Business

Wem gehören Ihre IoT-Daten: Eigentum, Datenstandort und GDPR

Wem gehören Ihre IoT-Daten, wo sollten sie liegen und was verlangt GDPR wirklich. Die Fragen zu Dateneigentum und Datenstandort, die Sie jedem IoT-Plattformanbieter stellen sollten, bevor Sie unterschreiben.

Fabio Rosa ·
Wem gehören Ihre IoT-Daten: Eigentum, Datenstandort und GDPR

Das Eigentum an IoT-Daten wirkt wie eine geklärte Frage, bis Sie versuchen, eine Plattform zu verlassen, ein Audit nicht bestehen oder ein europäischer Kunde fragt, wo seine Daten physisch liegen. Dann stellen Sie fest, dass sich hinter dem Begriff “Ihre Daten” im Vertrag mehr verbarg als gedacht, und dass die Antwort darauf, wer sie tatsächlich kontrolliert, nicht die war, die Sie erwartet hatten.

Die meisten Teams stellen diese Fragen während der Auswahl nie, weil die Plattform nach Funktionen und Preis bewertet wird und der Abschnitt zur Data Governance wie eine Standardfloskel klingt. Aber Eigentum, Datenstandort und Compliance sind keine Standardfloskeln. Sie entscheiden, ob Sie aussteigen können, ob Sie in regulierte Märkte verkaufen können und ob ein Audit eine Formsache oder ein Krisenfall ist.

Unter “Dateneigentum” verbergen sich in Wahrheit drei getrennte Fragen, und sie werden von drei verschiedenen Teilen einer Anbieterbeziehung beantwortet. So trennen Sie sie voneinander und das sollten Sie fragen.

Eigentum und Datenstandort sind zwei verschiedene Fragen mit verschiedenen Antworten.

Frage eins: Wem gehören die Daten

Eigentum ist eine vertragliche Frage, keine technische, und die Formulierung zählt. Der Vertrag sollte klar festhalten, dass die Daten Ihnen gehören und der Anbieter ein Auftragsverarbeiter ist, der sie in Ihrem Auftrag speichert und verarbeitet, nicht ihr Eigentümer oder Miteigentümer.

Die praktischen Prüfsteine für echtes Eigentum sind Export und Löschung. Können Sie alle Ihre Daten jederzeit in einem nutzbaren Format herausholen, ohne eine Gebühr, die den Ausstieg schmerzhaft macht? Und können Sie sie auf Anfrage löschen lassen und eine Bestätigung erhalten? Wenn eines davon an Bedingungen geknüpft, eingeschränkt oder vage ist, gehören Ihnen die Daten nicht vollständig, egal was die Überschrift verspricht. Die Haltung von TagoIO ist hier eindeutig: Ihre Daten gehören Ihnen und sind jederzeit über die API erreichbar, was den Export zu einem Routineaufruf macht und nicht zu einer Verhandlung.

Stellen Sie die Frage bei der Auswahl direkt: “Wenn wir in zwei Jahren aussteigen, wie holen wir alles heraus und was kostet das?” Die Qualität der Antwort verrät Ihnen, wem die Daten wirklich gehören.

Frage zwei: Wo die Daten liegen

Der Datenstandort ist eine von Eigentum getrennte Frage, und beides zu verwechseln führt zu echten Problemen. Sie können Ihre Daten vollständig besitzen und sie trotzdem in einer Region speichern, die einen Kundenvertrag oder eine Vorschrift verletzt. Beim Datenstandort geht es um den physischen und rechtlichen Ort der Daten, und bei immer mehr Geschäften ist er eine harte Anforderung, keine Präferenz.

Die Gründe sind konkret. Ein europäischer Kunde verlangt vielleicht, dass seine Daten in der EU bleiben. Ein Kunde aus dem öffentlichen Sektor oder dem Gesundheitswesen schreibt womöglich eine bestimmte Jurisdiktion vor. Ein Gesetz zur Datensouveränität kann verbieten, dass die Daten das Land verlassen. Wenn Ihre Plattform alles ohne Wahlmöglichkeit in einer Region speichert, können Sie diese Kunden nicht bedienen, Punkt.

