Erste Hilfe in Rechtsfragen seit 2000.
13.493 Ratgeber, 2.347.261 Forenbeiträge, 254.709 Rechtsberatungen
614.033
Registrierte
Nutzer

Verschlüsselte Backup-Datei in US-Cloud okay?

3. August 2022 Thema abonnieren
 Von 
AusgewanderterDev
Status:
Frischling
(2 Beiträge, 0x hilfreich)
Verschlüsselte Backup-Datei in US-Cloud okay?

Hallo,

ich weiß, dass ein Backup der Webseite (inklusive personenbezogenen Daten) nicht einfach so auf Dropbox & co. landen sollten. Aber macht es einen Unterschied, wenn ein Backup mit einem ausreichend kompexen Passwort verschlüsselt und dann erst auf Dropbox, Google Drive etc. hochgeladen wird?

Rechtfertigt die Verschlüsselung die Dateien in einem beliebigen Land bei einem beliebigen Cloud-Anbieter abzulegen?

Natürlich müsste die Datenschutzerklärung auf der Webseite angepasst werden. Gibt es noch Input, was ich beachten sollte?

Vielen Dank.

Fragen zum Datenschutz?

Fragen zum Datenschutz?

Ein erfahrener Anwalt im Datenschutzrecht gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Ein erfahrener Anwalt im Datenschutzrecht gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Kostenlose Einschätzung starten Kostenlose Einschätzung starten



19 Antworten
Sortierung:
#1
 Von 
Harry van Sell
Status:
Unbeschreiblich
(102395 Beiträge, 37371x hilfreich)

Zitat (von AusgewanderterDev):
Rechtfertigt die Verschlüsselung die Dateien in einem beliebigen Land bei einem beliebigen Cloud-Anbieter abzulegen?

Nö - denn was verschlüsselt wurde, kann ja auch ohne Zutun des Verschlüsselnden wieder entschlüsselt werden ...
Und da das die z.B. US-Behörden auch so machen, wurde ja vom EUGH die ganzen Abkommen im Rahmen der "Schremp-Urteile" für nichtig erklärt.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#2
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von Harry van Sell):
Und da das die z.B. US-Behörden auch so machen, wurde ja vom EUGH die ganzen Abkommen im Rahmen der "Schremp-Urteile" für nichtig erklärt.


Naja...
Zitat:
Dem stimmte das belgische oberste Verwaltungsgericht zu. Kernaussage war dabei, dass "eine Verschlüsselung mit separater Schlüsselverwaltung neben dem Abschluss von Standardvertragsklauseln demnach als ausreichende ergänzende Maßnahme gelten kann." Grundsätzlich würde die Verschlüsselung somit grundsätzlich auch den Anforderungen der DSGVO gerecht werden.

Quelle: https://website-check.de/cloud/schrems-ii-urteil-us-datentransfer-kann-mit-verschluesselung-abgesichert-werden/




-- Editiert von NielsBottin am 03.08.2022 23:27

0x Hilfreiche Antwort

#3
 Von 
bertram-der-bärtige
Status:
Lehrling
(1055 Beiträge, 88x hilfreich)

Zitat (von NielsBottin):
Datentransfer

Zitat (von AusgewanderterDev):
dann erst auf Dropbox, Google Drive etc. hochgeladen

Finde den Unterschied.

Signatur:

Ich weiß, dass ich nicht alles weiß. Manchmal ist es schön, nicht alles zu wissen.

0x Hilfreiche Antwort

#4
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von bertram-der-bärtige):
Finde den Unterschied.


In dem Urteil geht's um US-Cloud-Dienste (konkret um Ama*on AWS), darum geht's hier auch. Ich finde keine Unterschiede.

0x Hilfreiche Antwort

#5
 Von 
AusgewanderterDev
Status:
Frischling
(2 Beiträge, 0x hilfreich)

Zitat (von Harry van Sell):
Nö - denn was verschlüsselt wurde, kann ja auch ohne Zutun des Verschlüsselnden wieder entschlüsselt werden ...


Ja, ist ja auch gut so? Ich bin der Verschlüsselnde und niemand außer mir kann es entschlüsseln. Bei der Komplexität des Passworts und des Algorithmuses wird sich da auch keine US-Behörde die Mühe machen es zu Jahre lang zu versuchen. Das wäre eine Menge Zutun.

Ergänzung: Es geht um clientseitige Verschlüsselung, nicht serverseitig, wo die Daten erst in Klartext in die Cloud übertragen und danach erst verschlüsselt werden. Im Zweifel weiß der Cloud-Anbieter nicht einmal, was sich alles in dieser Datei befinden könnte.

-- Editiert von AusgewanderterDev am 03.08.2022 23:47

-- Editiert von AusgewanderterDev am 03.08.2022 23:48

0x Hilfreiche Antwort

#6
 Von 
Harry van Sell
Status:
Unbeschreiblich
(102395 Beiträge, 37371x hilfreich)

Zitat (von NielsBottin):
Naja...

