Post Views: 2

Datenhoheit – durch Clouds verschleiert?

In der heutigen digitalen Welt bewegen sich Daten mit nahezu Lichtgeschwindigkeit in und aus Cloud-Diensten und überschreiten dabei mühelos geopolitische Grenzen. Diese rasante Dynamik macht es unerlässlich, zu verstehen, wo sich die Unternehmensdaten befinden, welcher Rechtsordnung sie unterliegen und wie sie verwaltet werden.
Von   Neil Thacker   |  Chief Information Security Officer (CISO) EMEA   |  Netskope
19. November 2025

Datenhoheit – durch Clouds verschleiert?

 

 

Datensouveränität ist dabei ein komplexes und sich ständig veränderndes Ziel. Vorschriften wie die DSGVO, der CCPA und eine zunehmende Anzahl konkurrierender nationaler Gesetze zur Datenlokalisierung sorgen dafür, dass die Compliance-Regeln von heute morgen schon veraltet sein können. Dennoch ist das Verständnis für die Datenhoheit – insbesondere bei Zugriffen und Speicherung durch Dritte – eine fundamentale Säule für eine robuste Datenverwaltung. Es erfordert einen proaktiven, strategischen Ansatz beim Management von Daten und Anbietern.

Bei der Auswahl von Technologieanbietern, insbesondere im Cloud-Bereich, ist eine genaue Prüfung der Datenverarbeitungspraktiken für Datenschutzbeauftragte und CISOs unerlässlich. Es genügt nicht, sich auf die einfache Frage nach der DSGVO-Konformität zu beschränken, denn die entscheidenden Details verbergen sich in den Geschäftsbedingungen. Daher sollten Verantwortliche die folgenden kritischen Bereiche genau unter die Lupe nehmen und Anbietern gezielte Fragen stellen.

 

Privacy by Design: Integriert, nicht nachträglich hinzugefügt

Das Konzept „Privacy by Design“ verankert den Datenschutz bereits im Kern der Systementwicklung, anstatt ihn nachträglich in eine Architektur zu integrieren oder durch Geschäftsprozesse zu ergänzen. Während der verwandte Ansatz „Security by Design“ von klar definierten Frameworks profitiert, mangelt es „Privacy by Design“ oft noch an einer ebenso präzisen Struktur.

Aus diesem Grund suchen Datenschutzbeauftragte und CISOs bei Anbietern nach konkreten Nachweisen für den Datenumgang, lange bevor sie überhaupt Daten erfassen. Sie wollen mehr über deren Governance und Kontrollen erfahren und eine klar formulierte Richtlinie einsehen, die beispielsweise den Ansatz zur Verwendung von Daten für das Training von KI-Modellen darlegt – werden dabei die Kundendaten selbst, eine anonymisierte Version davon oder gar keine Daten genutzt? Verantwortungsbewusste Anbieter sollten diese Fragen bereits proaktiv geklärt haben und über eine transparente Governance und Dokumentation verfügen, die sie zur Einsicht bereitstellen können.

 

Wichtige Fragen bei der Auswahl eines Anbieters sind beispielsweise:

  • Gibt es eine detaillierte Dokumentation, aus der hervorgeht, was der Anbieter sammelt, warum und wie lange er es aufbewahrt?
  • Kann er Unterlagen oder Beispiele für seine Datenschutz-Folgenabschätzungen (PIAs) für seine Dienste vorlegen?
  • Bietet er Funktionen an, die es den Kunden ermöglichen, ihre eigenen Datenschutzanforderungen innerhalb der Plattform des Anbieters durchzusetzen?

Ein Anbieter, der „Privacy by Design“ ernst nimmt, wird seine Prozesse nicht verstecken, sondern proaktiv Transparenz schaffen und demonstrieren, wie seine Lösungen von Grund auf mit Blick auf den Datenschutz entwickelt wurden.

 

Datenminimierung: Weniger ist mehr

Das Grundprinzip der Datenminimierung ist ein entscheidender Pfeiler sowohl des Datenschutzes als auch der Datensouveränität. Es besagt, dass Anbieter nur die Daten erfassen und verarbeiten dürfen, die für einen bestimmten Zweck unbedingt notwendig sind. Datenschutzbeauftragte sollten zudem darauf achten, dass Daten nur temporär zugänglich gemacht und nicht dauerhaft geteilt werden. Es ist daher unerlässlich, die Architektur eines Dienstes genau zu prüfen und jeden Punkt der Datenspeicherung zu hinterfragen. Durch eine Verarbeitung im Arbeitsspeicher wird der Zugriff auf Millisekunden begrenzt, anstatt die Daten für Minuten oder länger zu speichern. Letztendlich geht es darum, sicherzustellen, dass man die Hoheit über die eigenen Daten behält und diese nicht in den Systemen Dritter verbleiben.

