ドイツの安全なサーバーの場所?クラウドのデータ主権:なぜサーバーの場所ドイツが十分ではないのか! - 画像:xpert.digital
サーバーの場所がデータセキュリティを保証しない理由
「安全なサーバーの場所ドイツ」の幻想
ドイツのサーバーのデータが外国のアクセスに対して自動的に保護されているという信念は、危険なエラーです。この分析は、物理的な位置だけがデータセキュリティを保証しない理由と、実際のデータ主権に必要な測定値を明らかにします。
ドイツの多くの企業は、ドイツ内のサーバーにデータを保存することで、不要なアクセスに対する適切な保護が提供されると誤って想定しています。ただし、この仮定は決定的な要因を見落としています。クラウドプロバイダーの国籍と関連する法的義務は、データ処理の物理的位置よりもはるかに重要です。
クラウド法(データの合法的な海外使用法を明確にする)は、2018年に施行された米国の法律であり、国際的な子会社を含む米国企業に、物理的に保管されている場所に関係なく米国当局にリクエストに応じて保存されたデータを公開することを義務付けています。具体的には、これは次のとおりです。企業がAWS、Google Cloud、Microsoft Azure、またはその他の米国ベースのサービスを使用している場合、データは、フランクフルト、ベルリン、またはミュンヘンのサーバーにある場合でも、アメリカのアクセスの対象となります。
この法律の範囲はしばしば過小評価されています。「クラウドは、Google Cloud、Microsoft Azure、Amazon Webサービス、Dropboxなどのクラウドクラウドプロバイダーに、クラウドに保存されているデータを米国当局の要求にアクセスできるようにします。」結果は明らかです:「実際にGDPRの規制を無効にします。」
に適し:
米国の法律とヨーロッパのデータ保護との間の根本的な対立
クラウド法と欧州一般データ保護規則(GDPR)の対立は、解決できないジレンマの前にいる企業を提示しています。 EUにサーバーの場所を持つ米国のプロバイダーは、これが禁止しているにもかかわらず、当局のサーバーへのアクセスを当局に付与することを約束します。この法的矛盾は、両方の法的フレームの遵守が事実上不可能である恒久的な緊張の領域を生み出します。
問題は純粋なデータ保護を超えており、データ主権の基本的な問題に関係しています。米国当局の潜在的なアクセスオプションのため、「企業は実際、彼らの情報、したがって知的財産について主権を失います」。
法的開発:シュレムズIIからEU-US-USデータプライバシーフレームワークまで
法的状況は、いくつかの裁判所の決定と新規契約を通じて発展してきました。 2020年7月の欧州司法裁判所の「Schrems II」判決は、米国の監視慣行が欧州のデータ保護基準と互換性がなかったため、「EU-USプライバシーシールド」が無効であると宣言しました。この判断により、米国へのデータ送信が大幅に発生しました。
2023年7月、新しいEU-USデータプライバシーフレームワーク(DPF)は欧州委員会によって受け入れられました。これは、Schrems IIの判断からの懸念に対処することを目的としています。「新しいフレームワークは、米国の秘密サービスを通じてEUデータへのアクセスを制限する保護措置を通じて、保護対策に違反して収集された場合にEU市民のデータの削除を命じることができる審査裁判所を設定することにより、これらの懸念に対処することを目的としています。」
それにもかかわらず、このフレームワークは議論の余地があります。それは2025年6月27日までのみ適用され、欧州委員会は最近、さらに6か月間英国の適切な決定を延長することを提案しました。したがって、この法的根拠の安定性は決して保証されません。
ドイツ企業の実際のリスク
米国のクラウドサービスの使用には、ドイツ企業の具体的なリスクがあります。
- データ保護の負傷:クラウド法により、GDPRに違反する実際のデータ所有者の知識なしに、米国当局が機密データにアクセスできるようになります。
- 法的ジレンマ:企業はジレンマに直面しています。クラウド法に従うことでGDPRを破るか、米国当局へのデータ送信を拒否して米国法に違反しています。どちらの場合も、罰金が脅かされます。
- 知的財産に対する制御の喪失:ビジネス秘密、戦略計画、研究結果への潜在的なアクセスが特に重要です。
