Der Begriff selbst meinte ursprünglich vor allem die Medienkompetenz der Verbraucher, sich sicher und frei im Internet bewegen zu können. Inzwischen umfasst "digitale Souveränität" noch weitere Punkte, denn mit dem Siegeszug der Cloud hat sich die Infrastruktur des Internets massiv verändert. Mittlerweile hinterlassen Nutzer deutlich mehr Daten - insbesondere personenbezogene Daten - wenn sie sich online bewegen. Digital souverän zu sein, ist heute deutlich schwieriger als noch vor wenigen Jahren.
Digitale Souveränität - Definition
Unter den Begriff digitale Souveränität fällt mittlerweile nicht mehr nur die alleinige Fähigkeit zum Umgang mit dem Medium Internet, sondern vielmehr auch der souveräne Umgang mit den eigenen Daten oder denen des Unternehmens. Die Hoheit über die eigenen Daten zu haben, wird heute durch die stetig zunehmende Digitalisierung erschwert. Nicht nur im Privatbereich, sondern auch in Unternehmen müssen Nutzer bewusst darauf achten, verantwortungsvoll mit sensiblen Daten umzugehen.
Das Kompetenzzentrume "Öffentliche IT", das gemeinsam mit dem Fraunhofer Fokus und dem Ministerium für Inneres, Bauen und Wohnen gegründet wurde, definiert "Digitale Souveränität" wie folgt: "Digitale Souveränität ist die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können."
Digitale Souveränität umfasst also auch einige Punkte, die über die Datensicherheit, hinausgehen. Sie beschreibt unter anderem die Fähigkeit zur Kontrolle über die Art und Weise der Datennutzung, -verwaltung und des Datenzugriffs. Für viele Organisationen ist es bereits eine Herausforderung herauszufinden, ob sie wirklich digital souverän sind. Öffentliche IT hat hier einen kurzen Test zur Verfügung gestellt. Die Betrachtung der Umfrage und wie viele verschiedene Bereiche der IT sie abdeckt, verschafft eine Vorstellung davon, wie viel Arbeit es für die verantwortlichen CIOs, CISOs, CDOs, DPOs und ihre Kollegen ist, den Überblick über die digitale Souveränität der eigenen Organisation zu behalten. Unter Berücksichtigung der enormen Auswirkungen, die Quantencomputing auf die Welt der IT- und Informationssicherheit haben wird, lohnt sich ein weiterführendes Nachdenken über mögliche Konsequenzen für die digitale Souveränität.
Beteiligte und deren Rolle in der digitalen Souveränität
Digital souverän können sowohl eine Person als auch eine staatliche Institution oder ein Unternehmen sein. Zum einen sind als Rollen die Bürger zu nennen, die aufgrund der DSGVO zunächst einmal ihre eigenen personenbezogenen Daten besser geschützt wissen, auch wenn die konkrete Umsetzung an einigen Stellen ausbaufähig ist.
Auf der anderen Seite stehen Behörden und staatliche Institutionen, die als Akteure auf ihren IT-Systemen für die Sicherheit personenbezogener Daten sorgen. Besonders interessant wird es für Unternehmen, denn sie sind einerseits mit der Einhaltung der DSGVO beauftragt, andererseits aber auch auf den Schutz ihrer Unternehmensinformationen angewiesen. Unternehmen jeder Branche und Größe denken zunächst einmal darüber nach, wie sie die Datenhoheit, also die Befugnis, die erhobenen Daten verarbeiten und speichern zu dürfen, behalten können. Hierzu bedarf es der Zusammenarbeit verschiedener Abteilungen innerhalb des jeweiligen Unternehmens. Diese Abteilungen verfolgen naturgemäß unterschiedliche Interessen. Der Vertrieb hat andere Compliance-Anforderungen als die Produktion oder die Verwaltung. Allen gemein ist jedoch der Wunsch nach Kontrolle ihrer jeweiligen Daten. Datenkontrolle und Datenhoheit sollten für Unternehmen wichtige Bestandteile ihrer digitalen Souveränität sein.
