DSGVO – Dropbox, iCloud, OneDrive und GoogleDrive

Headerfoto

Wer nutzt sie nicht, die Cloud-Dienste von Dropbox, iCloud, OneDrive oder GoogleDrive? Sie sind ja auch verdammt praktisch, hat man heutzutage mehr Geräte als man schauen kann. Smartphone, Laptop, Tablet und PC im Büro, manches davon sogar doppelt – um seine Daten immer verfügbar zu haben, sind Clouddienste das meistgewählte Mittel.

Aber wie sieht die Welt der Cloud-Dienste nach dem 25. Mai aus? Vor allem nutzen immer mehr Unternehmen die aufgeführten Cloud-Anbieter zunehmen für ihre Tätigkeiten, sei es um Teams zu koordinieren oder Daten zu sichern.

Der Platzhirsch und wohl bekannteste Cloud-Anbieter ist Dropbox. Hier muss man allerdings direkt unterscheiden zwischen dem Angebot für den privaten Bereich und „Dropbox for Business“. Während der erste direkt schon ausscheidet zur Nutzung im gewerblichen oder Vereinsumfeld, sieht es bei Dropbox für Unternehmen anders aus. Durch die neuen Schnittstellen bietet Dropbox den IT-Administratoren der Unternehmen die Möglichkeit, mehr Kontrolle darüber auszuüben, wer welche Daten erhält, wer welche Daten teilen darf und was nach dem Ausscheiden eines Mitarbeiters mit den Daten passiert. Auch die Anbindung von Active-Directory macht es für Unternehmen sehr interessant. Allerdings fallen mit Blick auf die DSGVO noch Schwachstellen auf. So verwendet Dropbox zwar nach eigenen Angaben eine 256Bit und SSL-Verschlüsselung, jedoch wird der private Schlüssel zentral auf dem Server von Dropbox gespeichert. Das hat zur Folge, dass Dropbox theoretisch Zugriff auf die Daten hat – was wiederum der DSGVO widerspricht.

Bei iCloud sieht die Situation wesentlich schlimmer aus. Zum einen erklärt sich Apple Distribution International (ADI) mit Sitz in Irland einfach mal als Inhaber der Daten, d.h. wenn das Adressbuch in der iCloud gesichert wird, geht der Besitz dieser Daten an Apple über (Quelle: steigerlegal.ch). Das kann weder im Sinne des Benutzers sein noch ist es im Sinne der DSGVO. Liest man mal in den AGBs dazu nach, steht dort sogar, dass man zustimmt, iCloud nur für den privaten Gebrauch zu verwenden. Damit fällt also die Nutzung im gewerblichen oder Vereinsbereich aus.

GoogleDrive bietet mit der Google GSuite ebenfalls eine professionelle Variante an, die ab 4€ im Monat gebucht werden kann. Hier lässt sich ein entsprechender Auftragsdatenverarbeitungsvertrag abschließen und somit wäre die Speicherung von personenbezogenen Daten zulässig. Zu beachten ist natürlich, dass eine Speicherung in Deutschland nicht garantiert wird. Die kostenlose Variante (Gmail etc.) hingegen bietet nicht die Möglichkeit, einen solchen Vertrag abzuschließen und ist daher nur für den rein privaten Gebrauch zu nutzen.

Unwesentlich besser sieht die Sache bei Microsoft OneDrive aus. Hier werden zwar die Anforderungen der DSGVO komplett umgesetzt, jedoch lässt sich ein Auftragsdatenverarbeitungsvertrag wieder nur in der Business-Variante (Office 365) umsetzen. Dennoch geht die Empfehlung zu OneDrive, denn mit dem Office 365-DE Abo kann man die explizite Speicherung der Daten in Deutschland verfügen und für gemeinnützige Vereine gibt es die Möglichkeit, Office-365 kostenlos zu erhalten.

Fazit: Kostenlose Cloud-Dienste für einen anderen Bereich als den privaten zu nutzen ist im Sinne der DSGVO unmöglich. Die Bezahlangebote hingegen sehen da bei Dropbox, GoogleDrive und OneDrive wesentlich besser aus. Nur iCloud sollte man tunlichst vermeiden.