- 透明性の欠如:米国当局によるアクセスは、関係する会社からの情報なしで実行できます。
に適し:
実際のデータ主権:米国のクラウドプロバイダーの代替案
実際のデータ主権を達成するために、企業は代替戦略を検討する必要があります。
1。安全な代替品としての欧州クラウドプロバイダー
効果的な解決策は、Cloud Actの対象ではないEUに拠点を置くクラウドプロバイダーに切り替えることです。これの例は次のとおりです。
- Ionos Cloud:ヨーロッパのプロバイダーとして、IonosはEUの厳格なデータ保護法の対象となり、データに対する完全な制御を保証します。データはドイツで保存されているため、海外からのアクセスから保護されています。 IONOSはGDPRに従って動作し、ISO 27001、BSI IT Basic Protection、C5テストなど、最高のセキュリティおよびコンプライアンス基準を満たしています。
- Hetzner:GDPRに準拠したホスティングサービスを提供し、顧客マスターデータを第三国に転送しません。米国とシンガポールのクラウドサービスでさえ、顧客マスターデータがヘッツナーオンラインGMBHに残り、子会社に転送されないため、GDPRに準拠しています。
ヨーロッパのプロバイダーの利点は明らかです。「欧州のプロバイダーとして、IonosはEUの厳格なデータ保護法の対象となるため、データを完全に制御することを保証します。」
2。移行の例を成功させました
このような移行の実現可能性は、Google Cloud Platform(GCP)からドイツのHetznerのデータセンターに切り替えたオープンデータデンマークの例を示しています。この移行は、GCPに関する「信頼、データ保護、データ主権」に関する懸念の高まりによって動機付けられました。この変更は、3つの重要な利点をもたらしました。
- コスト効率:営業コストの削減30%以上
- データ主権:ドイツでのホスティングにより、EU規制、特にGDPRの完全な順守が確保されました
- パフォーマンス:より良いハードウェアおよびネットワークインフラストラクチャ
実際のデータ主権を取得するための実用的な手順
実際のデータ主権を達成するために、企業は次の手順を考慮する必要があります。
- クラウドプロバイダーを特定する:現在のクラウドプロバイダーが米国の会社であるか、米国の法律に該当するかを確認してください。
- リスク評価を実行する:特に保護が必要なデータと、米国のプロバイダーにさらされる可能性のあるリスクをレートします。
- 代替プロバイダーを評価する:完全なGDPRの適合性を確保する代替として、IonosやHetznerなどのヨーロッパのクラウドプロバイダーを確認してください。
- 移行戦略の開発:欧州のプロバイダーへの重要なデータとアプリケーションの徐々に移行を計画します。
- データ保護対策の実装:暗号化や厳格なアクセス制御などの追加の安全対策を実装します。
詳細については、こちらをご覧ください:
依存の代わりに主権
ドイツのサーバー上のデータの単なる保存は、実際のデータ主権を確保するのに十分ではありません。クラウドプロバイダーの法的構造と起源は、機密性の高い企業データを効果的に保護するために重要です。
進行中の法的不確実性と米国の法律と欧州データ保護法の基本的な紛争を考慮して、欧州クラウドプロバイダーへの移行は、多くの企業がデータを真に制御する最も安全な方法です。この決定は努力に関連しているかもしれませんが、長期的にはデータ保護とデジタル主権の最も信頼できる基盤を提供します。
さらなる法的展開または次の「シュレム」の判断を待つ代わりに、企業は積極的に行動し、デジタルインフラストラクチャの管理を取り戻す必要があります。これは、実際のデータ主権を達成する唯一の方法です - おそらく安全なサーバーの場所を通じて単なる「紙のセキュリティ」を超えて。
に適し:
あなたのグローバルマーケティングおよびビジネス開発パートナー
☑️ 私たちのビジネス言語は英語またはドイツ語です
☑️ NEW: 母国語での通信!
コンラッド・ウルフェンシュタイン
喜んで個人アドバイザーとしてあなたと私のチームにお役に立ちたいと思っています。
お問い合わせフォームにご記入 +49 89 89 674 804 (ミュンヘン)までお電話ください。私のメールアドレスは: wolfenstein ∂ xpert.digital
私たちの共同プロジェクトを楽しみにしています。
