Digi-Tipp für Unternehmen

: Wer seine Daten kontrolliert, kontrolliert auch seine Zukunft

Daten sind das Kapital der Zukunft – doch viele Unternehmen verschenken es, ohne es zu merken. Zwischen Cloud, KI und globalen Plattformen droht der Verlust an Selbstbestimmung. Pavlo Mykytyn, Experte für Cybersicherheit am Mittelstand-Digital Zentrum Spreeland, erklärt im Interview, warum Datensouveränität mehr ist als Datenschutz, welche Risiken in der Cloud lauern und wie auch kleinere Betriebe ihre digitale Unabhängigkeit stärken können.

Was sollten wir in der digitalen Welt vermeiden?

Unkontrollierte Freigaben von Datei oder das Teilen von Links, die ewig gültig bleiben. Das ist wie ein Haustürschlüssel, den man irgendwo im Internet liegen lässt und hofft, dass ihn keiner findet.

Gibt es ein digitales Tool, auf das Sie nie verzichten möchten?

Ich würde nie auf eine Cloud verzichten. Für mich ist sie wie das Stromnetz der digitalen Welt, man merkt erst, wie wichtig sie ist, wenn sie fehlt. Sie beschleunigt Entwicklungsprozesse und reduziert technische Hürden, und das alles, ohne eigene Serverlandschaften. Gerade für kleinere Unternehmen ist das ein enormer Wettbewerbsvorteil, statt eigene Server zu pflegen, können sie sich auf Innovation konzentrieren. Aber diese Vorteile sind nur etwas wert, wenn ich weiß, wo meine Daten liegen, und dass ich als Unternehmen die technische und rechtliche Kontrolle darüber habe.

Wie kann es gelingen die Kontrolle über die eigenen Daten zu behalten?

Der Schlüssel dafür ist Datensouveränität. Es geht nicht darum, alles selbst zu hosten, sondern selbst zu bestimmen, wo sich die Daten befinden und wer darauf zugreifen kann. Ganz praktisch sind es drei Ebenen: technische Kontrolle, rechtliche Absicherung, und organisatorische Klarheit.

Was bedeutet das konkret?

Das heißt, als Unternehmen, verschlüssele ich meine Daten so, dass der Schlüssel bei mir liegt, nicht beim Cloud-Anbieter. Ich arbeite auch nur mit Anbietern zusammen, die sich ausdrücklich an EU-Recht halten, klare Löschungspflichten, EU-Speicherorte, und Informationspflichten für den externen Zugriff haben. Ich lege intern fest, wer worauf zugreifen darf. Klingt banal, aber gerade in kleinen und mittleren Unternehmen ist „jeder hat Zugriff auf alles“ immer noch Alltag, und das ist ein Albtraum, wenn mal etwas schiefgeht.

Der Begriff Datensouveränität klingt für viele nach einem Schlagwort. Wie würden Sie ihn jemandem erklären, der kein IT-Profi ist?

Datensouveränität ist das Recht und die Fähigkeit, die Nutzung, Speicherung und Weitergabe eigener Daten selbst zu bestimmen. Das heißt, ich behalte die Hand am Lenkrad. Ich kann meine Daten mit einem Kunden, mit einem Zulieferer, oder auch mit einer KI teilen, aber ich lege die Regeln fest und entscheide, was mit meinen Daten gemacht wird. In der digitalen Welt geht genau diese Entscheidungsfreiheit verloren, oft unbemerkt, durch unklare AGB-Verträge oder versteckte Cloud-Abhängigkeiten. Im Gegensatz zur reinen Datensicherheit umfasst die Datensouveränität auch wirtschaftliche und strategische Dimensionen. Wer Daten kontrolliert, kontrolliert auch die Wertschöpfung, Innovation und Marktposition.

Und worin liegt der Unterschied zum Datenschutz? Das wird oft in einen Topf geworfen.

Datenschutz bezieht sich auf individuelle Rechte, Stichwort Datenschutz-Grundverordnung. Dort ist geregelt, dass niemand mit meinen personenbezogenen Daten machen kann, was er will. Es geht um Privatsphäre, Grundrechte, Missbrauchsschutz. Datenschutz ist wie ein Sicherheitsgurt, er bewahrt vor Schaden. Datensouveränität geht weiter und fragt, wer kontrolliert die gesamten Datenflüsse in meinem Unternehmen, nicht nur personenbezogene Daten, sondern auch Maschinendaten, Konstruktionsdaten, Prozess-Know-how und vieles mehr. Das ist ein wichtiger Unterschied, Datenschutz ist Abwehr, während Datensouveränität Gestaltung ist. Ohne Datensouveränität verlieren Sie Ihre Wettbewerbsfähigkeit.

Welche typischen Fehler machen Unternehmen, wenn es um den Umgang mit Daten geht?