Tja, warum wohl im Konjunktiv formuliert?
Ganz einfach, weil es eine wirksame Verschlüsselung sein muss...
Passwort auf ein gezipptes Backup-File ist das nicht unbedingt.

Und Verschlüsselung ist ja nur eines von mehreren notwendigen Elementen.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#7
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von AusgewanderterDev):
Ja, ist ja auch gut so? Ich bin der Verschlüsselnde und niemand außer mir kann es entschlüsseln. Bei der Komplexität des Passworts und des Algorithmuses wird sich da auch keine US-Behörde die Mühe machen es zu Jahre lang zu versuchen. Das wäre eine Menge Zutun.


Das Problem ist, dass die Algorithmen eine unbekannte / entworfene Schwäche haben können.

0x Hilfreiche Antwort

#8
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von Harry van Sell):
Ganz einfach, weil es eine wirksame Verschlüsselung sein muss...


Nach BSI-Vorgaben?
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob=publicationFile

0x Hilfreiche Antwort

#9
 Von 
bertram-der-bärtige
Status:
Lehrling
(1055 Beiträge, 88x hilfreich)

Zitat (von AusgewanderterDev):
Ja, ist ja auch gut so?

Ach? Echt? Ist gut das jeder Depp das entschlüsseln kann????

Zitat (von AusgewanderterDev):
Bei der Komplexität des Passworts und des Algorithmuses wird sich da auch keine US-Behörde die Mühe machen es zu Jahre lang zu versuchen.

Wirst stauen was NSA alles kann.

Zitat (von AusgewanderterDev):
Im Zweifel weiß der Cloud-Anbieter nicht einmal, was sich alles in dieser Datei befinden könnte.

Egal.

Signatur:

Ich weiß, dass ich nicht alles weiß. Manchmal ist es schön, nicht alles zu wissen.

0x Hilfreiche Antwort

#10
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von bertram-der-bärtige):
Wirst stauen was NSA alles kann.

:grins:
Zitat:
Eine geheime Abteilung der National Security Agency hat aus der Technologie des in Roswell abgestürzten außerirdischen Raumschiffs (siehe Roswell-Zwischenfall) eine Maschine – Zeitkapsel genannt – entwickelt, mit der es möglich ist, einen Menschen bis zu sieben Tage in die Vergangenheit zu schicken.

Quelle: https://de.wikipedia.org/wiki/Seven_Days_%E2%80%93_Das_Tor_zur_Zeit




-- Editiert von NielsBottin am 03.08.2022 23:55

0x Hilfreiche Antwort

#11
 Von 
Harry van Sell
Status:
Unbeschreiblich
(102395 Beiträge, 37371x hilfreich)

Zitat (von AusgewanderterDev):
Ja, ist ja auch gut so?

Offensichtlich hast Du nicht verstanden was dort steht ...



Zitat (von AusgewanderterDev):
Bei der Komplexität des Passworts und des Algorithmuses wird sich da auch keine US-Behörde die Mühe machen es zu Jahre lang zu versuchen.

Bei vielen dieser "Verschlüsselungen" gibt es Backdoors ("Generealschlüssel"). Die kommen natürlich nur in so "seriöse" Hände wie die der NSA oder DIA...


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#12
 Von 
Harry van Sell
Status:
Unbeschreiblich
(102395 Beiträge, 37371x hilfreich)

Zitat (von NielsBottin):
Nach BSI-Vorgaben?

Nö, lieber welche die nicht nur für Anfänger wirksam sind.

TrueCrypt z.B. (aber nur TrueCrypt 7.0 bzw. 7.1a, nicht die ganzen "verbesserten" Nachfolger) liefert da ganz gute Ergebnisse.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#13
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von Harry van Sell):
TrueCrypt z.B. (aber nur TrueCrypt 7.0 bzw. 7.1a, nicht die ganzen "verbesserten" Nachfolger) liefert da ganz gute Ergebnisse.


Verstößt das nicht gegen Art. 32 DSGVO? Ist eine Software von ~ 2011 noch "Stand der Technik", nur weil es mal einen Audit gab (und die Software kurz danach eingestellt wurde)?

0x Hilfreiche Antwort

#14
 Von 
Harry van Sell
Status:
Unbeschreiblich
(102395 Beiträge, 37371x hilfreich)

Zitat (von NielsBottin):
Verstößt das nicht gegen Art. 32 DSGVO?

Nö.



Zitat (von NielsBottin):
Ist eine Software von ~ 2011 noch "Stand der Technik",

Durchaus, ja.
Sicherheitsstandards entwickeln sich selbstverständlich weiter, sodass sich eine alte Verschlüsselung im Laufe der Zeit immer wahrscheinlicher hacken lässt. Aber bei TC wird das wohl noch etwas dauern. Man muss es natürlich auch richtig anwenden,
die 11 Schwachstellen sind ja bekannt.



