Zum Hauptinhalt springen
Kostenlos testen Demo anfordern
Kostenlos testen Demo anfordern

6 Min. Lesezeit

OneDrive & Datenschutz:  So nutzen Sie Microsoft-Dienste DSGVO-konform

OneDrive & Datenschutz: So nutzen Sie Microsoft-Dienste DSGVO-konform
  • Microsoft OneDrive birgt erhebliche Datenschutzrisiken, da personenbezogene Daten umfangreich gesammelt und in den USA gespeichert werden, was potenziell gegen die DSGVO verstößt.
  • Um Compliance-Risiken zu vermeiden müssen Unternehmen, die OneDrive nutzen, genau prüfen, wo die Daten gespeichert werden, da selbst im Kleingedruckten versteckte Zugriffsrechte auf Nutzerdaten enthalten sein können.
  • In diesem Artikel erfahren Sie, wie Sie OneDrive und andere Microsoft-Dienste dennoch 100 % DSGVO-konform nutzen können, um Compliance-Risiken zu minimieren und Ihre Daten sicher zu verwalten, ohne auf die Vorteile von Microsoft-Diensten zu verzichten.

Ist Microsoft OneDrive Datenschutzkonform? Unternehmen zögern nach wie vor bei der Nutzung von OneDrive. Verständlich, denn immer wieder stellt sich die Frage: Verstoßen wir mit der Verwendung des Microsoft-Cloud-Services nicht gegen die DSGVO, also gegen geltendes europäisches Datenschutzrecht?

Datenschutz ist in der OneDrive-Standardkonfiguration in Deutschland und im Rest der EU tatsächlich ein Problem. Doch es kann gelöst werden! Wir zeigen Ihnen, was Sie im Zusammenhang mit Microsoft OneDrive und Datensicherheit beachten müssen und wie Sie den MS Office 365 mitsamt OneDrive DSGVO-konform einsetzen können.

 

Das Datenschutz-Problem mit Microsoft OneDrive

Wer Cloud-Anwendungen nutzt oder plant, diese einzusetzen, muss dem Datenschutz eine große Beachtung schenken. Laut einer Presseinformation der Bitkom Research zum Thema „Cloud-Nutzung auf Rekordniveau bei Unternehmen“ geben fast alle Unternehmen (90 Prozent) an, dass sie für die Konformität der Datenschutz-Grundverordnung (DSGVO) bei Cloud-Lösungen unverzichtbar ist.

Für acht von zehn (79 Prozent) ist eine transparente Sicherheitsarchitektur essentiell, drei Viertel (76 Prozent) sehen die Integrationsfähigkeit der Lösungen als Must-have. Auch die Standortfrage beschäftigt die Cloud-Nutzer und -Planer. Für jeweils zwei Drittel müssen der Hauptsitz des Cloud-Anbieters (67 Prozent) sowie das Rechenzentrum im Rechtsgebiet der EU sitzen (66 Prozent).

Gerade bei der Verwendung von Microsoft-Produkten stoßen Nutzer spätestens beim zweiten Blick auf erhebliche Datenschutz-Probleme, denn die Datenspeicherung zeigt aktuellen Schätzungen zufolge hohe Risiken. Dies belegt auch eine Datenschutzfolgenabschätzung (DSFA), die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit vom Unternehmen Privacy Company durchgeführt wurde.

>>> Die Ergebnisse sind alarmierend: Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Personen in großem Umfang, ohne dies öffentlich zu dokumentieren – und verstößt damit gegen die DSGVO.

>>> Da es sich bei Microsoft Office um die gängigste Datenverarbeitungssoftware handelt, ist es schwierig, als Anwender genau zu prüfen, wo die Daten gespeichert werden und zu verlangen, dass sie DSGVO-konform nur in Deutschland abgelegt werden. Aber zumindest die Entscheidung, wo die bearbeiteten Daten gespeichert werden, liegt in der Hand der Unternehmen – deswegen müssen gerade Unternehmen genau prüfen, welchen Speicherdienst sie einsetzen, um ihre Daten maximal abzusichern.

 

Datensicherheit im OneDrive: aufgepasst beim kleinGEDRUCKTEN

Bei der Verwendung von Microsoft OneDrive ist höchste Vorsicht geboten. OneDrive bietet als Speicherlösung von Microsoft und Teil des Office-Paketes zwar großzügig kostenfreien Speicherplatz an, doch ist dieser Service wirklich „kostenlos“? Oder bezahlen Sie dafür mit Ihren Daten?

Gerade im privaten Bereich scrollt man auf der Suche nach dem Häkchen zur Einwilligung schnell einmal über die Sammlung an rechtlichen Details, denen man – ohne sie wirklich gelesen zu haben – zustimmt. Im B2B-Bereich wird zwar meist ein größeres Augenmerk auf die Inhalte gelegt, aber auch hier gibt es noch reichlich Nachholbedarf.

Denn in der Regel greift jeder Dienst im Hintergrund weitaus mehr zu, als es die Benutzer je vermuten würden. Hier werden schnell sämtliche Dateien, die in einem kostenfreien Dienst wie OneDrive bearbeitet oder gespeichert werden, dazu genutzt, um maschinelles Lernen zu verbessern, personalisierte Produkte und gezielte Werbung anzubieten oder auch um Service-Provider zu versorgen und Anweisungen von Behörden nachzukommen. Das ganze „nett verpackt“ im Kleingedruckten.

Auch wenn der Zugriff automatisiert und von KI gesteuert wird, darf man nicht vergessen, dass hinter diesen Anwendungen Menschen sitzen, welche die Algorithmen programmieren und schlussendlich auswerten. Und dafür  können und müssen sie auf Ihre Daten zugreifen. Daher kann nicht ausgeschlossen werden, dass dieser Zugriff von einem Microsoft-Mitarbeiter, einem der Partner oder Service-Provider missbraucht wird. Davon abgesehen können US-Behörden durch den CLOUD-Act jederzeit die Datenherausgabe fordern. Jeder nicht-autorisierte Zugriff, auch durch US-Behörden, bedeutet für Sie ein Sicherheits- und Compliance-Risiko.

Jüngst hat so auch Hessens Datenschutzbeauftragter Michael Ronellenfitsch laut einem Bericht auf heise.de davor gewarnt, dass die mit dem Büropaket in der Cloud gespeicherten Daten in den USA abgegriffen werden könnten. Zu diesem Schluss ist er gekommen, weil personenbezogene Daten von Kindern und Lehrern in der Cloud gespeichert würden. Auch wenn die zugehörigen Server in Europa stünden, seien die Informationen „einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt“.

Nach seiner Auffassung haben öffentliche Institutionen in Deutschland eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem müsse die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.

„Ein häufiger Kritikpunkt der Aufsichtsbehörden ist dabei, dass nicht immer gewährleistet werden kann, dass der Zugriff auf in solchen Systemen abgelegte Dateien nur durch Berechtigte erfolgt.“ sagt auch Christian Volkmer, Datenschutzexperte und Geschäftsführer Projekt 29 GmbH & Co. KG.

>>> Anders lösen dies bereits viele schulische Einrichtungen in der Oberpfalz. Statt die Daten über eine Microsoft-Lösung in der Cloud zu speichern, nutzen sie die sichere Enterprise File-Sharing-Lösung DRACOON. „Made and hosted in Germany“ bietet DRACOON eine datenschutzkonforme Möglichkeit, um sensible Daten sicher und einfach auszutauschen. Der File Service verfügt über ein detailliertes Rollen- und Rechtekonzept und kann schnell an die gegebenen Strukturen angepasst werden.

 

Das müssen Sie für die DSGVO-konforme Nutzung von OneDrive wissen

Aus Sicht des Datenschutzes ist die Anwendung von Cloud Services mit gewissen Risiken behaftet. Das Speichern von Daten auf internetbasierten Speichermedien bei einem externen Dienstleister setzt die Einhaltung spezieller datenschutzkonformer Bedingungen voraus. Beim Cloud Computing speichern Unternehmen ihre Anwendungen und Daten nicht mehr im eigenen Rechenzentrum, sondern bei einem beauftragten Provider, auf dessen Services über das öffentliche Internet zugegriffen werden kann.

Dadurch sparen sich die Unternehmen die Anschaffung und die Administration eigener Hard- und Software und es müssen keine eigenen IT-Infrastrukturen mehr betrieben werden. So lassen sich Kosten einsparen, gleichzeitig entstehen aber Risiken in Sachen Datenschutz und Datensicherheit. Diese sind dadurch gegeben, dass die gemeinsam genutzten IT-Komponenten in der Cloud prinzipiell von Jedermann über das Internet erreichbar sind und lediglich durch eine Zugangsprozedur (Nutzername und Passwort sowie Verschlüsselungstechniken) geschützt sind.

Darüber hinaus können Sicherheitslücken einen unbefugten Zugang auf die Datenbestände des Unternehmens ermöglichen.

Das führt potenziell zu folgenden Problemen beim Datenschutz:

  • Unzulässiger Zugriff auf die Daten durch den Cloud-Dienstleister selbst, durch Ermittlungsbehörden und Geheimdienste sowie unbefugte Dritte
  • Manipulation oder Verlust von Daten
  • Identitätsdiebstahl durch Missbrauch von Zugangskennungen

 

Achten Sie auf technische Datensicherheit

Bei der Nutzung von Cloud-Diensten sind mehrere Parteien vertraglich miteinander verbunden, die jeweils Einfluss auf datenschutzrelevante Aspekte haben. Dadurch entstehen Beziehungen nicht nur zwischen dem Cloud-Anbieter und dem Cloud-Anwender, sondern auch zwischen dem Cloud-Anwender und seinen Geschäftspartnern sowie Kunden, deren Datenschutzrechte ebenfalls berührt werden.

Prinzipiell lassen sich datenschutzrechtliche Anforderungen nur erfüllen, wenn der Cloud-Provider ein vorgegebenes Maß an technischer Datensicherheit anbieten kann. Dies wird bestimmt durch die Hard- und Software des Dienstleisters. So kommen Verschlüsselungstechnologien für Daten und Zugänge, Authentifizierungsmethoden und auch Firewall-Komponenten zum Einsatz. Darüber hinaus regelt die organisatorische Sicherheit die Absicherung des physikalischen Zugriffs auf die IT-Komponenten des Cloud-Anbieters.

 

Datenschutz-Anforderungen an einen Cloud-Dienst

Neben der Bereitstellung der technischen Voraussetzungen zur Datensicherheit müssen Cloud-Anbieter die rechtlichen Datenschutzbedingungen einhalten. Diese sind EU-weit durch die DSGVO geregelt. Wichtig ist hierbei der juristische Fakt, dass beim Cloud Computing der Cloud-Anwender als Unternehmen im Verhältnis zu seinen Kunden für die Datensicherheit verantwortlich ist.

Details zwischen dem Cloud-Provider und dem Cloud-Benutzer werden in einem Vertrag zur Auftragsdatenverarbeitung geregelt. Der Cloud-Anwender sollte sich die Einhaltung vertraglich zugesicherter Anforderungen beispielsweise durch eine Datenschutz-Zertifizierung garantieren lassen. Der Cloud-Kunde bleibt Eigentümer seiner Daten, was bei manchen Cloud Services durchaus keine Selbstverständlichkeit ist.

 

Warum Sie mit der Nutzung von ausländischen Cloud-Anbietern gegen Datenschutzgesetze verstoßen

Wenn ein Unternehmen die Daten seiner Kunden bei einem Cloud-Anbieter z. B. in den USA speichert, können datenschutzrechtliche Bestimmungen verletzt werden. US-amerikanische Cloud-Provider sind gesetzlich dazu verpflichtet, Kundendaten an amerikanische Behörden auf Anforderung auszuliefern.

