Bugcrowd positioniert die neue Data Residency Option als Antwort auf steigende Anforderungen an Datensouveränität in Europa. Gemeint ist damit nicht nur der physische Speicherort von Daten, sondern vor allem die Frage, welche Gerichtsbarkeit und welche gesetzlichen Rahmenbedingungen für sie gelten. Russell sagte gegenüber Dark Reading, dass die Anforderungen für Organisationen in ganz Europa zunehmen und gerade die in der Plattform verarbeiteten Schwachstellen- und Sicherheitsdaten oft zu den sensibelsten Datensätzen der Kunden gehören.
Das Unternehmen betreibt Bug-Bounty-Programme und Penetrationstests, um Forschern die verantwortungsvolle Meldung von Schwachstellen zu ermöglichen und Organisationen beim Identifizieren, Beheben und Eindämmen von Sicherheitslücken zu unterstützen. Mit der neuen Option sollen Kunden die Plattform nutzen können und zugleich mehr Kontrolle und Sichtbarkeit darüber behalten, wo ihre Daten gespeichert sind. Laut Russell wird Datenresidenz inzwischen branchenübergreifend zu einem Schlüsselkriterium bei Kaufentscheidungen im Sicherheitsbereich.
Russell sieht Datensouveränität in Europa als Thema, das über Datenschutz und Compliance hinausgewachsen ist. Neben regulatorischen Anforderungen spielten inzwischen auch operative Resilienz, geopolitische Risiken und die langfristige Kontrolle über digitale Vermögenswerte eine Rolle. Organisationen wollten verstehen, wo ihre Daten gespeichert werden, welche Rechtsräume gelten und wie sich Kontinuität und Kontrolle in einem sich schnell verändernden globalen Umfeld sichern lassen, sagte er.
Auf die rechtliche Komplexität verweist auch Ben Radcliff, Vice President of Cyber Operations bei Optiv. Gegenüber Dark Reading erklärte er, dass Gesetze zu Datenerhebung, Zugriff und Aufbewahrung von Land zu Land variieren und vielfach grenzüberschreitend wirken. Als Beispiel nennt er die Datenschutz-Grundverordnung der EU, die für personenbezogene Daten von EU-Bürgern unabhängig vom Ort der Verarbeitung gilt und einen unrechtmäßigen Zugriff ausländischer Regierungen auf Daten untersagt.
Dem stellt Radcliff den US Cloud Act gegenüber, der US-Behörden erlaubt, von US-Unternehmen die Herausgabe von Daten zu verlangen, über die diese verfügen – unabhängig davon, wo sich die Daten physisch befinden. Solche Unterschiede könnten zu komplizierten juristischen Auseinandersetzungen darüber führen, wo Daten gehostet werden und welche Rechtsordnung Vorrang hat. Datensouveränität bedeute, dass Daten den Gesetzen des Landes unterliegen, in dem sie entstanden sind, und damit klare Zuständigkeitsgrenzen gezogen werden. Konflikte entstünden, wenn souveräne Staaten sich nicht darauf einigen könnten, welche Gerichtsbarkeit Vorrang habe, so Radcliff.
Bugcrowd geht davon aus, dass Datensouveränität und regionale Datenresidenz sowohl für private als auch für öffentliche Organisationen weiter an Bedeutung gewinnen werden. Russell zufolge war das Thema zunächst vor allem für Behörden und stark regulierte Branchen relevant, werde aber zunehmend für Unternehmen allgemein wichtig. Als Treiber nennt er wachsende Cyberrisiken, regulatorische Komplexität und geopolitische Unsicherheit. Diese Spannungen beeinflussten nach Beobachtung von Bugcrowd bereits Kaufentscheidungen in den Bereichen Cloud, Sicherheit und Software.
Auch Radcliff sieht geopolitische Spannungen als prägenden Faktor. Historisch hätten Unternehmen, die Infrastruktur und Dienste bereitstellen, rechtlich Widerstand geleistet und bestehende Rechtsrahmen getestet, um Kunden und den eigenen Ruf zu schützen. Mit zunehmenden globalen Spannungen nähmen Regierungen jedoch ihren Einfluss stärker wahr, während Unternehmen möglicherweise weniger Möglichkeiten hätten, Kundendaten zu schützen. Als Beispiele nennt Radcliff China und die USA. Der Cloud Act sowie Abschnitt 702 des Foreign Intelligence Surveillance Act stellten lokale Datensouveränität direkt infrage. Zusätzlich könnten Staaten über nationale Gesetze zur Datenlokalisierung Druck ausüben und so Gegenwehr für Unternehmen erschweren.