Wie sicher ist Google Drive? Datenschutz und Verschlüsselung im Überblick

Wer Google Drive nutzt, verlässt sich auf einen der bekanntesten Cloud-Dienste. Obwohl Google Drive Backups und das Auslagern von Daten besonders einfach macht, stellt sich die Frage, wie sicher Ihre Daten in der Google-Cloud wirklich sind.

Daten, die Sie in Google Drive hochladen, sind bei Up- und Downloads sowie auf den Servern mit dem AES-256-Bit-Verschlüsselungsstandard gesichert. Zudem nutzt Google eine Zwei-Faktor-Authentifizierung zum Schutz vor unberechtigtem Zugriff, georedundante Rechenzentren sowie Perfect Forward Secrecy für sichere SSL-Verschlüsselung. Trotz allem lässt sich an Googles Sicherheitsmaßnahmen bemängeln, dass es sich letztlich um US-Server handelt und der Datenschutzstandard nicht europäischem Niveau entspricht. Google Drive bietet deutschen Unternehmen somit nicht die volle Kontrolle über die eigenen Daten.

Drive ist der Cloud-Dienst von Google und somit fester Bestandteil eines jeden Google-Accounts. Google Drive bietet standardmäßig 15 GB kostenlosen Cloud Storage, der sich nach Bedarf kostenpflichtig auf über 2 TB erweitern lässt. Hinzu kommen gängige Google-Workspace-Anwendungen wie Dokumente, Meets, Tabellen oder Kalender sowie praktische Teamwork-Erweiterungen in der Business-Version und im Abo von Google One.

Für Uploads und Downloads in die Google-Cloud sowie für gespeicherte Daten auf Google-Servern kommt die moderne AES-256-Bit-Verschlüsselung zum Einsatz. Die AES-Verschlüsselung (Advanced Encryption Standard) zählt zu den gängigsten, sichersten und am meisten genutzten Verschlüsselungsverfahren. Mit AES werden auch US-Regierungsdokumente verschlüsselt. 256 steht hierbei für die Verschlüsselungslänge, die bis zu 115 Duodezilliarden verschiedene Schlüssel erzeugen kann. AES-Schlüssel lassen sich aus diesem Grund selbst mit Brute-Force-Attacken kaum knacken.

Für eine geschützte Kommunikation zwischen Browser und Webserver bietet Google Drive den zuverlässigen Verschlüsselungsstandard TLS (SSL). Die Verbindung zwischen beiden Parteien wird also gesichert und die Identitäten von Client und Server werden bestätigt. So gewährleistet Google einen optimalen Google-Drive-Datenschutz bei der Informationsübertragung.

In Google Drive gilt grundsätzlich: Zugriff auf gespeicherte Daten haben zunächst einmal nur Sie selbst. Da das Tool jedoch auch der Kooperation und Teamarbeit dient, ermöglicht es Google Drive, Dateien für andere Nutzerinnen und Nutzer freizugeben. Freigaberechte umfassen u. a. die Möglichkeit, den Zugriff auf ausgewählte, gespeicherte Dokumente und Dateien zu gewähren. So können Sie gemeinsam an Projekten arbeiten und Dateien orts- und geräteunabhängig teilen.

Sie legen z. B. fest, ob der Zugriff „vertraulich“ erfolgen soll und berechtigte Personen somit nur per Anmeldung Dateien nutzen dürfen. Weitere Optionen sind der öffentliche Zugriff ohne Einschränkung oder der Zugriff über einen speziellen Freigabelink. Personen, die über den Link verfügen, erhalten über diesen Zugriff auf die ausgewählte Datei. Öffentlich zugängliche Dateien können Sie mit bis zu 100 Geräten gleichzeitig nutzen.

Um Dateien freizugeben, wählen Sie die entsprechende Datei aus und geben über die Befehle „Freigeben…“ und „Personen einladen“ die zugehörige E-Mail-Adresse an. Voraussetzung für den Zugriff ist ein Google-Account – ein Google-Konto lässt sich in wenigen Schritten erstellen.

Ein mögliches Problem stellen die Zugriffsrechte staatlicher Behörden dar. Da Ihre persönlichen Daten oder Unternehmensdaten mit Google Drive in der Regel auf US-Servern liegen, ist Google verpflichtet, sie bei berechtigtem Auskunftsersuchen weiterzugeben.

