Blog

Datenschutz in der F&E: Mehr als nur der Cloud-Anbieter

Rezepturdaten schützen: Datenschutz in der F&E richtig gedacht

Wer über Datenschutz in der Forschung und Entwicklung (F&E) spricht, muss vor allem eines verstehen: Rezepturen, Formulierungsparameter, Additivdosierungen oder Analysedaten sind nicht bloß Betriebsdaten, sondern das geistige Eigentum des Unternehmens. Sie bilden die Grundlage für Wettbewerbsvorteile und jahrzehntelang aufgebautes Know-how. Ihr Schutz ist daher keine rein technische Aufgabe der IT, sondern eine Frage der wirtschaftlichen Wertschöpfungssicherung.

Datenschutz wird vor allem mit Infrastrukturfragen verknüpft. Entscheidend scheint in erster Linie, ob ein Softwareanbieter seine Server in Deutschland oder der EU betreibt. Diese Perspektive ist wichtig, greift jedoch zu kurz.

Praxis statt Bauchgefühl: Aktuelle EU-Zahlen einer Studie von Schwarz Digits zeigen eine deutliche Lücke zwischen Risikobewusstsein und Umsetzung. 88% der Europäer äußern Bedenken zur Datensicherheit, zugleich nutzen viele keine konsequenten Schutzmaßnahmen. Der Realitätsschock: Trotz hoher Sorgen nutzen viele Unternehmen keine konsequenten Schutzmaßnahmen, beispielsweise nur 59 % die Zwei-Faktor- Authentifizierung ( 2FA oder 19% VPN. Das größte Risiko liegt oft im Inneren: Berechtigungen, Monitoring, Meldewege, Compliance.

Noch problematischer: Wird Identitäts- oder Datendiebstahl entdeckt, passiert das in 57% der Fälle durch die Betroffenen selbst; nur 29% werden von Unternehmen informiert. Das unterstreicht: Governance, Monitoring und Meldeketten sind entscheidend und nicht bloß der Serverstandort.

Warum Rezepturdaten die „Kronjuwelen“ sind

Rezepturen und Formulierungsdaten aus der Forschung und Entwicklung sind besonders schutzbedürftig:

  • Einmaliger Erkenntniswert
    Viele Formulierungen sind das Ergebnis langjähriger Versuchsdaten.
  • Hoher finanzieller Schaden bei Verlust
    Ist Know-how einmal abgeflossen, lässt es sich nicht zurückholen.
  • Breite interne Sichtbarkeit
    Anders als in der Produktion sind in der Entwicklung oft viele Personen involviert.
  • Unterschätzte interne Risiken
    Die größte Schwachstelle liegt häufig nicht außerhalb, sondern innerhalb der Organisation.

Während physische Schutzmaßnahmen wie Zutrittskontrollen, NDAs und Geheimhaltungsstufen in den meisten Unternehmen etabliert sind, fehlt häufig eine ebenso klare Struktur im digitalen Bereich, insbesondere wenn es um die Speicherung und Verwaltung von Rezepturdaten geht.

Cloud oder On-Premises? Die falsche Frage.

Die intuitive Annahme vieler Unternehmen lautet: „Wenn die Daten im eigenen Haus liegen, sind sie unter Kontrolle.“ On-Premises-Systeme bieten gefühlte Kontrolle, doch Wartung, Monitoring und Absicherung erfordern oft mehr Ressourcen, als intern dauerhaft verfügbar sind. Dazu gehören in der F&E zusätzliche Anmeldesicherung für Admins, regelmäßige Sicherheits-Updates, verlässliche Sicherungen an mehreren Orten und Notfallabläufe, die man tatsächlich übt. Ohne diese Nachweise bleibt Sicherheit behauptet, nicht belegt. Dies zeigt die Technical Implementation Guidance der ENISA (European Union Agency for Cybersecurity).

