Datenschutz Verstehen – Sind Clouddienste datenschutzkonform einsetzbar?
Kurze Zusammenfassung
Eine der am häufigsten gestellten Frage in Bezug auf die eigenen Daten ist wohl jene, wo sich diese am besten und sichersten speichern lassen. Nicht selten wird sich im Zuge dessen für einen Cloudanbieter entschieden. Dies betrifft sowohl die private Nutzung als auch die unternehmensweite Nutzung einer Cloud-Lösung. Ein großer Vorteil ist die Einsparung von Kosten, welche die Nutzung einer Cloud – im Gegensatz zur Veränderung der IT-Struktur im Unternehmen – mit sich bringt. Dieser Beitrag beschäftigt sich mit der Verwendung von Clouddiensten sowie der datenschutzkonformen Nutzung – insbesondere der, des beliebtesten Cloud-Speicheranbieters Dropbox – sowie den Risiken und Problemen bei der Verwendung und möglichen Alternativen.
Was sind Clouddienste?
Was genau versteht man unter Clouddiensten? Wenn eine Cloud verwendet wird, bedeutet dies, dass Daten von einem Gerät ins Internet und auf den Server eines Cloud-Anbieters hochgeladen werden. Dieser stellt somit einen externen Speicherplatz für Daten (z.B. Dokumente, Fotos oder Filme) zur Verfügung. Sowohl Privatleute als auch Unternehmen profitieren und nutzen diese Möglichkeit immer häufiger. Mittlerweile gibt es eine nahezu unüberschaubare Anzahl von Anbietern, insbesondere für den privaten Bereich. Hierzu gehören neben der bereits erwähnten Dropbox auch Google sowie Amazon Drive. Unternehmen greifen hingegen bei der Nutzung häufig auf Amazon Web Services (AWS) sowie die Google Cloud Plattform (GCP), IBM Cloud oder Mircosoft Azure zurück. Dabei gilt es, zwischen den verschiedenen Arten zu unterscheiden, welche sich in Infrastructure-as-a-Service (IaaS), Plattform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) gliedern lassen. Als klarere Vorteile der Nutzung einer Cloud stellen sich dabei vornehmlich die Kostenersparnis der Dienste sowie die Möglichkeit, von verschiedensten Geräten auf die gespeicherten Daten zugreifen zu können, dar.
Was ist bei der Verwendung von Clouddiensten wie Dropbox zu beachten?
Schon vor Beginn der Verarbeitung stellt sich der Abschluss eines Auftragsverarbeitungsvertrags gem. Art. 28 DSGVO als unerlässlich dar. Dieser regelt klar die Rechte und Pflichten der Parteien und ist zur Gewährleistung des Schutzes von Daten bei der Verarbeitung elementar wichtig. Auch die EU-Standardvertragsklauseln (SCC) sollten Beachtung finden und vereinbart werde, da sich der Sitz einer Großzahl von Cloud-Anbietern in den USA befindet und somit eine Drittlandübermittlung nicht ausgeschlossen werden kann. Nach wie vor ist der Datentransfer in Drittstaaten mit Unsicherheiten behaftet, gerade in Hinblick auf Ungültigkeitserklärung des Privacy-Shield-Abkommens und der damit einhergehenden Problematik des Drittlandtransfers ohne allgemeingültige rechtliche Grundlage und ohne das Vorliegen eines gleichen Datenschutzniveaus wie in der EU. Folglich ist die Verwendung von SCC von großer Bedeutung.
Darüber hinaus sollte ein Anbieter gewählt, welcher im Besitz des sogenannten Cloud-Computing-Zertifikats ist. Mit diesem Begriff werden Zertifikate und Testate bezeichnet, welche die angebotene Informationssicherheit eines Cloud-Anbieters nachweisen. Auch Verschlüsselungs- und Anonymisierungsoptionen sollten stets vom User genutzt und generell möglichst Dienstleister mit Serverstandort in EU ausgewählt werden. Des Weiteren bedürfen die Back-up-Optionen der genauen Beachtung und Prüfung, ebenso wie einsehbare Protokolle zum Monitoring. Insbesondere sollten Unternehmen, welche personenbezogene Daten verarbeiten, genaustens darauf achten, mit welchem Anbieter sie arbeiten oder wessen Dienste sie nutzen. Es empfiehlt sich grundsätzlich, sehr sensibel in Bezug auf die Speicherung von personenbezogenen Daten in der Cloud zu sein. Auch hinsichtlich der Informationspflichten, welche den Verantwortlichen einer Verarbeitung treffen sowie der Einwilligungserklärungen, welche eingeholt werden müssen, sofern doch personenbezogene Daten gespeichert werden, sollte der Verantwortliche alle gesetzlichen Vorgaben einhalten, und die erforderlichen Informationen zur Verfügung stellen. Insbesondere die Nutzung der kostenpflichtigen Versionen empfiehlt sich für Unternehmen, da hier der Datenschutz in der Regel besser beachtet wird. Für ein höheres Sicherheitsniveau sollte darüber hinaus eine Verschlüsselung separat vom Anbieter Verwendung finden. Im Rahmen der technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO (TOM) sollten diese zusätzlichen Sicherheitsmechanismen dokumentiert und eingehalten werden. Auch die Sensibilisierung und Aufklärung der Mitarbeiter hinsichtlich des Datenschutzes ist von enormer Wichtigkeit, ebenso wie die Auswahl eines Anbieters mit einer Ende-zu-Ende-Verschlüsselung.
