Datenresidenz sagt, wo Ihre Daten liegen. Datensouveränität sagt, wer zu
ihrer Herausgabe gezwungen werden kann. Die Debatte um digitale
Souveränität bleibt meist beim Standort des Rechenzentrums stehen, und
viele Anbieterfragebögen prüfen das Erste und setzen das Zweite voraus.
Genau in dieser Lücke scheitert eine scheinbar konforme Bereitstellung, ohne
dass es jemand bemerkt.
Eine scheinbar konforme Bereitstellung schlägt unbemerkt fehl.
Der Mechanismus, um den es geht, ist der US-amerikanische CLOUD Act. Ein Anbieter, der US-Recht unterliegt, kann von US-Behörden zur Herausgabe von Daten gezwungen werden, die sich in seinem Besitz, seiner Verwahrung oder seiner Kontrolle befinden, auch wenn diese Daten außerhalb der Vereinigten Staaten gespeichert sind. Die Pflicht knüpft an den Anbieter an, nicht an den Serverstandort. Die ausführliche Argumentation zur Datensouveränität im öffentlichen Sektor haben wir an anderer Stelle dargelegt, und sie gilt für eine Bank, einen Versicherer, ein Krankenhaus oder eine Kanzlei genauso.
Den Unterschied zu erkennen ist noch am einfachsten. Festzustellen, ob ein konkreter Anbieter auf Ihrer Shortlist diese Prüfung tatsächlich besteht, ist schwieriger, denn der Anbieter, seine Muttergesellschaft, sein Cloud-Anbieter, sein Hosting-Partner und sein Support-Dienstleister können jeweils einer anderen Rechtsordnung unterliegen. Mit den folgenden fünf Fragen lässt sich das prüfen. Nehmen Sie sie schriftlich in die Ausschreibung auf, und behandeln Sie eine vage oder unvollständige Antwort als Befund, nicht als Formsache.
Die fünf Fragen
1. Welche juristischen Personen sind tatsächlich in der Kette?
Ein Hauptsitz ist keine Antwort auf die Frage nach der Rechtsordnung. Fragen Sie nach der vertragschließenden Gesellschaft, ihrer obersten Muttergesellschaft und jeder verbundenen Gesellschaft, die Kundendaten hält, verarbeitet oder auf sie zugreifen kann, samt dem Land, in dem sie jeweils errichtet ist. Ein Anbieter mit Sitz außerhalb der USA kann dennoch einem Herausgabeverlangen US- amerikanischer Behörden unterliegen, wenn eine US-Muttergesellschaft oder eine US-Tochter Besitz oder Kontrolle über die Daten hat. Fordern Sie von jedem Anbieter auf Ihrer Shortlist, seine rechtliche Stellung auf Ebene der einzelnen Gesellschaften darzulegen, nicht nur auf Markenebene. Bei Inuvika ist die vertragschließende Gesellschaft in Kanada oder im Vereinigten Königreich ansässig und unterliegt nicht der US-Gerichtsbarkeit. Diese Genauigkeit auf Gesellschaftsebene sollten Sie erwarten.
So sieht eine schlechte Antwort aus: eine Marketingadresse, ein Ländername ohne Gesellschaft dahinter, oder Schweigen zur Muttergesellschaft.
2 Wer sonst in der Kette kann zur Herausgabe verpflichtet werden?
Diese Frage deckt eine Lücke auf, die die erste offen lässt. Der Softwareanbieter ist nur ein Kettenglied. Der Cloud-Anbieter, der Hosting-Partner, der Managed-Service-Dienstleister und jeder Support- Subunternehmer unterliegen jeweils ihrer eigenen Rechtsordnung, und jeder von ihnen kann Besitz, Verwahrung oder Kontrolle über Daten haben, die herausgegeben werden könnten. Eine Bereitstellung bei einem US-Hyperscaler oder ein Support über einen US-Dienstleister kann genau das Risiko zurückbringen, das durch die rechtliche Stellung des Anbieters zunächst ausgeschlossen schien. Hat diese Partei Besitz, Verwahrung oder Kontrolle über relevante Daten, besteht das Risiko. Ein Anbieter kann vollständig außerhalb der US-Gerichtsbarkeit stehen und Ihren Dienst dennoch über Parteien erbringen, die ihr sehr wohl unterliegen.
