WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?

Wie funktioniert das Versenden von Daten mit WeTransfer? 

Das Versenden von Daten per WeTransfer ist relativ einfach. Nutzer:innen können ihre Dateien direkt auf der Website von WeTransfer hochladen. Dazu werden sowohl die E-Mail-Adresse der VersenderInnen als auch jene der EmpfängerInnen abgefragt. Außerdem besteht die Möglichkeit, den Dateien eine individuelle Nachricht hinzuzufügen. Ein Nutzerkonto ist dafür nicht erforderlich. Gerade wenn beim Versand persönliche Dokumente und personenbezogene Daten wie die E-Mail-Adresse involviert sind, stellt sich NutzerInnen jedoch oftmals die Frage, ob ihre Daten bei den verwendeten Diensten auch sicher sind. WeTransfer kann in Sachen Sicherheit insofern punkten, als die Daten verschlüsselt hochgeladen werden. Auch den Link zum Abruf der Daten versendet der Dienst verschlüsselt. Trotzdem weist WeTransfer mit Blick auf die Datensicherheit die ein oder andere Lücke auf. Wie sieht es also aus mit dem Datenschutz bei WeTransfer?

Ist die Datenübermittlung mit WeTransfer sicher?

Das Thema Datenschutz bei WeTransfer ist vielschichtig - und nicht ohne Schwachstellen. Zwar erfolgt der Upload sowie die Generierung des Download-Links verschlüsselt, doch die Benachrichtigungs-E-Mail an die EmpfängerInnen ist nicht Inhalts-verschlüsselt. Wer Zugriff auf diese E-Mail hat - z. B. durch Phishing, unsichere Mailserver oder Weiterleitung - kann potenziell auch die Daten abrufen. Auch die Zwischenspeicherung der Daten erfolgt unverschlüsselt – auf Servern, die in den USA oder anderen Drittländern außerhalb der EU betrieben werden. Dort gelten andere Datenschutzregelungen als nach der DSGVO. Eine datenschutzkonforme Übermittlung in solche Drittländer ist nur unter bestimmten Bedingungen zulässig, etwa durch einen Angemessenheitsbeschluss sowie Standardvertragsklauseln (SCC) und zusätzlichen Sicherheitsmaßnahmen.

Die Zugriffsfrage: Wer sieht Ihre Daten wirklich?

Zusätzlich wird WeTransfer regelmäßig für seine Allgemeinen Geschäftsbedingungen (AGB) und die damit verbundenen Zugriffsrechte auf übertragene Inhalte kritisiert. Laut PresseBox und Tarnkappe.info räumt sich der Dienstleister in bestimmten Fällen weitreichende Rechte zur Analyse, Prüfung oder temporären Nutzung hochgeladener Daten ein – etwa zur Malware-Erkennung oder Systemoptimierung. Ob und in welchem Umfang diese Rechte greifen, bleibt für viele Unternehmen jedoch wenig transparent.

Für datenschutzsensible Organisationen – insbesondere im Gesundheitswesen, in Kanzleien oder in der Industrie – ist das ein wesentliches Risiko. Denn: Die Datenhoheit liegt dann nicht mehr ausschließlich beim Absender.

Datenschutz & DSGVO: Woran Datenschutzverantwortliche denken müssen

• Rechtsgrundlage prüfen: Ist die Übermittlung von personenbezogenen Daten an entsprechende Dienstleister gemäß Art. 6 DSGVO erlaubt? 
• Datenhoheit wahren: Wer analysiert, speichert oder überwacht die Inhalte zu eigenen Zwecken? 
• AVV schließen: Bei pseudonymisierten oder personenbezogenen Daten muss ein gültiger Vertrag zur Datenverarbeitung im Auftrag abgeschlossen werden.
• Drittlandübertragung beachten. Besteht ein EU-/EWR-Dienst, oder erfolgt der Transfer in Drittstaaten? 

Praxis-Tipp: Achten Sie auf AGB-Klauseln, die erweiterte Nutzung erlauben, etwa zur Maschinenauswertung oder optionalen Datenspeicherung.

WeTransfer-Alternative gesucht? 

Als Ergebnis bleibt festzuhalten, dass der Einsatz von WeTransfer für Verantwortliche problematisch sein kann. Es empfiehlt sich allein aufgrund der unverschlüsselten Speicherung der Daten auf US-amerikanischen Servern nicht, sensible Daten über WeTransfer zu versenden. Sensible Daten oder gar besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sollten grundsätzlich nicht unverschlüsselt an Anbieter wie WeTransfer übertragen werden. Eine Möglichkeit, die über WeTransfer versendeten Daten selbst besser zu schützen, ist der Einsatz zusätzlicher Verschlüsselungsverfahren, die zum Beispiel beim Einsatz der Packsoftware 7-Zip genutzt werden können. Hierbei ist jedoch zu bedenken, dass auch die EmpfängerInnen das Programm einsetzen müssen, um die Dateien nach dem Herunterladen entpacken und entschlüsseln zu können. 
Wem dies zu kompliziert ist, kann auch auf Alternativen zu WeTransfer setzen, die das Thema Datenschutz noch ernster nehmen. Hier ein Vergleich mit SwissTransfer - einem Schweizer Tool mit Fokus auf Datenschutz: 

WeTransfer bietet bezogen auf den Datenschutz einige Verschlüsselungsverfahren an, allerdings bleibt die Frage, ob WeTransfer sicher und zudem kostenlos ist. Allein der Serverstandort in den USA und die unverschlüsselte Speicherung der Daten vor Ort sollten zu denken geben. NutzerInnen von WeTransfer sind also gut beraten, sich nach einer Alternative umzusehen, die die Anforderungen der DSGVO besser umsetzt. SwissTransfer ist dabei eine gute Adresse.

*Laut Presse-Informationen bestehen Hinweise auf US-Server und erweiterten Datenzugriff.

**DSGVO-Äquivalent

Konzept & Empfehlungen

1. Prüfen Sie Ihre Anforderungen: Große Mediendateien, sensible Gesundheits- oder Personendaten?

2. Bewerten Sie Anbieter nach Datenschutzstandards: Verschlüsselung, Datenstandort, Zugriffsrechte – alles entscheidend.

3. Implementieren Sie AGB-Checks und AVV-Prozesse: Auch bei scheinbar kostenlosen Angeboten.

4. Nutzen Sie Tools wie Swiss Transfer oder Datenschutzsoftware mit DSGVO-Zertifikat zur sicheren Datenübertragung.

Fazit für Compliance Verantwortliche

Die Wahl eines Dateiübertragungs-Dienstes ist eine Compliance-Entscheidung – keine Bequemlichkeit. Die DSGVO fordert Klarheit und Kontrolle über Datenzugriffe.

Ihre nächsten Schritte:

• Fragen Sie beim Anbieter gezielt nach Kontroll- und Zugriffsrechten

• Nutzen Sie datenschutzfreundliche Alternativen

• Verankern Sie Dateiübertragung im ISMS oder DSMS