Datensouveränität: Digitale Selbstbestimmung als strategischer Erfolgsfaktor

1. Was ist Datensouveränität?
2. Was ist der Unterschied zwischen Datensouveränität und Datenschutz?
3. Die zentralen Elemente der Datensouveränität
4. Warum ist Datensouveränität so wichtig?
5. Wie funktioniert Datensouveränität?
6. Diese Tools unterstützen dich bei deiner Datensouveränität
7. Mit Open Source die Handlungsfähigkeit sichern

Ich beschäftige mich seit über 15 Jahren mit dem Thema digitale Datensouveränität. Schon lange bevor es durch die DSGVO und die aktuelle Markt- und Machtkonzentration einzelner großer Anbieter wie Google, Microsoft und Amazon wieder in den Fokus vieler Unternehmen gerückt ist.

Es muss fortlaufend bewertet werden, welche Daten einer vollständigen Kontrolle unterliegen müssen, um die eigene Souveränität zu sichern. Nur so lässt sich die Handlungsfähigkeit des eigenen Unternehmens sicherstellen und unter anderem ein klassischer „Vendor-Lock-in“ verhindern. Das gelingt nicht immer, allerdings ist es aus meiner Sicht wichtig, die Risiken zu minimieren.

Was ist Datensouveränität?

Der Begriff Datensouveränität bezeichnet das Recht und die praktische Fähigkeit von Personen, Organisationen oder Staaten, selbstbestimmt über ihre Daten zu verfügen. Es geht also um die rechtliche, technische und organisatorische Fähigkeit, Kontrolle über Daten auszuüben.

Was ist der Unterschied zwischen Datensouveränität und Datenschutz?

Zwischen Datensouveränität und Datenschutz bestehen wesentliche Unterschiede. In der aktuellen Debatte werden beide Begriffe oft vermischt und auch die KI macht aus meiner Sicht in vielen Fällen keinen guten Job, um beide Begriffe zu trennen.

Wie der Begriff bereits erkennen lässt, geht es bei der Datensouveränität um „Souveränität“ bzw. die Kontrolle über die Daten und nicht um konkrete Maßnahmen zu ihrem „Schutz“. Natürlich hängen beide Themen eng zusammen, der rechtliche und technische Fokus liegt jedoch auf unterschiedlichen Bereichen.

Die zentralen Elemente der Datensouveränität

Für die punkt.de GmbH, spielt Datensouveränität seit der Gründung im Jahr 1996 eine elementare Rolle in der Entwicklungsarbeit unserer Projekte. Dabei spielen die folgenden Kernaspekte bei allen Entscheidungen, die Daten betreffen, eine wesentliche Rolle:

• Kontrolle: Habe ich immer Zugriff auf die Daten? 

• Transparenz: Wo liegen die Daten? Wer greift darauf zu und wozu?

• Exitstrategie: Können die Daten ohne großen Aufwand auf andere Systeme übertragen werden?

• Durchsetzung: Ist es immer möglich, mit rechtlichen und technischen Mitteln Kontrolle über die Daten auszuüben?

Sie leiten sich direkt aus der oben genannten Definition ab und gewinnen für grundlegende Entscheidungen in der modernen Entwicklungsarbeit zunehmend an Bedeutung.

Warum ist Datensouveränität so wichtig?

Für Unternehmen wird es zunehmend schwieriger, die volle Kontrolle über die eigenen Daten zu behalten. Der technologische Wandel, der durch schnelle und global verfügbare Cloud-Lösungen gekennzeichnet ist, hat dazu geführt, dass der Fokus weniger auf die Datensouveränität gelegt wurde. 

