US-Clouds und die Firmendaten

Immer wieder kommt es vor, dass der Cloud-Dienst Dropbox und ähnliche Anbieter für die Nutzung in Unternehmen empfohlen werden. Der verlinkte Artikel ist hierbei nur ein Beispiel unter vielen. Außer acht gelassen werden dabei die recht offentsichtlichen Mängel, die der Cloud-Service in puncto Datenschutz aufweist. Das fängt mit dem Serverstandort an, der sich laut Angaben von Dropbox in den USA befindet:

Die Speicherserver werden von einem Managed Services-Anbieter bereitgestellt und unsere Infrastruktur befindet sich in Datenzentren in den USA.

(Quelle: dropbox.com).

Aufgrund inzwischen weithin bekannter Argumente ist der Serverstandort USA, gerade auch für Unternehmensdaten, nicht empfehlenswert. Diese Woche war der Service wieder einmal in den Schlagzeilen: Es ging um die Berufung von Condoleezza Rice, Sicherheitsberaterin unter George W. Bush, in den Dropbox-Verwaltungssrat. Auch die „Safe Harbour“ Richtlinie, ein Abkommen, das den Datenaustausch zwischen den EU-Staaten und den USA regeln soll, bietet wohl keine ausreichende Sicherheit. Sowohl Dropbox als auch der Software-Riese Microsoft haben ihre Cloud-Dienste nach der Safe Harbor Richtlinie zertifiziert. Nach eigenen Angaben (PDF) befindet sich der Serverstandort für den Microsoft-Service Office 365 immerhin in den Niederlanden und Irland, für Skydrive jedoch „vermutlich in den USA“. Google (und damit der Cloudservice Google Drive) „bekennt“ sich zu den Rahmenbedingungen des Abkommens und nennt es ein „robustes und äußerst erfolgreiches Datenschutz-Regelwerk“. Innerhalb der EU wird jedoch zunehmend Kritik an den Richtlinien geäußert. Das EU-Parlament betrachtet den Schutz vor unrechtmäßigen Zugriffen jedoch mittlerweile als ungenügend.

Eine von der EU-Kommission in Auftrag gegebene Studie empfiehlt bereits Anfang 2013, möglichst viele Cloud-Daten in europäischen Rechenzentren zu speichern. Von der Nutzung von Cloud-Diensten, die Daten nicht nach den strengen europäischen Datenschutzvorgaben speichern – der Dropbox-Service ist hier nur ein prominentes Beispiel – ist demnach abzuraten. Der Online-Service eRecht 24 schreibt in einem Artikel:

Grundsätzlich wird die Übermittlung von Daten per Cloud an einen ausländischen Anbieter als unzulässig angesehen, da es hierfür keine datenschutzrechtliche Legitimation gibt und in der Regel kein angemessenes Datenschutzniveau besteht.

Wobei mit „ausländisch“ hier wohl etwas unscharf „außerhalb der EU“ gemeint sein dürfte.

Cloudspeicher und Datenschutz: worauf ist zu achten?

Unternehmen, die Dokumente und Firmendaten in der Cloud speichern möchten, sollten immer die Geschäftsbedingungen des Anbieters durchlesen: Werden hier evtl. unnötige Nutzungsrechte eingeräumt? Auch sollte die Datenübertragung abgesichert sein („https://“) und der Service sollte ein Backup beinhalten. Der Server sollte sich in einem Land befinden, welches über ein für den Unternehmenssitz ausreichendes Datenschutzrecht verfügt. Wie bei Daten, die auf hauseigenen Rechnern gespeichert werden, sollten Sie darauf achten das auch innerhalb des Unternehmens niemand unbefugten Zugriff auf sensible Daten hat.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten auf US-Clouds und die Firmendaten

  1. Pingback: Sicher in die Cloud? | Profihost Blog

  2. Pingback: Safe Harbor gescheitert | Profihost Blog

  3. Pingback: Privatsphäre für die Kundendaten! | Profihost Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *