Tags
Sicherheit Cloud Speicher

Datensouveränität versus Datenresidenz: Was ist der Unterschied?

Marmortreppen

Autor

Matthew Kosinski

Staff Editor

IBM Think

Datensouveränität vs. Datenresidenz: Was ist der Unterschied?

Datensouveränität ist das Prinzip, dass Nationen rechtliche und regulatorische Autorität über Daten haben, die innerhalb ihrer nationalen Grenzen erzeugt oder verarbeitet werden. Die Datenresidenz bezieht sich auf den geografischen Standort von Daten – den physischen Ort, an dem sich die Rechenzentren, Server oder andere Systeme befinden, die diese Daten speichern oder verarbeiten.

Der Hauptunterschied besteht darin, dass Datensouveränität ein rechtliches Konzept und Datenresidenz eine geografische Kategorie ist. Die beiden Konzepte sind jedoch eng miteinander verknüpft.

Die Datenresidenz entscheidet oft über die Datensouveränität. Wenn ein Unternehmen beispielsweise Daten in einem Rechenzentrum in Irland speichert, befinden sich diese Daten in Irland. Da sich die Daten in Irland befinden, hat Irland die Souveränität darüber. Das Unternehmen muss alle Datenschutzgesetze, Gesetze zur Privatsphäre und andere behördliche Auflagen der irischen Regierung einhalten.

Allerdings ist der Wohnsitz nicht der einzige Faktor, der bestimmt, wer für die Daten zuständig ist. Andere Faktoren, wie der Ort, an dem die Daten ursprünglich erhoben wurden, oder auf wen sie sich beziehen, können ebenfalls eine Rolle spielen.

Datensouveränität und Datenresidenz sind heute wichtige Data-Governance-Konzepte für Unternehmen. Unternehmen sammeln und verarbeiten mehr Daten als je zuvor, und sie nutzen dafür häufig Cloud Computing und Software-as-a-Service (SaaS)-Apps.

Das Ergebnis ist ein massiver Anstieg des internationalen Datenverkehrs. Unternehmen können Daten von Personen in einem Land erfassen, sie in einem Rechenzentrum in einem zweiten Land speichern und sie mit einer cloudbasierten Anwendung verarbeiten, die in einem dritten Land ausgeführt wird. Daten müssen möglicherweise an jedem dieser Standorte unterschiedliche gesetzliche Anforderungen erfüllen.

Unternehmen müssen zu jedem Zeitpunkt des Lebenszyklus ihrer Daten genau wissen, wo sich diese befinden und welche Regeln sie an den einzelnen Standorten befolgen müssen. Bei Verstößen gegen lokale Datenschutzgesetze drohen Unternehmen erhebliche Strafen.

Mann schaut auf Computer

Verstärken Sie Ihre Sicherheitsintelligenz 


Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten. 


Was ist Datenresidenz?

Datenresidenz ist der physische Standort von Daten. Daten befinden sich in einem bestimmten Land, Staat oder Ort, wenn sich die Rechenzentren, Server oder andere Maschinen, die die Daten beherbergen oder verarbeiten, physisch an diesem Ort befinden.

Da die Daten eines Unternehmens häufig verschoben werden, können die Daten eines einzelnen Unternehmens mehrere Speicherorte haben.

Nehmen wir an, ein Unternehmen hat seinen Sitz in den USA, sammelt personenbezogene Daten von US-Verbrauchern und speichert diese Daten auf Servern in den USA. Die Daten befinden sich eindeutig in den USA.

Nehmen wir nun an, dass dasselbe Unternehmen eine SaaS-Anwendung zur Verarbeitung dieser Daten verwendet und die Server der Anwendung sich in Kanada befinden. Alle Daten, die zur Verarbeitung an die kanadischen Server übertragen werden, könnten sich nun in Kanada befinden und unter die kanadischen Datenschutzgesetze fallen.