Die Hoheit über die eigenen Daten wurde für Skalierbarkeit und Ausfallsicherheit eingetauscht. Auch die initial niedrigeren Kosten für Betrieb und Wartung von Infrastruktur ließen das Thema in den Hintergrund geraten. Eine zunehmende Markt- und Machtkonzentration bei einzelnen führenden Anbietern wie Google, Microsoft und Amazon, die alle letztlich US-Recht unterliegen, hat bei vielen Unternehmen zu einem Umdenken geführt. Zudem wird das Thema „Vendor-Lock-In“ zunehmend zu einem ernsthaften Problem und wird auch bei uns regelmäßig in Gesprächen mit unseren Kunden diskutiert. 

Nach einer langen Phase, in der Unternehmenssoftware-Suiten wie z. B. SAP Sales Cloud, MS365, Salesforce Commerce Cloud etc. reflexhaft und teilweise bedenkenlos verwendet wurden, sind Abhängigkeiten entstanden, die sich kurzfristig und ohne großen Aufwand kaum noch auflösen lassen. Wenn die Daten in diesen proprietären Lösungen liegen und in die eigene Systemlandschaft und Workflows integriert sind, sind die Kernaspekte für Datensouveränität (Kontrolle, Transparenz, Portabilität und Durchsetzung) nicht mehr viel wert.

Praxisbeispiel

Wir erfahren das am eigenen Leib als Agentur. Im Jahr 2012 hatten wir uns entschieden, unser Wiki- und Ticketsystem nicht mehr in Redmine weiterzuführen, sondern auf Atlassian mit JIRA und Confluence zu setzen. Das Gesamtpaket hat uns damals zugesagt, und wir nutzen Jira und Confluence bis heute intensiv in unseren Projekten. Wir setzten damals auf eine Self-Hosted-Variante und waren viele Jahre lang glücklich mit dieser proprietären Lösung. 

Das änderte sich schlagartig, als Atlassian in den letzten Jahren entschied, die Unterstützung für die Self-Hosted-Version einzustellen und die bestehenden Kunden in die eigene Cloud-Lösung zu zwingen. Das würde neben dem Kontrollverlust über die Daten auch deutlich höhere Kosten für uns mit sich bringen. Bisher haben wir noch keine echte Open-Source-Alternative gefunden, zu der wir migrieren können.

Unser eigenes Beispiel zeigt, was viele Unternehmen durchmachen bzw. noch durchmachen müssen, wenn ihnen die Hoheit über die eigenen Daten wichtig ist. 

Datensouveränität ist kein Selbstzweck, sondern trägt auch dazu bei, dass das eigene Unternehmen im Krisenfall handlungsfähig bleibt. Sei es die Kontrolle über die Kosten für Lizenzen, den Support bestimmter Funktionen oder den Zugang zu den eigenen Daten.

Wie funktioniert Datensouveränität?

Sowohl für uns selbst als auch in unserer Projektarbeit mit unseren Kunden predigen wir nicht den Verzicht auf proprietäre Lösungen. Wo es jedoch sinnvoll ist, sollte immer auf Open-Source-Lösungen zurückgegriffen werden. So lassen sich die Risiken für die eigene Datensouveränität minimieren. 

Die Kernfrage sollte immer lauten: Über welche Daten benötige ich absolute Kontrolle und wie schütze ich diese? Am Ende steht eine bewusste Einschätzung des Risikos.

Praxisbeispiel

Ein Beispiel aus unserem eigenen Unternehmen zeigt gut, wie Datensouveränität auch im proprietären Umfeld gelebt werden kann. Nachdem wir viele Jahre Open-Source-Software (Open-Xchange, SOGo) als Groupware für E-Mail und Kalender genutzt hatten, wuchs sowohl intern bei den Mitarbeiter*innen als auch von Kundenseite der Druck, dem Marktstandard zu folgen und in das Microsoft-Universum mit MS365 einzusteigen. Dem Umstieg in den Jahren 2022/2023 ging eine Risikoabschätzung für die eigene Datensouveränität voraus. Bei unseren Open-Source-Groupwarelösungen stellte sich bisher nicht die Frage, ob wir an irgendeinem Punkt die Kontrolle über unsere Kundendaten, E-Mails oder Kalender verlieren, da die Daten bei allen bisherigen Lösungen bei uns lagen.