Ist Dropbox datenschutzkonform?
Hinsichtlich der Frage, wie datenschutzkonform der Einsatz von Dropbox ist, gilt es festzustellen, dass die kostenpflichtige Version von Dropbox – Dropbox Business – viele Zertifikate vorweisen kann und somit ein gewisses Maß an Sicherheit gewährleistet wird.
Dropbox befindet sich zudem auf dem neusten Stand bei Verschlüsselungen und den eingesetzten Techniken, womit der Nutzer einziger Inhaber der Rechte der Daten bleibt. Darüber hinaus wird hier die sogenannte Zweifaktor-Authentifizierung genutzt, durch welche ein Missbrauch der Daten minimiert wird und zusätzliche Sicherheitsmaßnahmen den Schutz (personenbezogener) Daten gewährleisten. Weiterhin hat Dropbox ein Whitepaper zum Thema Datenschutz veröffentlicht, wodurch eine Aufklärung der Nutzer hinsichtlich der Informationssicherheit und des Datenschutzes stattfinden soll. Sofern in die AGB von Dropbox eingewilligt wird, werden allerdings eingeschränkte Rechte an Dropbox übertragen. Auch ist es möglich, dass Dropbox die Verschlüsselung, sobald die Polizei dies im Rahmen von Ermittlung verlangt, entschlüsselt und Daten der Nutzer weitergibt. Des Weiteren ist die Lage des Rechenzentrums in den USA als Risiko zu werten, da dadurch die Möglichkeit gegeben wird, auch Daten von EU-Bürgern einsehen zu können. Die Durchführung jährlicher Kontrollen der Sicherheitsvorkehrungen führt allerdings dazu, dass ein angemessenes Sicherheitsniveau gewährleistet wird.
Als Fazit lässt sich festhalten, dass Dropbox DSGVO-konform genutzt werden kann, sofern Standardvertragsklausel abgeschlossen werden, eine DSFA durchgeführt und eine gesonderte Verschlüsselung genutzt wird. Optimalerweise erfolgt damit die Speicherung von der Verschlüsselung getrennt und eine Zero Knowledge Verschlüsselung ist vorhanden.
Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!
Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.
Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.
Alternative Cloudanbieter
Welche Alternativen bieten sich für User an? Festzustellen ist, dass erhobene Daten sehr oft für Werbezwecken verwendet werden. So kann pauschal angenommen werden, dass der Nutzer bei kostenlosen Cloud-Services meist mit seinen Daten zahlt. Als Alternative zu Dropbox lässt sich der Dienst Teamdrive aus Deutschland nennen. Durch den Sitz in der EU findet so keine Übertragung von Daten an Drittländer statt und eben diese Problematik kann umgangen werden. Weiterhin besitzt beispielsweise der Anbieter Open Telekom ein TCDP-Zertifikat, an welchem es bei Dropbox mangelt. Beide Dienste stellen sich somit als angemessene Alternativen dar. Bei anderen großen alternativen Anbietern wie OneDrive und Google Drive sind ähnliche Sicherheitsvorkehrungen wie bei Dropbox zu verzeichnen, ebenso wie der US-Sitz der Muttergesellschaften.
Welche Daten sind in der Cloud nicht geschützt?
Allerdings gilt es, für einen Gesamtüberblick auch deutlich herauszustellen, dass sämtliche Anbieter im Zuge der Nutzung von Clouds Zugriff auf die Schlüssel und somit auch auf die Daten der Nutzer haben. Dies ist der Notwendigkeit geschuldet, dass ein Zugriff möglich sein muss, sobald Behörden ebendiesen einfordern. Aus diesem Umstand ergibt sich die Konsequenz, dass Anbieter auch gegen den Willen der Nutzer Daten herausgeben müssen, sobald dies gesetzlich bestimmt und begründet ist. Als Lösung bzw. zur Milderung der Problematik stellt sich die Trennung von Verschlüsselung und Speicher dar.
Schon während des Wirtschaftsrechts-Studiums entdeckte Frau Konstanze Krollpfeiffer ihr großes Interesse für den Datenschutz und arbeitete bereits als Werkstudentin bei der Keyed GmbH. Nach dem Abschluss des Studiums unterstützt sie das Team nunmehr als Junior Data Protection Consultant und betreut Kunden bei der Umsetzung datenschutzrechtlicher Vorgaben sowie bei der Etablierung datenschutzrechtlicher Standards. Durch ihre juristische sowie wirtschaftsrechtliche Ausbildung bringt Frau Krollpfeiffer dabei die notwendige Sachkenntnis mit.