 

Relevante Fragen an einen Anbieter sind beispielsweise:

  • Wie stellt der Anbieter die Datenminimierung in seinen Diensten sicher?
  • Welche Mechanismen gibt es, um die Erfassung oder Speicherung unnötiger Daten zu verhindern?
  • Kann das Unternehmen sich aus den Prozessen, die die Speicherung seiner Daten erfordern, zurückziehen und trotzdem den Dienst des Anbieters in Anspruch nehmen?

Die Reduzierung der von Dritten verarbeiteten Datenmenge senkt automatisch das Risiko für die Datenhoheit. Ein Anbieter, der die Datenminimierung konsequent verfolgt, demonstriert damit sein echtes Engagement für das Prinzip „Privacy by Design“. Ein Mangel an klaren Prozessen oder gar die Abwehrhaltung gegenüber diesem Thema sind hingegen deutliche Warnsignale.

 

Technologien zum Schutz der Privatsphäre (PETs)

Während sich die Datenminimierung darauf konzentriert, die Datenerfassung auf das Nötigste zu reduzieren, sind Technologien zum Schutz der Privatsphäre (PETs) ein ergänzendes Mittel, um notwendige Daten zu schützen. Hierunter fallen Techniken wie Anonymisierung, Pseudonymisierung, Schwärzung und Tokenisierung. Anbieter, die solche Technologien einsetzen, können wichtige Informationen aus den Unternehmensdaten extrahieren, ohne die Originaldaten selbst zu benötigen. Dies stärkt die Souveränität, da die sensiblen Daten in Rechenzentren innerhalb der gewünschten Region verbleiben. Nur die anonymisierten oder nicht identifizierenden Daten werden über Ländergrenzen hinweg übertragen. Die grundlegende Idee ist, dass der anonymisierte Datensatz selbst keinen Wert hat, falls er in die falschen Hände gerät.

 

Für die Bewertung eines Anbieters sollten Datenschutzbeauftragte auf folgendes achten:

  • Integriert der Anbieter PETs in seine Dienstleistungsangebote?
  • Welche Daten oder Metadaten verlassen nach der Anwendung der PETs die Hoheitsregion?
  • Kann er Beispiele dafür nennen, wie diese Technologien konkret auf die Unternehmensdaten angewendet werden?
  • Gibt es Möglichkeiten, eigene PETs als zusätzliche Sicherheitsstufe in Verbindung mit den Dienstleistungen des Anbieters zu implementieren?

Jeder seriöse Anbieter, dem Unternehmen ihre Daten anvertrauen möchten, sollte in der Lage sein, eine lange Liste von in seine Architektur integrierten PETs vorzuweisen. Entscheidend ist dabei, dass die Anwendung dieser Technologien Hand in Hand mit der Datenminimierung geht. Es wäre wenig sinnvoll, Daten zu anonymisieren (z. B. für KI-Trainingszwecke, wenn der Anbieter den ursprünglichen, umfangreichen Datensatz für diesen Prozess zuvor aus der Hoheitsregion transportieren muss.

 

Transparenz hinsichtlich Unterauftragsverarbeitern

Eine der häufigsten Herausforderungen bei der Erreichung der Datenhoheit ist die mangelnde Transparenz bezüglich der Unterauftragsverarbeitern. Wenn Datenschutzbeauftragte oder CISOs einen Technologieanbieter beauftragen, greift dieser häufig auf andere Drittanbieter (Unterauftragsverarbeiter) zurück, um seine Dienstleistungen zu erbringen. Die Unternehmensdaten können daher indirekt bei Drittanbietern gespeichert sein, die sie nie direkt überprüft haben. Obwohl diese Prüfung sehr zeitintensiv ist, ist sie für jedes Unternehmen, das Datensouveränität und einen lückenlosen Data-Governance-Plan anstrebt, ein absolut unverzichtbarer Schritt.

 

Fragen, die jeder Anbieter beantworten sollte:

  • Kann der Anbieter eine umfassende Liste aller an der Erbringung von Unternehmen beauftragten Dienstleistung beteiligten Unterauftragsverarbeiter einschließlich ihrer Standorte vorlegen?
  • Wie sehen seine Prozesse zur Überprüfung und Überwachung von Unterauftragsverarbeitern aus?
  • Hat ein Unternehmen das Recht, neue Unterauftragsverarbeiter abzulehnen oder zu genehmigen?
  • Wie stellt er sicher, dass seine Unterauftragsverarbeiter die gleichen Standards für Datenschutz und Datenhoheit einhalten wie die Unternehmen selbst?

