ist eine saubere Entkopplung der Daten von den Cloud-Applikationen. Diese sehen die Anbieter selbst nicht vor. Mit Hilfe von Drittherstellern haben Unternehmen diese Möglichkeit jedoch. Dadurch können sie Cloud-Applikationen weltweit einheitlich nutzen, die eigenen Daten jedoch an den jeweiligen Standorten lokalisieren.
Grundvoraussetzung für ein solches als "Glokalisierung" bezeichnetes System ist die volle Kontrolle über die unternehmenseigenen Daten. Dabei werden sämtliche Daten verschlüsselt und in einem vom Unternehmen definierten Speicherort abgelegt. So können Unternehmen klar bestimmen, das personenbezogene Daten nur in der jeweiligen Region, beispielsweise der VR China, abgelegt werden können und nur von dort darauf zugegriffen werden kann. Unkritische Daten können gleichzeitig für den weltweiten Zugriff freigegeben werden.
Diese Entkopplung der Daten von den Cloud-Applikationen hat einen weiteren Vorteil: Die Anbieter der Cloud-Services haben keinerlei Möglichkeit, auf die entkoppelten Daten der Unternehmen zuzugreifen. Damit bauen Unternehmen auch einen Schutz gegen einen potenziellen behördlichen Zugriff auf. Denn ein solcher staatlicher Zugriff wird durch eine Gesetzgebung wie den CSL in China oder den US-amerikanischen Cloud Act legitimiert. Die Cloud-Anbieter müssen diese gesetzlichen Pflichten in ihren Herkunftsländern erfüllen und bieten daher keinen entsprechenden Schutz.
Im besten Fall geschieht die Entkopplung der Daten von den Cloud-Applikationen für den Nutzer völlig unsichtbar. Diese sollten weiterhin über Microsoft Teams Dokumente austauschen und in Microsoft OneDrive oder Microsoft SharePoint Daten ablegen können, ohne dass die Arbeitsabläufe mit zusätzlichen Schritten komplizierter werden. Verschlüsselung, Entkopplung und das Ablegen der Daten an definierten Speicherorten muss unsichtbar im Hintergrund ablaufen, damit sich die "Glokalisierung" der Daten auch problemlos bei den Anwendern in den Unternehmen durchsetzt.
Zentrale Verwaltung der globalen Dateninfrastruktur
Ein entscheidender Vorteil der "Glokalisierung" für global agierende Unternehmen ist eine schlanke und effizient verwaltbare Infrastruktur für eine weltweite Kollaboration und den Austausch von Daten. Da das Unternehmen die Daten von den regional fest verankerten Cloud-Services entkoppelt hat, kann der Umgang mit diesen so konfiguriert werden, dass er die länderspezifischen Datenschutzbestimmungen erfüllt.
Wenn wir beim Beispiel China bleiben, kann ein deutsches Unternehmen problemlos festlegen, dass alle auf chinesische Staatsbürger bezogene Personendaten oder von der Exportkontrolle betroffene Daten immer in China abgelegt werden. Eine solche technische Lösung kann vollständig von Deutschland aus gemanagt werden, ohne dass lokale Ressourcen in China aufgebaut werden müssen.
Das Unternehmen macht sich mit einer solchen Lösung gleichzeitig unabhängig von den Standardvertragsklauseln der Cloud-Service-Anbieter, die häufig nicht weltweit gelten. So kann das deutsche Unternehmen global in einem deutschen Tenant von Microsoft 365 agieren und trotzdem für seine Filialen in China und anderen Ländern die lokalen Datenschutzbestimmungen einhalten.
Fazit
Neben zunehmenden organisatorischen Maßnahmen müssen Unternehmen auch zu adäquaten technischen Maßnahmen greifen, um der Dynamik der weltweiten Datenschutzbestimmungen Herr zu werden. Der Weg zu einer kompletten Datenlokalisierung ist schwierig, da der Großteil der populären Cloud-Applikationen in der Hand weniger großer Hersteller liegt, die diese in eigenen Infrastrukturen betreiben.
Allerdings ist es möglich, die Daten vollständig von den Cloud-Applikationen zu entkoppeln, so dass Daten gezielt in den jeweiligen Regionen gespeichert werden können und die lokalen Datenschutzbestimmungen erfüllt werden. Da diese Entkopplung auch innerhalb einer zentral verwalteten globalen Infrastruktur möglich ist, legt eine solche "Glokalisierung" der Daten die Basis für eine homogene, schlanke und ressourcenschonende Infrastruktur innerhalb von Unternehmen.