In diesen Fällen greift die EU-DSGVO nicht mehr und es müssen ergänzende Vereinbarungen mit dem Anbieter getroffen werden. So müssen Cloud-Anbieter in den Vereinigten Staaten sicherstellen, dass sie die Vorgaben des EU-US-Privacy-Shields erfüllen. In dieser Datenschutz-Compliance sichert die US-Regierung zu, im Datenaustausch mit Europa das hiesige Datenschutzniveau einzuhalten.

Ob dadurch die Weitergabe von Daten an US-Behörden verhindert wird, mag bezweifelt werden. Daher ist es in jedem Falle ratsam, auf europäische Cloud-Provider zurückzugreifen, die ihre Rechenzentren innerhalb der EU betreiben.

 

Wie DRACOON Ihre Datenschutz-Probleme löst

Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. Mit seinem hochsicheren und plattformunabhängigen Enterprise File Service bietet DRACOON seinen Anwendern maximale Flexibilität – und zugleich eine 100% DSGVO-konforme Lösung. Dadurch erhalten die Kunden die Souveränität über ihre Daten zurück. Das Produkt wurde nach dem Grundsatz „Privacy by Design“ entwickelt. Das bedeutet, dass die Datensicherheit und der Datenschutz bereits bei der Entwicklung der Software berücksichtigt wurden.

 

Der Schlüssel liegt beim Benutzer

Durch die clientseitige Verschlüsselung liegt die Datenhoheit nach dem Zero-Trust-Prinzip ausschließlich beim Anwender. Nicht einmal DRACOON selbst als Anbieter hat die Möglichkeit, auf gespeicherte Informationen zuzugreifen oder diese für weitere Zwecke zu scannen.

 

Datensicherheit "Made in Germany"

DRACOON nutzt ausschließlich deutsche und europäische Rechenzentren. Somit ist ein Datenzugriff durch ausländische Behörden – auch zu Ermittlungszwecken – ausgeschlossen.
Ebenso erfolgt keine Datenübergabe an Dritte.

Die Lösung wurde bereits von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet. Aber auch verschiedene Zertifikate und Siegel wie ISO27001 und das BSI C5-Testat belegen wiederkehrend das hohe Sicherheitsniveau. Mit seinem Service integriert es sich tief in die Unternehmensprozesse und liefert so einen maximal geschützten Kokon für Ihre Daten – und jede angeschlossene Anwendung.

Mit DRACOON nutzen Sie eine vollkommen gesicherte und DSGVO-konforme Umgebung, um Ihre Daten zu speichern, zu verwalten und zu teilen.

So speichern und teilen Sie Dateien sicher in Microsoft Teams

1 Min. Lesezeit

So speichern und teilen Sie Dateien sicher in Microsoft Teams

Microsoft Teams ermöglicht eine effiziente Kommunikation und das einfache Teilen von Dateien, jedoch bestehen Bedenken hinsichtlich Datenschutz und...

Read More
CLOUD Act & DSGVO: Was IT-Entscheider berücksichtigen müssen

1 Min. Lesezeit

CLOUD Act & DSGVO: Was IT-Entscheider berücksichtigen müssen

Der amerikanische CLOUD Act bedroht die Datensicherheit europäischer Unternehmen, da er auch auf Daten außerhalb der USA anwendbar ist, die von...

Read More
Homeoffice & Datenschutz stressfrei umsetzen mit DRACOON

1 Min. Lesezeit

Homeoffice & Datenschutz stressfrei umsetzen mit DRACOON

Die Hürden beim Datenschutz im Homeoffice Homeoffice und Datenschutz: Durch den pandemiebedingten Heimarbeits-Trend wird vielen Unternehmen...

Read More