Verschaffen Sie sich einen Überblick über die gesamte Kette und die jeweils geltende Rechtsordnung. Da Inuvika OVD Enterprise hypervisor- und cloudagnostisch ist, können Sie diese Kette in einer Infrastruktur und mit Partnern Ihrer Wahl halten, statt den rechtlichen Fußabdruck einer einzigen globalen Cloud zu erben.
So sieht eine schlechte Antwort aus: eine Antwort, die nur die eigene Gesellschaft des Anbieters abdeckt, oder eine Cloud-Region, die so präsentiert wird, als wäre die Region die Rechtsordnung.
3. Worauf kann jede Partei zugreifen, und wer hält die Schlüssel?
"Kundendaten" sind nicht nur Dokumente. Fragen Sie bei jeder Partei in der Kette nach, worauf sie zugreifen kann: Inhalte, Protokolle, Sicherungen, Telemetrie und Support-Dateien. Und fragen Sie, wer die Verschlüsselungsschlüssel hält. Die Schlüsselverwahrung ist eine Frage der Rechtsordnung, nicht nur der Sicherheit. Denn wer die Schlüssel hält, kann unter Umständen lesbare Daten herausgeben. Bei On-Premises-Bereitstellungen erhebt OVD Enterprise keine Kundendaten (abgesehen von freiwillig übermittelten Angaben zum Ablaufdatum des Abonnements und zu aggregierten Nutzungsdaten). Damit reduziert sich erheblich, was wir überhaupt jemals herausgeben könnten. OVD Enterprise lässt sich zudem in einer vollständig abgeschotteten Umgebung ("Air Gap") betreiben. Wenn ein Managed Service gewünscht ist, erbringen wir ihn über unabhängige lokale Hosting-Partner in Ihrem Land, nicht über einen einzigen globalen Betreiber.
So sieht eine schlechte Antwort aus: “Die Daten sind verschlüsselt“, ohne Angabe, wer die Schlüssel hält, oder ein Umfang, der sich auf Dokumente beschränkt und Protokolle, Sicherungen und Telemetrie ausklammert.
4. Welche Daten schickt der Remote-Support nach außen?
Auch eine On-Premises-Installation ist nicht automatisch abgeschottet. Fragen Sie, welche Daten die Umgebung für Updates, Diagnose und Support verlassen, und ob Remote-Support-Sitzungen temporären Zugriff auf Kundeninformationen schaffen. Das sind die Kanäle, über die ein Risiko zurückkehren kann, das eine Residenzprüfung längst als erledigt behandelt hat. Lassen Sie sich bestätigen, was übertragen wird, auch ob es sich um Betriebsmetadaten oder um Kundeninhalte handelt, wer die Daten empfängt, und welcher Rechtsordnung der Empfänger unterliegt.
So sieht eine schlechte Antwort aus: “Nichts verlässt die Umgebung“, behauptet ohne eine Liste dessen, was die Lizenz-, Update- und Diagnosekanäle tatsächlich übertragen.
5. Wie geht der Anbieter mit einem behördlichen Herausgabeverlangen um?
Bei der Zuständigkeit geht es letztendlich darum, was geschieht, wenn tatsächlich eine Anfrage eingeht. Fragen Sie jeden Anbieter nach seinem dokumentierten Verfahren. Wendet er Einwände gegen zu weit gefasste Anfragen an oder schränkt er diese ein? Informiert er den Kunden, sofern dies rechtlich zulässig ist? Gibt er Auskunft über die Anzahl der eingehenden Anfragen? Ein Anbieter ohne dokumentiertes Verfahren läuft Gefahr, im Falle einer Anfrage mit Ihren Daten improvisieren zu müssen. Hier ist ein Beispiel für eine Suchanfrage bei Google.
