Collaboration-Tools: Digitale Zusammenarbeit und der Datenschutz
Collaboration Tools ermöglichen nur dann eine sichere, digitale Zusammenarbeit, wenn der Datenschutz stimmt. Das gilt nicht nur für Cloud-Lösungen.
IT-Technologien wie Cloud Computing und Social Enterprise Solutions verändern gegenwärtig die Art der Zusammenarbeit von Projektmitarbeitern an unterschiedlichen Standorten, aber auch innerhalb von Unternehmen. Wie eine BITKOM-Umfrage ergab, haben 54 Prozent der befragten Unternehmen mit Social Media neue Formen der Zusammenarbeit (Collaboration) eingeführt. 50 Prozent der Befragten verzeichnen eine bessere Kommunikation innerhalb von Projektteams.
Lösungen im Bereich Collaboration und File-Sharing finden zwar zunehmend Verbreitung, doch viele Unternehmen fürchten Konsequenzen für ihre Datensicherheit: Mehr als die Hälfte der von IDC befragten Firmen und Organisationen nutzt partiell bereits File-Sharing und Synchronisationslösungen in der einen oder anderen Form, um Daten und Dateien mit Kollegen und Kunden zu teilen oder auf verschiedenen Endgeräten zu synchronisieren. Auf die Frage nach den Sicherheitsbedenken hinsichtlich File-Sharing und Synchronisationslösungen aus der Cloud, erklärten lediglich fünf Prozent der befragten Unternehmen, dass sie diese Bezugsart für sehr sicher halten und generell keine Bedenken haben.
Datenverlust, Datendiebstahl und Kontrollverlust ist nicht alles
Neben den in der Studie genannten Sicherheitsbedenken wie Datendiebstahl, Datenverlust und Kontrollverlust sollte auch der Schutz der Nutzerdaten nicht vergessen werden. Deutsche Aufsichtsbehörden für den Datenschutz haben unter anderem darauf hingewiesen, dass auch bei Tools für die digitale Zusammenarbeit und bei File-Sharing Datenspuren im Internet entstehen können, die Nutzeraktivitäten offenlegen. Kritisch sehen die Datenschützer die meist fehlende Anonymität oder Pseudonymität bei Collaboration und File-Sharing, da entsprechende Dienste die IP-Adressen der Nutzer aufzeichnen könnten.
Auch die EU-Agentur für Netzwerk- und Informationssicherheit (ENISA) hatte in der Vergangenheit darauf aufmerksam gemacht, dass mit Collaboration-Lösungen zahlreiche Cloud-Risiken verbunden sein können. Bevor also eine Cloud-Lösung für die digitale Zusammenarbeit genutzt wird, sollten Unternehmen die entsprechenden Risiken mit denen vergleichen, die mit relevanten Desktop-basierten Lösungen verbunden sind, und dann abwägen.
Verschlüsselung ist der Anfang
Bei Collaboration-Lösungen, ob Desktop-basiert oder Cloud-basiert, sollen Informationen mit bestimmten Personen ausgetauscht und Dokumente gemeinsam eingesehen und bearbeitet werden. Es versteht sich deshalb von selbst, dass der Datenschutz hier eine Verschlüsselung erfordert, für die Datenübertragung, aber auch für die gespeicherten Dateien. Lösungen, die den Zugriff auf Dateien freigeben, sobald man den entsprechenden Link kennt, haben keine ausreichende Zugangs- und Zugriffskontrolle. Ein Ausnahme sind nur Dateien ohne besonderen Schutzbedarf, also solche, die sowieso öffentlich sind. Zu schützende Daten sollten durch das Anwenderunternehmen selbst verschlüsselt werden, zusätzlich zu einer möglichen Verschlüsselung durch den Cloud-Provider. Darauf hat zum Beispiel die Datenschutzaufsicht aus Rheinland-Pfalz hingewiesen.
Anbieterkontrolle und Löschfunktion berücksichtigen
Wenn die digitale Zusammenarbeit dazu führt, dass die Daten durch einen Dritten wie den Cloud-Provider vorgehalten werden, darf aus Datenschutz-Sicht auch die Auftragskontrolle nicht fehlen. Wichtig ist dabei auch, dass die Daten sicher gelöscht werden können, wenn sie für die Zusammenarbeit nicht mehr benötigt werden und keine Aufbewahrungspflichten bestehen.
An Nutzerdaten denken
Verschiedene Tools zur digitalen Zusammenarbeit lassen sich auch mit internen Verzeichnissystemen integrieren, so dass zum Beispiel nach der Anmeldung im Netzwerk keine weitere Anmeldung mehr erforderlich ist und die Benutzer, Gruppen und Rollen in dem Collaboration-Tool genutzt werden können.
Zudem sehen viele Tools zur digitalen Zusammenarbeit vor, dass die Anwender umfangreiche Online-Profile erstellen können, wie sie von sozialen Netzwerken wie Facebook bekannt sind. Im Sinne der zentralen Datenschutz-Prinzipien Datensparsamkeit und Datenvermeidung sollten aber nur die Nutzerangaben abgefragt und angegeben werden, die für die Erbringung des Dienstes und damit für die Zusammenarbeit in einer geschlossenen Gruppe erforderlich sind. Bei Collaboration geht es in aller Regel ja nicht um die Suche nach Gleichgesinnten, sondern um einen Datenaustausch zwischen bekannten Projektmitgliedern.
Vorsicht bei umfangreichen Protokollfunktionen und Metadaten
Bei einer digitalen Zusammenarbeit kann es sehr sinnvoll sein, dass sich zum Beispiel nachvollziehen lässt, wer welchen Anteil an dem für einen Kunden erstellten Dokument hatte. Die Protokollierung der Nutzeraktivitäten und die Aufzeichnung in Systemprotokollen und Metadaten der Dateien können aber sehr umfangreich sein. Es sollte deshalb geprüft werden, wie die Metadaten und die Protokolldaten vor unbefugten Zugriffen und missbräuchlicher Auswertung geschützt werden können. So sollte die Verschlüsselung auch die Metadaten und die Protokolle umfassen. Zudem sollte nach Möglichkeit auch die Verwendung von Pseudonymen bei der digitalen Zusammenarbeit unterstützt werden, um mögliche Datenspuren im Internet zu minimieren.