Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Dropbox & Datenschutz

Datenschutz und Dropbox: Was Sie bei der Cloud-Nutzung beachten sollten

Dropbox ist einer der beliebtesten Cloud-Speicheranbieter, doch wie datenschutzkonform ist der Dienstleister? Wir nehmen Dropbox unter die Lupe und zeigen Ihnen, worauf es datenschutzrechtlich bei der Cloud-Nutzung ankommt.

Cloud-Dienste erfreuen sich heute riesiger Beliebtheit und sind auch aus dem Arbeitsalltag Vieler nicht mehr wegzudenken. Die moderne Arbeitswelt macht es notwendig, orts- und geräteunabhängig auf Dateien zugreifen, gemeinsam an Dokumenten arbeiten und Inhalte reibungslos teilen zu können. Außerdem steigt der Bedarf an Speicherplatz ständig und die Nutzung von Cloud-Diensten ist i.d.R. günstiger, als die unternehmenseigene IT-Infrastruktur auszubauen. Allerdings ist es wichtig, sich bewusst zu machen, dass die Nutzung einer Cloud bedeutet, dass die hochgeladenen Daten auf den Servern fremder Unternehmen und häufig außerhalb der EU gespeichert werden. Da die hochgeladenen Dateien oft auch personenbezogene Daten enthalten, gilt es geltendes Datenschutzrecht zu beachten.

 

Geschäftliche Nutzung von Cloud-Diensten: Diese 8 Punkte sollten Sie datenschutzrechtlich beachten

  1. Als erstes sollte geprüft werden, ob es sich vermeiden lässt, personenbezogene Daten in eine Cloud zu laden. Wenn dies der Fall ist, sollten Sie zwar trotzdem weiter auf den Aspekt der Datensicherheit achten, doch zumindest der Datenschutz spielt dann keine Rolle mehr.

  2. Werden Cloud-Dienste auch für Daten mit Personenbezug in Anspruch genommen, gilt es alle Betroffenen darüber zu informieren (Informationspflicht) und ihre Einwilligung einzuholen.

  3. Nutzen Sie eine kostenpflichtige Business-Version des Cloud-Speichers! Die meisten großen Cloud-Anbieter stellen spezielle Versionen für Unternehmen zur Verfügung, bei denen das Sicherheits- und Datenschutzniveau höher ist. Nutzen Sie eine kostenlose Cloud, sollten Sie sich im Klaren darüber sein, dass Sie mit Ihren Daten bezahlen. Entsprechende Rechte räumen sich die Anbieter meist klar in ihren Datenschutzbestimmungen ein.

  4. Findet eine Datenübertragung in die USA statt, sollte der Anbieter nach dem EU-US Privacy Shield-Abkommen zertifiziert sein. Informieren Sie sich deshalb, ob der Cloud-Dienstleister eine EU-US Privacy Shield Zertifizierung besitzt, die ihn zur Einhaltung der DSGVO verpflichtet, wenn es sich bei dem Cloud-Anbieter Ihrer Wahl um ein US-Unternehmen handelt.

  5. Weitere wichtige Zertifizierungen in diesem Bereich, auf die Sie achten können, sind der C5 (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik, das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie und die Zertifizierung nach ISO 27017 (Cloud-Sicherheit) und ISO 27018 (Datenschutz und Datensicherheit in der Cloud).

  6. Seit dem Inkrafttreten der DSGVO können im Fall einer Datenschutzverletzung nicht mehr nur die Nutzer*innen der Cloud haftbar gemacht werden. Auch Cloud-Anbieter müssen nun belegen können, dass sie personenbezogene Daten angemessen schützen. Darum ist es unerlässlich, dass ein Auftragsverarbeitungsvertrag mit dem Cloud-Dienstleister geschlossen und die beidseitigen Verantwortlichkeiten klar definiert werden.

  7. In den Business-Versionen der Cloud-Dienste werden Daten i.d.R. verschlüsselt. Da die Verschlüsselung allerdings vom Anbieter selbst vorgenommen wird, kann er sie auch entschlüsseln. Daher wird die maximal mögliche Sicherheit gewährleistet, wenn Sie die Verschlüsselung vom Cloud-Anbieter trennen und die Dienste eines unabhängigen Unternehmens für Zero-Knowledge-Verschlüsselung in Anspruch nehmen.

