jules - Fotolia

Transparenzberichte: Wer auf Cloud-Storage zugreifen will

Eine Sorge bei Nutzern von Cloud-Storage ist, dass Dritte Zugriff auf die Daten erhalten könnten. Staatliche Zugriffe auf die Daten werden in den Transparenzberichten aufgeführt.

Zu den größten Bedenken bei Cloud-Storage gehört, dass Dritte auf die vertraulichen Daten in der Cloud zugreifen könnten. Diese Dritten könnten Internetkriminelle, Industriespione, aber auch Beschäftigte des Cloud-Anbieters sein.

Nicht zu vergessen sind Nachrichtendienste und andere staatliche Stellen, die auf Basis des jeweiligen nationalen Rechts Zugriff verlangen auf die in der Cloud gespeicherten Daten.

Solche Zugriffe sind nicht nur in den USA ein Thema, sondern auch in Europa, innerhalb der EU und in Deutschland. Grundsätzlich steht der Datenschutz rechtsstaatlichen Zugriffen nicht entgegen: Datenschutz versteht sich als „Verbot mit Erlaubnisvorbehalt“. Gibt es also eine rechtliche Grundlage, die mit dem deutschen Recht beziehungsweise EU-Recht vereinbar ist, tritt der Datenschutz an dieser Stelle zurück.

Die Datenschutz-Grundverordnung (DSGVO/GDPR) besagt: „Die Verarbeitung personenbezogener Daten ist zulässig, wenn (…) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“

Auch wenn legitime staatliche Zugriffe auf Cloud-Daten also keinen Datenschutzverstoß darstellen, ist es aus Compliance-Gründen notwendig, sich über die stattfindenden Zugriffe auf die eigenen Cloud-Daten zu informieren. Nur so kann man seiner Verantwortung für die Cloud-Daten überhaupt gerecht werden.

Transparenz über Cloud-Zugriffe erforderlich

Wie aber erfährt man, ob staatliche Stellen auf die Cloud-Daten zugreifen? Alleine das Monitoring der Cloud-Storage-Zugriffe wird hier nicht helfen, denn diese Zugriffe werden nicht für das Monitoring transparent erfolgen. Doch es gibt sogenannte Transparenzberichte von Cloud-Storage-Anbietern.

Beispiele findet man hier:

Während man bei Dropbox gut erkennen kann, wie die Zahl der behördlichen Anfragen zwischen 2012 und 2016 angestiegen ist, findet man bei Tresorit nun den ersten entsprechenden Transparenzbericht.

In den Leitlinien zur Transparenz bei Dropbox findet man insbesondere:

  • Onlinedienste sollten die Anzahl und Arten behördlicher Anfragen, die sie erhalten, veröffentlichen und Nutzer benachrichtigen dürfen, wenn Auskünfte über sie eingeholt werden. Transparenz dieser Art hilft Nutzern, Vorfälle und Muster behördlicher Übergriffe besser zu verstehen und darauf zu reagieren.
  • Behördliche Auskunftsanfragen sollten sich auf die Informationen beschränken, die tatsächlich nötig sind, und klar auf konkrete Nutzer und rechtmäßige Untersuchungen zielen. Pauschale und zu weit gefasste Anfragen lehnen wir ab, so Dropbox.

Beispiel: Transparenzbericht bei Tresorit

Tresorit als Schweizer Unternehmen verweist in Sachen Transparenz über behördliche Anfragen auf folgendes:

  • Als ein schweizerisches Unternehmen ist Tresorit vorrangig Gegenstand der schweizerischen Rechtsprechung in Sachen Datenschutz. Aufgrund der schweizerischen Datenschutzgesetze und des schweizerischen Strafrechts können wir Nutzerdaten nur dann an nicht-schweizerische Behörden übergeben, wenn dies mit dem Bundesgesetz über internationale Rechtshilfe in Strafsachen (IRSG) und internationalen Rechtshilfeabkommen vereinbar ist. Ohne die offizielle Entscheidung einer schweizerischen kantonalen oder nationalen Behörde, können keinerlei Informationen aufgrund einer ausländischen Anfrage zur Verfügung gestellt werden.
  • Seit Gründung der Tresorit AG am 24. September 2013 bis zum 30. November 2017 erhielt die Tresorit insgesamt eine inoffizielle Anfrage einer schweizerischen Polizeibehörde, Nutzerdaten aufzubewahren. Da aber keine offizielle Entscheidung schweizerischer Behörden vorlag, übergab Tresorit weder Nutzerdateien noch Metadaten, so der Transparenzbericht.
  • Tresorit nutzt Ende-zu-Ende-Verschlüsselung. Diese Technologie macht es laut Tresorit für den Anbieter unmöglich, Inhalte der Dateien der Kunden auszulesen und dementsprechend auch unmöglich, diese Dateien an Dritte und Behörden in einem lesbaren, unverschlüsselten Format weiterzugeben.
  • Im Falle einer rechtmäßigen Datenanfrage kann Tresorit nach eigenen Angaben nur die folgenden, nicht inhaltsbezogenen Metadaten zu den Nutzern übergeben: Name, zum Konto gehörige E-Mail-Adresse, Telefonnummer, falls vom Nutzer hinterlegt, Rechnungsdaten: Name (Firmenname), Rechnungsadresse, letzte vier Ziffern der Kreditkarte, Ablaufdatum der Kreditkarte, IP-Adressen, mit denen auf den Service zugegriffen wurde, Namen der angelegten Order, einfache Aktivitätsdaten, Gerätenamen.

Empfehlung: Transparenzberichte lesen, Ende-zu-Ende-Verschlüsselung, Datenminimierung

Wer einen Cloud-Storage-Dienst sucht, sollte also auch nach entsprechenden Transparenzberichten suchen. Gibt es noch keine, sollte man eine entsprechende Nachfrage zu behördlichen Anfragen bei dem Anbieter stellen.

Zudem zeigt sich erneut, wie wichtig die Forderung nach einer Ende-zu-Ende-Verschlüsselung ist und wie sinnvoll die Datenminimierung / Datensparsamkeit bei der Registrierung für und Nutzung von Online-Diensten ist.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

DSGVO: Auswirkungen des neuen Bundesdatenschutzgesetzes auf die IT-Sicherheit

Datenschutz-Grundverordnung: Die Auswirkungen auf Unternehmen

Erfahren Sie mehr über Storage und Virtualisierung

ComputerWeekly.de
Close