So sieht eine schlechte Antwort aus: die Versicherung, es sei noch nie ein Herausgabeverlangen eingegangen, angeboten anstelle eines Prozesses für alle künftigen Fälle.
Bei den Fragen zwei bis fünf brechen viele Souveränitätsversprechen in sich zusammen, und genau sie lassen sich nicht mit einer einzigen Zeile über den Hauptsitz erledigen.
Wo die Rechtsordnung in Ihre Bewertungsmatrix gehört
Für Organisationen, deren Souveränitätspflichten es verbieten, einem ausländischen Herausgabezwang ausgesetzt zu sein, ist die Rechtsordnung ein Ausschlusskriterium: Eine Lösung, die dieses Kriterium nicht erfüllt, sollte bereits vor dem Vergleich von Funktionen und Preis ausscheiden. Für alle anderen regulierten Organisationen gehört sie als wesentlicher rechtlicher Risikofaktor in die Matrix, abgewogen gegen die Sensibilität Ihrer Daten, die Anforderungen Ihrer Aufsicht, Ihr Bereitstellungsmodell und das, was Ihre Verträge bereits abdecken, statt in die Fußnoten zu wandern. In jedem Fall sollte dieser Punkt ausdrücklich bewertet werden, anhand von Fragen, die Sie vorher aufgeschrieben haben.
Wir haben OVD Enterprise für Unternehmen entwickelt, die diese Fragen stellen. Sehen Sie, wie OVD Enterprise für eine souveräne und sichere Bereitstellung entwickelt wurde, oder starten Sie einen kostenlosen Test.
Häufige Fragen
Kann ein lokaler Hosting-Partner das Risiko eines ausländischen Zugriffs zurückbringen?
Ja, und das ist einer der häufigsten Wege, auf denen eine Souveränitätsprüfung schiefgeht. Unterliegen der
Hosting-Partner, seine Muttergesellschaft oder der zugrunde liegende Cloud-Anbieter einer ausländischen
Rechtsordnung und haben sie Besitz, Verwahrung oder Kontrolle über relevante Daten, kann das Risiko
zurückkehren, unabhängig davon, wo der Anbieter errichtet ist und wo die Daten physisch liegen. Die jeweils
maßgebliche Rechtsordnung muss für jede Partei in der Kette geprüft werden, nicht nur für den Namen auf
dem Vertrag.
Was sollte der Prozess eines Anbieters für behördliche Herausgabeverlangen konkret enthalten?
Mindestens: einen dokumentierten Prozess zur Prüfung der rechtlichen Gültigkeit eines Herausgabeverlangens,
die Zusage, zu weit gefasste Ersuchen anzufechten oder einzugrenzen, eine Benachrichtigung des Kunden
überall dort, wo das Recht es erlaubt, und eine Form der Transparenzberichterstattung über die Zahl der
eingehenden Ersuchen. Lassen Sie sich das schriftlich geben. Ein Anbieter ohne bestehenden Prozess wird
unter dem Druck einer Ausschreibung kaum einen glaubwürdigen liefern.
Erledigt eine On-Premises-Bereitstellung die Frage von allein?
Nicht automatisch. On-Premises beseitigt eine wesentliche Risikokategorie, deckt aber für sich genommen
weder Lizenzprüfungen noch Update- und Diagnosekanäle noch Remote-Support-Sitzungen ab, von denen
jeder Informationen aus der Umgebung heraustragen kann. Lassen Sie sich von jedem Anbieter genau
dokumentieren, was diese Kanäle übertragen, an wen, und welcher Rechtsordnung der Empfänger unterliegt.
Diese Kanäle bestehen auch bei einer On-Premises-Bereitstellung fort, und deshalb müssen sie separat
bewertet werden.

