„Dropbox hat uns Zugriff gewährt“. Moment, wie bitte?!

Drei Wissenschaftler haben im Harvard Business Review einen Beitrag über die Effektivität der Zusammenarbeit von Teams auf Dropbox veröffentlicht. So weit, so gut, wenn ich diesen Absatz nicht ungläubig hätte zwei Mal lesen müssen:

Dropbox gave us access to project-folder-related data, which we aggregated and anonymized, for all the scientists using its platform over the period from May 2015 to May 2017 — a group that represented 1,000 universities. This included information on a user’s total number of folders, folder structure, and shared folder access, but we and Dropbox employees could view no personally identifiable information. What we did see was every Dropbox folder associated with a given researcher, along with whom they’d shared the folder with, how often the folder was accessed by anyone associated with it […] and how users split their time among different projects represented by the folders—a wide variety of specific touchpoints. We also had reliable data on seniority levels of users […] Overall, we analyzed data for roughly 400,000 unique users working on about 500,000 separate projects.

Wow. Dropbox hat offenbar Daten an Wissenschaftler weitergegeben. Sie, die Wissenschaftler – und nicht Dropbox! – haben die Daten anonymisiert. Und was heißt in diesem Zusammenhang überhaupt „anonymisiert“? Wenn ich an meine Ordnerstruktur oder die Ordner, die ich mit Dritten teile, denke, so lässt sich daraus einiges ableiten. Und dann sind es 400.000 (!) Nutzer, von denen man das Dienstalter kennt1? Meine Güte, das ist der gleiche Mist, den auch Facebook schon verbockt hat!

Abgesehen davon, dass mir keine Klausel in den Dropbox-Nutzungsbedingungen bekannt wäre, die so etwas zulässt, bin ich nun noch mehr als zuvor davon überzeugt, dass Tools wie Boxcryptor und Cryptomator nicht nur zur Beruhigung dienen, sondern für die Sicherheit meiner Daten absolut notwendig sind. Und notwendig wird auch die eigene Nextcloud-Installation, denn was Dropbox (und wahrscheinlich sind Google Drive, OneDrive, usw. nicht besser) offenbar mit meinen Daten ohne explizite Einwilligung tun kann, geht zu weit.


  1. Noch mehr Fragen dazu auf Twitter