<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

So kann man mit eperi strenge Data Residency-Anforderungen erfüllen

28. Mai 2018

Mit Data Residency bahnt sich gerade ein relativ neuer Begriff durch die IT-Landschaft, der viele Fragen aufwirft und der speziell im Kontext von Datenschutzbemühungen der unterschiedlichen Länder und Organisationen durchaus kritisch beäugt werden sollte. Daher haben wir uns mit dem Thema ausführlich beschäftigt und zeigen, worauf es dabei ankommt und worauf speziell im Cloud-Umfeld geachtet werden sollte.

chinese_wallDas sogenannte Cybersecurity-Gesetz (CSG) der Volksrepublik China ist zwar bereits am 1. Juni 2017 in Kraft getreten, und doch sind immer noch viele Datenschutzbeauftragte global operierender Unternehmen verunsichert, was das CSG für ihre IT-Organisation bedeutet. Um zu verstehen, welche Auswirkungen das Cybersecurity-Gesetz der chinesischen Regierung auf Firmen haben kann, sollte man sich mit den Inhalten des Gesetzes etwas genauer befassen.

Das CSG wurde vor allem verabschiedet, um seitens der chinesischen Regierung sicherzustellen, dass der Datenschutz in der Volksrepublik China den allerhöchsten Sicherheitsstandard entspricht. Dabei geht der Gesetzgeber ein ganzes Stück weiter als beispielsweise die europäische Legislative mit ihrer Datenschutzgrundverordnung. Denn im Gegensatz zur DSGVO, die explizit das Verarbeiten von Daten auch außerhalb des europäischen Hoheitsgebietes vorsieht, schreibt das Cybersecurity-Gesetz eindeutig vor, dass die in China erhobenen und verarbeiteten Daten um jeden Preis in der Volksrepublik bleiben müssen. Ausnahmen können zwar von der Regierung erteilt werden, was wohl aber eher selten der Fall ist.

Verstöße gegen das Cybersecurity-Gesetz können drakonisch bestraft werden

Die Motivation der chinesischen Regierung ist recht klar erfassbar: Hackerangriffe und Cyber-Terrorismus sollen wirksam bekämpft und unterbunden werden, und das sogar mithilfe eines Gesetzes, das bei vielen Datenschutzbeauftragten für mehr als nur Stirnrunzeln sorgt. Alleine schon deshalb, weil Verstöße gegen das Cybersecurity-Gesetz im schlimmsten Fall mit dem Entzug der sogenannten Bei’an-Lizenz geahndet werden können. Und das kommt faktisch einem unternehmerischen Aus in China gleich, da ohne diese Lizenz in der Volksrepublik keinerlei Geschäftsaktivitäten möglich sind.

Daraus ergeben sich vor allem seitens vieler europäischer Unternehmen zahlreiche Fragen, die sich nicht einfach so beantworten lassen. Die wichtigste lautet sicherlich: Wer ist vom CSG tatsächlich betroffen? Auch hier hilft eine Blick in den Gesetzestext, der besagt, dass alle Firmen dem Gesetz unterstellt sind, die im elektronischen Geschäftsverkehr in China aktiv sind. Hierzu gehören neben allen Onlineshop-Betreibern auch Anbieter von Netzwerk- und Critical Information-Infrastrukturen. Das ist beispielsweise das Rechenzentrum einer Bank, einer medizinischen Einrichtung, etc. Also all diejenigen Organisationen und Firmen, die besonders sensible und unternehmenskritische Daten erfassen, verarbeiten und speichern.

Cloud Services in China unterliegen ganz bestimmten Anforderungen

Ein weiterer Aspekt dieses speziellen Szenarios ist die große Entfernung Chinas zu Europa und den damit verbundenen langen Latenzzeiten, die sich daraus ergeben. Zudem sorgt die „Große Firewall“ der chinesischen Regierung in vielen Fällen dafür, dass Daten die Volksrepublik gar nicht verlassen oder erreichen können. In beiden Fällen operieren viele Unternehmen schon seit Jahren mit sogenannten gespiegelten Inhalten, die sich redundant auf einem Server befinden, der innerhalb der chinesischen Grenzen steht. Oft handelt es sich dabei um Cloud-basierte Datenserver, die akzeptable Ladezeiten und das Umgehen der chinesischen Firewall ermöglichen. Doch genau damit begeben sich Firmen aufgrund des CSG in ein ganz besonderes Dilemma: Wie bringe ich die technischen und datenschutzrelevanten Herausforderungen unter einen gemeinsamen Hut?

