Bevor die Vorgaben der Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 verbindlich in allen Mitgliedsstaaten der EU anzuwenden waren, gab es seitens vieler Unternehmen Bedenken. Diese bezogen sich nicht nur auf die rechtzeitige Umsetzung der Vorgaben bis zum Stichtag, sondern auch darauf, welche Folgen diese haben würden – schließlich wird die Verarbeitung personenbezogener Daten durch die DSGVO deutlich eingeschränkt. Auch der unzureichende Schutz dieser Daten kann drastische Konsequenzen in Form horrender Bußgelder nach sich ziehen.
Eher unbesorgt blickte hingegen Nextcloud der DSGVO entgegen. Der Anbieter des gleichnamigen Filehosting-Dienstes bietet Tools und Hilfestellungen an, um personenbezogene Daten schützen zu können. Ohnehin bietet Nextcloud hierfür bessere Grundvoraussetzungen als etwa Dropbox: Durch die Möglichkeit, Nextcloud kostenfrei auf einem Privatserver installieren zu können, behält der Nutzer die volle Kontrolle über seine Daten.
Das Nextcloud Compliance Kit
Um die Einhaltung der Regelungen der DSGVO zu gewährleisten, wurde noch vor dem 25. Mai das Nextcloud GDPR Compliance Kit eingeführt. Es besteht aus vier Komponenten:
- Update der Theming-App, wodurch ein Impressum und die Datenschutzerklärung anzeigt werden können,
- Delete-Account-App, mit welcher der eigene Account einfach gelöscht werden kann,
- Data-Request-App, womit die Löschung und Änderung personenbezogener Daten aus den Nutzereinstellungen angefordert werden kann,
- AGB-App, die erst nach dem Lesen und Akzeptieren der Zugangsbedingungen den Zugriff auf Nextcloud gewährt.
Weiterhin wurde eine 12-Schritte-Checkliste erstellt, die Administratoren dabei helfen soll, zu überprüfen, ob ihre Datenbanken ausreichend abgedeckt sind. Ein etwa 20-seitiges Handbuch führt den Administrator durch die einzelnen Schritte bei der Bearbeitung von Anfragen hinsichtlich der Änderung und Löschung personenbezogener Nutzerdaten. Auch wo solche Daten üblicherweise auf Nextcloud-Servern gespeichert sind, kann er aus dem Handbuch erfahren.
Tipp: Sowohl die Checkliste als auch das Handbuch stellt der Anbieter auf seiner Website zur Verfügung. Hier können Sie es einfach an Ihre E-Mail-Adresse senden lassen.
Probleme beim Datenschutz in der Cloud
Beim Cloud-Computing werden Daten auf einem Fremdserver gespeichert, auf den mit den Zugangsdaten des persönlichen Kontos zugegriffen werden kann. Dementsprechend verwaltet nicht der Nutzer selbst seine Daten, sondern ein externer Dienstleister, beispielsweise Dropbox.
Dropbox selbst hat vollen Zugriff auf die Klartextdateien seiner Nutzer. Weiterhin werden die Daten zwar Dritten gegenüber durch eine AES-Verschlüsselung unkenntlich gemacht, aber der entsprechende Schlüssel wird von dem Unternehmen zentral gespeichert und dem Nutzer nicht ausgehändigt. Dementsprechend sollte ein Anwender seine schützenswerten Daten vor der Nutzung des Dienstes selbst verschlüsseln, da er nur auf diese Weise Zugang zum Schlüssel hat.
Tipp: Vergewissern Sie sich, dass der Anbieter der Cloud ein Zertifikat nachweisen kann, das dokumentiert, dass die notwendigen Datenschutzbestimmungen eingehalten werden.
Achtung: Verschiedene Zertifikate und Standards haben unterschiedliche Schwerpunkte. Nicht alle unter ihnen müssen daher für Sie relevant sein. Kernpunkte von Zertifikaten können etwa Daten- und Informationssicherheit oder Transparenz und Serviceorientierung sein. Auf welche Zertifikate Sie achten sollten, hängt unter anderem davon ab, ob Sie den Dienst als Privatperson oder im Auftrag eines Unternehmens nutzen und ob Sie für ein national oder international operierendes Unternehmen arbeiten.
Mehr Informationen über den Datenschutz in der Cloud finden Sie unter https://www.datenschutz.org/cloud/.