Sicherlich können nicht alle Anbieter alle Fragen auf Anhieb beantworten. Unternehmen müssen daher in ihren eigenen Data-Governance-Plänen festlegen, welche Datenkategorien einer strengeren Kontrolle unterliegen. Dabei gilt es, immer auf klare Antworten und Vertragsklauseln zu bestehen, die Transparenz und eine gewisse Kontrolle über die Unterauftragsvergabe-Kette sicherstellen. Ohne diese Vorkehrungen besteht eine erhebliche Lücke in jeder Strategie zur Datenhoheit.

 

Die vertragliche Grundlage als Schutzschild

Die Datenverarbeitungsvereinbarung (DPA) mit einem Anbieter ist die entscheidende rechtliche Grundlage zur Festlegung der Verantwortlichkeiten im Umgang mit personenbezogenen Daten. In Bezug auf die Datenhoheit muss diese Vereinbarung nicht nur robust, sondern auch äußerst präzise sein. Verantwortliche sollten daher auf klare Definitionen der Verarbeitungsaktivitäten bestehen und sicherstellen, dass die DPA ausdrücklich festlegt, welche Daten für welchen Zweck und wie lange verarbeitet werden. Über Datenlokalisierungsklauseln können sie zudem die Verarbeitung von Daten auf bestimmte geografische Regionen beschränken. Eine gut ausgehandelte DPA ist ein wirkungsvolles Instrument, um Risiken im Zusammenhang mit der Datenhoheit zu bewältigen, weshalb es sich lohnt, Standardformulierungen abzulehnen und Klauseln zu fordern, die die eigenen Unternehmensdaten wirksam schützen.

Ein verantwortungsvoller Umgang mit Daten unter Berücksichtigung von Souveränitätszielen ist nicht immer einfach. Der Prozess ist zeitaufwändig und erfordert Beharrlichkeit, insbesondere wenn Anbieter die erforderlichen Informationen nicht ohne Weiteres bereitstellen. Es ist unerlässlich, die vereinbarten Unternehmensrichtlinien entschlossen zu verteidigen und Ausnahmen zu vermeiden, da dies die Standards in der gesamten Branche anhebt. Wenn Datensouveränität ein strategisches Ziel ist, müssen die richtigen Fragen gestellt, die Praktiken der Anbieter genau geprüft und vertragliche Vereinbarungen genutzt werden, um die Kontrolle und Transparenz über den Weg der Daten über digitale Grenzen hinweg zu bewahren.

Neil Thacker

Neil Thacker

Chief Information Security Officer (CISO) EMEA bei Netskope

Neil Thacker verfügt über mehr als 25 Jahre Erfahrung in der IT-Security-Branche. Er ist Beiratsmitglied der Cloud Security Alliance (CSA) und ehemaliger Berater der EU-Agentur für Cybersicherheit ENISA. CISSP-, CIPP/E- und CEH-zertifiziert, spricht und veröffentlicht er häufig zu Themen rund um Cybersicherheit, Datenschutz und den Schutz der Privatsphäre.
Alle Beiträge anzeigen

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

53767

share

Artikel teilen

Top Artikel

Datenhoheit – durch Clouds verschleiert?

Neil Thacker

Cybersicherheit braucht gemeinsame Standards

Antonio Paolo Mecci

Product Lifecycle Management stärkt Europas Industrie

Laura Schmidt

Stärkung der Cyber-Resilienz im Finanzsektor: Wie Identity Security zur DORA-Compliance beiträgt

Klaus Hild

Ähnliche Artikel

Cybersicherheit braucht gemeinsame Standards

17. November 2025

NIS2 bringt Cybersicherheit auf die europäische Agenda – und das ist gut so. Die Richtlinie setzt klare Impulse: für Verantwortung in der Führungsetage, für
Product Lifecycle Management stärkt Europas Industrie

14. November 2025

Die industrielle Stärke Europas beruht zu großen Teilen auf Qualität und Präzision in der Fertigung. Doch im globalen Wettbewerb reicht dies allein nicht mehr
Stärkung der Cyber-Resilienz im Finanzsektor: Wie Identity Security zur DORA-Compliance beiträgt

12. November 2025

Die Zunahme von Cyber-Angriffen und KI-gestützter Kriminalität stellt den Finanzsektor vor neue Herausforderungen. DORA verpflichtet Finanzinstitute zu erhöhter Cyber-Resilienz und strengem IKT-Risikomanagement. Besonders das