Anforderungen an die Datenresidenz ergeben sich oft aus den internen Richtlinien eines Unternehmens oder aus vertraglichen Verpflichtungen, unabhängig von gesetzlichen Anforderungen zur Lokalisierung von Daten.

Allerdings haben Unternehmen nicht immer die Wahl, wo ihre Daten gespeichert werden. In einigen Regionen gibt es Gesetze, die eine Datenlokalisierung vorschreiben und Unternehmen dazu verpflichten, ihre Daten an einem bestimmten Ort zu speichern oder zu verarbeiten. 

Datenresidenz und Datenlokalisierung

Obwohl diese Begriffe manchmal synonym verwendet werden, beziehen sie sich auf zwei verschiedene Konzepte. Die Datenresidenz beschreibt, wo die Daten gespeichert sind. Die Datenlokalisierung bezieht sich auf die gesetzliche Verpflichtung, Daten dort zu belassen, wo sie erstellt wurden, d. h. die Daten lokal zu halten.

In einigen Ländern gelten Vorschriften zur Datenlokalisierung, nach denen Unternehmen Daten, die in diesem Land erstellt wurden, innerhalb der Landesgrenzen aufbewahren müssen. Diese Vorschriften können von der bloßen Aufbewahrung einer Kopie der Daten im Land bis hin zum Verbot von Datenübertragungen ins Ausland reichen.

Mixture of Experts | 12. Dezember, Folge 85

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Alle Episoden von Mixture of Experts ansehen

Was ist Datensouveränität?

Datensouveränität ist das Konzept, dass Daten den Gesetzen des Landes oder der Region unterliegen, in der sie generiert oder verarbeitet werden. Wenn ein Land „Souveränität über“ bestimmte Daten hat, bedeutet das, dass das Land die rechtliche Autorität über diese Daten hat, auch zum Zwecke der nationalen Sicherheit.  

Die Datensouveränität wird oft durch den Wohnsitz bestimmt. Wenn sich Daten an einem Ort befinden, unterliegen sie in der Regel den Gesetzen dieses Ortes.

Einige Gesetze zur Datensouveränität folgen den Daten und gelten für die Daten, unabhängig davon, wohin sie sich bewegen. So kann beispielsweise die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) auch für Daten gelten, die außerhalb der EU gespeichert oder verarbeitet werden, sofern diese Daten EU-Bürger betreffen.

Es kann also nicht nur relevant sein, wo sich die Daten befinden, sondern auch, wo sie gesammelt wurden oder auf wen sie sich beziehen.

Ähnlich wie Daten mehrere Residenzen haben können, können sie auch unter mehrere Souveränitäten fallen. Beispielsweise müssen Daten, die sich in einem bestimmten Land der EU befinden, den lokalen Gesetzen dieses Landes sowie der EU-weiten Datenschutz-Grundverordnung (DSGVO) entsprechen.

Die Anforderungen an die Datensouveränität können variieren:

  • Einige Länder beschränken die Arten von sensiblen Daten, die ein Unternehmen erfassen darf, und die Art und Weise, wie es diese Daten erfassen darf.

  • Einige Länder beschränken die Nutzung bestimmter Arten von Daten durch Unternehmen.

  • Einige Länder schreiben bestimmte Cybersicherheitsmaßnahmen vor und verlangen von Unternehmen, im Falle einer Datenschutzverletzung bestimmten Prozessen zu folgen.

  • Einige Datenschutzbestimmungen verleihen betroffenen Personen viele Rechte in Bezug auf ihre Daten, einschließlich der Möglichkeit, diese löschen zu lassen.

Die Nichteinhaltung lokaler Datenschutzgesetze kann zu Geldbußen oder anderen rechtlichen Sanktionen führen. Außerdem kann dadurch ein Reputationsschaden entstehen. Wenn ein Unternehmen gegen Datenschutzbestimmungen verstößt, könnten Kunden ihre Geschäfte woanders abwickeln. 

