Wenn Sie es bis ins Jahr 2023 geschafft haben, ohne jemals die Information zu erhalten, dass Ihre persönlichen Daten durch eine Datenschutzverletzung kompromittiert worden sind, können Sie sich glücklich schätzen. Im besten Fall sind die Täter nur an Ihre E-Mail-Adresse und Ihren Namen gelangt – Informationen, die Ihnen keinen großen Schaden zufügen werden. Im schlimmsten Fall wurde vielleicht Ihr Profil in einer Dating-App kompromittiert und intime Details aus Ihrem Privatleben wurden öffentlich gemacht, was lebensverändernde Folgen haben kann. Es gibt jedoch auch weniger offensichtliche, heimtückische Wege, wie Ihre persönlichen Daten missbraucht werden können. Die meisten von uns nutzen zum Beispiel einen Internet Service Provider (ISP), um sich mit dem Internet zu verbinden. Einige dieser ISPs sammeln Informationen über Ihre Internetgewohnheiten, Ihre Suchhistorie, Ihren Standort und vieles mehr. All dies kann sich auf den Schutz Ihrer persönlichen Daten auswirken, da Sie auf der Grundlage Ihrer Online-Gewohnheiten gezielt mit Werbung angesprochen werden.
In einigen Ländern werden die Gesetzgeber von der Erkenntnis geleitet, dass das Recht auf Privatsphäre ein grundlegendes Menschenrecht ist. In anderen Ländern werden Gesetze erlassen, um den Schaden zu begrenzen, über den sich die Bürger Sorgen machen: Datenschutzverletzungen und die Erfassung von Daten über private Details aus dem Leben der Menschen, die für zielgerichtete Werbung verwendet werden. Im Kern geht es bei den meisten dieser Gesetze darum, Nutzern mehr Kontrolle über ihre persönlichen Daten zu geben. Und viele dieser Vorschriften verlangen von den für die Datenverarbeitung Verantwortlichen, dass sie für einen angemessenen Schutz bei grenzüberschreitenden Datenübertragungen sorgen. In den letzten Jahren haben wir jedoch beobachtet, dass immer mehr Regulierungsbehörden diese Vorschriften so auslegen, dass sie keinen Raum für grenzüberschreitende Datenübertragungen lassen. Diese Auslegungen sind problematisch – sie schaden nicht nur dem globalen Handel, sondern lassen auch die Idee außer Acht, dass Daten sicherer sein könnten, wenn grenzüberschreitende Datenübertragungen erlaubt sind. Einige Regulierungsbehörden behaupten stattdessen, dass personenbezogene Daten sicherer sind, wenn sie innerhalb ihrer Grenzen bleiben, weil ihr Recht die Privatsphäre besser schütze als das einer anderen Gerichtsbarkeit.
Nun, da wir den Tag des Datenschutzes am 28. Januar feiern, halten wir es für wichtig, sich auf all die Möglichkeiten zu besinnen, in denen Sicherheitsmaßnahmen und Technologien zum Schutz der Privatsphäre beitragen können, persönliche Daten zu schützen. Zudem sollten wir uns vor Augen führen, dass es bei den Sicherheitsmaßnahmen um viel mehr geht als nur darum, die Anforderungen der Datenschutzgesetze umzusetzen und Daten in einer bestimmten Gerichtsbarkeit zu speichern, weil die Aufsichtsbehörden glauben, dass diese Gerichtsbarkeit strengere Gesetze hat als eine andere.
Welche Rolle spielt die Datensicherheit beim Schutz persönlicher Informationen?
Die meisten Datenschutzbestimmungen berücksichtigen die Rolle, die die Sicherheit beim Schutz der Privatsphäre persönlicher Daten spielt. Das überrascht nicht. Die Bemühungen eines Unternehmens, die Anforderungen eines Datenschutzgesetzes hinsichtlich der Erfassung und Verwendung personenbezogener Daten zu erfüllen, nützen nicht viel, wenn ein Dritter für seine eigenen böswilligen Zwecke auf die Daten zugreifen kann.
