Datenschutzerklärungen von GoogleDrive, OneDrive und Dropbox: Das Kleingedruckte, das hoffentlich niemand liest
Wir haben das alle schon mal erlebt. Wir registrieren uns für einen neuen Cloudspeicherdienst und werden gebeten, die Nutzungsbedingungen zu lesen und zu akzeptieren – wir markieren das Feld neben “Ich habe die Nutzungsbedingungen gelesen und akzeptiere diese”, ohne den Text tatsächlich zu lesen, und beginnen mit der Nutzung des neuen Service.
Es gibt aber eine wichtige Frage, die wir uns stellen sollten, bevor wir den Bedingungen zustimmen und dem Anbieter unsere Daten überlassen. Kann der Anbieter auf unsere Inhalte zugreifen, die wir mit seinem Service teilen? Falls ja, was macht er mit diesen – und kompromittiert er damit unsere Sicherheit?
Das Geschäftsmodell der Techgiganten
Es mag zuerst harmlos klingen, aber für ein erfolgreiches Geschäftsmodell benötigen die großen Cloudspeicheranbieter unsere Daten, damit sie ihre Leistung verbessern, neue Services entwickeln, uns relevante Werbungen anzeigen, Subunternehmen nötige Informationen zu ihrem Service zukommen lassen und Anfragen von Behörden beantworten können.
Die Datenpannen und Skandale, die die Schlagzeilen machen, zeigen eindeutig, dass gängige Cloudanbieter mit ihrem extensiven Zugriff auf unsere Daten, die wir bei ihnen speichern, diese von Natur aus in Gefahr bringen.
Die Entstehung der Null-Vertrauen-Gesellschaft
Die Lösung? Da Internetnutzer und Firmen immer mehr auf Cloudspeichertechnologie angewiesen sind, müssen wir in einer “Null-Vertrauen-Gesellschaft” leben, in der wir die Möglichkeiten für den Missbrauch und die Offenlegung unserer Daten möglichst gering halten. Das fängt damit an, dass wir uns auch mit dem Kleingedruckten vertraut machen und erlernen, wie Online-Dienste unsere Daten verwalten.
Um Ihnen dabei zu helfen, haben wir die Datenschutzerklärungen von drei populären kommerziellen Cloudserviceanbietern gelesen, die möglicherweise von Ihnen oder von Ihren Mitarbeitern genutzt werden, um zu sehen, was für einen Zugriff diese auf Ihre geteilten Inhalte haben und welche Sicherheitslücken dadurch entstehen. Lesen Sie weiter und erfahren Sie, worum es sich dabei handelt und was Sie dagegen tun können:
Google Drive
Google Drive ist ein cloudbasierter Speicher- und Synchronisationsservice, bekannt für seine Features zur Zusammenarbeit und seinen großzügigen kostenfreien Speicherplatz. Sowohl individuelle Nutzer als auch Unternehmen, die sensible oder vertrauliche Daten verwalten, sollten sich überlegen, warum Google Drive es Ihnen so einfach macht, viele Informationen auf seinen Servern zu speichern.
Laut seiner Datenschutzerklärung behält Google Drive sich das Recht vor:
- Ihre Inhalte zu erheben und zu scannen, um seinen Service zu verbessern
“Wir erheben Informationen, um all unseren Nutzern bessere Dienste zur Verfügung zu stellen — von der Feststellung grundlegender Aspekte wie zum Beispiel der Sprache, die Sie sprechen, bis hin zu komplexeren Angelegenheiten wie zum Beispiel der Werbung, die Sie besonders nützlich finden, der Personen, die Ihnen online am wichtigsten sind, oder der YouTube-Videos, die Sie interessant finden mögen.”
Google kann Ihre erstellten, hochgeladenen oder erhaltenen Dokumente nach Informationen, Schlüsselwörtern und Bildern scannen, um den Service zu verbessern, neue Dienstleistungen zu entwickeln und Werbung zu erstellen, die auf Ihre Interessen zugeschnitten ist. Diese Informationen werden auch verwendet, um Algorithmen zu verbessern und maschinelles Lernen auf der Plattform zu ermöglichen, was bedeutet, dass sowohl KI als auch Menschen Zugriff auf Ihre Inhalte haben.
- Ihre Informationen nutzen, um Geschäftstätigkeit an Servicepartner auszulagern (Outsourcing)
“Wir stellen personenbezogene Daten unseren verbundenen Unternehmen, anderen vertrauenswürdigen Unternehmen oder Personen zur Verfügung, die diese in unserem Auftrag verarbeiten. Dies geschieht auf der Grundlage unserer Weisungen und im Einklang mit unserer Datenschutzerklärung sowie anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen. Beispielsweise nutzen wir Dienstanbieter zur Unterstützung beim Kundensupport.”
Das deutet darauf hin, dass neben Google-Mitarbeitern auch Drittanbieter möglicherweise Ihre Inhalte einsehen können. Jede Offenlegung erhöht das Risiko eines versehentlichen oder beabsichtigten Datenverlusts oder bösartigen Hackerangriffs.