 Thema  On-Premises Realität in vielen Unternehmen  Cloud / Managed Services (richtig implementiert)
 Backup & Wiederherstellung  Oft manuell, sporadisch, ohne Desaster-Test  Automatisierte, redundante Systeme mit Protokoll
 Patch- und Update-
 Management		  Abhängig von Kapazität der lokalen IT, oft verzögert  Laufend automatisiert nach definierten SLAs
 Zugriffskontrolle /
 Rollenrechte		  Oft historisch gewachsen („jeder hat alles“)  Strukturiert über Policies / Identity Management
 Protokollierung & Audit- Trails  Selten vollständig, oft kein Monitoring  Standardfunktion in modernen Plattformen
 Notfall / Incident Response  „Wir hoffen, dass nichts passiert“  Definierte Prozesse, oft 24/7 SOC

Zudem sind viele interne IT-Abteilungen überlastet. Sie können Firewalls verwalten und Netzwerke segmentieren, aber sie sind nicht dafür ausgelegt, hochsensible F&E-Systeme dauerhaft auf Sicherheitsniveau zu halten. Vor allem in mittelständischen Unternehmen gilt:

  • „On-Premises“ bedeutet nicht automatisch „unter Kontrolle“, es bedeutet oft nur: „Wir tragen die Verantwortung für alles mit begrenzten Ressourcen.“
  • Die größten Sicherheitslücken liegen nicht in der Infrastruktur, sondern im Berechtigungs- und Zugriffsmanagement.
  • Viele IT-Abteilungen denken in „Systemen“, nicht in „Wertströmen“. Sie wissen zwar technisch, wo etwas liegt, aber nicht wie kritisch eine bestimmte Rezeptur oder Versuchsdatenreihe wirklich ist.

Typische Schwachstellen in bestehenden Laborumgebungen:

 System  Risikoquelle  Beispiel
 Excel / Netzlaufwerke  Keine Zugriffskontrolle, unverschlüsselte   Ablage  „Rezeptur_final_neu_2.xlsx“ im Shared Drive
 Klassisches LIMS  Speicherung von Stammdaten, aber keine   Trennung sensibler Formulierungen  Jeder Labornutzer sieht alle Daten
 ELN / Wissensdatenbanken  Gute Dokumentation, aber fehlende   Rechtehierarchie  Projektzugriff nur nach Gruppenzugehörigkeit, nicht nach   Datenklassifikation
 Protokollierung & Audit-   Trails  Selten vollständig, oft kein Monitoring  Standardfunktion in modernen Plattformen
 Notfall / Incident Response  „Wir hoffen, dass nichts passiert“  Definierte Prozesse, oft 24/7 SOC

Europäischer Datenschutz vs. amerikanische Datennutzung

In Europa wird Datenschutz als Grundrecht verstanden. Die DSGVO (DE) schafft einen präventiven Rechtsrahmen. Dessen Ziel ist es, ungerechtfertigte Zugriffe von Beginn an zu verhindern und vollständig nachvollziehbar zu machen.

Die USA verfolgen einen anderen Ansatz: Dort gibt es kein allgemeines Bundesdatenschutzgesetz, sondern ein Mosaik sektorspezifischer Einzelregelungen, etwa Health Insurance Portability and Accountability Act (USA, 1996) für Gesundheitsdaten, Gramm–Leach–Bliley Act (GLBA) für Finanzdaten oder kalifornische Gesetze wie den California Consumer Privacy Act (CCPA). Datenschutz wird dort stärker über Verträge und Haftung geregelt als über technisch erzwungene Zugriffsbeschränkungen.

Hinzu kommt: US-Gesetze wie der CLOUD Act (USA) können Anbieter unter bestimmten Bedingungen zur Herausgabe von Daten verpflichten, selbst wenn diese in Europa gespeichert sind. Gleichzeitig erlaubt das EU-US Data Privacy Framework seit Juli 2023 den Datentransfer in die USA wieder offiziell, was politisch umstritten ist.

Doch was bedeutet das für F&E-Unternehmen?

  • Europa schützt primär über Zugangskontrolle.
    Wer darf was sehen?
  • Die USA schützen primär über Verpflichtungen zur Nutzung und Weitergabe.
    Was darf mit Daten geschehen und was passiert, wenn etwas schiefgeht?