Die Gesetze selbst enthalten nur wenige Angaben darüber, welche Sicherheitsmaßnahmen erforderlich sind. Die EU-Datenschutzgrundverordnung („DSGVO“) und ähnliche umfassende Datenschutzgesetze in anderen Ländern verpflichten die für die Datenverarbeitung Verantwortlichen (die Stellen, die Ihre Daten erfassen) dazu, „angemessene und geeignete“ Sicherheitsmaßnahmen zu ergreifen. Es ist für die Regulierungsbehörden jedoch fast unmöglich, bestimmte Sicherheitsmaßnahmen vorzuschreiben, da sich die Sicherheitslandschaft so schnell ändert. In den Vereinigten Staaten schreiben die Gesetze der Bundesstaaten keine Benachrichtigung vor, wenn die erlangten Daten verschlüsselt sind. Das deutet darauf hin, dass die Verschlüsselung zumindest eine Maßnahme ist, mit der Daten nach Ansicht der Regulierungsbehörden geschützt werden sollten.
Durchsetzungsmaßnahmen von Regulierungsbehörden gegen Unternehmen, bei denen es zu Datenschutzverletzungen gekommen ist, liefern weitere Anhaltspunkte dafür, was die Regulierungsbehörden als "beste Praktiken" zur Gewährleistung des Datenschutzes ansehen. So hat die U.S. Federal Trade Commission am 10. Januar dieses Jahres Drizly, einer Plattform für den Online-Verkauf und die Zustellung von Alkohol, eine Verfügung erlassen (Drizly hat dieser als Vergleich zugestimmt), in der eine Reihe von Sicherheitsmängeln beschrieben werden, die zu einer Datenschutzverletzung geführt haben, bei der die persönlichen Daten von etwa 2,5 Millionen Nutzern von Drizly offengelegt wurden. Die Vereinbarung sieht vor, dass Drizly ein umfassendes Sicherheitsprogramm einführt, das eine lange Liste von Verfahren zur Erkennung und Protokollierung von Eindringlingen umfasst. Insbesondere verlangt die FTC von Drizly, neben anderen Maßnahmen „...(c) Tools zur Verhinderung von Datenverlusten; [und] (d) ordnungsgemäß konfigurierte Firewalls“ zu implementieren.
Was viele behördliche Durchsetzungsmaßnahmen nach einem Verstoß gemeinsam haben, ist die Forderung nach einem umfassenden Sicherheitsprogramm, das eine Reihe von technischen Maßnahmen zum Schutz der Daten vor Dritten, die möglicherweise Zugang zu den Daten erhalten möchten, umfasst. Die Durchsetzungsmaßnahmen sind jedoch in der Regel unabhängig vom Standort der Daten. Es ist nicht wichtig, wo die Daten gespeichert werden – wichtig ist nur, dass die richtigen Sicherheitsmaßnahmen getroffen werden. Wir können dem nur voll und ganz zustimmen.
Das Produkt- und Serviceportfolio von Cloudflare hilft unseren Kunden, Schutzmaßnahmen zu ergreifen, um Angreifern den Zugriff auf ihre Websites oder Unternehmensnetzwerke zu verwehren. Indem wir die Wahrscheinlichkeit verringern, dass böswillige Akteure auf die Daten der Nutzer zugreifen, können die Dienste von Cloudflare Organisationen dabei helfen, Millionen von Dollar zu sparen, den Ruf ihrer Marken zu schützen und das Vertrauen ihrer Nutzer zu stärken. Wir investieren viel Zeit in die Entwicklung von Technologien, die den Schutz der Privatsphäre verbessern und es dem einzelnen Nutzer ermöglichen, im Internet zu surfen, ohne personenbezogene Daten offenlegen zu müssen.
Cloudflare ist vor allem für seine Sicherheitsdienste auf der Anwendungsebene bekannt – Web Application Firewall (WAF), Bot-Management, DDoS-Schutz, SSL/TLS, Page Shield und mehr. Wie die FTC in ihrer Verfügung zu Drizly feststellte, können Firewalls eine wichtige Verteidigungslinie für jede Online-Anwendung sein. Denken Sie daran, was passiert, wenn Sie die Sicherheitskontrolle an einem Flughafen passieren - Ihr Körper und Ihre Taschen werden auf gefährliche Inhalte (z.B. Waffen oder Sprengstoff) untersucht, aber das Sicherheitspersonal des Flughafens inventarisiert oder registriert nicht den Inhalt Ihrer Taschen. Sie suchen lediglich nach gefährlichen Inhalten, um sicherzustellen, dass diese nicht in ein Flugzeug gelangen. Auf die gleiche Weise untersucht die WAF Pakete, die durch das Netzwerk von Cloudflare geleitet werden, um sicherzustellen, dass das, was in seiner Wirkung Waffen und Sprengstoff für das Internet gleichkommen könnte, nicht an eine Webanwendung übermittelt wird. Behörden in aller Welt haben sich darauf verständigt, dass diese schnellen Sicherheitsscans am Flughafen notwendig sind, um uns alle vor bösen Akteuren zu schützen. Das Gleiche gilt auch für den Internet-Traffic.
