Wie ist das mit der Datenhoheit?

Wir produzieren unablässig Daten. Diese fundamentale Weisheit gilt ganz besonders für Unternehmen. Ob Sie nun Kundendaten für Vertrieb und Logistik sammeln und benutzen, Mitarbeiterdaten gespeichert haben, oder ob es darum geht wie viel Sie in einer bestimmten Zeit produzieren oder eingenommen haben: Daten sind wertvoll, ständig im Einsatz, und trotzdem ziemlich empfindlich.

Gerade in Zeiten des vernetzten Cloud-Computings rückt das Thema, wer wann welche Daten kontrolliert, mehr und mehr in den Fokus. Höchste Zeit also, sich einmal etwas ausführlicher damit zu beschäftigen.

bilder/data_start_0.png

Wichtig und empfindlich

 

Wir produzieren unablässig Daten. Diese fundamentale Weisheit gilt ganz besonders für Unternehmen. Ob Sie nun Kundendaten für Vertrieb und Logistik sammeln und benutzen, Mitarbeiterdaten gespeichert haben, oder ob es darum geht wie viel Sie in einer bestimmten Zeit produzieren oder eingenommen haben: Daten sind wertvoll, ständig im Einsatz, und trotzdem ziemlich empfindlich.

Gerade im EU-Raum hat sich nach Überwachungsskandalen und DSGVO ein Bewusstsein dafür entwickelt, dass Daten zwar notwendig sind, gleichzeitig aber auch immer der eigenen Kontrolle unterstehen sollten. Aber auch im Unternehmensalltag ist die Hoheit über die eigenen Daten wichtig. Wenn man beispielsweise zu einem neuen ERP-System umziehen möchte, stößt man öfters mal auf das Problem, dass Daten aus dem alten System gar nicht so einfach exportiert werden können.

Der Grund dafür ist einfach erklärt. Daten werden zwar vom Unternehmen produziert, aber unter Umständen fehlt es an Kontrolle – oder eben an der berühmten Hoheit. Gerade in Zeiten des vernetzten Cloud-Computings rückt das Thema, wer wann welche Daten kontrolliert, mehr und mehr in den Fokus. Höchste Zeit also, sich einmal etwas ausführlicher damit zu beschäftigen.

 

Der Stick gehört Ihnen. Aber die Daten darauf? (Bild: Wikimedia Commons)

 

Was ist Datenhoheit überhaupt?

 

Fast jeder hat eine grobe Idee davon, was Datenhoheit bedeutet und was sie beinhaltet. Das ist vor allem das Ergebnis einer intensiven und kontroversen öffentlichen Debatte zum Thema. Die ist aber gar nicht allzu alt: Bis noch vor einigen Jahren war Datenkontrolle eher noch ein Thema für Nerds und professionelle Datenschützer.

Der Begriff der Datenhoheit hat etwas janusköpfiges. Auf der einen Seite ist er, auch rechtlich, klar definiert. Auf der anderen Seite sehen die darum aufgebauten Regelungen überall ein bisschen anders aus. Der Begriff hat also eine allgemeine Definition, aus der sich aber viele individuelle Interpretationen ableiten.

Beginnen wir mit der Definition. Bei der Datenhoheit geht es im spezifischen um Regelungen zum Besitz, zur Verbreitung und Verarbeitung, sowie zur Kontrolle von persönlichen, kulturellen und unternehmerischen Daten, insbesondere auch in einem inter- und transnationalen Kontext. Dieser internationale Aspekt ist im Zeitalter von globalisierter Zusammenarbeit besonders wichtig. Da Daten kein materielles Gut sind, ist der Besitz außerdem nicht einheitlich geregelt – es muss also zunächst gemanaged werden, wer wann welche Rechte im Bezug auf Daten hat.

In Europa wird die Datenhoheit insbesondere über Datenschutzgrundverordnung DSGVO geregelt. Die bestimmt, wie Sie mit Kundendaten umgehen sollten, wem sie überhaupt gehören, und welche Maßnahmen zum Datenschutz notwendig sind. Gerade, wenn Daten integrativ mit ERP-Programmen verknüpft sind, ist das mit der Kontrolle aber gar nicht so einfach.

 

Die Sache mit der Cloud

 

Die Daten, die ein Unternehmen produziert, sind gleichzeitig ein wertvolles immaterielles Gut und eine Verpflichtung an diejenigen, deren Informationen in den Daten enthalten sind. Trotzdem werden sie gerne in Cloudprogrammen verwaltet – logisch, wenn man bedenkt, dass viele zentrale Unternehmensapplikationen inzwischen nur noch in der Cloud ausgeliefert werden.

Diese Cloudprogramme vernetzen die Daten mit Servern in Rechenzentren. Wo die stehen, und wie da die Regelungen zur Datenhoheit aussehen, bestimmt ganz, wer Zugriff und Kontrolle über Daten hat. Klar: Auf dem Papier nimmt jedes Unternehmen für sich heraus, den Nutzern die volle Kontrolle über ihre Daten zu gegen. Trotzdem hat erst im Januar das Bundeskartellamt Google wegen zu wenig Optionen zur Datenkontrolle abgemahnt.

Ein anderes Beispiel: Als wir vor einigen Jahren von Odoo zu einem anderen ERP-Anbieter wechseln wollten, wollten wir, logischerweise, unsere Daten mitnehmen. Der Exportvorgang erwies sich dann aber in der Praxis als enorm langwierig und frustrierend, und ist sogar nur Nutzern der teuren Enterprise-Version überhaupt möglich. Volle Datenkontrolle sieht anders aus.