Zitat (von NielsBottin):
nur weil es mal einen Audit gab

Ein unwiderlegtes Audit für genau diesen Softwarestand.
Mit immer noch offen einsehbarem Quellcode.



Zitat (von NielsBottin):
und die Software kurz danach eingestellt wurde

Die genaueren Umstände der Einstellung (also die realen, nicht die propagierten) dienen eher als Prädikat ...


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#15
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Zitat (von Harry van Sell):
Ein unwiderlegtes Audit für genau diesen Softwarestand.
Mit immer noch offen einsehbarem Quellcode.


Laut Heise nur "weitgehend" sicher: https://www.heise.de/security/meldung/Audit-abgeschlossen-TrueCrypt-7-1-weitgehend-sicher-2595838.html

Was mich bei der Software nervt ist
a) endlose, parallele Brute-Force-Angriffe möglich
b) dieser "versteckte Container" ist absolut nutzlos, weil es nur einen davon geben kann.

Zu b)
Wenn eine Person das Passwort zum Container A verrät, der Aggressor die gesuchten Daten aber dort nicht findet, jedoch weiß, dass es Container B vielleicht noch gibt, wird er noch mehr Druck auf die Person ausüben, damit diese ihm das zweite Passwort auch noch gibt. Das ist doppelt schlimm für die Person, denn wenn es den Container B (mit den gesuchten Daten) nicht gibt, sieht's ganz übel aus.

Korrekt wäre es daher gewesen, eine unbekannte Anzahl von versteckten Containern zu erlauben oder das Feature abzuschaffen.

0x Hilfreiche Antwort

#16
 Von 
eh1960
Status:
Master
(4796 Beiträge, 1227x hilfreich)

Zitat (von AusgewanderterDev):
Ich bin der Verschlüsselnde und niemand außer mir kann es entschlüsseln. Bei der Komplexität des Passworts und des Algorithmuses wird sich da auch keine US-Behörde die Mühe machen es zu Jahre lang zu versuchen. Das wäre eine Menge Zutun.

Und wovon träumen Sie nachts?

Signatur:

Eine "UG" gibt es nicht. Es gibt nur die "UG haftungsbeschränkt".

0x Hilfreiche Antwort

#17
 Von 
CLF
Status:
Frischling
(30 Beiträge, 3x hilfreich)

Zitat:
Und wovon träumen Sie nachts?


Wahrscheinlich von fiktionalen Dingen, und damit etwas anderem als der zitierten Aussage. Die ist nämlich vollkommen korrekt.

0x Hilfreiche Antwort

#18
 Von 
NielsBottin
Status:
Frischling
(46 Beiträge, 0x hilfreich)

Ups.

https://www.borncity.com/blog/2022/08/06/vergabekammer-baden-wrttemberg-schliet-anbieter-eines-us-cloud-diensts-von-angebot-aus/

0x Hilfreiche Antwort

#19
 Von 
Harry van Sell
Status:
Unbeschreiblich
(102395 Beiträge, 37371x hilfreich)

Zitat (von NielsBottin):
Ups.

https://www.borncity.com/blog/2022/08/06/vergabekammer-baden-wrttemberg-schliet-anbieter-eines-us-cloud-diensts-von-angebot-aus/

Absolut nachvollziehbar, denn eigentlich findet sich das genau so in der DSGVO

Was dann auch bedeutet, das Windows, Office, Office 365, Skype, Teams, die Google Dienste, Facebook und WhatsApp und viele andere in sehr großen Schwierigkeiten sind ... denn die waren auch nie legal ...

In FR und AT ist Google Analytics schon offiziell für illegal erklärt worden.



Und ein Datenschutzabkommen mit den USA, welches vor dem Europäischen Gerichtshof auch Bestand hat ... die USA werden ihre Gesetze wohl nicht ändern und Herr Schrems wartet ja auch schon ... insofern illusorisch.



Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

Und jetzt?

Für jeden die richtige Beratung, immer gleich gut.
Schon 232.502 Beratungen
Anwalt online fragen
Ab 30
Rechtssichere Antwort in durchschnittlich 2 Stunden
95.681 Bewertungen
  • Keine Terminabsprache
  • Antwort vom Anwalt
  • Rückfragen möglich
  • Serviceorientierter Support
Anwalt vor Ort
Persönlichen Anwalt kontaktieren. In der Nähe oder bundesweit.
  • Kompetenz und serviceoriente Anwaltsuche
  • mit Empfehlung
  • Direkt beauftragen oder unverbindlich anfragen
Alle Preise inkl. MwSt. Zzgl. 2€ Einstellgebühr pro Frage.

Jetzt Anwalt dazuholen.

Für 60€ beurteilt einer unserer Partneranwälte diese Sache.

  • Antwort vom Anwalt
  • Innerhalb 24 Stunden
  • Nicht zufrieden? Geld zurück!
  • Top Bewertungen
Ja, jetzt Anwalt dazuholen