  8. Legen Sie klare Richtlinien für Mitarbeiter*innen fest und sensibilisieren Sie sie für den Datenschutz bei der Nutzung von Cloud-Speichern! Eines der größten datenschutzrechtlichen Risiken bei der Cloud-Nutzung ist der versehentlich oder mutwillig herbeigeführte Datenverlust. Ganz schnell ist ein sensibles Dokument aus Versehen in einen falschen Ordner hochgeladen, auf den auch unbefugte Mitarbeiter*innen Zugriff haben. Natürlich sind neben der Sensibilisierung auch technische Maßnahmen wie Zugriffskontrollen notwendig.

 

Dropbox und mögliche Alternativen

Fangen wir mit dem Positiven an: Dropbox Business hat inzwischen die meisten der oben genannten Zertifizierungen sowie einige weitere und weist damit schon mal ein gewisses Datenschutzniveau nach. Allein ein Zertifikat des TCDP konnten wir nicht finden. Die Verschlüsselung befindet sich auf dem neuesten technischen Stand. Ruhende Daten (also solche, die auf den Servern abgelegt sind) werden mit AES mit 256-Bit verschlüsselt, bei der Datenübertragung findet eine SSL/TLS-Verschlüsselung statt. Außerdem bleiben Nutzer*innen alleinige Inhaber der Rechte an den Daten.

Allerdings: Zumindest die für das Betreiben des Services notwendigen, eingeschränkten Rechte werden mit Einwilligung in die AGBs an Dropbox übertragen. Laut Aussage des Cloud-Anbieters geschieht dies, um Backups auf rechtlicher Ebene abzudecken. Außerdem sollten Sie sich bewusst machen, dass Dropbox alle verschlüsselten Daten aus oben erklärten Gründen entschlüsseln kann. Dies könnte z.B. im Falle polizeilicher oder behördlicher Ermittlungen eine Rolle spielen, da Dropbox als US-Unternehmen verpflichtet wäre, US-amerikanischen Behörden Daten auszuhändigen, selbst wenn es sich um Daten von EU-Bürger*innen handelt.
Die Daten von Dropbox-Nutzer*innen werden übrigens in Rechenzentren von Drittanbietern in den USA gespeichert. Ein Mal pro Jahr werden die Sicherheitsvorkehrungen dieser Anbieter von Dropbox geprüft.

Auch wenn unser Urteil für den Datenschutz bei Dropbox also nicht per se schlecht ausfällt, macht es durchaus Sinn, sich Alternativen von EU-Anbietern anzusehen. Wann immer möglich, sollte eine Übermittlung von personenbezogenen Daten über die Grenzen der EU vermieden werden.

  • Eine mögliche Alternative ist z.B. das deutsche Unternehmen TeamDrive: Die Cloud ist mit denen der US-amerikanischen Anbieter vergleichbar, aus datenschutzrechtlicher Perspektive allerdings allein durch den Standort unbedenklicher. Außerdem bietet TeamDrive die Möglichkeit einen unternehmensinternen Server zu nutzen, aber trotzdem von der Infrastruktur einer Cloud-Lösung zu profitieren, sprich Dateien teilen, gemeinsam bearbeiten und ortsunabhängig auf diese zugreifen.

  • Aus Datenschutzsicht ebenfalls empfehlenswert ist die Open Telekom Cloud. Diese besitzt auch die Zertifizierung des TCDPs.

Autorin: Maike Weiss

Leitfaden: Datenschutz im Home- und Mobileoffice

Warum ist Datenschutz gerade beim mobilen Arbeiten von enormer Relevanz?

Home-Office hat seine datenschutzrechtlichen Tücken. In unserem Leitfaden "Datenschutz im Home- und Mobileoffice" finden Sie Hinweise zur Datenverarbeitung im Home-Office unter Berücksichtigung datenschutzrechtlicher Aspekte.

Jetzt Leitfaden herunterladen

Aktuelle Beiträge zum Thema Datenschutz