Ist Microsoft OneDrive datenschutzkonform?

Einleitung: Die Bedeutung von Datenschutz bei Cloud-Speichern

Was bedeutet Datenschutzkonformität?

Datenschutzkonformität ist in der digitalen Welt von zentraler Bedeutung. Sie stellt sicher, dass Dienste und Produkte so entwickelt und verwendet werden, dass die Privatsphäre der Nutzer geschützt und die jeweiligen Datenschutzgesetze eingehalten werden. Besonders bei Cloud-Speicherlösungen, wo sensible und persönliche Daten gelagert werden, ist diese Konformität entscheidend.

Um den Datenschutzanforderungen gerecht zu werden, setzen Anbieter verschiedene Sicherheitsmaßnahmen und Datenschutzrichtlinien um. Dazu gehört unter anderem die Verschlüsselung der Daten sowohl während der Übertragung als auch bei der Lagerung und die detaillierte Verwaltung von Zugriffsrechten, um sicherzustellen, dass nur autorisierte Personen Zugang zu den Daten haben. Für Dienste, die in Europa angeboten werden, ist darüber hinaus die Einhaltung der Datenschutz-Grundverordnung (DSGVO) von großer Bedeutung.

Anbieter verpflichten sich, die strengen Standards der DSGVO zu erfüllen und demonstrieren dies durch verschiedene Zertifizierungen und Sicherheitsprotokolle, wodurch Nutzer vertrauen können, dass ihre Daten angemessen geschützt sind.

Warum ist der Datenschutz bei Cloud-Speichern so wichtig?

Datenschutz bei Cloud-Speichern wie Microsoft OneDrive ist aus mehreren Gründen von entscheidender Bedeutung. Zum einen schützt er sensible Daten vor unbefugtem Zugriff und gewährleistet die Privatsphäre der Nutzer. In der heutigen digitalen Welt, in der Datenbrüche und Cyberattacken immer häufiger vorkommen, ist es unerlässlich, dass Dienste wie OneDrive strenge Datenschutzrichtlinien implementieren und einhalten.

OneDrive bemüht sich, datenschutzkonform zu agieren, indem es Verschlüsselungstechnologien einsetzt und die Einhaltung globaler Datenschutzstandards, wie der DSGVO in der EU, sicherstellt. Dies schafft Vertrauen bei den Nutzern und stellt sicher, dass ihre Daten sicher und geschützt sind.

Die Rolle der DSGVO bei der Bewertung von Cloud-Diensten

Die Datenschutz-Grundverordnung (DSGVO) ist ein wesentliches Element in der Bewertung von Cloud-Diensten, vor allem wenn es um den Schutz personenbezogener Daten geht.

Für Anbieter solcher Dienste, wie zum Beispiel Microsoft OneDrive, bedeutet dies, dass sie sich an besonders strenge Datenschutzrichtlinien halten müssen, um sicherzustellen, dass sie mit dieser weitreichenden EU-Regulierung konform sind. Es ist daher für Nutzer von größter Bedeutung, regelmäßig zu überprüfen, auf welche Weise Anbieter wie OneDrive die Verarbeitung, den Schutz und die Speicherung personenbezogener Daten handhaben. Dies umfasst unter anderem, welche Sicherheitsmaßnahmen eingesetzt werden, um die Daten vor unbefugtem Zugriff zu schützen, wie die Daten übermittelt werden und ob sie möglicherweise an Drittländer weitergegeben werden, wo andere Datenschutzstandards gelten können.

Nutzer sollten sich dieser Aspekte bewusst sein, um eine informierte Entscheidung über die Nutzung solcher Cloud-Dienste treffen zu können.

Die Herausforderungen von Microsoft OneDrive im Hinblick auf den Datenschutz

DSGVO-Konformität von Microsoft OneDrive

In einer Zeit, in der Datenschutz immer wichtiger wird, werfen kritische Stimmen Fragen bezüglich der DSGVO-Konformität von OneDrive auf. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wurde ins Leben gerufen, um die Datenschutzrechte innerhalb der EU zu stärken. Trotz Microsofts öffentlicher Zusage, die DSGVO-Bestimmungen weltweit umzusetzen, bleiben Zweifel, ob OneDrive wirklich den strengen Anforderungen der DSGVO gerecht wird.

Ein kritischer Blick auf die von Microsoft implementierten Maßnahmen offenbart mögliche Lücken. Obwohl umfassende Verschlüsselungstechniken sowohl während der Übertragung als auch bei der Speicherung von Daten eingesetzt werden, bleibt die Frage, wie effektiv diese tatsächlich vor unbefugtem Zugriff schützen. Zudem mögen Microsofts Richtlinien zur Datenerfassung, -verarbeitung und -speicherung zwar transparent erscheinen, doch inwieweit diese Transparenz den Nutzern echte Kontrolle und Einsicht in die Verwendung ihrer Daten gibt, ist fraglich. Die Möglichkeit für Nutzer, ihre Datenschutzeinstellungen zu verwalten, könnte mehr eine Illusion der Kontrolle darstellen als eine echte Selbstbestimmung über ihre Daten.

Hinsichtlich der DSGVO-Konformität ist besonders bedenklich, wie wirkungsvoll Nutzer ihre Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Datenverarbeitung wirklich ausüben können. Die bereitgestellten Tools und Einstellungen sind möglicherweise nicht so effektiv, wie sie sein sollten.

Die Privacy Company führte im Auftrag des Ministeriums für Sicherheit und Justiz eine Datenschutz-Folgenabschätzung (DPIA) für Microsoft Office ProPlus durch. Die Ergebnisse zeigen, dass Microsoft in großem Umfang persönliche Daten über das Verhalten von Mitarbeitern sammelt und speichert, ohne dies offen zu legen. Microsoft hat Maßnahmen zur Senkung der Datenschutzrisiken zugesagt, einschließlich „Zero Exhaust“-Einstellungen.

Die DPIA ergab, dass Microsoft Daten über die Nutzung von Word, Excel, PowerPoint und Outlook verdeckt sammelt. Es gibt keine Möglichkeit, diese Datensammlung abzuschalten oder einzusehen. Die gesammelten Daten umfassen Inhalts-, funktionale und Diagnosedaten. Microsoft agiert als Datenverantwortlicher und nicht als Datenverarbeiter und es wurden acht hohe Datenschutzrisiken identifiziert, darunter die rechtswidrige Speicherung sensibler Daten und die unbefristete Aufbewahrungsfrist von Diagnosedaten.

Trotz der Bemühungen von Microsoft bleiben erhebliche Datenschutzrisiken bestehen. Regierungsorganisationen sollten spezifische Maßnahmen ergreifen, um diese Risiken zu mindern, wie die Anwendung der neuen „Zero Exhaust“-Einstellungen und die Vermeidung der Nutzung von SharePoint Online/OneDrive.

Kritische Stimmen zur Datenschutzkonformität von OneDrive

Microsoft OneDrive ist eine weit verbreitete Cloud-Speicherlösung, die von zahlreichen Unternehmen und Privatpersonen weltweit genutzt wird. Trotz seiner Beliebtheit gibt es kritische Stimmen hinsichtlich der Datenschutzkonformität dieses Dienstes. Besonders in Europa, wo die Datenschutz-Grundverordnung (DSGVO) strenge Auflagen an die Verarbeitung personenbezogener Daten stellt, werden Bedenken laut.

Microsoft steht wegen der mangelnden Transparenz im Umgang mit Nutzerdaten in der Kritik. Konkret geht es darum, dass nicht immer klar ist, welche Daten gesammelt werden, wie diese genau verwendet werden und wer darauf Zugriff hat. Solche Unklarheiten können das Vertrauen in die Datenschutzkonformität von OneDrive erschüttern.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 24. November 2022 eine Festlegung getroffen. Die DSK erkennt den Bericht und die Zusammenfassung der Arbeitsgruppe "Microsoft-Onlinedienste" an und stellt fest, dass ein datenschutzkonformer Betrieb von Microsoft 365 auf Basis des "Datenschutznachtrags vom 15. September 2022" nicht nachgewiesen werden kann. Insbesondere fehlt es an der notwendigen Transparenz über die Verarbeitung personenbezogener Daten durch Microsoft und an der Rechtmäßigkeit dieser Verarbeitung. Eine detaillierte Bewertung der Gesprächsergebnisse wird in der beigefügten Zusammenfassung der Arbeitsgruppe bereitgestellt.

In den letzten Jahren hat Microsoft wiederholt Änderungen am Data Protection Addendum (DPA) vorgenommen. Seit dem von der DSK kritisierten Datenschutznachtrag vom 15. September 2022 wurden drei weitere Versionen veröffentlicht.

• 01.01.2023: Einführung der EU Data Boundary, einer europäischen Lösung für die Microsoft Cloud.

• 15.11.2023: Betonung der Zertifizierung Microsofts nach dem EU-US Privacy Framework zur Datenübermittlung in die USA.

• 02.01.2024: Erweiterung der EU Data Boundary auf alle personenbezogenen Daten.

Die deutschen Datenschutzaufsichtsbehörden beschlossen auf der Zwischenkonferenz am 31.01.2023, die DPA vom 01.01.2023 zu prüfen. Auf der Konferenz am 27.09.2023 berichtete das BayLDA, dass die Überprüfung erfolgt sei, jedoch keine grundsätzlichen Änderungen am DSK-Ergebnis von 2022 erwartet werden. Eine endgültige Bewertung der DPA vom 01.01.2023 steht noch aus, ebenso die Prüfung der neueren Versionen.

Obwohl Microsoft behauptet, sich stets um die Einhaltung der Datenschutzbestimmungen zu bemühen und regelmäßige Updates und Verbesserungen bezüglich des Datenschutzes durchführt, bleiben kritische Stimmen bestehen. Nutzer und Unternehmen, die besonderen Wert auf Datenschutz legen, sind daher gut beraten, die Entwicklungen im Bereich Datenschutz bei OneDrive kontinuierlich zu verfolgen und kritisch zu hinterfragen.

Wie Microsoft OneDrive die Anforderungen der DSGVO erfüllt – oder auch nicht

Als global agierendes Unternehmen hat Microsoft Maßnahmen ergriffen, um seine Dienste, einschließlich OneDrive, DSGVO-konform zu gestalten. Dazu gehören die Verschlüsselung von Daten sowohl bei der Übertragung als auch bei der Speicherung sowie strenge Zugriffskontrollen und Überwachungsprotokolle, um die Sicherheit der Nutzerdaten zu gewährleisten.

Dennoch gibt es Bedenken hinsichtlich des Transfers von Daten in die USA, wo sie potenziell geringerem Schutz unterliegen könnten als in der EU. Microsoft hat auf diese Bedenken reagiert, indem es rechtliche und technische Schutzmaßnahmen implementiert, die den Anforderungen der DSGVO entsprechen sollen. Trotz dieser Bemühungen bleiben Diskussionen über die vollständige DSGVO-Konformität von OneDrive bestehen.

Für Nutzer und Unternehmen in der EU ist es wichtig, sich der potenziellen Risiken bewusst zu sein und die Datenschutzeinstellungen von OneDrive sorgfältig zu prüfen. Letztendlich hängt die Entscheidung, ob OneDrive datenschutzkonform ist oder nicht, von der individuellen Bewertung aller Faktoren und der Einhaltung der vorgeschriebenen Datenschutzpraktiken ab.

Abschließende Gedanken: Ist Microsoft OneDrive eine sichere Wahl?

Empfehlungen für Unternehmen und Datenschutzbeauftragte

Die Nutzung von Microsoft Onedrive durch ein deutsches Unternehmen, das personenbezogene Daten speichert, hängt von mehreren Faktoren ab, die in Übereinstimmung mit dem Datenschutzrecht der Europäischen Union (EU), insbesondere der Datenschutz-Grundverordnung (DSGVO), und den spezifischen Datenschutzgesetzen Deutschlands stehen müssen.

Die DSGVO legt strenge Anforderungen an den Schutz personenbezogener Daten fest und gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten, unabhängig davon, wo das Unternehmen ansässig ist. Für den Einsatz von Cloud-Diensten wie Microsoft Onedrive ist es erforderlich, dass das deutsche Unternehmen sicherstellt, dass Microsoft als Datenverarbeiter angemessene technische und organisatorische Maßnahmen (TOMs) ergreift, um den Schutz der Daten zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem die Verschlüsselung von Daten während der Übertragung und Speicherung, sowie die Gewährleistung, dass die Datenverarbeitung im Einklang mit der DSGVO steht.

Darüber hinaus sollte das Unternehmen eine Datenschutz-Folgenabschätzung durchführen, um mögliche Risiken im Zusammenhang mit der Nutzung von Onedrive zu identifizieren und entsprechende Gegenmaßnahmen zu ergreifen. Dies ist besonders wichtig, wenn es um sensible oder umfangreiche Sammlungen personenbezogener Daten geht. Die Einhaltung des Datenschutzes bei der Nutzung von Onedrive erfordert auch, dass das Unternehmen prüft, ob Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden. Angesichts der Entscheidungen des Europäischen Gerichtshofs und der laufenden Bedenken bezüglich des Datentransfers in die USA müssen Unternehmen besondere Vorsicht walten lassen und gegebenenfalls zusätzliche Schutzmaßnahmen wie Standardvertragsklauseln in Betracht ziehen. Schließlich liegt die Verantwortung nicht allein bei Microsoft.

Das deutsche Unternehmen muss sicherstellen, dass es in seiner Rolle als Datenverantwortlicher die Datenschutzeinstellungen von Onedrive korrekt konfiguriert, um unbefugten Zugriff zu verhindern und die Kontrolle über die Freigabe von Daten zu behalten, sowie regelmäßig die Datenschutzrichtlinien von Microsoft und die Einhaltung der DSGVO zu überprüfen.

Weitere Bedenken hinsichtlich Sicherheit

OneDrive- und SharePoint-Links als Köder von Cyberkriminellen

In einem Artikel der Plattform manageIT wurde veröffentlicht, dass Anwender von Phishing-Mails besonders häufig auf Links zu Microsoft-Plattformen wie SharePoint und OneDrive hereinfallen.

Obwohl nur 1 Prozent der Angriffsmails solche Links enthält, machen sie 13 Prozent der Klicks aus. Dies zeigt, dass die Cloud-Nutzung in Unternehmen Cyberkriminellen neue Möglichkeiten bietet. Sie kompromittieren Benutzerkonten, um sich innerhalb einer Organisation auszubreiten, Daten zu stehlen oder betrügerische Überweisungen zu initiieren. Besonders effektiv nutzen sie dabei die E-Mail- und Cloud-Infrastruktur der Opfer. Die Studie entdeckte im ersten Halbjahr 2020 5,9 Millionen E-Mails mit gefährlichen SharePoint- oder OneDrive-Links. Diese Mails stammten von über 5.500 kompromittierten Tenants. Angreifer setzen heute weniger auf technische Schwachstellen und mehr auf menschliche Naivität.

Diese Gefahr kann einfach umgangen werden, wenn Ihre Datenaustausch-Lösung über eine Branding-Funktion verfügt und unter ihrer eigenen URL betrieben werden kann. Beides Funktionen, die Microsoft OneDrive so nicht bietet.

Alternativen zu Microsoft OneDrive im Hinblick auf den Datenschutz

Bei der Suche nach sichereren Alternativen sticht eine hervor: DRACOON.

DRACOON bietet gegenüber OneDrive mehrere Vorteile im Bereich Datenschutz:

1. Ende-zu-Ende-Verschlüsselung: DRACOON setzt auf eine Ende-zu-Ende-Verschlüsselung, bei der die Daten bereits auf dem Client verschlüsselt werden und nur verschlüsselt übertragen sowie gespeichert werden. OneDrive verschlüsselt Daten während der Übertragung und im Ruhezustand, bietet jedoch keine durchgehende Ende-zu-Ende-Verschlüsselung.

2. Speicherung in deutschen Rechenzentren: DRACOON speichert Daten in deutschen Rechenzentren, die den hohen deutschen Sicherheits- und Datenschutzanforderungen entsprechen. 

3. Benutzerrechte und Rollenverwaltung: DRACOON bietet eine detaillierte Verwaltung von Benutzerrechten und Rollen, die es ermöglicht, den Zugriff auf Daten sehr präzise zu steuern. OneDrive bietet zwar auch Zugriffssteuerungen, jedoch sind sie weniger granular.

4. Audits und Nachvollziehbarkeit: DRACOON erlaubt umfassende Audits und Protokollierungen, sodass jede Aktion im System nachvollziehbar ist. Dies ist besonders wichtig für Unternehmen, die hohen Compliance-Anforderungen gerecht werden müssen. OneDrive bietet grundlegende Protokollierungen, jedoch nicht in dem Umfang und der Detailliertheit wie DRACOON.

5. Compliance und Zertifizierungen: DRACOON ist ISO 27001 inkl. ISO/IEC 27017:2015 (Informationssicherheit für Cloud-Dienste) und ISO/IEC 27018:2019 (Schutz personenbezogener Daten in Cloud-Diensten zertifiziert und erfüllt zahlreiche weitere Compliance-Anforderungen. Besonders hervorzuheben ist die BSI-C5 Typ 2 Testierung, die DRACOON als einzige deutsche Lösung besitzt. OneDrive hat ebenfalls diverse Zertifizierungen, z.B. ISO/IEC 27018, doch die Einhaltung spezifischer europäischer Datenschutz- und Sicherheitsstandards wird durch das Testat des BSI-C5 Typ 2 Testats besser gewährleistet.