Wenn Datensouveränität und Datenresidenz wichtig sind

Die Anforderungen an die Datenresidenz und die Datenhoheit können die Entscheidungen eines Unternehmens über die Art der von ihm erfassten Daten, die Art und Weise der Datennutzung und die IT-Infrastruktur beeinflussen.

Cloudinfrastruktur

Heutzutage erfassen Unternehmen mehr Arten von Daten (Kundendaten, Betriebsdaten, Transaktionsdaten) aus mehr Datenquellen (Webanwendungen, Geschäftssysteme, Geräte des Internets der Dinge) auf der ganzen Welt. Viele Unternehmen nutzen Cloud-Services für Datenspeicherung, -verarbeitung, -analyse und andere wichtige Workloads.

Wenn Daten durch die Cloud-verbundene IT-Infrastruktur eines Unternehmens fließen, können sie viele Grenzen überschreiten. Wohin auch immer die Daten gehen, unterliegen sie möglicherweise neuen Gesetzen. Bei der Zusammenarbeit mit Cloud-Dienstleistern müssen Unternehmen wissen, wo ihre Daten gespeichert, gesichert und verarbeitet werden.

Unternehmen können sich für die Zusammenarbeit mit Public-Cloud-Anbietern entscheiden, deren Infrastruktur sich am selben Ort wie das Unternehmen befindet. Einige Unternehmen verlassen sich auf Private Clouds mit Hardware, die sich dort befindet, wo sie benötigt wird.

Viele Unternehmen verfolgen einen hybriden Multicloud-Ansatz, bei dem mehrere öffentliche und private Cloud-Umgebungen und Anbieter genutzt werden. Dieser hybride Ansatz kann dem Unternehmen dabei helfen, die Infrastruktur aufzubauen, die es benötigt, um die verschiedenen Datenschutzgesetze an verschiedenen Standorten einzuhalten.

Die Komplexität der Datenresidenz und -souveränität in der Cloud hat zur Entwicklung der souveränen Cloud geführt, einer Art Cloud-Computing, das Unternehmen dabei unterstützen soll, die rechtlichen und regulatorischen Anforderungen verschiedener Regionen zu erfüllen.

Einige Unternehmen entscheiden sich für lokale Datensysteme anstelle von Cloud-Speicher und -Verarbeitung. Die Speicherung von Daten auf lokalen Systemen kann dazu beitragen, bestimmte Compliance-Probleme zu reduzieren. Allerdings können diese Lösungen mitunter kostspielig und weniger skalierbar sein als die Cloud.

Maßnahmen zur Datensicherheit

Einige Länder schreiben vor, dass Unternehmen bestimmte Maßnahmen zum Schutz von Daten ergreifen müssen, z. B. die Anwendung spezieller Zugangskontrollen und Technologien zur Erkennung von Bedrohungen.

Während die Verhinderung des unbefugten Zugriffs auf sensible Informationen für die meisten Unternehmen bereits Priorität hat, können Datenresidenz und -souveränität die spezifischen Datensicherheitsmaßnahmen vorgeben, die sie ergreifen müssen. 

Datenmanagementprozesse

Einige Datengesetze schreiben vor, was Unternehmen mit den vorhandenen Daten tun können.

Zum Beispiel verbieten einige Gesetze die Verwendung sensibler Daten, es sei denn, bestimmte restriktive Bedingungen werden erfüllt. Einige Gesetze gewähren Menschen erhebliche Rechte an ihren personenbezogenen Daten, einschließlich des Rechts, diese auf Anfrage löschen zu lassen.

Unternehmen, die diesen Gesetzen unterliegen, müssen Mechanismen einrichten, um sicherzustellen, dass Daten angemessen verwendet werden und Verbraucher ihre Rechte problemlos ausüben können.  

Souveräne KI

Anforderungen an die Datenresidenz und Datensouveränität können sich auf die Workloads der künstlichen Intelligenz (KI) und des maschinellen Lernens (ML) auswirken.

