Datenschutz und Dropbox: Was Sie bei der Cloud-Nutzung beachten sollten

Cloud-Dienste erfreuen sich heute riesiger Beliebtheit und sind auch aus dem Arbeitsalltag vieler nicht mehr wegzudenken. Die moderne Arbeitswelt macht es notwendig, orts- und geräteunabhängig auf Dateien zugreifen, gemeinsam an Dokumenten arbeiten und Inhalte reibungslos teilen zu können. Außerdem steigt der Bedarf an Speicherplatz ständig und die Nutzung von Cloud-Diensten ist i.d.R. günstiger, als die unternehmenseigene IT-Infrastruktur auszubauen. Allerdings ist es wichtig, sich bewusst zu machen, dass die Nutzung einer Cloud bedeutet, dass die hochgeladenen Daten auf den Servern fremder Unternehmen und häufig außerhalb der EU gespeichert werden. Da die hochgeladenen Dateien oft auch personenbezogene Daten enthalten, gilt es geltendes Datenschutzrecht zu beachten.

Geschäftliche Nutzung von Cloud-Diensten: Diese 8 Punkte sollten Sie datenschutzrechtlich beachten

1. Als erstes sollte geprüft werden, ob es sich vermeiden lässt, personenbezogene Daten in eine Cloud zu laden. Wenn dies der Fall ist, sollten Sie zwar trotzdem weiter auf den Aspekt der Datensicherheit achten, doch zumindest der Datenschutz spielt dann keine Rolle mehr.
2. Werden Cloud-Dienste auch für Daten mit Personenbezug in Anspruch genommen, gilt es alle Betroffenen darüber zu informieren (Informationspflicht) und ihre Einwilligung einzuholen.
3. Nutzen Sie eine kostenpflichtige Business-Version des Cloud-Speichers! Die meisten großen Cloud-Anbieter stellen spezielle Versionen für Unternehmen zur Verfügung, bei denen das Sicherheits- und Datenschutzniveau höher ist. Nutzt man eine kostenlose Cloud, sollte man sich im Klaren darüber sein, dass man mit seinen Daten bezahlt. Entsprechende Rechte räumen sich die Anbieter meist klar in ihren Datenschutzbestimmungen ein.
4. Findet eine Datenübermittlung in ein sog. Drittland außerhalb der EU/des EWR statt, ist darauf zu achten, dass die DSGVO-Vorgaben für einen sicheren Drittlandtransfer eingehalten werden. Das ist bspw. gewährleistet, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Auch der Abschluss von Standarddatenschutzklauseln mit dem Anbieter ist möglich, wobei die Vorgaben des „Schrems II“-Urteils des EuGH zu beachten sind und im Einzelfall geprüft werden muss, ob weitere Maßnahmen für die Sicherstellung eines hinreichenden Datenschutzniveaus notwendig sind.
5. Weitere wichtige Zertifizierungen in diesem Bereich, auf die Sie achten können, sind der C5 (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik, das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie und die Zertifizierung nach ISO 27017 (Cloud-Sicherheit) und ISO 27018 (Datenschutz und Datensicherheit in der Cloud).
6. Seit dem Inkrafttreten der DSGVO können im Fall einer Datenschutzverletzung nicht mehr nur die Nutzer der Cloud haftbar gemacht werden. Auch Cloud-Anbieter müssen nun belegen können, dass sie personenbezogene Daten angemessen schützen. Darum ist es unerlässlich, dass ein Auftragsverarbeitungsvertrag mit dem Cloud-Dienstleister geschlossen und die beidseitigen Verantwortlichkeiten klar definiert werden.
7. In den Business-Versionen der Cloud-Dienste werden Daten i.d.R. verschlüsselt. Da die Verschlüsselung allerdings vom Anbieter selbst vorgenommen wird, kann er sie auch entschlüsseln. Daher wird die maximal mögliche Sicherheit gewährleistet, wenn Sie die Verschlüsselung vom Cloud-Anbieter trennen und die Dienste eines unabhängigen Unternehmens für Zero-Knowledge-Verschlüsselung in Anspruch nehmen.
8. Legen Sie klare Richtlinien für Mitarbeiter fest und sensibilisieren Sie sie für den Datenschutz bei der Nutzung von Cloud-Speichern! Eines der größten datenschutzrechtlichen Risiken bei der Cloud-Nutzung ist der versehentlich oder mutwillig herbeigeführte Datenverlust. Ganz schnell ist ein sensibles Dokument aus Versehen in einen falschen Ordner hochgeladen, auf den auch unbefugte Mitarbeiter Zugriff haben. Natürlich sind neben der Sensibilisierung auch technische Maßnahmen wie Zugriffskontrollen notwendig.

Dropbox und mögliche Alternativen

Fangen wir mit dem Positiven an: Dropbox Business hat inzwischen die meisten der oben genannten Zertifizierungen sowie einige weitere und weist damit schon mal ein gewisses Datenschutzniveau nach. Allein ein Zertifikat des TCDP konnten wir nicht finden. Die Verschlüsselung befindet sich auf dem neuesten technischen Stand. Ruhende Daten (also solche, die auf den Servern abgelegt sind) werden mit AES mit 256-Bit verschlüsselt, bei der Datenübertragung findet eine SSL/TLS-Verschlüsselung statt. Außerdem bleibt der Nutzer alleiniger Inhaber der Rechte an den Daten.

Allerdings: Zumindest die für das Betreiben des Services notwendigen, eingeschränkten Rechte werden mit Einwilligung in die AGBs an Dropbox übertragen. Laut Aussage des Cloud-Anbieters geschieht dies, um Backups auf rechtlicher Ebene abzudecken. Außerdem sollte man sich bewusst machen, dass Dropbox alle verschlüsselten Daten aus oben erklärten Gründen entschlüsseln kann. Dies könnte z.B. im Falle polizeilicher oder behördlicher Ermittlungen eine Rolle spielen, da Dropbox als US-Unternehmen dann verpflichtet wäre, US-amerikanischen Behörden Daten auszuhändigen, selbst wenn es sich um Daten von EU-Bürgern handelt.
Die Daten von Dropbox-Nutzern werden übrigens in Rechenzentren von Drittanbietern in den USA gespeichert. Ein Mal pro Jahr werden die Sicherheitsvorkehrungen dieser Anbieter von Dropbox geprüft.

Auch wenn unser Urteil für den Datenschutz bei Dropbox also nicht schlecht ausfällt, macht es durchaus Sinn, sich Alternativen von EU-Anbietern anzusehen. Wann immer möglich, sollte eine Übermittlung von personenbezogenen Daten über die Grenzen der EU vermieden werden.

• Eine mögliche Alternative ist z.B. das deutsche Unternehmen TeamDrive: Die Cloud ist mit denen der US-amerikanischen Anbieter vergleichbar, aus datenschutzrechtlicher Perspektive allerdings allein durch den Standort unbedenklicher. Außerdem bietet TeamDrive die Möglichkeit einen unternehmensinternen Server zu nutzen, aber trotzdem von der Infrastruktur einer Cloud-Lösung zu profitieren, sprich Dateien teilen, gemeinsam bearbeiten und ortsunabhängig auf diese zugreifen.
• Aus Datenschutzsicht ebenfalls empfehlenswert, ist die Open Telekom Cloud. Diese besitzt auch die Zertifizierung des TCDPs.