Wir wissen, wie wichtig die Verschlüsselung bei der Übertragung ist. Tatsächlich halten wir Verschlüsselung für so wichtig, dass Cloudflare 2014 Universal SSL eingeführt hat, um SSL- (und jetzt TLS-) Verbindungen zu jedem Cloudflare-Kunden zu unterstützen. Gleichzeitig sind wir uns bewusst, dass die blinde Weitergabe von verschlüsselten Paketen einen Teil der Sicherheit, die wir zu bieten versuchen, untergraben würde. Datenschutz und Sicherheit sind ein Balanceakt. Wenn wir zulassen, dass verschlüsselter schädlicher Code an ein Endziel gelangt, kann der schädliche Code verwendet werden, um auf Informationen zuzugreifen, die andernfalls hätten geschützt werden müssen. Wenn Daten bei der Übertragung nicht verschlüsselt werden, besteht die Gefahr, dass sie abgefangen werden. Aber indem wir die Verschlüsselung während der Übertragung unterstützen und sicherstellen, dass schädlicher Code nicht an seinen Bestimmungsort gelangt, können wir private, persönliche Daten noch effektiver schützen.
Nehmen wir ein anderes Beispiel: Im Juni 2022 veröffentlichte Atlassian einen Sicherheitshinweis zu einer Sicherheitslücke in Bezug auf die Ausführung von Remote-Code (Remote Code Execution – RCE), welche die Produkte Confluence Server und Confluence Data Center betrifft. Cloudflare reagierte sofort und implementierte eine neue WAF-Regel für alle unsere Kunden. Für Kunden ohne diesen WAF-Schutz waren alle Geschäftsgeheimnisse und persönlichen Informationen auf ihren Confluence-Instanzen durch potenzielle Datenschutzverletzungen gefährdet. Diese Art von Sicherheitsmaßnahmen ist für den Schutz personenbezogener Daten unerlässlich. Und es wäre irrelevant gewesen, ob die personenbezogenen Daten auf einem Server in Australien, Deutschland, den USA oder Indien gespeichert gewesen wären – die RCE-Sicherheitslücke hätte die Daten offengelegt, wo immer sie gespeichert waren. Stattdessen waren die Daten geschützt, weil ein globales Netzwerk in der Lage war, sofort eine WAF-Regel einzuführen, um alle seine Kunden weltweit zu schützen.
Globales Netzwerk zur Vereitelung globaler Angriffe
Die Macht eines großen, globalen Netzwerks wird oft übersehen, wenn wir über Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit personenbezogener Daten nachdenken. Regulierungsbehörden, die versuchen, ihre Länder vom Rest der Welt abzuschotten, um den Datenschutz zu gewährleisten, übersehen oft, wie sich ein solcher Schritt auf die Sicherheitsmaßnahmen auswirken kann, die noch wichtiger sind, um private Daten vor bösartigen Akteuren zu schützen.
Globale Erkenntnisse sind notwendig, um Angriffe zu stoppen, die von überall auf der Welt kommen können. Globale Erkenntnisse sind notwendig, um Angriffe zu stoppen, die von überall auf der Welt kommen können. Die wirksamsten Sicherheitstools basieren auf identifizierten Mustern anomalen Datenverkehrs, die aus der ganzen Welt stammen. Das globale Netzwerk von Cloudflare versetzt uns in eine einzigartige Position, um die Entwicklung globaler Bedrohungen und anomaler Verhaltensweisen nachvollziehen zu können. Damit unsere Kunden eine präventive und reaktionsschnelle Cybersicherheit erhalten, setzen wir globale Erkenntnisse in Schutzmaßnahmen um, wobei die Privatsphäre gutgläubiger Internetnutzer gewahrt bleibt.