Verkompliziert wird das ganze Spiel noch, wenn die Daten in einem Rechenzentrum irgendwo außerhalb der EU verwaltet werden. Diese Verhältnisse sind dann gerne mal auf Vertrauen (beziehungsweise Hoffnung) anstatt auf Sicherheit und Verbindlichkeit aufgebaut. Das gilt insbesondere auch dann, wenn staatliche Akteure zusätzlich ihre Finger im Spiel haben.

 

Die DSGVO regelt den Datenschutz in der EU. (Bild: Wikimedia Commons)

 

Wer hat Angst vor der DSGVO?

 

Ganz schön kompliziert! Und vor allem dann ein Problem, wenn Sie nicht nur Ihre eigenen Daten verwalten, sondern auch die Ihrer Kunden oder Geschäftspartner. Dann greift nämlich seit 2018 die DSGVO. Und die setzt dem Umgang mit Daten ziemlich enge Grenzen, deren Einhaltung nur mit bestehender Datenhoheit möglich ist.

Es gibt verschiedene Arten, das zu gewährleisten. Am besten ist es, die Firmendaten, die in der Cloud verarbeitet werden, in entweder „on premise“ oder in lokalen Rechenzentren zu verwalten. Es ist ganz vom Einzelfall abhängig, welche Option die für Sie bessere ist. „On premise“ ist pflegeintensiver und benötigt einen eigenen Server. Ein Rechenzentrum wiederum ist die einfachere Option, gibt aber ein bisschen Kontrolle ab.

Wer ein Hostingangebot bei einem internationalen Anbieter in Anspruch nimmt, der sollte sich vorher wirklich schlau machen und recherchieren. In welchem Land stehen die Server? Kann man seine Daten extrahieren? Welche Kontrolloptionen gibt es? Kam es schon zu größeren Datenlecks? Grundsätzlich raten wir davon ab, Daten auf Servern außerhalb der EU zu verarbeiten. Google Drive ist super für die Planung der Unternehmensfeier. Sensible Kundendaten haben da aber eher wenig verloren.

 

Jenseits des Datenschutzes

 

Obwohl der Datenschutz der für Ihr Unternehmen wahrscheinlich relevanteste Aspekt der Datenhoheit ist, erschöpft sich der Themenkomplex hier noch nicht. Es sind nämlich eben nicht nur staatliche Akteure, die die Hoheiten über Daten verteilen. Das geht auch, ganz im unternehmerischen Sinne, über Verträge.

Im Klartext bedeutet das, dass Daten – der DSGVO entsprechend – auch mit Einschränkungen getauscht, übertragen oder sogar verkauft werden können. Das wiederum impliziert richtigerweise, dass die Daten, die Sie einem Unternehmen in die Hand legen, nicht unbedingt noch unter Ihrer vollen Kontrolle stehen.

Grundsätzlich gilt: Je offener die Systeme sind, die Sie nutzen, desto geringer ist die Wahrscheinlichkeit, dass Sie die Kontrolle über Ihre Daten abgeben müssen. Gerade bei solchen integralen IT-Bausteinen wie ERP-Systeme, bei denen viele Kunden- und Unternehmensdaten zusammenlaufen, lohnt es sich, auf ein System zuzugreifen, das "echtes" Open-Source ist. Damit kann maximale Transparenz garantiert werden. Wenn das System dann noch bei einem lokalen Systemhaus gehostet wird, behalten Sie so viel Kontrolle über Ihre Daten, wie sie potentiell haben können.

 

Die Wahl des Rechenzentrums ist nicht egal. (Bild: Wikimedia Commons)

 

Wie geht es weiter?

 

Das letzte Wort in Sachen Datenhoheit ist mit Sicherheit noch nicht gesprochen. Eine gespannte internationale Lage, neue Probleme mit AI, und ein wachsendes Bewusstsein in der Bevölkerung machen das ganze Themenfeld hochgradig dynamisch. Regeln, die heute noch eher lax wirken, könnten morgen nochmal deutlich verschärft werden. Es lohnt sich also, den Themenkomplex weiter im Blick zu behalten.

Für den Moment empfehlen wir Ihnen, zur Gewährleistung Ihrer Datenhoheit besonders zwei Aspekte im Blick zu behalten. Zum einen sollten Sie bei der Wahl Ihrer datenverarbeitenden Software- und insbesondere Cloud-Systeme auf maximale Offenheit achten. Zweitens lohnt es sich, sich genau anzusehen, wo Ihre Daten gespeichert werden. Im Idealfall nutzen Sie eine möglichst lokales Systemhaus, um Nähe, Zuverlässigkeit und Sicherheit zu gewährleisten.

Sofern es keine globalen Übereinkünfte gibt, die Daten endgültig als Besitz ausweisen, bleiben Daten nur Teil eines größeren Verwaltungssystems und sind ständigen Änderungen unterworfen. Deshalb lohnt es sich auch in Sachen Datenverarbeitung, mit einem vertrauenswürdigen Partner zusammenzuarbeiten, um auf plötzliche Veränderungen flexibel reagieren zu können und um immer im Blick zu haben, wer wirklich die Hoheit über die Unternehmensdaten hat.


Beitrag vom 03.04.2023

Kommentar abgeben: