Die Nutzung von Cloud-Speicher-Diensten liegt bei Unternehmen im Trend. Das verwundert erstmal nicht, denn oft ist es günstiger, Daten in der Cloud zu speichern, als eine adäquate IT-Infrastruktur selbst zu unterhalten. Die Kosten einer eigenen Speicher-Lösung in Verbindung mit einer hohen Datensicherheit liegen meistens deutlich höher.
Außerdem werden Services, wie OneDrive oder Dropbox, stetig weiterentwickelt. Nie zuvor war das Angebot zu komfortabel. Mitarbeiter können beispielsweise Daten über mehrere Geräte hinweg synchronisieren und Dateien jederzeit am Computer oder Smartphone abrufen. Zugleich ist der Einstieg ganz leicht, im Regelfall muss nur der jeweilige Client auf dem Computer oder Smartphone installiert werden und schon lassen sich Dateien hoch- und herrunterladen.
Die Anzahl an Anbietern im Feld der Cloud-Speicher ist groß. Allerdings gibt es eine handvoll an Anbietern, die den Markt klar dominieren. Diese sind:
- Amazon (Amazon Drive)
- Apple (iCloud)
- Google (Google Drive)
- Microsoft (OneDrive)
- Dropbox (Dropbox)
Risiko: Es drohen Verstöße gegen den Datenschutz
Die Cloud-Speicher Dienste der genannten Anbieter werden so oft genutzt, weil sie praktisch sind und sich der Einstieg leicht gestaltet. Gerade in kleinen und mittelständischen Unternehmen sind die IT-Abteilungen meist überschaubar. In einem kurzen Test wird der Cloud-Speicher ausprobiert und dann häufig für gut befunden.
Leider kommt es immer noch viel zu oft vor, dass bei der Übermittlung von Dateien niemand an den Datenschutz denkt. Die Folge ist, dass unbewusste Verstöße gegen Datenschutzbestimmungen begangen werden. Zwar ist im Allgemeinen nichts gegen die Nutzung solcher Cloud-Dienste einzuwenden, doch es bestehen sehr viele Risiken.
Die Nutzung von Cloud-Speicher-Diensten ist unproblematisch, solange keine Daten mit Personenbezug in die Cloud geladen werden. Doch sobald es sich um personenbezogene Daten handelt, drohen Verstöße gegen geltende Datenschutzbestimmungen. Hierfür zeigen sich vorrangig zwei Risiken verantwortlich.
Zum einen gilt es sich beim Thema Datenschutz darüber im Klaren zu sein, dass die Speicherung der Daten auf den Servern fremder Unternehmen erfolgt. Theoretisch könnten also unbefugte Dritte auf die Daten zugreifen. Zum anderen befinden sich die Server der Anbieter meistens außerhalb der EU.
Ein Großteil der Daten wird auf Server geladen, die sich in den USA und somit in einem Drittstaat befinden oder sogar über mehrere Rechenzentren, weltweit verteilt liegen.
Werden Aufsichtsbehörden auf das unzureichende Datenschutzniveau aufmerksam, drohen ernsthafte Schwierigkeiten. Verstöße gegen die Datenschutzbestimmungen werden mit hohen Bußgeldern geahndet und können darüber hinaus zu Schadenersatzforderungen der Betroffenen führen.
Erschwerend kommt hinzu, dass die Anwender nicht abschätzen können, welche Daten darüber hinaus übermittelt und erhoben werden. Hier drohen Geheimnispreisgabe und weiterer schwere Folgen.
Cloud-Speicher im Einklang mit geltenden Datenschutzbestimmungen nutzen
Es ist nicht so, dass sich die Nutzung von Cloud-Speicher Diensten prinzipiell ausschließt. Im Grunde gilt es im Vorfeld zu prüfen, ob die Nutzung solcher Dienste und die damit verbundene Übermittlung von Dateien den bestehenden Datenschutzanforderungen gerecht wird.
Der Datenschutzbeauftragte des Unternehmens sollte u.a. folgende Fragen stellen:
- Personenbezug: Werden personenbezogene Daten in die Cloud geladen?
- Serverstandort: Wo befinden sich die Server des Cloud-Anbieters?
- Welche Daten werden zusätzlich, evtl. unbemerkt und im Hintergrund übermittelt?
- Wie seriös ist der Anbieter?
- Welche Zertifizierungen kann der Anbieter aufweisen?
- Welche Verschlüsselung wird genutzt?
Sollten sich die Server des Cloud-Anbieters in einem Drittstaat, wie z.B. den USA befinden, muss der Serverstandort nicht automatisch ein Ausschluss-Kriterium sein. Womöglich besteht ein Datenschutzabkommen, wie z.B. das EU-US Privacy Shield Framework, das einen sicheren Austausch personenbezogener Daten in der Cloud gestatten kann. In diesem Zusammenhang möchten wir anmerken, dass mittlerweile viele Unternehmen, denen auch Dropbox, Google und Microsoft angehören, die Privacy Shield Zertifizierung erfolgreich durchlaufen haben. Allerdings sind hier auch die Nutzungsbedingungen und die Hintergrundabläufe zu prüfen. Häufig stellen sich hier Hindernisse in den Weg, welche eine Nutzung wieder unratsam machen.
Trotz Zertifizierung keine Daten voreilig hochladen
Allerdings bedeutet solch eine Zertifizierung nicht automatisch, dass ein ausreichendes Datenschutzniveau besteht und eine Datenübermittlung im Hinblick auf den Datenschutz zulässig ist. So gilt es u.a. zu wissen, dass die Privacy Shield Zertifizierung in mehreren Formen existiert und z.B. Personaldaten ausgeschlossen sein können. Somit bleibt eine genaue Prüfung der Anbieter und deren Umgang mit den Daten zwingend erforderlich.
Datenschutz: Wie sicher sind meine Daten, was wird mitgeschnitten und weitergegeben?
Die Nutzungsbedingungen und Datenschutzerklärungen der Cloud-Speicher-Dienste sind sehr lang und erfordern auf Grund schwammiger und verschachtelter Formulierungen konzentriertes Lesen. Es gibt Passagen bei denen aber selbst das nicht ausreicht, um die juristische Tragweite dahinter zu verstehen, schon gar nicht als reiner Nutzer bzw. Anwender. Trotzdem möchten wir Ihnen an dieser Stelle einen Einblick in diese Texte und deren Inhalt geben.
Amazon Cloud Drive
Amazon Cloud Drive ist ein Cloud-Speicher zum Aufbewahren von Fotos und Dateien. Der Online-Speicher bietet 5 Gigabyte kostenlosen Speicherplatz, der sich erweitern lässt. Wer ein Mobilgerät nutzt, kann sich eine App installieren, die Synchronisationsfunktion und Chronik-Layout zur Bilder-Suche bietet.
Amazon bietet eine Verschlüsselung per SSL für alle Daten, die vom Nutzer aus an Amazon übermittelt werden. Das bezieht sich auf Account-Daten, ebenso wie auf Daten die bei Amazon Drive hochgeladen werden. Amazon kann laut Nutzungsbedingungen auf alle Dateien zugreifen, sie nutzen und aufbewahren, um den Service anbieten zu können und die Bedingungen der Vereinbarung durchzusetzen und man gibt Amazon sämtliche Genehmigungen, die dafür benötigt werden. Zu diesen Genehmigungen gehören zum Beispiel die Rechte, Dateien zu Sicherungszwecken zu kopieren, Dateien zu modifizieren, um den Zugriff in verschiedenen Formaten zu ermöglichen oder Informationen über Dateien zu nutzen, um diese für den Nutzer zu organisieren und den Zugriff zu ermöglichen. Darüber hinaus erfasst und speichert Amazon alle Informationen, die auf der Website eingegeben oder in anderer Weise übermittelt werden.
Google Drive
Der Online-Speicher Google Drive bietet 15 GByte kostenlosen Speicherplatz für Datensicherungen und Daten, auf die man von anderen Rechnern aus zugreifen möchte. Dabei erlaubt es Google Drive, Dateien und Ordner auch für andere zugänglich zu machen, sodass eine Zusammenarbeit möglich wird. Wer mit dem kostenlosen Speicherplatz nicht auskommt, kann mehr Speicherplatz hinzukaufen.
Wer seine Daten bei Google Drive hochlädt, der räumt Google das Recht ein diese Inhalte weltweit zu verwenden, zu hosten, zu speichern, zu vervielfältigen, zu verändern, abgeleitete Werke daraus zu erstellen (einschließlich solcher, die aus Übersetzungen, Anpassungen oder anderen Änderungen resultieren, die vorgenommen werden, damit Inhalte besser in den Google-Diensten funktionieren), zu kommunizieren, zu veröffentlichen, öffentlich aufzuführen, öffentlich anzuzeigen und zu verteilen. Diese im Rahmen dieser Lizenz gewährten Rechte dienen ausschließlich zur Erbringung, Durchführung, Förderung und Verbesserung der Dienste sowie zur Entwicklung neuer Dienste. Auch Google nutzt bei vielen Diensten eine SSL-Verschlüsselung. Außerdem erklärt Google, das alle bei Google Drive hochgeladenen Daten in „sicheren Rechenzentren“ gespeichert werden.
Link zu den Nutzungsbedingungen
Microsoft OneDrive (ehemals SkyDrive)
Der Cloud-Speicher Microsoft OneDrive (ehemals SkyDrive) ist der Ort für Dateien auf die man unterwegs zugreifen möchte. Die dort abgelegten Dokumente, Fotos und Videos lassen sich für Freunde und Bekannte freigeben, sodass auch sie Zugriff auf die Daten haben. OneDrive dient zudem als Online-Backup und erlaubt das Herunterladen ganzer Ordner als ZIP-Datei.
Microsoft versucht den Nutzer milde zu stimmen: „Wir beanspruchen kein Eigentum an Ihren Inhalten, Ihre Inhalte bleiben Ihre Inhalte(…)“. Die nachfolgenden Ausführungen gleichen inhaltlich aber denen bei Amazon und Google. So gewährt man auch Microsoft eine weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung der eigenen Inhalte, zum Beispiel um Kopien der Inhalte zu erstellen oder diese aufzubewahren, zu übertragen, neu zu formatieren, mithilfe von Kommunikationswerkzeugen zu verteilen und über die Dienste anzuzeigen – soweit dies notwendig ist, um dem Nutzer und anderen die Dienste bereitzustellen (z. B. durch das Ändern von Größe, Form oder Format der Inhalte zur besseren Speicherung oder Anzeige), um den Nutzer und die Dienste zu schützen und um die Produkte und Dienste von Microsoft zu verbessern. Falls man seine Inhalte in Bereichen eines Dienstes veröffentlicht, in denen sie öffentlich oder ohne Einschränkungen online verfügbar gemacht werden, können diese Inhalte auch in Demos oder Materialien zur Bewerbung des Diensts erscheinen.
Dropbox
Dropbox speichert Daten auf einem Online-Speicher im Internet und synchronisiert sie mit angeschlossenen Computern. Nutzer müssen die zu sichernden Daten in den entsprechenden Dropbox-Ordner auf der Rechner-Festplatte schieben, die dann automatisch via Internetverbindung auf den Online-Speicher übertragen werden. Zudem lassen sich einzelne Ordner für Freunde und Teammitglieder freigeben, sodass diese auch auf die enthaltenen Dateien zugreifen können. Wer Dropbox nutzen will, muss sich zuvor registrieren und erhält 2 GByte Onlinespeicher kostenlos, der sich bis 100 GByte kostenpflichtig erweitern lässt. Neben der Version für Desktop-Rechner ist Dropbox auch für viele Geräte mit Touchbedienung als App erhältlich.
Kontodaten wie Name, E-Mail-Adresse, Telefonnummer, Zahlungsinformationen, Postanschrift und Kontoaktivität werden, wie bei den meisten Cloud-Anbietern, auch bei Dropbox mitgeschnitten und verwendet. Um Dateien aufzubewahren, mit anderen Nutzern zusammenarbeiten und über mehrere Geräte hinweg arbeiten zu können, werden hochgeladene Dateien (dazu gehören neben Dateien auch Nachrichten, Kommentare, Fotos usw.) sowie zugehörige Informationen von Dropbox gespeichert, verarbeitet und übertragen. Bei diesen Informationen handelt es sich um Dinge wie die Profilinformationen, also um Informationen, die die Zusammenarbeit und das Freigeben von Inhalten für andere erleichtern. Dropbox bietet in den Einstellungen verschiedene Optionen für die Freigabe der hochgeladenen Dateien.
Fazit
Daten sammeln alle Anbieter ausnahmslos. Das sollte keine Überraschung sein. Wie intensiv und zu welchem Zweck – da gibt es größere Unterschiede. Seine persönlichen Daten in eine Cloud hochzuladen setzt, großes Vertrauen voraus – bei Unwissenheit ein hohes Maß an Fahrlässigkeit. Je nach Anbieter und Nutzungsbedingungen sowie Wichtigkeit und Sensibilität der eigenen Daten hat man die Wahl zwischen höheren Kosten für weniger Speicherplatz zugunsten eines Anbieters, der an deutsche Datenschutzbestimmungen gebunden ist und geringeren Kosten für viel Speicherplatz bei einem Unternehmen, dessen Firmensitz sich im außereuropäischen Ausland befindet (Bei diesen ist die Datensammel-Wut eher groß). Bei besonders sicherheitsrelevanten oder privaten Daten raten wir nach wie vor nicht dazu, diese bei einem Cloud-Speicher-Dienstleister zu speichern.
Ein Anbietervergleich setzt Zeit und Erfahrung voraus
Kleine und mittlere Unternehmen haben bei der Entscheidung für einen Cloud-Anbieter oftmals nicht das notwendige technische Wissen, um die verfügbaren Lösungen im Hinblick auf den Datenschutz zu bewerten. Und wird eine Cloud-Lösung erst einmal genutzt, stehen Unternehmen einem Wechsel eher kritisch gegenüber.
Allgemein gilt: Cloud-Lösungen sind nicht verboten. Allerdings ist es riskanter, einen Anbieter aus einem Drittland zu nutzen, da die Gefahr, dabei zum Teil erhebliche datenschutzrechtliche Fehler zu begehen, überaus groß ist. Die geltenden Datenschutzbestimmungen bringen folgende gesetzliche Neuerung: Cloud-Nutzer haften nun nicht mehr alleinig. Im Zuge der Beweislastumkehr müssen nun auch Cloud-Anbieter belegen können, dass eine Verarbeitung von personenbezogenen Daten den Vorschriften der DSGVO entspricht.
Auch bei Gesetzesverstößen haften fortan beide Parteien, nicht mehr der Cloud-Nutzer allein.
Sicherheit ist nicht gleich Datenschutz
Darauf ausruhen können sich Unternehmen, die Cloud-Dienste nutzen, jedoch nicht. Auch wenn je nach Komplexität der Datenverarbeitung und Schutzwürdigkeit der personenbezogenen Daten bestimmte Sicherheitsstufen bei einer Cloud-Lösung benötigt werden, so kann von Daten-„Schutz“ nicht unbedingt die Rede sein. So musste der US-amerikanische Anbieter Dropbox bereits dem starken Druck nachgeben und seine Datenschutzbestimmungen anpassen. Sicherheitstechnischer Nachbesserungsbedarf besteht bei Dropbox und anderen Cloud-Anbietern jedoch weiterhin – beispielsweise bei der Verschlüsselung beim digitalen Versand z.B. von Dokumenten. Eine Alternative bieten ausgewählte deutsche Unternehmen. Diese Lösung bietet Features, welche mit denen der US-amerikanischen Anbieter vergleichbar, aus datenschutzrechtlicher Perspektive allerdings unbedenklicher sind. Je nach Bedarf kann eine vom Unternehmen gehostete Lösung verwendet oder die Technologie auf einem eigenen Server betrieben werden. So können Unternehmen ihre Daten lokal speichern, ohne dass ein Drittland oder ein Unterbeauftragter benötigt werden.
Anforderungen an Cloud-Dienste
Empfehlenswert ist die Wahl eines nach Trusted-Cloud-Datenschutzprofil (TCDP) zertifizierten Cloud-Anbieter. Dies garantiert, dass der Cloud-Dienst den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) an Cloud Computing entspricht. Auch hier führt die DSGVO zu Neuerungen.
Als Cloud-Nutzer sind Unternehmen/Inhaber für die Datenverarbeitung verantwortlich und haften somit auch für die Datenverarbeitung innerhalb der Cloud. Um die Haftung des Unternehmens bei DSGVO-Verstößen des Cloud-Anbieters zu beschränken, sollten Unternehmen diesen zur Unterzeichnung eines Auftragsverarbeitungsvertrages verpflichten. Diese Verträge spezifizieren weitreichende technische und organisatorische Maßnahmen, denen der Cloud-Anbieter zum Schutz Ihrer Daten in der Cloud nachkommen muss. Bei der Erstellung dieser Auftragsverarbeitungsverträge, bei der datenschutzrechtlichen Dokumentation sowie bei etwaigen Behörden- oder Betroffenenanfragen sollte ein qualifizierter Datenschutzbeauftragter unterstützen.
Ein eigener Server ist nicht immer die bessere Alternative
Ergibt eine eigene Serverlösung für besseren Datenschutz mehr Sinn? Leider nicht immer. Dies muss im Einzelfall entschieden werden und hängt von den Kerntätigkeiten sowie den Datenverarbeitungsprozessen des Unternehmens ab. Ein eigener Server lohnt sich für Unternehmen, die eine eigene Plattform anbieten, viel Serverleistung benötigen und über einen langen Zeitraum hinweg konstante Anforderungen haben – oder aber, wenn sehr sensible Daten verarbeitet werden. Steuerberater und Ärzte zum Beispiel verfügen über eine planbare Datenbasis sowie durchaus sensible Datensätze. Allerdings mangelt es in vielen Fällen am technischen Wissen, so dass oftmals dennoch Cloud-Speicher-Dienste großer Anbieter bevorzugt werden. Zumindest im medizinischen Bereich gibt es durchaus auch spezialisierte Anbieter, die ihre Lösung an die Erfordernisse der Branche angepasst haben.
Neueste Kommentare