Cloudflare bietet beispielsweise Tools zum Blockieren von Bedrohungen auf DNS- oder HTTP-Ebene, einschließlich DDoS-Schutz für Websites und Gateway für Unternehmen. Diese Tools ermöglichen es den Benutzern, ihre Einrichtungen über benutzerdefinierte Traffic-Regeln hinaus weiter zu schützen, indem sie nach Traffic-Mustern suchen, die bekanntermaßen Phishing- oder Malware-Inhalte enthalten. Wir nutzen unser globales Netzwerk, um Schwachstellen und bösartige Inhalte besser zu erkennen und Regeln in Echtzeit aufzustellen, die jeden schützen. So können wir Sicherheitslücken erkennen und unsere Kunden (die vielleicht noch keine Zeit hatten, diese Sicherheitslücken zu beheben) schützen. Das verringert die Wahrscheinlichkeit, dass ihre Daten kompromittiert werden oder dass sie anderweitigen schändlichen Aktivitäten ausgesetzt sind.
Auch das Bot Management-Produkt von Cloudflare wird bei kontinuierlichem Einsatz im globalen Netzwerk immer genauer: Es erkennt und blockiert Datenverkehr, der von mutmaßlichen Bots stammt, bevor es seine Erkenntnisse an die Modelle weitergibt, die das Produkt unterstützen. Und was am wichtigsten ist: Wir minimieren die Menge an Informationen, die zur Erkennung dieser Bedrohungen verwendet werden, indem wir Traffic-Muster erfassen und uns nicht auf personenbezogene Daten verlassen. Der Erfolg unserer Bot Management-Produkte beruht auf der schieren Anzahl der Kunden und dem Umfang des Datenverkehrs in unserem Netzwerk. Rund 20 Prozent aller Websites werden von Cloudflare geschützt. Damit sind wir in einer einzigartigen Position, Signale zu sammeln, die darauf hindeuten, dass der Datenverkehr von einem bösartigen Bot stammt, und sie in verwertbare Informationen umzuwandeln. Diese Vielfalt an Signalen und der Umfang der Daten auf einer globalen Plattform sind entscheidend, um unsere Tools zur Bot-Erkennung weiterzuentwickeln. Wäre das Internet fragmentiert und könnten Daten aus einem Land nicht in einem anderen verwendet werden, würden immer mehr Signale übersehen werden. Wir wären beispielsweise nicht in der Lage, die Erkenntnisse aus Bot-Trends in Asien auf Maßnahmen zur Bot-Bekämpfung in Europa anzuwenden.
Ein globales Netzwerk ist auch wichtig, um für Ausfallsicherheit und einen wirksamen Sicherheitsschutz sorgen zu können. Eine Tatsache, die durch den Krieg in der Ukraine noch deutlicher geworden ist. Damit sie die Sicherheit ihrer Daten gewährleisten konnte, musste die ukrainische Regierung ihre Gesetze so ändern, dass die Anforderungen an die Datenlokalisierung aufgehoben wurden. Infolge der Angriffe auf die ukrainische Infrastruktur während der russischen Invasion migrierte die ukrainische Regierung ihre Daten in die Cloud. So konnten sie bewahrt und leicht in andere Teile Europas in Sicherheit gebracht werden. Ebenso spielte das globale Netzwerk von Cloudflare eine wichtige Rolle bei der Aufrechterhaltung des Internetzugangs in der Ukraine. Die Websites in der Ukraine waren zeitweise schweren DDoS-Angriffen ausgesetzt, während die Infrastruktur durch physische Angriffe zerstört wurde. Da die Bandbreite begrenzt war, war es wichtig, dass der Datenverkehr, der innerhalb der Ukraine durchkam, nützlicher Datenverkehr war und kein Angriffs-Traffic. Anstatt den Angriffs-Traffic innerhalb der Ukraine zuzulassen, identifizierte das globale Netzwerk von Cloudflare diesen und blockierte ihn in den Ländern, aus denen die Angriffe kamen. Ohne die Möglichkeit, den Datenverkehr außerhalb der Ukraine zu prüfen und zurückzuweisen, hätte der Angriffsverkehr die Netzwerke innerhalb der Ukraine weiter überlastet und die Netzwerkkapazität für kriegswichtige Kommunikation eingeschränkt.