Einige Nationen beschränken bestimmte Arten der KI-Nutzung auf bestimmte Datentypen. So untersagt beispielsweise der EU AI Act Dinge wie soziale Bewertungssysteme und KI-Systeme, die bestimmte Schwachstellen ausnutzen, wie z. B. Schwachstellen aufgrund von Alter oder Behinderung.

Außerdem erstellen heutzutage nur wenige Unternehmen ihre eigenen KI-Modelle von Grund auf neu. Viele nutzen KI-Systeme von Drittanbietern, die in der Cloud gehostet werden. Diese Systeme können dieselbe Komplexität aufweisen wie andere Cloud-Services.

Die Besorgnis über die sichere Nutzung von KI hat zu einem wachsenden Interesse an souveräner KI geführt, d. h. an den Bemühungen, die Nationen unternehmen, um ihre eigenen KI-Systeme zu entwickeln und KI innerhalb ihrer Grenzen zu steuern.

Tools zur KI-Governance können Unternehmen dabei helfen, mehr Transparenz und Kontrolle darüber zu erlangen, wie und wo KI in ihren IT-Stacks eingesetzt wird. Durch diese erhöhte Transparenz und Kontrolle können Unternehmen sicherstellen, dass ihre KI- und ML-Anwendungen einen Mehrwert bieten und gleichzeitig die relevanten Vorschriften einhalten.

Haftungsausschluss: Die Einhaltung sämtlicher geltender Gesetze und Vorschriften liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Services oder Produkte von IBM die Konformität von Gesetzen oder Verordnungen durch den Kunden sicherstellen.

Ressourcen

Erfahren Sie, warum Kuppinger Cole IBM als führend einstuft

Der Bericht von KuppingerCole zu Datensicherheitsplattformen bietet Anleitungen und Empfehlungen dazu, wie Sie Produkte zum Schutz und zur Verwaltung vertraulicher Daten finden, die den Anforderungen Ihrer Kunden am besten entsprechen.
IBM® X-Force Threat Intelligence Index 2025

Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
The Total Economic Impact (TEI) of Guardium Data Protection

Entdecken Sie Nutzen und ROI von IBM Security Guardium Data Protection in dieser TEI-Studie von Forrester.
Gartner Market Guide for AI TRiSM

In diesem Gartner-Bericht erfahren Sie, wie Sie das gesamte KI-Inventar verwalten, die KI-Workloads mit Schutzmechanismen sichern, das Risiko reduzieren und den Governance-Prozess verwalten, um Vertrauen für alle KI-Anwendungsfälle in Ihrem Unternehmen zu erreichen.
Erweitern Sie Ihre Fähigkeiten mit kostenlosen Sicherheits-Tutorials

Befolgen Sie klare Schritte, um Aufgaben zu erledigen und zu lernen, wie Sie Technologien in Ihren Projekten effektiv einsetzen können.
Was ist Identity und Access Management (IAM)?

Identity und Access Management (IAM) ist eine Disziplin der Cybersicherheit, die sich mit Benutzerzugriff und Ressourcenberechtigungen befasst.
Weiterführende Lösungen
Lösungen zu Datensicherheit und Datenschutz

Schützen Sie Ihre Daten in mehreren Umgebungen, erfüllen Sie Datenschutzauflagen und verringern Sie die Komplexität von Betriebsabläufen.

         Mehr über Datensicherheitslösungen
    IBM Guardium

    Entdecken Sie IBM Guardium, eine Datensicherheitssoftware-Reihe, die sensible On-Premises- und Cloud-Daten schützt.

     

             Entdecken Sie IBM Guardium
      Datensicherheitsservices

      IBM bietet umfassende Datensicherheitsservices zum Schutz von Unternehmensdaten, Anwendungen und KI.

             Mehr über Datensicherheitsservices
      Machen Sie den nächsten Schritt

      Schützen Sie die Daten Ihres Unternehmens über Hybrid Clouds hinweg und vereinfachen Sie Compliance-Anforderungen mit Datensicherheitslösungen.

             Mehr über Datensicherheitslösungen Buchen Sie eine Live-Demo