Bei MS365 gibt es diese Option nicht. Das Risiko wurde dennoch als gering eingeschätzt, da Microsoft weiterhin gängige Standards wie IMAP und CalDAV nutzt, sodass wir jederzeit Zugang zu unseren Daten haben. Somit stand einem Wechsel für E-Mail und Kalender nichts im Weg. Anders sah es bei den Services rund um OneDrive und SharePoint aus: Hier haben wir uns bewusst dafür entschieden, auf Open Source zu setzen und eine eigene Nextcloud zu nutzen, über die wir die volle Kontrolle haben.

Damit Datensouveränität funktioniert, orientieren wir uns an folgenden Fragen:

• Schritt 1: Prüfe, ob wichtige Anforderungen mit einer Open-Source-Lösung abgedeckt werden können. Im besten Fall gibt es eine Option für das Self-Hosting.

• Schritt 2: Gibt es eine europäische Lösung?

• Schritt 3: Wenn die Schritte 1 und 2 zu keinem Ergebnis geführt haben, wird der gesamte internationale Markt betrachtet. Auch proprietäre Lösungen sind dann nicht auszuschließen.

Datensouveränität und Automatisierung

Diese Tools unterstützen dich bei deiner Datensouveränität

Wenn dir und deinem Unternehmen die Hoheit über die eigenen Daten wichtig ist, empfiehlt es sich, auf Open-Source-Lösungen zu setzen. In vielen Bereichen haben sich sehr gute Open-Source-Lösungen etabliert, die wir auch in unseren Projekten erfolgreich einsetzen. Ich habe dir eine Auswahl der gängigsten Lösungen sowie die passenden weiterführenden Informationen erstellt.

Content-Management-Systeme (CMS):

Lösungen

• TYPO3

• Neos CMS

Workflow-Automation

Lösungen

• n8n

• CIB seven

Zusammenarbeit & Datenaustausch:

Lösungen

• Nextcloud

Identity Access Management (IAM) / Single Singn-On (SSO):

Lösungen

• Keycloak

Tracking:

Lösung

• Matomo (zuvor Piwik)

E-Commerce/Shop:

Lösung

• E-Commerce/Shop: Sylius

Mit Open Source die Handlungsfähigkeit sichern

Ich halte das Thema Datensouveränität und somit die Kontrolle über die eigenen Daten für zunehmend wichtig für Unternehmen, die in einer sich stark polarisierenden politischen Atmosphäre jederzeit handlungsfähig bleiben wollen. Das gilt insbesondere für mittelständische und große Unternehmen, die global operieren und den politischen Entscheidungen, beispielsweise in den USA, in Bezug auf die großen Technologiekonzerne schutzlos gegenüberstehen. Die starke Abhängigkeit von proprietären Lösungen erschwert die Kontrolle über die eigenen Daten und muss schrittweise aufgelöst werden. Das ist in vielen Fällen kein einfacher Prozess, mit der richtigen Beratung und den passenden Konzepten allerdings nicht unmöglich. 

Die Hoheit über die eigenen Daten zurückzugewinnen, kann in Zukunft eine wichtige Rolle im Wettbewerb spielen, um beispielsweise steigenden Lizenzkosten zu entgehen oder rechtliche Risiken zu minimieren. Gerade bei der Erstellung von Anforderungen für neue Projekte sollten die Aspekte Kontrolle, Transparenz, Portabilität und Durchsetzung für die Daten immer berücksichtigt werden, um Probleme wie einen „Vendor-Lock-In“ für kritische Daten gar nicht erst entstehen zu lassen. 

Dem Thema Open Source eine Chance zu geben, kann viele Probleme bei der Datenhaltung lösen und die Handlungsfähigkeit des eigenen Unternehmens sicherstellen.