ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!

Hält sich Dropbox an die Datenschutz-Grundverordnung?

Dropbox und DSGVO
Kategorien:

Ist Dropbox eigentlich DSGVO-konform?I

Im letzten Teil unserer Serie über Cloud-Dienste, Drittstaatentransfers und den Datenschutz werfen wir einen Blick auf den Anbieter Dropbox. Auch dieser ist ein US-amerikanisches Unternehmen, weshalb vor dem ersten Einsatz Standardvertragsklauseln abgeschlossen und ergänzende Maßnahmen bestimmt werden sollten. Auch ist die Durchführung einer Datenschutz-Folgenabschätzung dringend anzuraten, desgleichen der Abschluss einer Betriebsvereinbarung. Nachdem wir in unseren früheren Artikeln vor allem die rechtlichen Rahmenbedingungen beleuchtet hatten, legen wir heute einen Schwerpunkt auf technische Details. Wir stellen uns die Frage: Dropbox und Datenschutz, Datenschutz und Dropbox, passt das zusammen?

 

Dropbox Inc.

 

Dropbox ist ein seit 2007 existierender Filehosting-Dienst. Dropbox bietet Online-Datenspeicherung und den Austausch von Daten zwischen zwei oder mehreren Nutzern. Der Zugriff auf die Dropbox erfolgt browsergestützt oder über Apps unter verschiedenen Betriebssystemen. Dropbox nutzt für 90 Prozent seiner Speicherleistung eigene Rechenzentren, die restlichen 10 Prozent werden bei AWS zugekauft.

 

Dropbox und die DSGVO

 

Nach Angaben von Dropbox werden alle hochgeladenen Daten vor der Ablage mit einer AES-Verschlüsselung (256 Bit Schlüssellänge) versehen, zudem erfolge eine Transportverschlüsselung. Der Schlüssel bleibt allerdings in der Hand von Dropbox, so dass diese theoretisch und praktisch den vollen Klartextzugriff auf die Daten der Nutzer hat. Jeder Dropbox-Nutzer sollte daher den Datenschutz selbst in die Hand nehmen und seine Daten vorab selbst nach dem Stand der Technik verschlüsseln. Somit wäre eine Ende-zu-Ende-Verschlüsselung erreicht, das Teilen von Daten mit Businesspartnern allerdings nicht mehr möglich.

Um das Kapern von Nutzerkonten zu erschweren, unterstützt Dropbox eine Zwei-Faktor-Authentifizierung. Zu einer schweren Datenpanne kam es 2016, als Unbekannte mehr als 68 Millionen Dropbox-Zugangsdaten veröffentlichten.

Entscheidet sich ein Unternehmen für die Nutzung der Dropbox, sollte unbedingt eine kostenpflichte Variante (Dropbox Business) gewählt werden. Diese bietet ein deutliches Plus hinsichtlich Datenschutz- und Datensicherheit. Ansonsten entscheidet man sich für ein Bezahlen in Daten. Wer möchte das schon mit seinen Geschäftsgeheimnissen?

Wer den Einsatz von Dropbox ernsthaft in Erwägung zieht, sollte zudem das von Dropbox selbst veröffentlichte Whitepaper über die Sicherheit bei Dropbox Business einsehen. Auf 47 Seiten wird in diesem Dokument der technische Hintergrund erläutert, sowie Aussagen zu Produkt- und Infrastruktursicherheit sowie zu Datenschutz und Compliance getroffen. Dabei sollten sich Unternehmen nicht scheuen, auch kritische Nachfragen an Dropbox zu richten. So wird in dem Whitepaper immer noch auf eine bestehende Zertifizierung nach dem Privacy Shield verwiesen, welches der EuGH bekanntlich vor eineinhalb Jahren gekippt hat.

Fazit

Die Dropbox kann DSGVO-konform eingesetzt werden. Neben den rechtlichen Herausforderungen (Standardvertragsklauseln, Durchführung einer Datenschutz-Folgenabschätzung) sollte ein besonderes Augenmerk auf die Verschlüsselung gelegt werden. Auf die Dropbox-eigene Verschlüsselung sollte sich Unternehmen nicht verlassen und zusätzlich selbst verschlüsseln. Ideal ist die Trennung von Verschlüsselung und Speicher. Erst mit einer sogenannten Zero-Knowledge-Verschlüsselung werden Dropbox, Datenschutz und DSGVO in Einklang gebracht.

2B Advice berät Sie gerne und kompetent, wie Sie Ihre Daten und Geschäftsgeheimnisse bei Dropbox oder anderen Anbietern zuverlässig vor unbefugten Zugriffen schützen: +49 (228) 926165-100.

Tags:
Share this post :
de_DEGerman