Der Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit der Daten steht im Mittelpunkt jeder Unternehmensstrategie, wenn es um die Digitalisierung geht. Wird dieser Dreiklang befolgt, dann wird auch das Ziel der digitalen Souveränität erreicht. Datenvertraulichkeit wird erreicht durch die Kontrolle darüber, wer die Daten einsieht und verarbeitet. Nur wer zum Datenzugriff berechtigt ist, sollte diesen erhalten. Die Datenintegrität erreichen Unternehmen durch den Datenschutz und die Datensicherheit. Zuvor geht es um die Sicherstellung von Qualität, Gültigkeit, Korrektheit und Zuverlässigkeit der Daten.
Lesetipp: Persönliche Daten schützen - Wenn gelöschte Daten doch noch existieren
Digitale Souveränität - Status Quo in Europa und Deutschland
Im Jahr 2020 hat der EuGH das Privacy Shield außer Kraft gesetzt. Seitdem warten Unternehmen und Verbraucher auf eine neue Richtlinie. Der Europäische Datenschutzausschuss (EDPB) hatte daraufhin Empfehlungen veröffentlicht und geschrieben: "In seinem jüngsten Urteil C-311/18 (Schrems II) erinnert der Gerichtshof der Europäischen Union (CJEU) daran, dass der Schutz personenbezogener Daten im Europäischen Wirtschaftsraum (EWR) mit den Daten 'mitreisen' muss, wohin auch immer sie gehen. Die Übermittlung personenbezogener Daten an Drittländer darf kein Mittel sein, um den Schutz, der ihm im EWR (Europäischer Wirtschaftsraum) gewährt wird, zu untergraben oder abzuschwächen. Der Gerichtshof bekräftigt dies auch, indem er klarstellt, dass das Schutzniveau in Drittländern nicht identisch mit dem im EWR garantierten, sondern im Wesentlichen gleichwertig sein muss. Der Gerichtshof bestätigt auch die Gültigkeit von Standardvertragsklauseln (SCC) als ein Übertragungsinstrument, das dazu dienen kann, vertraglich ein im Wesentlichen gleichwertiges Schutzniveau für in Drittländer übertragene Daten zu gewährleisten."
Lesetipp: Schrems II Checkliste - So geht rechtskonformer Datentransfer
Seitdem ist jeder Datentransfer von Europa in die USA rechtlich bedenklich. Das Schrems II-Urteil kann als wegweisend eingestuft werden, denn es führt allen Rollen bzw. Akteuren anhand dieses Beispiels ihre eigene fehlende digitale Souveränität vor Augen. Wer nicht Herr über seine Daten ist, der kann auch nicht entscheiden, in welches Land diese transferiert und dort wie verarbeitet werden dürfen. Gesetze wie die DSGVO und Urteile wie Schrems II helfen in diesem Fall bei der Orientierung und zeigen gleichzeitig Schwachstellen und Probleme auf.
Diese Änderung betrifft dadurch natürlich auch deutsche Unternehmen, die nun mehr denn je darüber nachdenken müssen, wie und wo sie ihre Daten speichern und übertragen. Viele setzen trotz des Cloud-Booms vielfach auf On-Premises-Lösungen und betreiben Private Cloud-Umgebungen. Darüber hinaus müssen sie mit der DSGVO und anderen Compliance-Anforderungen sowie Audits z.B. bei Prototypen-Daten strikte Vorgaben einhalten. Mit Schrems II wurde der Datenschutz in der Cloud noch einmal gestärkt, sodass beispielsweise Daten nur mit starker Verschlüsselung abgelegt werden sollten.
Generell sollten Unternehmen einen datenzentrischen Sicherheitsansatz verfolgen. Denn wenn die Daten geschützt sind, kann auch digitale Souveränität erreicht werden. Daten sollten stark verschlüsselt werden, wofür sich ein Digital Rights Management empfiehlt. Dann sind die Dokumente digital signiert und verschlüsselt und der Zugriff wird durch ein zentrales Management geregelt. Die Idee dahinter: Wer Herr über die Schlüssel der Verschlüsselung ist, der hat letztendlich auch die Hoheit über die Daten.