Das Schweizer Bundesgesetz über den Datenschutz: „CSG light“

Doch nicht nur die chinesische Regierung hat auf personenbezogene Daten ein besonderes Auge geworfen. So ist gerade die Schweizer Regierung dabei, ihr Bundesgesetz über den Datenschutz (DSG) aus dem Jahr 1992 an die aktuellen Veränderungen anzupassen. Dazu gehört natürlich auch die Datenschutzgrundverordnung der Europäischen Kommission, in deren Geltungsbereich die Schweiz ja bekanntermaßen nicht fällt. So wird man in zwei Schritten das DSG an die DSGVO anpassen, ohne die speziellen Anforderungen der Schweiz zu vernachlässigen. Dazu gehört beispielsweise, dass der Datenschutzverantwortliche seinen Hauptsitz in der Schweiz haben muss und dass die Daten bevorzugt in der Schweiz erhoben und verarbeitet werden müssen. Damit stellt die Novellierung des DSG, die 2019 mit einer zweijährigen Übergangsfrist in Kraft tritt, eine Art „CSG light“ dar. Mit all sein Restriktionen und Herausforderungen bei der Verarbeitung von personenbezogenen Daten, speziell aus der Cloud heraus.

Das Verschlüsseln von Cloud-Daten erfüllt strenge Data Residency-Anforderungen

Genau an dieser Stelle kommt der Verschlüsselung von Cloud-Daten eine besondere Rolle zu. Denn was Regularien wie das Cybersecurity-Gesetz der chinesischen Regierung oder das Bundesgesetz über den Datenschutz der Schweiz explizit fordern ist ein sachgemäßer Umgang mit personenbezogenen und unternehmenskritischen Daten, die sich vor allem auf Cloud-Infrastrukturen befinden. Der Grund hierfür ist recht trivial: Gerade diese Daten sind relativ leicht manipulierbar, da nicht sichergestellt werden kann, was der Cloud Service Provider (CSP) mit diesen Daten anstellen kann und ob er darauf Zugriff hat.

Damit wird aber auch klar, dass eine Verschlüsselung vonnöten ist, die Cloud-gehostete Daten auf spezielle Art und Weise unleserlich macht. Dazu gehört ein Verschlüsselungsverfahren, das die Daten VOR dem Speichern auf dem Cloud-Server bestmöglich verschlüsselt. Und das außerdem dafür sorgt, dass ausschließlich der Eigentümer der Daten über die notwendigen Schlüssel verfügt. Denn dann hat nur er Zugriff auf personenbezogene oder geschäftskritische Daten, was vor dem Hintergrund der strengen Data Residency-Bestimmungen wie im Fall China und der Schweiz ein wichtiges Kriterium darstellt.

Mit dem eperi Gateway den strengen Data Residency-Auflagen trotzen

Es ist also ein Verschlüsselungsverfahren vonnöten, das die Daten zum einen verschlüsselt, bevor sie auf dem Cloud-Server landen. Und das zum anderen sicherstellt, dass die originären Daten die IT-Landschaft nicht verlassen, um geltendes Recht einzuhalten, wie es beispielsweise das Cybersecurity-Gesetz der chinesischen Regierung vorsieht.

Die gute Nachricht folgt auf dem Fuße: Mit dem eperi Gateway und den daraus resultierenden eperi Cloud Data Protection Lösungen lässt sich genau das mühelos umsetzen, da eine Verschlüsselungsplattform eingesetzt wird, die sicherstellt, dass ausschließlich der Cloud-Kunde die sensiblen und personenbezogenen Daten entschlüsseln kann. Darüber hinaus sorgt die eperi-Plattform dafür, dass sich die Daten einerseits innerhalb eines bestimmten Hoheitsgebiets befinden, gleichzeitig aber dank einer ausgeklügelten Proxy-Technik außerhalb des Hoheitsgebiets verarbeitet werden können, ohne gegen geltendes Recht wie das chinesische Cybersecurity-Gesetz zu verstoßen. Damit lassen sich Data Residency-Anforderungen auf einfache Art und Weise erfüllen. Auf diesem Weg lassen sich sensible Daten verschlüsseln, sodass diese nachweislich innerhalb eines vorgesehenen Rechtsraumes verbleiben und nur als verschlüsselte, unlesbare Daten diesen Raum verlassen.

Fazit

In Zeiten verschärfter Datenschutzgesetze wie dem Cybersecurity-Gesetz der Volksrepublik China oder dem Bundesgesetz über den Datenschutz der Schweiz kommen auf Datenschutzverantwortliche ganz neue Herausforderungen zu. Diese lassen sich mithilfe einer geeigneten Verschlüsselungsplattform wie dem eperi Gateway recht trivial lösen, da Daten unverändert in dem Land bleiben können, in dem sie erhoben werden, ohne auf die Abschottung der Daten zu verzichten. Damit kommt man beiden Pflichten nach: Daten dort zu belassen, wo sie laut Gesetz hingehören und gleichzeitig den Datenschutzanforderungen bestmöglich nachzukommen.


Auch interessant:

Kostenloses E-Book: Global Compliance - Was Führungskräfte über Compliance-Vorschriften wissen sollten, wenn sie zu Cloud Services wechseln

 

Share Button: Facebook Share Button: Twitter Share Button: LinkedIn Share Button: XING Share Button: Google Plus Share Button: Mail