Maximaler Datenschutz: Mit Sicherheit nicht mit Microsoft OneDrive

Der Datenschutz spielt in Unternehmen eine immer größere Rolle. Vor allem seit Einführung der DSGVO im Mai 2018 muss ein großes Regelwerk beachtet werden, damit vor allem personenbezogene oder andere sensible Daten korrekt gespeichert und verarbeitet werden.

Im Zuge dessen sollten auch Software-Tools, die sich bereits in Unternehmen im Einsatz befinden, auf ihre Konformität hin überprüft werden. Auch wer Cloud-Anwendungen nutzt oder plant, diese einzusetzen, muss dem Datenschutz eine große Beachtung schenken. Laut einer Presseinformation der Bitkom Research zum Thema „Cloud-Nutzung auf Rekordniveau bei Unternehmen“ geben fast alle Unternehmen (90 Prozent) an, dass sie für die Konformität der Datenschutz-Grundverordnung bei Cloud-Lösungen unverzichtbar ist. Für acht von zehn (79 Prozent) ist eine transparente Sicherheitsarchitektur essentiell, drei Viertel (76 Prozent) sehen die Integrationsfähigkeit der Lösungen als Must-have. Auch die Standortfrage beschäftigt die Cloud-Nutzer und -Planer. Für jeweils zwei Drittel müssen der Hauptsitz des Cloud-Anbieters (67 Prozent) sowie das Rechenzentrum im Rechtsgebiet der EU sitzen (66 Prozent).

Gerade bei der Verwendung von Microsoft-Produkten stoßen Nutzer spätestens beim zweiten Blick auf nicht unerhebliche Probleme, denn die Datenspeicherung zeigt aktuellen Schätzungen zufolge hohe Risiken. Dies belegt auch eine Datenschutzfolgenabschätzung (DSFA), die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit vom Unternehmen Privacy Company durchgeführt wurde.

>>>Die Ergebnisse sind alarmierend: Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Personen in großem Umfang, ohne dies öffentlich zu dokumentieren – und verstößt damit gegen die DSGVO.

>>>Da es sich bei Microsoft Office um die gängigste Datenverarbeitungssoftware handelt, ist es schwierig, als Anwender genau zu prüfen, wo die Daten gespeichert werden und zu verlangen, dass sie DSGVO-konform nur in Deutschland abgelegt werden. Aber zumindest die Entscheidung, wo die bearbeiteten Daten gespeichert werden, liegt in der Hand der Unternehmen – deswegen müssen gerade Unternehmen genau prüfen, welchen Speicherdienst sie einsetzen, um ihre Daten maximal abzusichern.

 

AUGEN AUF BEIM kleinGEDRUCKTEN

Bei der Verwendung von Microsoft OneDrive ist höchste Vorsicht geboten. OneDrive bietet als Speicherlösung von Microsoft und Teil des Office-Paketes zwar großzügig kostenfreien Speicherplatz an, doch ist dieser Service wirklich „kostenlos“? Oder bezahlen Sie dafür mit Ihren Daten?

DRACOON - Maximaler Datenschutz nicht mit OneDriveGerade im privaten Bereich scrollt man auf der Suche nach dem Häkchen zur Einwilligung schnell einmal über die Sammlung an rechtlichen Details, denen man – ohne sie wirklich gelesen zu haben – zustimmt. Im B2B-Bereich legt man zwar meist ein größeres Augenmerk auf die Inhalte, aber auch hier gibt es noch reichlich Nachholbedarf. Denn in der Regel greift jeder Dienst im Hintergrund weitaus mehr zu, als es die Benutzer je vermuten würden. Hier werden schnell sämtliche Dateien, die in einem kostenfreien Dienst wie OneDrive bearbeitet oder gespeichert werden, dazu genutzt, um maschinelles Lernen zu verbessern, personalisierte Produkte und gezielte Werbung anzubieten oder auch um Service-Provider zu versorgen und Anweisungen von Behörden nachzukommen. Das ganze „nett verpackt“ im Kleingedruckten.

Auch wenn der Zugriff automatisiert und von KI gesteuert wird, darf man nicht vergessen, dass hinter diesen Anwendungen Menschen sitzen, welche die Algorithmen programmieren und schlussendlich auswerten. Und dafür  können und müssen sie auf Ihre Daten zugreifen. Daher kann nicht ausgeschlossen werden, dass dieser Zugriff von einem Microsoft-Mitarbeiter, einem der Partner oder Service-Provider missbraucht wird. Denn jeder nicht-autorisierte Zugriff bedeutet für Sie ein Sicherheitsrisiko.

