Datenhoheit – auch Datensouveränität genannt – beschreibt die Fähigkeit und das Recht, vollständig über die eigenen Daten zu bestimmen: Wo werden sie gespeichert, wer darf darauf zugreifen, wie werden sie verarbeitet, wann werden sie gelöscht? Kurz gesagt: Wer hat die Kontrolle – rechtlich wie technisch.

Im Idealfall: Sie allein.

In der Realität: Oft nicht Sie allein.

Im digitalen Zeitalter ist Datenhoheit mehr als ein Datenschutzkonzept: Sie ist ein wirtschaftliches, rechtliches und geopolitisches Machtinstrument.

Der Siegeszug der öffentlichen Cloud ist unaufhaltsam. Ob AWS, Azure oder Google Cloud – Unternehmen jeder Grösse verlagern kritische Workloads in die Cloud. Die Vorteile liegen auf der Hand: weniger Infrastruktur, bessere Skalierung.

Aber: Wer in die Cloud geht, gibt Kontrolle ab. Dabei ist der Zugriff Ihres Cloud-Anbieters auf Ihre Daten grundsätzlich positiv gemeint: Öffentliche Cloud-Anbieter überwachen die Systeme, spielen regelmässig Updates ein und setzen geschultes Personal ein, um die Datensicherheit zu gewährleisten. Problematisch wird es jedoch, wenn der Anbieter die Informationen nutzt, um gezielt Werbung zu schalten, oder wenn er gezwungen wird, Informationen an Behörden weiterzugeben. Denn dies geschieht nicht immer mit Ihrem Wissen. Und nicht immer mit Ihrem Einverständnis.

Cloud-Anbieter bieten Sicherheitsfunktionen an. Doch echte Souveränität beginnt erst dort, wo Sie selbst bestimmen, wer Ihre Daten entschlüsseln kann – und wer nicht.

Vier Strategien, um die Kontrolle zurückzuerlangen:

Vor dem Upload in die Cloud wird lokal verschlüsselt – mit einem Schlüssel, den nur Sie besitzen, idealerweise in einem Hardware-Sicherheitsmodul gespeichert. Lösungen wie Microsoft DKE oder Google CSE setzen auf dieses Modell. Vorteil: Selbst der Anbieter kann die Daten nicht lesen.

Lösungen wie AWS XKS oder Google EKM erhöhen die Datensicherheit, indem sie Verschlüsselung ermöglichen, ohne die Kontrolle über die Schlüssel an den Cloud-Anbieter abzugeben. Für diese Systeme wird empfohlen, Hardware-Sicherheitsmodule zu verwenden, um die Schlüssel sicher zu speichern. So hat der Cloud-Anbieter zwar die Daten, aber nicht die Mittel, sie zu entschlüsseln.

Datensouveränität ist kein Selbstläufer – sie erfordert das Verstehen regulatorischer Vorgaben. Organisationen müssen ihre Stakeholder schulen und eine echte Compliance-Kultur etablieren, statt rein formale Richtlinien zu verfolgen.

Datenklassifizierung, interne Schulungen und technisches Verständnis gehören heute zum Pflichtprogramm. Nicht nur für IT-Teams, sondern auch für Datenschutzbeauftragte, die fundierte Entscheidungen treffen und moderne Cloud-Strategien aktiv mitgestalten müssen.

Nur wer Risiken versteht, kann Cloud-Technologien souverän und verantwortungsbewusst einsetzen.

Ergänzend zu den genannten Strategien tragen Geo-Redundanz und Zero Trust-Prinzipien dazu bei, Ihre Daten wirksam abzusichern. Auch Technologien wie homomorphe Verschlüsselung – bei der Daten im verschlüsselten Zustand verarbeitet werden – gewinnen zunehmend an Bedeutung. Ihre Cloud-Strategie muss Ihre Abhängigkeit vom Anbieter nicht verstärken – sie kann Ihre Autonomie absichern. Datenhoheit bedeutet nicht, sich der Cloud zu verweigern. Es bedeutet, die Cloud zu nutzen. Zu Ihren Bedingungen.

Mit der richtigen Schlüsselstrategie, den passenden Technologien und einem klaren Verständnis der rechtlichen Rahmenbedingungen können Sie beides haben: Cloud-Komfort und volle Kontrolle.