Das US-amerikanische Gesetz namens Cloud Act wurde 2018 erlassen und definiert die Zugriffsrechte von US-Behörden auf gespeicherte Daten. US-Firmen verpflichten sich durch den Cloud Act, US-Behörden den Zugriff auf Daten von Nutzerinnen und Nutzern zu gewähren, selbst wenn diese nicht in den USA gespeichert sind. Google unterliegt somit einer Herausgabepflicht und muss Drive-Daten freigeben, wenn US-Behörden eine entsprechende Begründung vorlegen. Unter bestimmten Bedingungen ist ein Zugriff sogar ohne richterlichen Beschluss möglich.

Hinzu kommt, dass es aktuell (Stand: November 2022) noch keine neue Regelung für den EU-US-Privacy Shield gibt. Dieser regelte die sichere Übermittlung von Daten aus der EU in die USA, wurde jedoch 2020 vom Europäischen Gerichtshof für ungültig erklärt. Begründung: Europäische Datenschutzstandards sind in den USA aufgrund umfassender US-Überwachungsmaßnahmen wie dem Cloud Act und dem Foreign Intelligence Surveillance Act (FISA) nicht länger gewährleistet.

Unternehmen, die sensible Daten in die USA übermitteln, müssen sich somit eigenständig rechtlich absichern und Schutzmaßnahmen treffen. Andernfalls lassen sich europäische Datenschutzstandards für Geschäfts- und Kundendaten sowie Datenhoheit beim Cloud Computing kaum umsetzen.

Für Nutzerinnen und Nutzer, die Google Drive für private Zwecke oder geschäftliche Kommunikation und Kollaboration nutzen, bietet Drive solide Cloud-Sicherheit und Schutz vor Cyberangriffen. Zu den Schutzmaßnahmen von Google Drive gehören:

• Passwortschutz – möglichst mit einem sicheren Passwort
• Zwei-Faktor-Authentifizierung
• AES-256-Bit-Verschlüsselung
• TLS-Verschlüsselung
• Geo-Redundanz für sichere Rechenzentren
• Konten-Wiederherstellung (durch Sicherheitsfrage, E-Mail-Bestätigung oder verknüpftes Mobiltelefon)
• Warnungen vor verdächtigen Anmeldungen
• Zuverlässiger Spamfilter
• Backup & Sync für Backups als Schutz vor Datenverlust
• Automatische Malware-Scans von E-Mails und Dateien
• Verschlüsselung von Uploads und Downloads
• Perfect Forward Secrecy (verhindert nachträgliche Entschlüsselung von Daten)

Je nachdem, welche Version von Google Drive bzw. Google Sie nutzen, stehen Ihnen mit kostenpflichtigen Abos für Google Workspace weitere Sicherheitstools zur Verfügung. Dazu zählen ein Cloud-First- und Zero-Trust-Ansatz sowie individueller Datenschutz bei Teamarbeit durch festgelegte Sicherheitsgruppen und Administratorrechte.

Bei Google handelt es sich um ein US-amerikanisches Unternehmen, dessen Server der US-amerikanischen Gesetzgebung unterliegen. Obwohl sich Googles Server vorrangig in den USA befinden, greift der besagte Cloud Act auch bei Daten, die auf Google-Servern in Drittländern liegen. Auch hier können sich US-Behörden also Zugriff auf gespeicherte Daten verschaffen. Dies sollte Nutzerinnen und Nutzern bewusst sein.

Hinsichtlich Verschlüsselung bietet Google Drive mit AES-256-Bit, TLS und Perfect Forward Secrecy eine Datenverschlüsselung auf dem aktuellen Stand. Hinzu kommen Zertifizierungen für Datensicherheit durch das American Institute of Certified Public Accountants (AICPA) und ISA 27001 (SOC1, SOC2, SOC3). Google-Server werden somit regelmäßig von unabhängigen Stellen sachgemäß geprüft. Der Zugriff auf Daten ist zudem auf einen für Wartung und Sicherheit nötigen Personenkreis beschränkt.