Jüngst hat so auch Hessens Datenschutzbeauftragter Michael Ronellenfitsch laut einem Bericht auf heise.de davor gewarnt, dass die mit dem Büropaket in der Cloud gespeicherten Daten in den USA abgegriffen werden könnten. Zu diesem Schluss ist er gekommen, weil personenbezogene Daten von Kindern und Lehrern in der Cloud gespeichert würden. Auch wenn die zugehörigen Server in Europa stünden, seien die Informationen „einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt“.

Nach seiner Auffassung haben öffentliche Institutionen in Deutschland eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem müsse die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.

„Ein häufiger Kritikpunkt der Aufsichtsbehörden ist dabei, dass nicht immer gewährleistet werden kann, dass der Zugriff auf in solchen Systemen abgelegte Dateien nur durch Berechtigte erfolgt.“ sagt auch Christian Volkmer, Datenschutzexperte und Geschäftsführer Projekt 29 GmbH & Co. KG.

>>>Anders lösen dies bereits viele schulische Einrichtungen in der Oberpfalz. Statt die Daten über eine Microsoft-Lösung in der Cloud zu speichern, nutzen sie die sichere Enterprise File-Sharing-Lösung DRACOON. „Made und hosted in Germany“ bietet DRACOON eine datenschutzkonforme Möglichkeit, um sensible Daten sicher und einfach auszutauschen. Der File Service verfügt über ein detailliertes Rollen- und Rechtekonzept und kann schnell an die gegebenen Strukturen angepasst werden.

 

DATENSCHUTZ IN DER CLOUD – DAS SOLLTEN SIE BEACHTEN

Aus Sicht des Datenschutzes ist die Anwendung von Cloud Services mit gewissen Risiken behaftet. Das Speichern von Daten auf internetbasierten Speichermedien bei einem externen Dienstleister setzt die Einhaltung spezieller datenschutzkonformer Bedingungen voraus. Beim Cloud Computing speichern Unternehmen ihre Anwendungen und Daten nicht mehr im eigenen Rechenzentrum, sondern bei einem beauftragten Provider, auf dessen Services über das öffentliche Internet zugegriffen werden kann. Dadurch sparen sich die Unternehmen die Anschaffung und die Administration eigener Hard- und Software und es müssen keine eigenen IT-Infrastrukturen mehr betrieben werden. So lassen sich Kosten einsparen, gleichzeitig entstehen aber Risiken in Sachen Datenschutz und Datensicherheit. Diese sind dadurch gegeben, dass die gemeinsam genutzten IT-Komponenten in der Cloud prinzipiell von Jedermann über das Internet erreichbar sind und lediglich durch eine Zugangsprozedur (Nutzername und Passwort sowie Verschlüsselungstechniken) geschützt sind.

Darüber hinaus können Sicherheitslücken einen unbefugten Zugang auf die Datenbestände des Unternehmens ermöglichen. All diese Schwachstellen können u. U. zu nachfolgenden Problemen führen:

  • Unzulässiger Zugriff auf die Daten durch den Cloud-Dienstleister selbst, durch Ermittlungsbehörden und Geheimdienste sowie unbefugte Dritte
  • Manipulation oder Verlust von Daten
  • Identitätsdiebstahl durch Missbrauch von Zugangskennungen

ACHTEN SIE AUF TECHNISCHE DATENSICHERHEIT

Bei der Nutzung von Cloud-Diensten sind mehrere Parteien vertraglich miteinander verbunden, die jeweils Einfluss auf datenschutzrelevante Aspekte haben. Dadurch entstehen Beziehungen nicht nur zwischen dem Cloud-Anbieter und dem Cloud-Anwender, sondern auch zwischen dem Cloud-Anwender und seinen Geschäftspartnern sowie Kunden, deren Datenschutzrechte ebenfalls berührt werden. Prinzipiell lassen sich datenschutzrechtliche Anforderungen nur erfüllen, wenn der Cloud-Provider ein vorgegebenes Maß an technischer Datensicherheit anbieten kann. Dies wird bestimmt durch die Hard- und Software des Dienstleisters. So kommen Verschlüsselungstechnologien für Daten und Zugänge, Authentifizierungsmethoden und auch Firewall-Komponenten zum Einsatz. Darüber hinaus regelt die organisatorische Sicherheit die Absicherung des physikalischen Zugriffs auf die IT-Komponenten des Cloud-Anbieters.

