Ist Digital Asset Management in der Cloud sicher?
Bei der Wahl der passenden Digital Asset Management Software stehen Unternehmen vor der Entscheidung, ob sie das System auf ihren eigenen Servern (On-Premise) oder als Software-as-a-Service (SaaS) betreiben. Bei letztgenannter Variante übernimmt der DAM-Anbieter selbst das Hosting der Daten oder lagert dies an einen Cloud-Dienstleister aus. Insbesondere für Unternehmen in regulierten Branchen (z. B. Behörden oder Unternehmen aus dem Finanz-, Energie- oder Medizinsektor) ist die Frage nach der Datenhaltung besonders relevant: Inwiefern wird eine DAM Cloud-Lösung den europäischen Datenschutzregeln gerecht und kann auch die eigenen internen Vorgaben erfüllen?
Warum müssen manche Daten geschützt werden?
Was sind personenbezogene Daten?
Personenbezogene Daten sind gemäß Artikel 4 der DSGVO alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können. Dazu gehören beispielsweise Namen, Adressen, Telefonnummern, Kontodaten, Autokennzeichen oder Standortdaten. Aber auch das Aussehen, Staats- oder Religionszugehörigkeit oder Vereinsmitgliedschaften zählen darunter. Ebenso können Fotos von Personen dazu zählen, wenn keine schriftliche Genehmigung für diese vorliegt. Unternehmen müssen vor allem die Daten ihrer Mitarbeiter und Kunden vor Datenmissbrauch schützen.
Insbesondere bei einer Software-as-a-Service DAM-Lösung, sollten Unternehmen aufgrund der aktuellen Rechtslage darauf achten, wo die Daten gespeichert werden. Vor allem personenbezogene Daten sind laut europäischer Rechtsprechung besonders schützenswert. Laut Artikel 8 der Charta der Grundrechte der Europäischen Union hat jeder EU-Bürger das Recht auf informelle Selbstbestimmung und darf darüber entscheiden, was mit diesen Daten passiert und ob und inwiefern diese weiterverarbeitet werden dürfen. Datenschutz ist zudem wichtig, um Datenmissbrauch vorzubeugen. Ein wichtiger Aspekt dabei ist, wo Daten gespeichert werden und wer darauf Zugriff hat. Das ist nicht nur für personenbezogene Daten relevant, sondern trifft auch auf sensible Unternehmensdaten und Firmengeheimnisse zu.
Sensible Daten an digitalen Assets
Wird das Digital Asset Management System als zentraler Content Hub genutzt, können dort viele sensible Daten gespeichert sein. Auch wenn Unternehmen sich dieser Tatsache bewusst sind, enthalten DAM-Systeme häufig mehr schützenswerte Daten als angenommen. Metadaten an digitalen Assets beinhalten z. B. personenbezogene Daten, wenn etwa im Dateinamen oder Netzwerkpfad der Name einer, auf einem Foto abgebildeten, Person klar genannt ist oder Informationen in allgemeinen Metadatenfeldern wie Beschreibung oder in Form von Schlagwörtern festgehalten werden. Geografische Metadaten werden z. B. automatisch bei der Aufnahme eines Fotos über eine Digitalkamera oder ein Smartphone an das Foto bzw. Video angeheftet. Über solche Details sollte man sich bewusst sein, wenn man seine Datenhaltung sicher gestalten möchte.
Warum kann die Datenspeicherung auf ausländischen Servern bedenklich sein?
Werden Daten auf europäischen Servern gespeichert, unterliegen sie dem europäischen Datenschutz-Standard. Die großen Cloud-Anbieter Microsoft Azure, AWS oder Google sind Unternehmen mit Firmensitz in den USA. Seit der Einführung des Patriot Acts 2001 sind US-amerikanische Unternehmen dazu verpflichtet US-Behörden Zugriff auf Daten zu gewähren, sofern diese in den USA gespeichert werden. Seit 2018 gilt in den USA zudem der CLOUD Act, welcher es Geheimdiensten auch ermöglicht auf ausländische Server zuzugreifen, wenn der Hauptfirmensitz in Amerika liegt. Es ist also nicht mehr nur der Serverstandort entscheidend, sondern der Firmensitz eines Cloud-Anbieters. Auch wenn die Server der Cloud-Anbieter in der EU stehen, können US-Behörden theoretisch auf die darauf liegenden Daten Zugriff erhalten, ohne dass es vorab einer gerichtlichen Genehmigung bedarf. Nicht nur Datenschützer sondern auch große US-Unternehmen wie Microsoft stehen dem CLOUD Act daher kritisch gegenüber.
