Die Nutzung von Cloud-Speicher Diensten liegt bei Unternehmen im Trend. Kein Wunder, denn oft ist es günstiger, Daten in der Cloud zu speichern, als eine adäquate IT-Infrastruktur selbst zu unterhalten. Die Kosten einer eigenen Speicher-Lösung in Verbindung mit einer hohen Datensicherheit würden meist deutlich höher liegen.
Außerdem werden Services, wie OneDrive oder Dropbox, stetig weiterentwickelt. Die Cloud-Speicher Dienste ermöglichen kollaboratives Arbeiten. Mitarbeiter können beispielsweise Daten über mehrere Geräte hinweg synchronisieren und Dateien jederzeit am Computer oder Smartphone abrufen. Zugleich ist der Einstieg ganz leicht, im Regelfall muss nur der jeweilige Client auf dem Computer oder Smartphone installiert werden, schon lassen sich Dateien hoch- und runterladen.
Die Anzahl an Anbietern im Feld der Cloud-Speicher ist groß. Allerdings gibt es eine handvoll an Anbietern, die den Markt klar dominiert. Dies sind:
- Amazon (Amazon Drive)
- Apple (iCloud)
- Google (Google Drive)
- Microsoft (OneDrive)
- Dropbox (Dropbox)
Risiko: Es drohen Verstöße gegen den Datenschutz
In kleinen und mittelständischen Unternehmen sind die IT-Abteilungen meist überschaubar. Typischerweise wird der Cloud-Speicher (vor allem Dropbox und OneDrive sind im Mittelstand sehr verbreitet) in einem kurzen Test ausprobiert und für gut befunden. Doch bei der Übermittlung von Dateien wird nicht immer an den Datenschutz gedacht. Als Folge drohen unbewusste Verstöße gegen rechtliche Datenschutzbestimmungen.
Zwar ist im Allgemeinen nichts gegen die Nutzung solcher Cloud-Dienste einzuwenden, doch es bestehen einige Risiken. Die Nutzung von Google Drive, OneDrive, Dropbox und Co. ist unproblematisch, solange keine Daten mit Personenbezug in die Cloud geladen werden. Doch sobald es sich um personenbezogene Daten handelt, drohen Datenschutzverletzungen. Hierfür zeigen sich vorrangig zwei Risiken verantwortlich.
- Beim Thema Datenschutz darüber im Klaren zu sein, dass die Speicherung der Daten auf den Servern fremder Unternehmen erfolgt. Theoretisch könnten also unbefugte Dritte auf die Daten zugreifen.
- Die Server der Anbieter befinden sich nicht immer innerhalb der EU bzw. im EWR. Im Gegenteil: Ein Großteil der Daten wird auf Server geladen, die sich in den USA und somit in Drittstaaten befinden.
Werden Aufsichtsbehörden auf das unzureichende Datenschutzniveau aufmerksam, drohen ernsthafte Schwierigkeiten. Im schlimmsten Fall können solche Verstöße gegen die Datenschutzbestimmungen mit hohen Bußgeldern geahndet werden.
Cloud-Speicher im Einklang mit geltenden Datenschutzbestimmungen nutzen
Die Nutzung von Cloud-Speicher Diensten schließt sich nicht prinzipiell aus. Jedoch ist zu prüfen, ob die Nutzung solcher Dienste und die damit verbundene Übermittlung von Dateien den bestehenden Datenschutzanforderungen gerecht wird. Der Datenschutzbeauftragte des Unternehmens sollte u.a. folgende Fragen stellen:
- Personenbezug: Werden personenbezogene Daten in die Cloud geladen?
- Serverstandort: Wo befinden sich die Server des Cloud-Anbieters?
Sollten sich die Server des Cloud-Anbieters in einem Drittstaat, wie z.B. den USA befinden, muss der Serverstandort nicht automatisch ein K.O.-Kriterium sein. Womöglich besteht ein Datenschutzabkommen, wie z.B. das EU-US Privacy Shield Framework, das einen sicheren Austausch personenbezogener Daten in der Cloud gestatten kann. In diesem Zusammenhang möchten wir anmerken, dass mittlerweile viele Unternehmen, denen auch Dropbox, Google und Microsoft angehören, die Privacy Shield Zertifizierung erfolgreich durchlaufen haben. Update: Die Privacy Shield Zertifizierung wurde vom europäischen Gerichtshof als unzureichend eingestuft. Unternehmen müssen daher auf andere Datenschutzlösungen ausweichen, um personenbezogene Daten auf Server in Drittstaaten übermitteln zu dürfen. Dies können z.B. sein:
- Standardvertragsklauseln
- Einwilligung der Betroffenen
- Corporate Binding Rules (bei Datentransfers innerhalb des Konzerns)
Wir unterstützen Sie beim Datenschutz
Unternehmen, die mehr hierüber erfahren möchten, stehen wir sowohl als externer Datenschutzbeauftragter als auch im Rahmen unserer Datenschutzberatung zur Verfügung. Wir sind bundesweit tätig, in Städten wie Berlin, Frankfurt am Main und Stuttgart. Für weitere Informationen erreichen Sie uns unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.