DIESE ANFORDERUNGEN SOLLTE EIN CLOUD-PROVIDER ERFÜLLEN

Neben der Bereitstellung der technischen Voraussetzungen zur Datensicherheit müssen Cloud-Anbieter die rechtlichen Datenschutzbedingungen einhalten. Diese sind EU-weit durch die DSGVO geregelt. Wichtig ist hierbei der juristische Fakt, dass beim Cloud Computing der Cloud-Anwender als Unternehmen im Verhältnis zu seinen Kunden für die Datensicherheit verantwortlich ist. Details zwischen dem Cloud-Provider und dem Cloud-Benutzer werden in einem Vertrag zur Auftragsdatenverarbeitung geregelt. Der Cloud-Anwender sollte sich die Einhaltung vertraglich zugesicherter Anforderungen beispielsweise durch eine Datenschutz-Zertifizierung garantieren lassen. Der Cloud-Kunde bleibt Eigentümer seiner Daten, was bei manchen Cloud Services durchaus keine Selbstverständlichkeit ist.

MIT EINEM CLOUD-ANBIETER AUS DEM AUSLAND VERLETZEN SIE U.U. DIE DATENSCHUTZGESETZE

Wenn ein Unternehmen die Daten seiner Kunden bei einem Cloud-Anbieter z. B. in den USA speichert, können datenschutzrechtliche Bestimmungen verletzt werden. US-amerikanische Cloud-Provider sind gesetzlich dazu verpflichtet, Kundendaten an amerikanische Behörden auf Anforderung auszuliefern. In diesen Fällen greift die EU-DSGVO nicht mehr und es müssen ergänzende Vereinbarungen mit dem Anbieter getroffen werden. So müssen Cloud-Anbieter in den Vereinigten Staaten sicherstellen, dass sie die Vorgaben des EU-US-Privacy-Shields erfüllen. In dieser Datenschutz-Compliance sichert die US-Regierung zu, im Datenaustausch mit Europa das hiesige Datenschutzniveau einzuhalten. Ob dadurch die Weitergabe von Daten an US-Behörden verhindert wird, mag bezweifelt werden. Daher ist es in jedem Falle ratsam, auf europäische Cloud-Provider zurückzugreifen, die ihre Rechenzentren innerhalb der EU betreiben.

DARUM IST DATENSCHUTZ MIT DRACOON MAXIMAL SICHER

Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. Mit seinem hochsicheren und plattformunabhängigen Enterprise File Service bietet DRACOON seinen Anwendern maximale Flexibilität – und zugleich eine 100% DSGVO-konforme Lösung. Dadurch erhalten die Kunden die Souveränität über ihre Daten zurück. Das Produkt wurde nach dem Grundsatz „Privacy by Design“ entwickelt. Das bedeutet, dass die Datensicherheit und der Datenschutz bereits bei der Entwicklung der Software berücksichtigt wurden.

DER SCHLÜSSEL LIEGT BEIM BENUTZER
Durch die clientseitige Verschlüsselung liegt die Datenhoheit ausschließlich beim Anwender. Nicht einmal DRACOON selbst als Anbieter hat die Möglichkeit, auf gespeicherte Informationen zuzugreifen oder diese für weitere Zwecke zu scannen.

DATENSICHERHEIT „MADE IN GERMANY“
DRACOON nutzt ausschließlich deutsche und europäische Rechenzentren. Somit ist ein Datenzugriff durch ausländische Behörden – auch zu Ermittlungszwecken – ausgeschlossen.
Ebenso erfolgt keine Datenübergabe an Dritte.

Die Lösung wurde bereits von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet. Aber auch verschiedene Zertifikate und Siegel wie ISO27001, EuroPriSe und das BSI C5-Testat belegen wiederkehrend das hohe Sicherheitsniveau. Mit seinem Service integriert es sich tief in die Unternehmensprozesse und liefert so einen maximal geschützten Kokon für Ihre Daten – und jede angeschlossene Anwendung.

Mit DRACOON nutzen Sie eine vollkommen gesicherte und DSGVO-konforme Umgebung, um Ihre Daten zu speichern, zu verwalten und zu teilen.