Ist Dropbox DSGVO-konform? Das müssen Sie beachten

Dropbox ist ein US-amerikanischer Cloud-Dienstleister. Bei Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist eine DSGVO-konforme Nutzung bei der Übertragung personenbezogener Daten nach aktuellem Stand (Juni 2025) grundsätzlich möglich.

Dazu können Unternehmen durch weitere Maßnahmen wie externe Verschlüsselung das Datenschutzniveau weiter erhöhen.

Vorsicht ist geboten im Hinblick auf ein mögliches Scheitern des EU-US Data Privacy Frameworks (DPF). Unternehmen sollten dann schnellstmöglich den Rückgriff auf EU-Standardvertragsklauseln prüfen oder, besser, bereits jetzt den Umstieg auf eine EU-basierte Alternative erwägen.

Was ist bei der Nutzung von Cloud-Diensten wie Dropbox beim Datenschutz zu beachten?

Cloud-Speicherdienste stellen für Unternehmen einen einfachen und günstigen Weg dar, ihre Speicherkapazität zu erhöhen und mit geringem Aufwand dafür zu sorgen, dass ihre Mitarbeiter Zugriff auf Dokumente und Daten unabhängig vom Standort erhalten können.

Gerade für kleinere Unternehmen mit eingeschränkten Möglichkeiten zum Aufbau einer komplexen IT-Infrastruktur ist dies eine potenziell gute Lösung, zumal große Dienstleister wie Dropbox, Google oder Amazon (AWS) umfangreiche Möglichkeiten für das Management und die Organisation von gespeicherten Dateien erlauben.

Aus datenschutzrechtlicher Sicht sollten Sie dabei jedoch beachten, dass der Cloud-Dienstleister immer einen eingeschränkten Zugang zu Ihren Daten haben muss, um diese ordnungsgemäß verwalten zu können.

Am sichersten fahren Sie daher damit, auf die Übertragung personenbezogener Daten in die Cloud so weit wie möglich zu verzichten.

Übertragen Sie personenbezogene Daten in die Cloud, müssen Sie mit dem Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) schließen, in dem die Rechte und Pflichten beider Seiten exakt bestimmt werden.

Stellen Sie außerdem sicher, dass Ihr Cloud-Dienstleister wichtige Zertifizierungen zur Datensicherheit und zum Datenschutz erfüllt. Hervorzuheben sind das C5 (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das Trusted Cloud Datenschutzprofil für Cloud-Dienste (TCDP) des Bundesministeriums für Wirtschaft und Energie sowie die Zertifizierungen nach ISO 27017 und ISO 27018.

Im Falle von Dropbox gibt das Unternehmen an, die genannten Standards zu erfüllen, wobei das TCDP nicht genannt wird. Aus technischer Sicht ist davon auszugehen, dass Dropbox die Standards für eine datenschutzkonforme Speicherung erfüllt, wenngleich dies allein keine hinreichende Bedingung für DSGVO-Konformität darstellt.

Zusätzliche Sicherheit durch Verschlüsselung

Dropbox bietet Ihnen im Rahmen des Advanced-Pakets die Möglichkeit zu zusätzlichen Sicherheitsmaßnahmen, die laut Angaben des Anbieters unter anderem eine von Dropbox nicht entschlüsselbare Ende-zu-Ende-Verschlüsselung übertragener Daten beinhaltet.

Zur Einhaltung einer höchstmöglichen Compliance sollte diese Variante gewählt werden. Hintergrund ist, dass US-Anbieter wie Dropbox US-Ermittlungsbehörden Zugriffe auf ihre gespeicherten Daten gewähren müssen. Dies ist im Hinblick auf die hohen Datenschutzstandards in der EU sehr kritisch zu bewerten.

Sie können den Datenschutz noch weiter erhöhen, indem Sie externe Dienstleister zur Verschlüsselung von personenbezogenen Daten, die zur Übertragung in die Cloud vorgesehen sind, nutzen. Diese sollten jedoch selbstverständlich ebenfalls datenschutzkonform sein.

Weiterhin können Sie personenbezogene Daten auf eigene Weise encodieren, indem Sie etwa Klarnamen durch Codenamen ersetzen und zusätzlich die Menge der übertragenen personenbezogenen Daten auf ein Minimum reduzieren.

Was ist bei US-basierten Diensten zusätzlich zu beachten?

Eine Besonderheit von Dropbox und anderen großen Mitbewerbern wie Google oder Amazon (AWS) ist die Tatsache, dass sich ein Großteil der Datenzentren in den USA und damit in einem Drittland außerhalb der EU befinden.

Dank des EU-US Data Privacy Frameworks (DPF) ist eine datenschutzkonforme Übertragung von Daten in die USA dennoch möglich, sofern das dort ansässige Unternehmen mittels einer Zertifizierung an das Framework angeschlossen ist. Hier ist Dropbox explizit gelistet. Es ergeben sich damit Stand jetzt in den meisten Fällen keine zusätzliche Handlungspflichten für Unternehmen, die Dropbox nutzen, sofern bereits ein gültiger AVV geschlossen wurde.

Dies kann sich jedoch ändern, wenn der Angemessenheitsbeschluss für das DPF zurückgezogen wird. In einem unlängst von uns veröffentlichten Artikel diskutieren wir die durchaus realistische Chance dafür genauer.

Sollte dieser Fall tatsächlich eintreten, wären Unternehmen gezwungen, mit jedem US-basierten Dienst, der personenbezogene Daten von EU-Bürgern verarbeitet, zusätzlich die EU-Standardvertragsklauseln (SCC) in den AVV einzubinden.

Selbst in diesem Fall wäre eine Datenschutz-Compliance jedoch nicht garantiert, da je nach Umstand für Unternehmen weiterhin die Pflicht bestehen kann, die Einhaltung von Datenschutz-Maßnahmen von Unternehmen in Drittländern zu überprüfen.

Die sicherere Alternative für Unternehmen in der EU ist daher die Nutzung eines EU-basierten Cloud-Dienstleisters wie TeamDrive oder die Open Telekom Cloud.

Lassen Sie sich im Zweifel beraten

Die Einhaltung der Compliance im Bereich Datenschutz und Datensicherheit, insbesondere bei der Nutzung von US-Dienstleistern, stellt Unternehmen regelmäßig vor Herausforderungen. Zusätzliche Unsicherheit, wie sie derzeit im politischen Verhältnis zwischen der EU und den USA existiert, vergrößert die Sorgen zusätzlich.

Wenden Sie sich daher im Zweifelsfall an uns, damit wir Ihnen bei der Einhaltung von Compliance im Bereich Datenschutz und Datensicherheit bestmöglich weiterhelfen können.