Obwohl die Situation in der Ukraine die Kriegslage des Landes widerspiegelt, bietet das globale Netzwerk von Cloudflare allen unseren Kunden die gleichen Sicherheitsvorteile. Wir nutzen unser gesamtes Netzwerk zur DDoS-Abwehr (mit einer Netzwerkkapazität von über 172 Tbit/s), damit unsere Kunden auch bei den größten Angriffen online bleiben können. Wir können unsere Kunden vor Angriffen schützen, weil das Netzwerk von Cloudflare global aufgestellt ist und Angriffe auf die Länder eingeschränkt werden können, aus denen sie stammen. Und ein Netzwerk, das online bleibt, hat seltener mit Eindringlingen im Netzwerk und Datenverlusten zu kämpfen, die oft als Folge von erfolgreichen DDoS-Angriffen auftreten können.
Zero Trust-Sicherheit für Unternehmensnetzwerke
Einige der größten Datenschutzverletzungen der letzten Jahre sind auf eine recht einfache Ursache zurückzuführen: Ein Angreifer nutzt eine Phishing-E-Mail oder Social Engineering, um einen Mitarbeiter eines Unternehmens dazu zu bringen, eine Website zu besuchen, die den Computer des Mitarbeiters mit Malware infiziert, oder seine Anmeldedaten auf einer gefälschten Website einzugeben, die es dem Angreifer ermöglicht, die Anmeldedaten abzufangen und sie dann zu verwenden, um sich als der Mitarbeiter auszugeben und sich in die Systeme des Unternehmens einzuloggen. Je nach Art der kompromittierten Informationen können diese Art von Datenschutzverletzungen enorme Auswirkungen auf die Privatsphäre des Einzelnen haben. Aus diesem Grund hat Cloudflare in eine Reihe von Technologien investiert, um Unternehmensnetzwerke und die persönlichen Daten in diesen Netzwerken zu schützen.
Wie wir in unserer jüngsten CIO Week anmerkten, zeigt der jüngste Internet Crime Report des FBI, dass die Kompromittierung von Geschäfts-E-Mails und E-Mail-Konten, eine Untergruppe bösartiger Phishing-Kampagnen, die höchsten Kosten verursachen. US-amerikanischen Unternehmen entsteht durch diese Angriffe insgesamt ein Schaden von fast 2,4 Milliarden Dollar. Cloudflare hat in eine Reihe von Zero Trust-Lösungen investiert, um genau dieses Problem zu bekämpfen:
- Linkisolierung bedeutet, dass, wenn ein Mitarbeiter auf einen Link in einer E-Mail klickt, dieser automatisch mit der von Cloudflare gebotenen Technologie für Remote-Browserisolierung geöffnet wird. Dadurch können potenziell riskante Links, Downloads oder andere Zero-Day-Angriffe weder Computer des Benutzers noch das gesamte Unternehmensnetzwerk beeinträchtigen.
- Mit unseren Tools zum Schutz vor Datenverlust können Unternehmen die Exfiltration von Daten erkennen und stoppen.
- Unsere Area 1-Lösung identifiziert Phishing-Versuche, E-Mails mit schädlichem Code und E-Mails mit Ransomware-Payloads und verhindert, dass sie im Posteingang ahnungsloser Mitarbeiter landen.
Diese Zero Trust-Tools in Kombination mit der Verwendung von Hardwareschlüsseln für die Multi-Faktor-Authentifizierung trugen entscheidend dazu bei, dass Cloudflare eine Datenschutzverletzung durch einen SMS-Phishing-Angriff verhindern konnte. Dieser im Juli und August 2022 durchgeführte Angriff nahm mehr als 130 Unternehmen ins Visier. Viele dieser Unternehmen meldeten, dass persönliche Daten von Kunden preisgegeben wurden, nachdem Mitarbeiter diesem SMS-Phishing-Angriff zum Opfer gefallen waren.
Sie erinnern sich an die Atlassian Confluence RCE-Schwachstelle, die wir bereits erwähnt haben? Cloudflare blieb nicht nur aufgrund der schnellen Aktualisierung unserer WAF-Regeln geschützt, sondern auch, weil wir unsere eigene Cloudflare Access-Lösung (Teil unserer Zero Trust-Suite) verwenden. Mit dieser stellen wir sicher, dass nur Personen mit Cloudflare-Zugangsdaten auf unsere internen Systeme zugreifen können. Cloudflare Access überprüfte jede Anfrage, die an eine Confluence-Anwendung gestellt wurde, um sicherzustellen, dass sie von einem authentifizierten Benutzer stammt.