- Anfragen von juristischen Personen oder Behörden beantworten
“Wir verarbeiten Ihre Daten, wenn wir dazu eine rechtliche Verpflichtung haben, z. B. um anwendbares Verfahrensrecht einzuhalten oder einer vollstreckbaren behördlichen Anordnung nachzukommen.”
Google behält sich das Recht vor, Daten an Behörden weiterzugeben, wenn ein Haftbefehl vorliegt – und aufgrund von Informationssperren ist Ihnen möglicherweise nicht bewusst, dass die US-Regierung bereits auf Ihre Dateien zugegriffen hat. Wenn Ihre Dateien Ende-zu-Ende-verschlüsselt sind, dann sind diese für keine in lesbarer Form verfügbar. Wenn das aber nicht der Fall ist, dann gibt es einen Grund Bedenken zu haben.
OneDrive
OneDrive ist ein Datei-Hosting- und Synchronisationsdienst von Microsoft und Teil dessen Office-Paketes. Ähnlich wie bei Google Drive bietet OneDrive einen großzügigen kostenfreien Speicherplatz. Wenn Sie diesen Service nutzen, sollten Sie sich fragen, was Ihr kostenloses Konto in der Wirklichkeit kostet.
Laut der Datenschutzerklärung von OneDrive verwaltet der Anbieter Ihre Daten und greift auf diese aus folgenden Gründen zu:
- Um maschinelles Lernen zu verbessern
“Um die Genauigkeit unserer automatisierten Verarbeitungsmethoden (einschließlich KI) zu trainieren und zu verbessern, überprüfen wir manuell einige der Vorhersagen und Schlussfolgerungen, die mit den automatisierten Methoden erstellt wurden. Dies erfolgt anhand der zugrunde liegenden Daten, aus denen die Vorhersagen und Schlussfolgerungen erstellt wurden. Beispielsweise überprüfen wir manuell kurze Ausschnitte kleiner Stichproben aus Sprachdaten, die wir anonymisiert haben, um Features unserer Sprachdienste wie Erkennung und Übersetzung zu verbessern.”
Es ist nicht 100% klar, was für Daten genau für diese Aktivitäten verwendet werden, doch ist es nicht auszuschließen, dass die Inhalte, die Sie mit dem Service teilen, den oben genannten Zwecken zu Nutze gemacht werden.
Auf den ersten Blick scheint dieser Zugriff vollständig automatisiert und von KI betrieben zu sein, doch diese Algorithmen und Programme müssen von Menschen eingestellt und ausgebildet werden, die dafür routinemäßig auf Ihre Daten und Inhalte zugreifen müssen.
- Um personalisierte Produkte und gezielte Werbung anzubieten
“Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. Insbesondere verwenden wir Daten für Folgendes:
- Unsere Produkte bereitstellen, diese zu aktualisieren, sichern, und Probleme behandeln sowie Support bereitstellen. Dies umfasst auch das Freigeben von Daten, wenn erforderlich, um den Dienst bereitzustellen oder die Transaktionen auszuführen, die Sie angefordert haben.
- Entwickeln und Verbessern von Produkten.
- Personalisieren unserer Produkte und Bereitstellen von Empfehlungen.
- Unterbreiten von Werbeangeboten an Sie. Dazu gehören der Versand von Werbekommunikation, gezielte Werbung und die Präsentation relevanter Angebote.”
Wie GoogleDrive kann OneDrive beim Speichern Ihrer Dateien Einsicht in Ihr Verhalten gewinnen und diese für die Verbesserung seiner Services und gezielte Werbung nutzen, die Sie zum Kauf von zusätzlichen Dienstleistungen überreden soll. Das bedeutet, dass auch hier Mitarbeiter Zugriff auf Ihre Daten und Inhalte haben können, um sich diese Einsichten zu Nutze zu machen.
- Um Serviceprovider zu versorgen und Haftbefehlen von Behörden nachzukommen
“Wir teilen Ihre persönlichen Daten mit Ihrer Zustimmung oder um eine Transaktion abzuschließen oder ein Produkt anbieten zu können, das Sie angefordert oder autorisiert haben. Wir teilen Daten auch mit von Microsoft kontrollierten Tochtergesellschaften und mit Lieferanten, die für uns arbeiten. Wir teilen Daten, wenn dies gesetzlich vorgeschrieben ist oder um auf rechtliche Verfahren zu reagieren; um unsere Kunden zu schützen; um Leben zu schützen; um die Sicherheit unserer Produkte zu gewährleisten und um die Rechte und das Eigentum von Microsoft und seinen Kunden zu schützen.”
Einfach formuliert können zahlreiche Organisationen, Tochtergesellschaften, und Partner standardmäßig auf Ihre Daten zugreifen. Jedes Mal, wenn eine Person Zugriff auf Ihre Daten erlangt, erhöht sich das Risiko einer Sicherheitsverletzung.
Dropbox
Dropbox ist ein Cloudspeicherservice von Dropbox Inc. mit Sitz in San Francisco, Kalifornien. Obwohl der Dienst von vielen Menschen verwendet wird, gibt es mehrere Sicherheitslücken, die Sie beachten sollten, wenn Sie aktuell sensible oder vertrauliche Informationen in Dropbox speichern.
