Kategorien
Betriebliches E-Business Freelance Technik Workflow

Von wegen Wolke 7: So geht Datentransfer in Zeiten der DSGVO

Freelancer kennen das Problem. Die Projektdaten müssen zum Kunden, zur Druckerei oder sonst wohin. CDs und DVDs sind lange out, aber E-Mails fassen die X Gigabyte nicht. Also nimmst du einen der Datentransfer-Dienste aus der Cloud. Das ist bequem und schnell, aber ist es auch zulässig und solltest du das wirklich wollen?

Die Ausgangssituation: die Datei muss hier und da hin

Gehen wir das Problem von der Wurzel aus an. Die Druckdaten für den Jahresbericht deines Kunden müssen im druckfähigen PDF-Format an die Druckerei in Polen geschickt werden. E-Mail eignet sich nicht, denn die Größenbeschränkungen deines Anbieters decken dein Projekt nicht ab. Wie das mit dem Postfach der Druckerei aussähe, brauchst du daher gar nicht erst zu erfragen. Eine DVD könnten sie zwar lesen, aber der Druckbeginn soll morgen früh sein. War ja klar, dass dein Kunde im allerletzten Moment noch mit Änderungen kommen musste.

Warum Dropbox, WeTransfer und einige mehr nicht die Lösung sind

Es bleibt dir nur ein Cloud-Anbieter, der verspricht, deine Daten auf einem Server für autorisierte Personen zum Download verfügbar zu machen. Davon gibt es eine ganze Menge. Das beginnt mit den klassischen Cloud-Storage-Lösungen Google Drive, Onedrive oder Dropbox, bei denen du allerdings in der Regel keine Kundendownloads hosten wollen willst, wenn du den Dienst auch ansonsten für dein Geschäft nutzt.

The cloud is only someone else’s computer ;-) (Foto: Depositphotos)

Besser wäre es doch, wenn du einen Service verwendetest, der nichts weiter tut als einen Download für eine definierte Zeitspanne zur Verfügung zu stellen. Nach Ablauf des Zeitraums löscht der Dienst den Download und fertig. Auch von dieser Sorte Dienste gibt es einige, am bekanntesten dürfte wohl WeTransfer sein.

Bei WeTransfer kannst du kostenlos bis zu 2 GB große Datenpakete hinterlegen. Deinem Kunden oder, wie in unserem Beispiel, der Druckerei gibst du den generierten Link und schon können sie sich das PDF des Jahresberichts runterladen. Das ist einfach und geht schnell und zuverlässig. Es ist kein Wunder, dass sich WeTransfer und seine Wettbewerber, wie Lickety Link, File Pizza, Surge Send und wie sie alle heißen großer Beliebtheit erfreuen.

Der Grund, weshalb ich diese Dienste nicht aktiv, also als Uploader, nutze, ist der, dass der generierte Link regelmäßig die Zugangsberechtigung zu den Daten darstellt. Das ist mir zu simpel und das sollte dir auch zu simpel sein. Im Falle des Jahresberichtes mag es wenig kritisch sein, weil diese Unterlagen eh meist für die Öffentlichkeit gemacht werden, aber da sind natürlich andere Konstellationen ebenso denkbar.

Wenn du dich jetzt fragst, was es denn für Alternativen gibt, lies weiter. Weiter unten im Beitrag stelle ich dir den deutschen Dienstleister Safetransfer.eu vor.

Die DSGVO verschärft die Bedingungen für den Datentransfer enorm

Der eben beschriebene Vorsichtsgedanke wird seit Mai 2018 durch die EU-Datenschutzgrundverordnung, kurz DSGVO, normativ verankert. Der Grundgedanke der DSGVO ist der der Datensparsamkeit und Datensicherheit. Generell soll die Datenverarbeitung auf ein absolutes Minimum reduziert werden. Dabei muss auch die Speicherung etwaiger Daten hohen Sicherheitsstandards genügen, die viele Experten nur dann wirklich erfüllt sehen, wenn der jeweilige Speicherplatz innerhalb der EU liegt.

Heutzutage nutzen Cloud-Anbieter zumeist ihrerseits wieder Infrastruktur von Dritt-Anbietern, was es erschwert, immer so genau zu sagen, was denn nun eigentlich durch welche Leitungen fließt und ob nicht doch die Hutträger vom FBI deine Daten filzen. Den Weltmarkt teilen sich im Wesentlichen Amazon mit ihren Web Services, Microsoft mit der Azure-Cloud und Google mit seiner Cloud Platform. Auf dem Fuße folgt sodann bereits die Alibaba Cloud, vor IBM und Oracle. Alle anderen sind marginale Mitspieler.

(Illustration: Depositphotos)

Agressive Preise und hohe Verfügbarkeiten haben gerade im Bereich der Speicherplatzdienstleister zu einem Übergewicht der Amazon Web Services (AWS) geführt. Auch WeTransfer oder sogar Dropbox bedienen sich des skalierbaren Angebots des ehemaligen Buchverkäufers.

Um eine DSGVO-Compliance nachweisen zu können, verweisen diese Anbieter gerne auf Zusatzvereinbarungen, die sie mit Amazon geschlossen hätten. Inhalt soll sein, dass die Speicherung der Kundendaten ausschließlich in Europa stattfindet. Manch Jurist hält diese Vereinbarung für unzureichend, respektive wirkungslos, weil der amerikanische Patriot Act, der Unternehmen zur Kooperation mit den Geheimdiensten zwingt, für die Unternehmen Geltung habe und nicht für einzelne Datenstandorte des jeweiligen Unternehmens. Ich bin nicht derjenige, der herausfinden will, dass die kritischen Juristen am Ende doch Recht hatten.