Hier kommt das Deployment-Modell ins Spiel. Die Cloud mit gemeinsam genutzten Instanzen von TagoIO läuft in den wichtigsten Regionen, und für strengere Anforderungen bietet TagoDeploy dedizierte Deployments in zwölf oder mehr Regionen auf AWS, sodass die Daten dort liegen können, wo der Vertrag oder das Gesetz es verlangt. Die Frage an jeden Anbieter: “In welchen Regionen können unsere Daten gespeichert werden und haben wir die Wahl?” Lautet die Antwort “nur eine”, ist das eine Obergrenze für Ihren adressierbaren Markt.

Frage drei: Was GDPR wirklich verlangt

Bei GDPR treffen Eigentum und Datenstandort auf Regulierung, und es ist konkreter als “Daten in Europa halten”. Eine Plattform auf GDPR-Reife zu prüfen, läuft auf ein paar überprüfbare Punkte hinaus statt auf ein Bauchgefühl.

Achten Sie auf einen Auftragsverarbeitungsvertrag (DPA), den der Anbieter unterschreibt, der ihn als Ihren Auftragsverarbeiter definiert und seine Pflichten festlegt. Achten Sie auf die Unterstützung der Betroffenenrechte: die Möglichkeit, personenbezogene Daten auf Anfrage zu exportieren, zu korrigieren und zu löschen, was direkt an die oben genannten Eigentumstests anknüpft. Achten Sie auf Sicherheitsmaßnahmen, die zu den Daten passen, Verschlüsselung bei der Übertragung und im Ruhezustand sowie echte Zugriffskontrolle. Und achten Sie auf eine unabhängige Sicherheitszertifizierung als Nachweis, dass die Maßnahmen real und nicht nur behauptet sind. TagoIO ist ISO 27001 zertifiziert und GDPR-konform, was bedeutet, dass das Compliance-Team eines Kunden ein auditiertes Programm prüft, statt Ihnen aufs Wort glauben zu müssen.

Der Fehler, den Teams machen, ist, GDPR als rechtliches Häkchen ganz am Ende zu behandeln. Es ist ein Kriterium bei der Plattformauswahl, denn wenn die Plattform Betroffenenrechte und Datenstandort nicht unterstützt, lässt sich das durch keine Vertragsklausel nachträglich ergänzen.

Alles zusammenbringen, bevor Sie unterschreiben

Diese drei Fragen sind bei der Auswahl billig zu stellen und teuer erst später zu entdecken. Eigentum wird im Vertrag geregelt, und die Export- und Löschtests beweisen es. Der Datenstandort wird durch die regionalen Optionen der Plattform geregelt, und er entscheidet, welche Kunden Sie bedienen können. Die GDPR-Reife wird durch einen unterschriebenen DPA, die Unterstützung von Betroffenenrechten und eine unabhängige Zertifizierung geregelt, und sie entscheidet, ob regulierte Märkte für Sie offen sind.

Stellen Sie alle drei Fragen, bevor Sie sich festlegen, nicht erst während Ihres ersten Audits. Wenn Sie eine engere Anbieterauswahl erstellen, ordnet die begleitende Checkliste in den wichtigsten Fragen vor der Wahl einer IoT-Plattform diese in die umfassendere Bewertung ein, und wie Sie zwischen AWS IoT Core und einer Managed Platform wählen zeigt, wo die Compliance-Last in jedem Modell landet.

Ihre Daten sollten Ihnen gehören, dort gespeichert werden, wo Sie sie brauchen, und nachweisbar verarbeitet werden. Lassen Sie sich vom Anbieter alle drei Punkte belegen. Möchten Sie sehen, wie TagoIO mit Eigentum, Datenstandort und GDPR umgeht? Demo buchen oder kostenlos starten.