Alle diese Zero Trust-Lösungen erfordern ausgeklügeltes Machine Learning, um Muster bösartiger Aktivitäten zu erkennen. Dabei ist es bei keiner dieser Lösungen erforderlich, dass die Daten an einem bestimmten Ort gespeichert werden, damit sie sicher sind. Die Abwehr dieser Art von Sicherheitsbedrohungen ist nicht nur wichtig, um die internen Netzwerke von Unternehmen vor Eindringlingen zu schützen – sie ist auch entscheidend, um große Datensätze zum Nutzen von Millionen von Menschen geheim zu halten.
Zukunftsweisende Technologien
Die Sicherheitsservices von Cloudflare ermöglichen es unseren Kunden, Cybersecurity-Risiken im Netzwerk von Cloudflare zu erkennen, bevor diese Risiken das interne Netzwerk des Kunden erreichen können. Dies hilft, unsere Kunden und ihre Daten vor einer Reihe von Cyber-Bedrohungen zu schützen. Dadurch tragen die Cloudflare-Dienste im Wesentlichen selbst zum Schutz der Privatsphäre bei. Von Anfang an haben wir unsere Systeme so aufgebaut, dass die Daten geheim bleiben, auch vor uns selbst, und wir haben uns öffentlich und vertraglich dazu verpflichtet, diese Daten privat und sicher zu halten. Aber wir haben nicht nur unser Netzwerk zum Wohle unserer Kunden gesichert, sondern auch stark in neue Technologien investiert, um die Kommunikation vor bösartigen Akteuren zu schützen, vor den neugierigen Augen von Internetanbietern oder anderen Man-in-the-Middle-Maschinen, die Ihre Internetkommunikation für Werbezwecke interessant finden könnten, oder vor staatlichen Stellen, die gegen Personen vorgehen wollen, die ihre Meinungsfreiheit ausüben.
So betreibt Cloudflare beispielsweise einen Teil des privaten Relay-Systems der Apple iCloud, das sicherstellt, dass keine einzelne Partei, die Benutzerdaten verarbeitet, vollständige Informationen darüber hat, wer der Benutzer ist und worauf er zuzugreifen versucht. Stattdessen ist die ursprüngliche IP-Adresse eines Benutzers für das Zugangsnetz (z.B. das Café, in dem Sie sitzen, oder Ihr ISP zu Hause) und das erste Relay (das von Apple betrieben wird) sichtbar, aber der Name des Servers oder der Website ist verschlüsselt und für beide nicht sichtbar. Das erste Relay übergibt die verschlüsselten Daten an ein zweites Relay (z.B. Cloudflare), kann aber nicht in den Datenverkehr zu Cloudflare „hineinsehen“. Und die von Cloudflare betriebenen Relays wissen nur, dass sie Datenverkehr von einem Private Relay-Benutzer erhalten, aber nicht genau, von wem oder mit welcher Client-IP-Adresse. Die Cloudflare-Relays leiten den Datenverkehr dann an den Zielserver weiter.
Und natürlich muss in einem Artikel über datenschutzförderliche Sicherheitsmaßnahmen auch der datenschutzfreundliche öffentlichen Resolver 1.1.1.1 von Cloudflare erwähnt werden. Durch die Verwendung von 1.1.1.1, können Einzelpersonen das Internet durchsuchen, ohne dass ihre Internetanbieter sehen, wohin sie surfen. Im Gegensatz zu den meisten DNS-Resolvern verkauft 1.1.1.1 keine Benutzerdaten an Werbetreibende.
Zusammen sorgen diese vielen Technologien und Sicherheitsmaßnahmen dafür, dass personenbezogene Daten vor vielen Arten von Bedrohungen der Privatsphäre geschützt werden – verhaltensorientierter Werbung, Man-in-the-Middle-Angriffen, schädlichem Code und mehr. An diesem Tag des Datenschutzes 2023 fordern wir die Regulierungsbehörden auf, zur Kenntnis zu nehmen, dass der Schwerpunkt, der derzeit auf die Datenlokalisierung gelegt wird, vielleicht über das Ziel hinausgeschossen ist – und die vielen Vorteile, die grenzüberschreitende Datentransfers für die Datensicherheit und damit für den Datenschutz haben können, nicht berücksichtigt hat.