Ganz ohnehin gilt natürlich, dass ein Cloud-Service, der für dich, wenn auch nur vorübergehend, Daten speichert, dadurch zu einem Auftragsverarbeiter nach DSGVO wird. Damit musst du einen schriftlichen Vertrag mit dem Verarbeiter schließen, in dem der Datenschutz im Sinne der DSGVO geregelt wird.

Such dir einen Dienstleister aus der EU mit Serverstandort EU

Wenn du auf der ganz sicheren Seite operieren willst, lässt du Anbieter aus Drittländern ganz außen vor und suchst dir einen innerhalb der EU ansässigen und operierenden Dienstleister mit einem oder mehreren Server-Standorten in Deutschland oder im EU-Ausland. Dann brauchst du zwar ebenfalls einen Auftragsverarbeitungsvertrag mit dem Anbieter, kannst dich jedoch hinsichtlich seines Regelungsgehaltes mit einiger Sicherheit auf rechtliche Compliance verlassen.

Das Thema DSGVO haben wir bei Dr. Web übrigens bereits des öfteren näher beleuchtet, nämlich hier, hier, hier und hier.

Geeignete Dienstleister sind preislich nicht auf der Free-Linie eines WeTransfer, aber durchaus nicht so teuer, dass du dir sie nicht leisten könntest. Sicherheit ergibt sich bei den hiesigen Services nicht nur aus dem Standort, sondern auch aus dem Konzept an sich. Shared Hosting findest du hier nämlich nicht, vielmehr bekommst du deine eigene Serverinstanz, über die du Datentransfers abwickelst.

Bevor du jetzt einwendest, dass Datentransfer auch über SFTP organisiert werden kann, sei dir bewusst, dass ich das ebenfalls weiß. Aber, und da werden wir uns sicherlich schnell einig sein, das ist kein Verfahren, das dem durchschnittlichen Kunden schnell geläufig gemacht werden kann. Wir brauchen also etwas einfacheres.

DSGVO-konformer Datentransfer am Beispiel von Safetransfer.eu

Am Beispiel des deutschen Dienstes Safetransfer.eu will ich dir kurz die Grundzüge zeigen. Starten wir mit dem Preis, denn, wenn du am Ende erfährst, dass der nicht in dein Budget passt, hättest du dir die Zeit fürs Lesen sparen können.

Downloads sauber im Überblick

Safetransfer.eu startet mit monatlichen 24,90 EUR netto. Dafür erhältst du deine eigene Serverinstanz mit Standort Deutschland, 30 Gigabyte Speicher und eine Subdomain nach dem Muster deinefirma.safetransfer.eu, wobei das Interface White Label ist, also mit deinem Corporate Design individualisiert werden kann.

Gezahlt wird nicht pro Benutzer, wie bei den ebenfalls erwähnten Diensten, sondern pro Instanz, der du eine unbegrenzte Zahl an Benutzern zuweisen kannst. Natürlich kannst du auch mehr Geld ausgeben. Dann erhältst du im Wesentlichen mehr Speicherplatz. Es ist indes sogar möglich, die Lösung auf deinem eigenen Server installieren zu lassen. Naheliegenderweise handelt es sich dabei um die preisintensivste Lösung.

Der Transfer wird per Formular angelegt.

Die Verwaltung der Daten erfolgt komfortabel per Web-App. Die Übertragung läuft via SSL mit TLS-Verschlüsselung. Wichtige Parameter lassen sich automatisieren, etwa der Entzug der Zugriffsrechte nach einem Download oder die Löschung desselben. Über ein aussagefähiges Dashboard schaust du dir die Historie deiner Downloads im Detail an. Etwa erforderliche Änderungen nimmst du im laufenden Betrieb vor.

Der Aufwand für die Bereitstellung eines Downloads ist gering. Du nutzt die E-Mail-Adresse des Empfängers innerhalb eines ganz normalen Von-An-Formulars, ganz so als würdest du eine Mail schreiben mit der Datei als Anhang. Zusätzlich zur Link-Bereitstellung an den Empfänger implementierst du einen Passwortschutz implementieren, damit nicht jeder, der den Link kennt, den Download starten kann.

Dabei erlaubt dir Safetransfer.eu das Upload-Formular ganz nach den Vorgaben deines Corporate Design zu gestalten. Den Link zum so gebrandeten Upload-Formular sendest du dann per E-Mail an deinen Kunden, was ihm den Upload vereinfacht und ihm das nicht nur subjektive Gefühl von mehr Sicherheit vermittelt.

Safetransfer.eu setzt nicht auf langfristige Verträge. So kannst du monatlich kündigen. Eine kostenfreie Demo gibt es nicht, solltest du indes nach sieben Tagen Nutzung nicht zufrieden sein, verlangst du einfach dein Geld zurück.

Solltest du also öfter als nur sehr gelegentlich Daten mit deinen Kunden, deinen Co-Workern oder anderen Projektbeteiligten austauschen müssen, dann sind die paar Euro für Safetransfer.eu gut angelegtes Geld. Mit Datensicherheit lässt sich übrigens offensiv werben ;-)

Von Dieter Petereit

ist seit 1994 im Netz unterwegs, aber bereits seit über 30 Jahren in der IT daheim. Seit Anfang des neuen Jahrtausends schreibt er für diverse Medien, hauptsächlich zu den Themenfeldern Technik und Design.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.