Strikte Zugriffsbeschränkung plus klare rechtliche und technische Regeln für die Weiterverwendung. Gerade bei Rezepturen und Formulierungsdaten ist Kontrolle ohne Nutzbarkeit wertlos und Nutzbarkeit ohne Kontrolle fahrlässig.

Eine Umfrage der Bertelsmann-Stiftung zeigt ein klares Gefälle beim Vertrauen in den Datenschutz von Unternehmen: 40% der Befragten vertrauen europäischen Unternehmen, 20% US-amerikanischen und 6 % chinesischen Anbietern (Bertelsmann Stiftung, eupinions, 2021). Für F&E-Daten bedeutet das: Reine Infrastrukturfragen reichen nicht – entscheidend sind strikte Zugriffskontrollen, nachvollziehbare Regeln zur Nutzung/Weitergabe und überprüfbare Governance entlang des gesamten Datenlebenszyklus. So wird aus „Standort“ gelebte Datensouveränität.

Praktische Schritte für Unternehmen

Viele Labore arbeiten heute noch mit historisch gewachsenen Strukturen. Der Schutz von Materialdaten und Daten aus der F&E beginnt nicht mit einem Systemwechsel, sondern mit Transparenz.

Empfohlene Schritte für F&E-Verantwortliche:

  1. Dateninventur durchführen
    Wo liegen Rezepturen, Versuchsdaten, Freigabestände aktuell? (Excel, Fileshare, ELN, Geräteexporte)
  2. Datenklassifikation einführen
    Welche Informationen gelten als kritisch? (Formulierungsparameter, Rohstoffkombinationen, Prüfverfahren)
  3. Rollen und Zugriffsebenen definieren
    Wer darf sehen? Wer darf ändern? Wer darf exportieren?
  4. Technische Schutzmaßnahmen festlegen
    Verschlüsselung, Protokollierung, Versionierung und Backup-Strategien dokumentieren.
  5. Übergangsphase planen
    Parallele Nutzung alter und neuer Systeme ist möglich, aber klare Abschalttermine verhindern Dauerprovisorien.

Für den technischen Schutz der F&E-Daten braucht es ein klares, gut umsetzbares Paket: Zugriffe werden sauber geregelt – also wer etwas sehen, ändern oder exportieren darf – und wichtige Konten erhalten einen zusätzlichen Anmeldeschritt. Wichtige Vorgänge werden automatisch mitgeschrieben, und bei Auffälligkeiten gibt es sofort Warnmeldungen. Datensicherungen sind nicht nur vorhanden, sondern werden regelmäßig getestet; außerdem ist festgelegt, wie schnell die Arbeit nach einem Ausfall wieder laufen muss und wie viel Datenverlust maximal akzeptabel ist. Für Notfälle existieren klare Abläufe mit Meldewegen und Checklisten, die regelmäßig geübt werden. Und bei Dienstleistern gelten verbindliche Mindeststandards, deren Einhaltung belegt wird.

Fazit: Governance statt Infrastruktur

Datenschutz in der F&E ist Governance, nicht nur Infrastruktur. Ob Cloud oder On-Prem ist zweitrangig; entscheidend sind klare Rollen und Rechte, nachvollziehbare Prozesse, Monitoring & Audit, getestete Backups und geübte Incident Response. ergänzt um nachweisbare Standards bei Dienstleistern. Wer Rezepturen als geschäftskritisches IP behandelt, trifft bessere Entscheidungen bei Softwareauswahl und Organisation. Sicherheit ist kein Zustand, sondern kontinuierliche Praxis aus Regeln, Kultur und konsequenter Umsetzung.

Links zum Weiterlesen:

Autor: Dr. Marc Egelhofer

Digitalisierung
Veröffentlichung:
16.10.2025
Newsletter abonnieren

Jetzt anmelden und 2x pro Monat frische Insights direkt ins Postfach bekommen.

Mit Ihrer Anmeldung stimmen Sie unserer Datenschutzerklärung zu.
Vielen Dank für Ihre Anmeldung.
Irgendwas ist gerade schiefgelaufen. Bitte nochmal probieren oder kontaktieren Sie uns. Danke