Der Anhang ist zu groß für die E-Mail, muss aber dringend zum Kunden – ich nehme mal diesen Cloud-Dienst, den ich auch privat benutze…

Mit einer gewöhnlichen E-Mail können meist nur Anhänge von bis zu 25 MB Umfang versandt werden. Mitarbeiter weichen dann schnell auf einen der kostenlosen Cloud-Dienste zum Versenden großer Dateien aus, die sie aus dem privaten Umfeld kennen (WeTransfer, Google Drive oder Dropbox). Das Problem scheint dann gelöst.

Die Nutzung geht aber für gewöhnlich einher mit der Zustimmung zu Cookies und Werbeanzeigen als alternative Form der Bezahlung. Auch wenn man diese kommerzielle Nutzung seiner Daten im Privaten als “es geht halt nicht anders” akzeptiert, müssen beim Einsatz von kostenlosen Public Cloud-Diensten im beruflichen Kontext rechtliche Aspekte in Betracht gezogen werden.

Stehen die Server in den USA, wird es nicht nur wegen dem kürzlich gekippten Privacy Shield-Abkommen problematisch. Gesetze wie der Patriot Act können herangezogen werden, um Behörden und Ermittlern Zugriff auf die Inhalte geschäftlicher Kommunikation zu verschaffen.

Zudem erfolgt der eigentliche Versand dann nur mittels eines Links auf die eigentliche Datei und bietet damit keinerlei Schutz vor menschlichen Fehlern. Schnell ist versehentlich der falsche Empfänger angegeben oder irrtümlich die falsche Datei. Selbst wenn noch verschlüsselt übertragen werden sollte, können die übertragenen Daten außerdem von jedem abgerufen werden, der Zugang zum Download-Link für die Empfänger erhält. Einmal versandt, ist dies nicht mehr rückgängig zu machen.

Zu groß für den Mailversand und nicht dringend? Die ziehe ich auf USB und versende die Daten per Post…

Der verloren gegangene USB-Stick spielt seit dem Inkrafttreten der DSGVO eine Hauptrolle in den meldepflichtigen Datenschutzverstößen. Die handlichen Datenträger enthalten meist gleich einen großen Umfang an vertraulichen Informationen und da keine Aufzeichnung oder Nachweis von Zugriffen erfolgt, lässt sich zunächst nicht feststellen, wie schwerwiegend die Konsequenzen für betroffene Daten sind. Verstöße lassen sich dann in Folge auch weder eingrenzen noch rückgängig machen.

Dabei lässt sich selbst eine Verschlüsselung mit entsprechend größerem Aufwand überwinden und der Inhalt entschlüsselt einsehen oder weitergeben. Datenverschlüsselung allein garantiert keine Sicherheit, solange der Zugang nicht beschränkt und nachvollzogen werden kann.

E-Mail-Verschlüsselung ist viel zu kompliziert…

Inoffizielle Kanäle erscheinen den Mitarbeitern attraktiver, wenn sie als weniger umständlich oder mühselig wahrgenommen werden. Dabei ist das eigene Empfinden oft entscheidender als objektive Maßstäbe. Die Macht der Gewohnheit oder befürchtete Barrieren reichen aus, um auf das zurückzugreifen, was man kennt.

In vielen Köpfen wird erhöhte Sicherheit für IT-Lösungen ebenso wie ein datenschutzkonformer Umgang mit Informationen direkt mit erhöhter Komplexität gleichgesetzt. Dabei spricht rein technisch nichts dagegen, Benutzerfreundlichkeit und Datenschutz beim sicheren verschlüsselten Datentransfer zu vereinen.