Die Datenschutzbemühungen nehmen vielerorts immer weiter zu und sind zweifellos auch eine Reaktion auf die alltäglichen Nachrichten über Cyberattacken, Datenschutzverletzungen und andere unbefugte Datenenthüllungen und -verkäufe. Mittlerweile verlangen nicht mehr nur die EU-Datenschutzgrundverordnung (DSGVO), sondern auch zahlreiche Datenschutzgesetze weltweit Schutzmaßnahmen, die dem Risiko angemessen und verhältnismäßig sind.
Auch politische Entscheidungsträger erkennen zunehmend die Notwendigkeit, die Anforderungen an die Cybersicherheit zu verstärken und die Cybersicherheitsanforderungen im Rahmen der Datenschutzgesetze zu harmonisieren. Dazu passt indes nicht, dass parallel zunehmend immer mehr Vorhaben zur Datenlokalisierung forciert werden, die sowohl die Fortschritte beim Datenschutz im Allgemeinen als auch bei der Cyberresilienz im Besonderen zu untergraben drohen.
Datenlokalisierung kann Cybersicherheit bremsen
Erst kürzlich traf sich die European Cybersecurity Certification Group (ECCG), um über den jüngsten Entwurf des European Cybersecurity Certification Scheme for Cloud Services (EUCS) zu beraten. Der Entwurf beinhaltet in seiner jüngsten Fassung verschiedene Anforderungen zur Datenlokalisierung. Diese haben als solche wenig mit einer Verbesserung des Datenschutzes oder der Cybersicherheit zu tun. Denn einerseits bietet die Datenspeicherung an einem bestimmten Ort und das Verbot einer grenzüberschreitenden Datenverarbeitung keine technischen oder rechtlichen Vorteile für die Datensicherheit.
Im Gegenteil: Die Erfahrung zeigt, dass Unternehmen und Behörden und ihre jeweiligen Security Operation Center und IT-Sicherheitsexperten durch Datenlokalisierungsvorgaben gehindert werden, für sie geeignete Cybersicherheitslösungen – ausgerichtet an ihren individuellen Bedürfnissen und nach dem Stand der Technik – auszuwählen, um Best Practices und Rahmenwerke wie etwa das MITRE ATT&CK Framework angemessen umzusetzen. Außerdem können Datenlokalisierungsvorgaben dazu führen, dass Stellen daran gehindert werden, Cyberbedrohungen angemessen zu überwachen und Cybersicherheitsrisiken wirksam zu managen sowie den dafür so wichtigen zügigen Informationsaustausch zu pflegen, der entscheidend für eine schnelle, effiziente und effektive Cyberabwehr sein kann.
Anstatt Datenlokalisierungsvorhaben voranzutreiben, erscheint es daher sinnvoller, Anreize für die Ergreifung von Sicherheitsmaßnahmen zu schaffen, die die Cyberresilienz fördern. Denn Cyberakteure machen keinen Halt vor Landesgrenzen. Warum sollten Cybersicherheitsspezialisten ihnen nicht gemeinsam und ebenfalls länderübergreifend entgegenwirken dürfen?
Cybersicherheit als Daueraufgabe
Hinzu kommt, dass moderne Cybersicherheit eine Daueraufgabe ist, die eine permanente Befassung mit der Materie zu jeder Tages- und Nachtzeit, an Feiertagen sowie Wochenenden verlangt. Es ist kein Geheimnis, dass Cyberangriffe bevorzugt freitagnachmittags verübt werden, wenn das Personal auf dem Weg ins Wochenende ist. Hinzu kommt der Fachkräftemangel im Cybersicherheitsbereich, durch den viele Unternehmen und Behörden nicht über genügend Personal verfügen, um ihren Sicherheitsansprüchen gerecht zu werden.
Es erscheint daher widersinnig, Unternehmen und Behörden davon abzuhalten, im Bereich der Cybersicherheit einen sogenannten „Follow-the-sun“-Ansatz verfolgen zu dürfen und Verantwortung und Aufgaben an andere Stellen im Ausland übertragen zu dürfen, weil gesetzliche Datenlokalisierung es verbietet.
Auch dem Datenschutz wird nicht gedient, wenn die Datensicherheit abgesenkt wird. Die DSGVO verlangt nicht einseitig nur die Einhaltung bestimmter Regeln beim grenzüberschreitenden Transfer von personenbezogenen Daten, sondern sieht auch vor, dass Stellen unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem individuellen Risiko angemessenes Schutzniveau zu gewährleisten.
Der Gesetzgeber ist aufgerufen, diese vermeintliche Konkurrenz durch eine sinnvolle Neuordnung im Lichte der aktuellen Cyberbedrohungslage zu beseitigen. Vielleicht könnte hierbei eine Einigung hinsichtlich des unter den Regierungen der G7-Staaten diskutierten Data Free Flow with Trust (DFFT) einen Beitrag leisten. Für betroffene Stellen und Rechtsanwender, die dem Dilemma heillos ausgeliefert sind, wäre es ein Segen.
Christoph Bausewein ist Assistant General Counsel, Data Protection & Policy beim US-Cybersicherheitsunternehmen Crowdstrike
