Anwendbare Gerichtsbarkeiten und Maßnahmen von Dropbox zur Verhinderung des Zugriffs auf oder der Übermittlung von in der Union gespeicherten Daten durch Nicht-EU-Behörden
Wenn Sie außerhalb der Vereinigten Staaten von Amerika, Kanadas und Mexikos („Nordamerika“) ansässig sind, werden die Dienste von Dropbox International Unlimited Company bereitgestellt, deren Infrastruktur der Gerichtsbarkeit der Republik Irland unterliegt. Wenn Sie in Nordamerika ansässig sind, werden die Dienste von Dropbox, Inc. bereitgestellt, deren Infrastruktur der Gerichtsbarkeit der Vereinigten Staaten von Amerika unterliegt.
Bei der Übertragung von Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz hat Dropbox eine Reihe technischer, organisatorischer und vertraglicher Maßnahmen getroffen, um den Zugriff internationaler Behörden auf Dropbox-Nutzerdaten zu verhindern, wenn dieser Zugriff einen Konflikt mit dem EU-Recht oder dem nationalen Recht des betreffenden Mitgliedstaats darstellen würde.
Technische Maßnahmen
Die Sicherheit des Back-End-Netzwerks hat für Dropbox höchste Priorität. Unsere Netzwerksicherheit und Überwachungsmechanismen bieten mehrere Ebenen des Schutzes und der Verteidigung. Wir wenden branchenübliche Techniken an, einschließlich Firewalls, Netzwerk-Schwachstellenscans, Überprüfung der Netzwerksicherheit und Einbruchmeldesysteme, damit nur zulässiger und unbedenklicher Datenverkehr unsere Infrastruktur erreicht.
Unser internes privates Netzwerk ist nach Nutzung und Gefahrenstufe unterteilt. Die primären Netzwerke sind Folgende:
- Dem Internet zugewandte DMZ
- DMZ für vorrangige Infrastruktur
- Produktionsnetzwerk
- Unternehmensnetzwerk
- Dropbox-Dienste und -Anwendungen werden nach Möglichkeit über Container isoliert.
Der Zugriff auf die Produktionsumgebung ist auf autorisierte IP-Adressen beschränkt und erfordert eine Multi-Faktor-Authentifizierung auf allen Endpunkten. IP-Adressen mit Zugriffberechtigung sind entweder mit dem Unternehmensnetzwerk oder zugelassenen Dropbox-Mitarbeitern verknüpft. Autorisierte IP-Adressen werden vierteljährlich überprüft, damit eine sichere Produktionsumgebung gewährleistet werden kann. Nur befugte Personen haben die Berechtigung, die IP-Adressenliste zu ändern.
Der Datenverkehr aus dem Internet, der für unser Produktionsnetzwerk bestimmt ist, wird durch mehrere Ebenen aus Firewalls und Proxys geschützt.
Zwischen dem internen Dropbox-Netzwerk und dem öffentlichen Internet wird eine strikte Trennung gewahrt. Der Internetdatenverkehr zum und vom Produktionsnetzwerk wird von einem speziell dafür vorgesehenen Proxy-Service kontrolliert, der wiederum durch restriktive Firewall-Regeln geschützt wird.
Organisation und vertragliche Maßnahmen
In Bezug auf die Verarbeitung personenbezogener Daten, die aus der Europäischen Union, dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz in die USA übertragen werden, befolgt Dropbox die vom US-Handelsministerium festgelegten Datenschutzrahmen EU-USA und Schweiz-USA sowie die Erweiterung des Datenschutzrahmens EU-USA für das Vereinigte Königreich. Dropbox hat gegenüber dem US-Handelsministerium bescheinigt, dass es diese Datenschutzrahmen in Bezug auf diese Daten einhält, dies gilt jedoch nicht für den FormSwift-Teil der Dienste. Bei Widersprüchen zwischen der Datenschutzrichtlinie von Dropbox und den Grundsätzen des Datenschutzrahmens sind die Grundsätze maßgebend. In Übereinstimmung mit den Grundsätzen bleibt Dropbox für die Weitertransfers haftbar, wenn ein Auftragsverarbeiter personenbezogene Daten in einer Weise verarbeitet, die nicht mit den Grundsätzen vereinbar ist.
Wenn Sie mehr über den Datenschutzrahmen erfahren und die Zertifizierung von Dropbox einsehen möchten, besuchen Sie https://www.dataprivacyframework.gov/.