Dennoch weist Google in Sachen Datenschutz Schwachstellen und Grauzonen auf. In den Datenschutzrichtlinien und Nutzungsbedingungen behält sich Google u. a. das Recht vor, Uploads mittels automatisierter Systeme basierend auf Schlüsselwörtern, Informationen und Bildern zu scannen. Vorrangig dienen Scans dazu, Malware und illegale Inhalte zu erkennen, zu entfernen und zu melden. Zur Verbesserung der Nutzerfreundlichkeit erstellt Google zudem regelmäßige Berichte zu Nutzungsanalysen und Abstürzen. Auch die Weitergabe von Daten an Partnerunternehmen ist im Falle des Kundensupports möglich. Wie Ihre Daten von Google letztlich verarbeitet werden, lässt sich nur schwer sagen.

Unternehmen, die Google Drive professionell und geschäftlich nutzen, müssen gemäß EU-Datenschutzrichtlinien die Sicherheit von Geschäfts- und Nutzungsdaten gewährleisten. Hierzu gilt es, die DSGVO und entsprechende Compliance-Vorgaben einzuhalten. Google Drive bietet verschiedene Tools, um die Datenverarbeitung und den Datenschutz je nach Unternehmen und Organisation festzulegen. Die Rechte an Unternehmens- und Kundendaten in Google Drive bleiben in jedem Fall bei deren Eigentümern. Dennoch nutzt Google die gespeicherten Daten vereinbarungsgemäß dazu, um die Nutzererfahrung und die Google-Drive-Sicherheit zu verbessern.

Unternehmen, die Google Drive verwenden, müssen folgende Aspekte in der Datenschutzerklärung aufzeigen:

• Warum werden Daten bei Google Drive gespeichert?
• Auf welcher Rechtsgrundlage erfolgen die Datenspeicherung und Datenweitergabe?
• Welcher Vertrag wurde mit Google hierzu abgeschlossen (Vertrag zur Auftragsverarbeitung)?
• Wie können Userinnen und User der Datenerhebung und -speicherung widersprechen?
• Wo finden sich die Nutzungs- und Datenschutzbestimmungen von Google?

Die Weitergabe von Daten an Google unterliegt Artikel 28 der DSGVO. Unternehmen müssen somit einen Vertrag zur Auftragsverarbeitung mit Google abschließen, um folgende Fragen zu klären:

• Welche personenbezogenen Daten werden an Google weitergegeben?
• Aus welchem Grund erfolgt die Datenweitergabe?
• Wie lange bleiben Daten bei Google gespeichert?
• Welchen Rechten und Pflichten unterliegen Google und das Unternehmen?

Wenn Unternehmen personenbezogene Daten an Google weitergeben, gilt es zudem, Googles Standardvertragsklauseln zu prüfen, Risiken bei der Datenübertragung zu dokumentieren und sich rechtlich abzusichern. Als Unternehmen müssen Sie für die Verwendung essenzieller und nichtessenzieller Cookies darüber hinaus eine Nutzereinwilligung durch ein Cookie Consent Tool einholen.

Möchten Sie Google Drive so weit wie möglich DSGVO-konform und gemäß Compliance-Richtlinien verwenden, halten Sie sich an folgende Punkte:

• Nutzereinwilligung per Opt-in für die Nutzung von essenziellen und nichtessenziellen Cookies bereitstellen
• Vertrag zur Auftragsverarbeitung mit Google abschließen
• Datenschutzerklärung mit transparenten Hinweisen zur Nutzung von und Datenverarbeitung durch Google Drive anpassen
• Google-Standardvertragsklauseln prüfen
• Risiken bei Datenübermittlung dokumentieren

Sie haben Zweifel an Googles Datenschutzbestimmungen und fragen sich, welche Cloud am sichersten ist? Dann empfiehlt sich ein Vergleich deutscher Cloud-Anbieter. Dazu zählen IONOS mit dem sicheren HiDrive Cloud-Speicher inklusive zertifizierten, DSGVO-konformen Serverstandorten in Deutschland, die Your Secure Cloud oder die LeitzCloud. Ein allgemeiner Cloud-Speicher-Vergleich hilft dabei, anhand des Leistungsangebots und klarer Sicherheitsmaßnahmen die besten Google-Drive-Alternativen zu finden.