Dropbox erhielt als einer der ersten großen Cloudanbieter vor wenigen Tagen das ISO-Gütesiegel ISO 27018, das erst letztes Jahr im August verabschiedet wurde. Die ISO 27018 regelt datenschutzrechtliche Anforderungen an Cloud-Dienste nach EU- bzw. deutschem Recht. Doch ist nicht alles Gold was glänzt.

DROPBOX FÜR UNTERNEHMEN

Dropbox zertifiziert hiermit für seine Businesskunden die Kontrolle über ihre Daten, Transparenz über Speicherung und hohe Sicherheits- und Datenschutzniveaus. Das Zertifikat wird bzw. muss jedes Jahr durch ein Audit bestätigt werden. Das Erstzertifikat ist bereits HIER als Pdf-Datei einzusehen.

SPEICHERORT NICHT ZERTIFIZIERT?

Wenn man sich das Zertifikat aber mal genau ansieht, fällt auf, dass folgende Bereiche zertifiziert wurden:

  • The Dropbox software client (desktop/laptop access)
  • The Dropbox web application (desktop and mobile browser access)
  • The Dropbox mobile application (mobile device access)
  • The Dropbox application programming interface (API) (invoked by a Dropbox for Business customer to perform operations on data within that customer’s account)

Ob der Speicherort der Dateien, also das Cloud-Backend ebenfalls zertifiziert wurde ist aus dem Zertifikat nicht klar herauszulesen:

„The scope of this ISO/IEC 27018:2014 Certification is bounded by specified services of Dropbox for Business and specified facilities.“

Dies kann oder kann nicht bedeuten, dass das Backend mitzuertifiziert wurde. Was hier passiert unterliegt also nicht zwangsläufig dem ISO-Standard. Wir haben aber das Zertifizierungsunternehmen kontaktiert und um Aufklärung gebeten. Das Ergebnis werden wir hier ebenfalls nachreichen.

FAZIT

Wie bei jeder Zertifizierung sollten Sie sich nicht durch ein generelles „ISO XY zertifiziert“-Banner auf der Internetseite des Unternehmens zufrieden geben. Sehen Sie sich stattdessen das Zertifikat genau an und achten Sie auf den ausgewiesenen Scope der Zertifizierung. Was fehlt in Ihren Augen? Und warum? Auch sollten Sie darauf achten, dass das Unternehmen jährlich auditiert wird und sich tatsächlich regelmäßig rezertifizieren lässt.

Im Falle Dropbox Business, sollten Sie unbedingt auf Nutzerseite verschlüsseln. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz empfiehlt dafür Truecrypt und 7-Zip bzw. 7Zx (je nachdem ob Windows oder Mac im Einsatz sind). Das vom Bundesministerium der Justiz und für Verbraucherschutz (BMJV) geförderte Softwareprojekt Panbox von Sirrix ist eine weitere Möglichkeit.

 

Ähnliche Beiträge

Richtige E-Mail...

Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...

Datenschutzerklärung für...

Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...

Datenschutz und WhatsApp? Wo...

Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...