Vielfach verlassen sich Unternehmen und Privatpersonen darauf, dass Cloud-Anbieter sich um den Datenschutz und die Datensicherheit kümmern. Diese Anbieter sollten jedoch nicht die Datenhoheit halten, da sie einerseits nicht immer die gleichen Compliance-Anforderungen erfüllen müssen und andererseits aufgrund der Regularien der US-Rechtsprechung Probleme mit Schrems II bekommen. Deshalb ist es zum Vorteil aller Akteure, wenn die Datenhoheit bei den Unternehmen, Organisationen und der öffentlichen Verwaltung verbleibt und dieses Thema nicht an einen Drittanbieter outgesourct wird. Dadurch wird es unbefugten Dritten unmöglich gemacht, Zugriff auf diese Daten zu erhalten. Dank Verschlüsselung und Digital Rights Management können Daten dann auch in der Cloud gespeichert und einfacher von einem Service zum anderen migriert werden. Die Datenhoheit wird durch die Datenintegrität erreicht, um letztlich digital souverän zu bleiben oder zu werden.
Digitale Souveränität - Anforderungen und Schwachstellen
Vielfach wird von der Politik gefordert, die richtigen Weichen zu stellen, wenn es um Themen wie digitale Souveränität, Datenintegrität oder Datenhoheit geht. Mit Schrems II wurde eine solche Richtungsentscheidung getroffen und es sind alle Akteure gefragt, dieser Entscheidung zu folgen. Unternehmen können jetzt reagieren und die Stakeholder aus den unterschiedlichen Abteilungen an einen Tisch bringen, um ein Bild darüber zu bekommen, welche Aspekte der digitalen Souveränität für den jeweiligen Geschäftsbereich wichtig sind. Darüber hinaus kommen auch neue Abteilungen und Firmeneinheiten dazu. Bei Unternehmen, die sich schon länger mit dem Thema beschäftigen, sind über die Jahre Krypto-Abteilungen entstanden, die firmenübergreifend die Themen Verschlüsselung und Schlüsselmanagement bearbeiten. Diese Firmen begreifen das zentrale Krypto-Management als strategische Entscheidung.
Neben der Unsicherheit in Sachen Datenschutz und Datensicherheit bei den Cloud-Anbietern sowie rechtlichen Fragen aus der Schrems II-Diskussion heraus steht vor allem das Thema Quantencomputing auf der Agenda der Krypto-Abteilungen sowie aller Abteilungen, die sich mit Datenhoheit und Datenintegrität beschäftigen. Quantencomputing stellt für sie eine zukünftige Gefährdung dar. Aktuell werden Daten von Unternehmen oft zu wenig und zu unsicher verschlüsselt. Zudem sind diese Verschlüsselungen natürlich nicht quantensicher. Zwar ist quantensichere Verschlüsselung bereits jetzt verfügbar, jedoch fehlen die nötigen Standards, die beispielsweise bei Compliance und Auditierungen wichtig werden könnten. Mit einer Erarbeitung von Standards ist jedoch künftig zu rechnen, damit Compliance- und Audit-Anpassungen im Sinne der Quantenverschlüsselung ermöglicht werden können.
Lesetipp: Post-Quanten-Kryptografie - So bereiten Sie sich auf das Quantenzeitalter vor
Digitale Souveränität muss eine strategische Unternehmensentscheidung werden. Wer sich nicht damit auseinandersetzt, wird bereits mittelfristig ins Hintertreffen geraten. Das Ziel eines jeden Unternehmens sollte der Schutz der Assets, die Erreichung von Compliance und die Erfüllung von Kundenanforderungen sein.
Neben dem Thema Quantencomputing sind momentan die mangelnde Auseinandersetzung und die fehlende Expertise bei Unternehmen sowie den Bürgern problematisch. Wie eingangs erwähnt, müssen sich Bürger in Bezug auf den geschützten Umgang mit ihren Daten auf Unternehmen und die öffentliche Verwaltung verlassen können und haben - theoretisch - mit der DSGVO eine Möglichkeit, ihre Rechte einzufordern. Nachlässigkeiten sollten deshalb vermieden werden. Über Datenschutz und Datensicherheit zu Datenintegrität sowie über die DSGVO und Schrems II hin zur Datenhoheit zu gelangen, sind zwei wichtige Bausteine auf dem Weg zur digitalen Souveränität.
Alle Rollen und Akteure müssen sich fragen, wie souverän sie in der digitalen Welt tatsächlich sind. Ein wichtiger Schritt zur Erkenntnis und zur Erlangung der digitalen Souveränität ist die Hoheit über die eigenen Daten, wobei es vollkommen egal ist, ob es sich um eine Person, eine staatliche Institution oder aber ein Unternehmen handelt. Mit dem Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit gelingt der Einstieg in die Diskussion und Strategie zur Erlangung digitaler Souveränität. (bw)