In der Datenschutzerklärung von Dropbox wird angegeben, dass der Anbieter sich das Recht vorbehält, auf Ihre Daten zuzugreifen:
- Um alle Daten zu scannen und zu speichern, um mehr Einsichten zur Verbesserung des Services zu gewinnen
“Wir benötigen Ihre Genehmigung, um z.B. Ihre Dateien zu hosten, zu sichern und auf Ihre Aufforderung hin freizugeben. Unsere Dienste bieten Ihnen auch Funktionen wie Miniaturansichten von Bildern, Voransicht von Dokumenten, Kommentieren, leichtes Sortieren, Beabeiten, Freigeben und Suchen. Für die Bereitstellung dieser und anderer Funktionen muss Dropbox gegebenenfalls auf Ihre Dateien zugreifen, diese speichern und scannen.”
Anders formuliert, wenn Sie sich Zugang zu diesen praktischen Features wünschen, kann Dropbox auf die Inhalte Ihrer Dateien zugreifen. Letzten Endes ist Ihnen entweder die Privatsphäre und Sicherheit Ihrer Dateien vorrangig, oder die bequemen Features, die der Anbieter neben Scanning Ihrer Inhalte anbietet.
- Um Informationen mit Dritten zu teilen
“Dropbox arbeitet mit verschiedenen vertrauenswürdigen Drittunternehmen zusammen (beispielsweise mit Anbietern von Kundensupport und IT-Diensten), mit deren Hilfe wir unsere Dienste anbieten, verbessern, schützen oder vermarkten können. Diese Drittunternehmen greifen auf Ihre Informationen zu, um in unserem Auftrag Aufgaben zu erfüllen. Wir sind weiterhin verantwortlich für die Handhabung Ihrer Informationen durch diese Drittunternehmen gemäß unseren Anweisungen.”
Das heißt also, dass Sie beim Speichern Ihrer sensiblen oder vertraulichen Daten in Dropbox (ähnlich zu GoogleDrive und OneDrive) berücksichtigen sollten, dass der Anbieter die Inhalte für Dritte zur Verfügung stellt und diesen vertraut, die Zugriffsrechte nicht zu missbrauchen.
- Um Information auf rechtliche Anfragen hin bereitzustellen
“Wir können Ihre Daten auch für Dritte freigeben, wenn eine Freigabe nach unserem Ermessen sinnvoll und notwendig scheint, um (a) geltenden Gesetzen, Vorschriften, Rechtsprozessen oder angemessenen Anfragen von Behörden Folge zu leisten, (b) einen Menschen vor dem Tod oder schwerer körperlicher Verletzung zu schützen, (c) Dropbox oder unsere Nutzer vor Betrug oder Missbrauch zu schützen, (d) die Rechte, das Eigentum, die Sicherheit oder die Interessen von Dropbox zu schützen oder (e) Aufgaben auszuführen, die im Interesse der Öffentlichkeit liegen.”
Ihre Privatsphäre ist bei Dropbox also ebenfalls nicht garantiert und Ihre Informationen können jederzeit mit Rechts- oder Regierungsbehörden geteilt werden.
Was bedeutet das alles?
Große Cloudspeicheranbieter können auf Ihre Daten zugreifen (und dies Ihren Mitarbeiter, Subunternehmer und Rechtsbehörden gestatten), da sie typischerweise serverseitige Verschlüsselung verwenden. Das ermöglicht ihnen, Ihre Daten auf ihren Servern zu verwalten, diese zu lesen und zu katalogisieren, damit sie ihren Service verbessern und bequeme Features, wie Zusammenarbeit in Echtzeit anbieten können.
Das bedeutet, dass Ihre Dateien nicht auf den ganzen Weg verschlüsselt sind, da sie für Prozesse zwischendrin entschlüsselt werden müssen, so dass die Informationen offengelegt werden und von bösartigen Angriffen gefährdet sind. Der Zugriff auf Ihre Daten ist für den Anbieter von Vorteil, verursacht aber ein ernstes Sicherheitsrisiko für Ihre Daten. Cloud-Nutzer müssen entscheiden, wie sensibel Ihre Dateien sind und ob sie Sicherheit für bequeme Features und Komfort opfern wollen.
Was können Sie also tun?
Die einfachste Lösung, damit keine unbefugte Person Zugriff auf Ihre geteilten Inhalte erlangen kann, ist die Nutzung eines Cloudspeichers mit Zero-Knowledge-Prinzip und Ende-zu-Ende-Verschlüsselung, wie Tresorit.
Mit Tresorits patentierter Ende-zu-Ende-Verschlüsselungstechnologie werden die Daten verschlüsselt, bevor diese das Gerät des Nutzers verlassen, in transit und at rest auf unseren Servern. Sie werden nie entschlüsselt, es sei denn, der befugte Nutzer greift auf sie zu. Zero Knowledge garantiert vollständige Datei-Anonymität durch einen Prozess, der es jedem – inklusive uns – unmöglich macht auf Nutzerdateien zuzugreifen.