Erstens: fehlende Transparenz. Studien zeigen zum Beispiel, dass viele Unternehmen, insbesondere KMU, nicht genau wissen, wo ihre sensiblen Daten liegen, sei es auf welchem Server, in welchem Land und unter welcher Rechtslage. Zweitens: fehlende oder unausgereifte Strategie bezüglich der Datensouveränität. Obwohl über 90 Prozent der Unternehmen Datensouveränität für wichtig halten, verfügen nur etwa 20 Prozent über eine echte Strategie. Drittens: kein Plan B. Laut Umfragen zur Cloud-Strategie, prüft fast die Hälfte der befragten Unternehmen in Deutschland eine Abkehr von US-Cloud-Anbietern aufgrund der politischen Instabilität. Das zeigt, ein Plan B fehlt vielfach noch.

Angenommen, ich bin Inhaber eines kleinen Handwerksbetriebs oder betreibe einen Online-Shop. Wenn ich drei Dinge sofort anpassen sollte, um meine Daten besser zu schützen, welche wären das?

Backup ihrer wichtigsten Daten nach der 3-2-1-Regel: Drei Kopien von wichtigsten Daten, zwei unterschiedliche Speicherarten (zum Beispiel externe Festplatte plus Souveräne Cloud), eine Kopie extern gelagert, offline oder getrennt vom Firmennetz. Backups regelmäßig testen. Ransomware, Hardwareausfälle oder Diebstahl kostet Sie dann im schlimmsten Fall Zeit und Geld, aber nicht Ihre Existenz.

Zugänge absichern, Passwörter und Zwei-Faktor-Authentifizierung: Schwache oder geteilte Passwörter sind die häufige Einfallstür für Angriffe. Keine Excel-Dateien mit Passwörtern oder Passwörter auf einem Notizzettel hinterlegen. Zwei-Faktor-Authentifizierung für E-Mail-Accounts. Keine Unternehmensdaten in den privaten Clouds der Mitarbeiter.

Und schließlich: Menschen schulen, nicht nur Computer absichern. Die meisten Angriffe starten per Phishing-Mail. In kleinen Betrieben läuft viel über Vertrauen. Genau das nutzen Angreifer mit Phishing, falschen Rechnungen oder gefälschten Mails vom „Chef“.

Gibt es Branchen, die hier schon als Vorreiter gelten oder umgekehrt Bereiche, in denen besonders viel Nachholbedarf besteht?

Vorreiter sind definitiv Finanzdienstleister und das Gesundheitswesen. Sie mussten früh lernen, mit sensiblen Daten regulatorisch umzugehen, das hat auch das Bewusstsein geschärft. Im klassischen Mittelstand sehe ich noch Nachholbedarf, gerade da, wo Daten aus der Fertigung und Maschinensteuerung oft unbemerkt in Drittstaaten-Clouds wandern. Dort stehen Effizienz und Geschwindigkeit an erster Stelle. Datensouveränität wird oft als Bürokratie angesehen, Hauptsache es funktioniert, bis die Daten schließlich ohne Ihre Zustimmung von Dritten zum Trainieren ihrer KI-Modelle verwendet werden.

Welche Rolle wird Künstliche Intelligenz künftig spielen – eher als Helfer oder als Risiko für Datensouveränität?

Beides, und zwar sehr direkt. KI ist ein Beschleuniger, und wird die Datenabhängigkeiten in naher Zukunft verschärfen. Wenn Sie Ihr eigenes souveränes KI-Modell mit Ihren hochwertigen Daten trainieren, können Sie echtes Know-how in Ihrem Unternehmen aufbauen: bessere Qualitätssicherung, bessere Wartungsprognosen, besserer Kundenservice. Wer seine eigenen Daten souverän managt, kann Fortschritte schaffen, während diejenigen, die externe KI-Modelle und Tools mit Ihren Daten füttern, ihr Wissen freiwillig abgeben. Wer also seine Daten kontrolliert, kontrolliert auch seine Zukunft.

Ist die EU hier auf einem guten Kurs oder wird zu viel reguliert?

Ja, wir bewegen uns in die richtige Richtung, aber wir sind noch nicht am Ziel. In den USA ist es relativ normal, dass KI-Anbieter standardmäßig Nutzerdaten zur Verbesserung ihrer Modelle weiterverwenden. In China ist auch klar, der Staat hat Zugriff, wenn er will. In Europa versucht der AI Act genau hier ein anderes Modell zu schaffen. KI ja, aber auf Basis von rechtlich geklärten und nachvollziehbaren Daten. Nicht auf Basis „wir nehmen einfach alles und fragen vielleicht später“. Das Ziel ist Innovation ohne Kontrollverlust. Europa will digital mitspielen, aber zu Bedingungen, die unsere Wirtschaft und unsere Werte schützen. Wir holen uns gerade zurück, was wir in den letzten Jahren zu leicht aus der Hand gegeben haben – die Souveränität über unsere Daten.

Es fragte Mario Behnke.