Cloud-Speicher: Was Unternehmen über den Datenschutz bei Dropbox, OneDrive und Co. wissen müssen

13.03.2017

IT Sicherheit

Die Nutzung von Cloud-Speicher Diensten liegt bei Unternehmen im Trend. Kein Wunder, denn oft ist es günstiger, Daten in der Cloud zu speichern, als eine adäquate IT-Infrastruktur selbst zu unterhalten. Die Kosten einer eigenen Speicher-Lösung in Verbindung mit einer hohen Datensicherheit würden meist deutlich höher liegen.

Außerdem werden Services, wie OneDrive oder Dropbox, stetig weiterentwickelt. Nie zuvor war der gebotene Komfort so groß. Mitarbeiter können beispielsweise Daten über mehrere Geräte hinweg synchronisieren und Dateien jederzeit am Computer oder Smartphone abrufen. Zugleich ist der Einstieg ganz leicht, im Regelfall muss nur der jeweilige Client auf dem Computer oder Smartphone installiert werden, schon lassen sich Dateien hoch- und runterladen.

Die Anzahl an Anbietern im Feld der Cloud-Speicher ist groß. Allerdings gibt es eine handvoll an Anbietern, die den Markt klar dominiert. Dies sind:

  • Amazon (Amazon Drive)
  • Apple (iCloud)
  • Google (Google Drive)
  • Microsoft (OneDrive)
  • Dropbox (Dropbox)

Risiko: Es drohen Verstöße gegen den Datenschutz

Die Cloud-Speicher Dienste der genannten Anbieter werden vor allem deshalb so oft genutzt, weil sie praktisch sind und sich der Einstieg leicht gestaltet. Gerade in kleinen und mittelständischen Unternehmen sind die IT-Abteilungen meist überschaubar. In einem kurzen Test wird der Cloud-Speicher (vor allem Dropbox und OneDrive sind im Mittelstand sehr verbreitet) ausprobiert und dann meist für gut befunden.

Leider kommt es immer noch viel zu oft vor, dass bei der Übermittlung von Dateien niemand an den Datenschutz denkt. Die Folge ist, dass oftmals unbewusste Verstöße gegen Datenschutzbestimmungen begangen werden. Zwar ist im Allgemeinen nichts gegen die Nutzung solcher Cloud-Dienste einzuwenden, doch es bestehen einige Risiken.

Die Nutzung von Google Drive, OneDrive, Dropbox und Co. ist unproblematisch, solange keine Daten mit Personenbezug in die Cloud geladen werden. Doch sobald es sich um personenbezogene Daten handelt, drohen Verstöße gegen geltende Datenschutzbestimmungen. Hierfür zeigen sich vorrangig zwei Risiken verantwortlich.

Zum einen gilt es sich beim Thema Datenschutz darüber im Klaren zu sein, dass die Speicherung der Daten auf den Servern fremder Unternehmen erfolgt. Theoretisch könnten also unbefugte Dritte auf die Daten zugreifen. Zum anderen befinden sich die Server der Anbieter nicht immer innerhalb der EU. Im Gegenteil: Ein Großteil der Daten wird auf Server geladen, die sich in den USA und somit in einem Drittstaat befinden.

Werden Aufsichtsbehörden auf das unzureichende Datenschutzniveau aufmerksam, drohen ernsthafte Schwierigkeiten. Im schlimmsten Fall können solche Verstöße gegen die Datenschutzbestimmungen mit hohen Bußgeldern geahndet werden.

Cloud-Speicher im Einklang mit geltenden Datenschutzbestimmungen nutzen

Es ist nicht so, dass sich die Nutzung von Cloud-Speicher Diensten prinzipiell ausschließt. Im Grunde gilt es nur im Vorfeld zu prüfen, ob die Nutzung solcher Dienste und die damit verbundene Übermittlung von Dateien den bestehenden Datenschutzanforderungen gerecht wird. Der Datenschutzbeauftragte des Unternehmens sollte u.a. folgende Fragen stellen:

  • Personenbezug: Werden personenbezogene Daten in die Cloud geladen?
  • Serverstandort: Wo befinden sich die Server des Cloud-Anbieters?

Sollten sich die Server des Cloud-Anbieters in einem Drittstaat, wie z.B. den USA befinden, muss der Serverstandort nicht automatisch ein K.O.-Kriterium sein. Womöglich besteht ein Datenschutzabkommen, wie z.B. das EU-US Privacy Shield Framework, das einen sicheren Austausch personenbezogener Daten in der Cloud gestatten kann. In diesem Zusammenhang möchten wir anmerken, dass mittlerweile viele Unternehmen, denen auch Dropbox, Google und Microsoft angehören, die Privacy Shield Zertifizierung erfolgreich durchlaufen haben.

Trotz Zertifizierung keine Daten voreilig hochladen

Allerdings bedeutet solch eine Zertifizierung nicht automatisch, dass ein ausreichendes Datenschutzniveau besteht und eine Datenübermittlung im Hinblick auf den Datenschutz zulässig ist. So gilt es u.a. zu wissen, dass die Privacy Shield Zertifizierung in mehreren Formen existiert und z.B. Personaldaten ausgeschlossen sein können. Somit bleibt eine genaue Prüfung der Anbieter und deren Umgang mit den Daten zwingend erforderlich.

Wir unterstützen Sie beim Datenschutz

Unternehmen, die mehr hierüber erfahren möchten, stehen wir sowohl als externer Datenschutzbeauftragter als auch im Rahmen unserer Datenschutzberatung zur Verfügung. Wir sind bundesweit tätig, in Städten wie Berlin, Frankfurt am Main und Stuttgart. Für weitere Informationen erreichen Sie uns unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.

Schreibe einen Kommentar