Abkommen zwischen EU und USA für sicheren Datentransfer gekippt
Schrems-Urteile kurz erklärt
Datenschutzaktivist Max Schrems hat für den Schutz seiner Daten vor dem EUGH geklagt. Der damalige Jurastudent hatte bereits 2011 von Facebook die Herausgabe aller über ihn gespeicherten Daten gefordert und anschließend geklagt. Er wollte nicht, dass Facebook seine persönlichen Daten auf US-Servern speichert, da sie dort seiner Meinung nach nicht ausreichend vor dem Zugriff von US-Behörden geschützt wären. Der EUGH hat den Klagen stattgegeben und sowohl das Safe-Harbor-Abkommen, also auch das nachfolgende Privacy Shield gekippt. Standardvertragsklauseln wurden im Schrems-II-Urteil hingegen nicht für generell ungültig erklärt, jedoch müssten Unternehmen vor dem Datentransfer in ein Drittland außerhalb der EU prüfen, ob das Schutzniveau im Drittland mit dem europäischen vergleichbar ist, was beispielsweise in den USA aufgrund des CLOUD Acts nicht der Fall ist.
Um auch eine Übertragung personenbezogener Daten von EU-Bürgern in die USA – wo die großen Cloud-Dienstleister ihre Firmensitze haben – abzusichern, wurde das Safe-Habor-Abkommen geschlossen. Das Safe-Habor-Abkommen wurde bereits 2015 durch das Schrems I-Urteil des EUGH für ungültig erklärt und sollte dann durch das Privacy Shield ersetzt werden. Zusätzlich nutzen viele Unternehmen für ihre Datentransfers in die USA Standardvertragsklauseln (auch SCC - Standard Contractual Clauses) auf Grundlage des Beschlusses (EU) 2010/87 der EU-Kommission in den Verträgen mit den Dienstleistern, um die DSGVO einzuhalten. Die Gültigkeit des zwischen den USA und der EU geschlossenen Privacy Shields wurde jedoch am 16. Juli 2020 mit dem Schrems II-Urteil aufgehoben.
Worauf sollte man bei einer Digital Asset Management SaaS Variante achten?
Aufgrund der aktuellen Rechtslage gibt es begründete datenschutzrechtliche Bedenken bei der Datenspeicherung bei ausländischen Cloud-Diensten. Beim Vergleich von Digital-Asset-Management-Software sollten Unternehmen sich darüber bewusst sein. Es empfiehlt sich besonderes in regulierten Branchen bei der Auswahl der passenden Digital Asset Management Software verstärkt auf die Möglichkeiten zur Datenhaltung zu achten. Nicht jeder Anbieter lässt seinen Nutzern die Freiheit zwischen verschiedenen Lösungen zur Datenspeicherung frei zu wählen. Bei einer SaaS-Lösung ist es zudem empfehlenswert, zu prüfen, ob das DAM in einem deutschen bzw. europäischen Rechenzentrum betrieben werden kann und somit dem europäischen Datenschutzstandard unterliegt. Alternativ können Unternehmen Digital Asset Management Software auch auf ihren eigenen Servern betreiben. Gerade für kleinere Unternehmen oder Agenturen bieten beispielsweise NAS-Systeme von Synology eine gute Möglichkeit eine eigene sichere Infrastruktur zu schaffen. Außerdem sollte geprüft werden, dass auch externen Dienste, die an das DAM-System angeschlossen werden, den gewünschten Sicherheitsbestimmungen unterliegen.
Bei unserem Digital Asset Management System Cavok entscheiden Sie, wo Sie Ihre Daten speichern möchten. Neben einer klassischen SaaS Variante (in einem sicheren deutschen Rechenzentrum oder bei einem Anbieter Ihrer Wahl) sowie einer On-Premise Version, bieten wir Cavok auch als Hybrid SaaS Digital Asset Management Lösung an. Ihre Daten bleiben auf Ihren firmeneigenen Servern gespeichert. Lediglich der Datenbank- und Webserver befindet sich im Rechenzentrum.
Gerne beraten wir Sie, wie Sie Ihre Datenhaltung DSGVO-konform und sicher gestalten können.