Cloud-Fotospeicherung: Sicher? Was die Datenschutzrichtlinien sagen
Datenschutzaudit von iCloud, Google Fotos, Amazon Photos, Dropbox und OneDrive.
Cloud-Fotodienste verschlüsseln deine Fotos bei der Übertragung und im Ruhezustand. Was sie nicht prominent erwähnen: Der Anbieter hält die Verschlüsselungsschlüssel bei den meisten dieser Dienste. Das bedeutet, der Anbieter kann unter seinem Sicherheits- und Richtlinienmodell auf deine Fotos zugreifen, sie für Dienstfunktionen oder Sicherheitssysteme analysieren und Anfragen der Strafverfolgungsbehörden nachkommen. Diese Anleitung prüft die Datenschutzrichtlinien der fünf größten Cloud-Fotoanbieter – iCloud, Google Fotos, Amazon Photos, Dropbox und OneDrive – und dokumentiert genau, was jeder über deine Daten sagt.
Die entscheidende Frage: Wer hält die Verschlüsselungsschlüssel?
Jeder große Cloud-Dienst verschlüsselt deine Daten. Die Frage ist nicht, ob Verschlüsselung existiert, sondern wer die Schlüssel hält. Dieser eine Unterschied bestimmt, ob deine Fotos vor dem Anbieter oder lediglich vor externen Angreifern geschützt sind.
Serverseitige Verschlüsselung (Anbieter hält Schlüssel): Der Dienst verschlüsselt deine Daten auf seinen Servern mit von ihm verwalteten Schlüsseln. Das schützt vor physischem Diebstahl der Serverhardware und externen Angriffen. Es schützt nicht vor dem Anbieter selbst, seinen Mitarbeitern, rechtlichen Anfragen oder staatlichen Anordnungen. Der Anbieter kann deine Daten jederzeit entschlüsseln und darauf zugreifen.
Ende-zu-Ende-Verschlüsselung (Nutzer hält Schlüssel): Daten werden auf deinem Gerät verschlüsselt, bevor sie hochgeladen werden. Der Anbieter speichert Chiffretext, den er nicht entschlüsseln kann. Selbst mit einer Gerichtsverfügung hat der Anbieter nichts Verwendbares zu liefern. Nur Apple bietet dies als optionales Feature für die Fotospeicherung an (Erweiterter Datenschutz). Kein anderer großer Cloud-Fotodienst bietet E2E-Verschlüsselung für Fotos an.
iCloud Fotos
Anbieter: Apple Inc. Datenschutzrichtlinie: apple.com/privacy Verschlüsselungsmodell: Standardmäßig serverseitig; E2E-Verschlüsselung verfügbar über Erweiterten Datenschutz (ADP)
Was Apples Datenschutzrichtlinie sagt
Apples Datenschutzrichtlinie besagt: „Wir können persönliche Daten auch für Konto- und Netzwerksicherheitszwecke verwenden, einschließlich zum Schutz unserer Dienste zum Wohl aller unserer Nutzer, und zum Vorprüfen oder Scannen hochgeladener Inhalte auf potenziell illegale Inhalte, einschließlich Material zur sexuellen Ausbeutung von Kindern."
Apples aktuelle iCloud-Sicherheitsdokumentation zieht die wichtigere Datenschutzgrenze: Unter dem standardmäßigen iCloud-Datenschutz hält Apple die Schlüssel für iCloud Fotos und kann den Inhalt entschlüsseln; mit aktiviertem Erweitertem Datenschutz werden Fotos Ende-zu-Ende-verschlüsselt und Apple kann sie nicht mehr entschlüsseln. In der Praxis sollten Standard-iCloud-Fotos als für den Anbieter lesbarer Cloud-Speicher behandelt werden, sofern du ADP nicht explizit aktivierst.
Verschlüsselungsdetails
Standard: Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand mit Apple-verwalteten Schlüsseln. Apple kann Standard-iCloud-Fotodaten auf gültige rechtliche Anfragen hin entschlüsseln.
Mit aktiviertem ADP: Ende-zu-Ende-Verschlüsselung für iCloud Fotos, iCloud Drive, Notizen, iCloud-Backup und andere Kategorien. Apple kann diese Daten nicht entschlüsseln. ADP erfordert iOS 16.2+ und einen Wiederherstellungsschlüssel oder Wiederherstellungskontakt.
Zugriff durch Strafverfolgungsbehörden
Apples Transparenzbericht dokumentiert staatliche Datenanfragen. Mit aktiviertem ADP kann Apple Kontometadaten, aber keine Ende-zu-Ende-verschlüsselten iCloud-Fotoinhalte bereitstellen.
Sichtbarkeit für den Anbieter
Apples Datenschutzrichtlinie behält sich das Recht vor, hochgeladene Inhalte auf illegale Inhalte vorzuprüfen oder zu scannen. Apples iCloud-Sicherheitsmodell macht auch einen separaten Punkt, der für den Datenschutz wichtig ist: Sofern ADP nicht aktiviert ist, hat Apple technisch die Fähigkeit, iCloud Fotos zu entschlüsseln. Mit aktiviertem ADP sind Fotos Ende-zu-Ende-verschlüsselt und Apple kann den Inhalt nicht lesen.
| Funktion | Standard | Mit ADP |
|---|---|---|
| Verschlüsselung bei Übertragung | Ja (TLS) | Ja (TLS) |
| Verschlüsselung im Ruhezustand | Ja (Apple-Schlüssel) | Ja (Nutzerschlüssel) |
| Apple kann zugreifen | Ja | Nein |
| Zugriff durch Strafverfolgung | Ja (über Apple) | Nur Metadaten |
| Apple kann Fotoinhalte entschlüsseln | Ja | Nein |
Google Fotos
Anbieter: Google LLC (Alphabet Inc.) Datenschutzrichtlinie: policies.google.com/privacy Verschlüsselungsmodell: Nur serverseitig. Keine E2E-Verschlüsselungsoption.
Was Googles Datenschutzrichtlinie sagt
Googles Datenschutzrichtlinie ist weitreichend: „Wir verwenden die Informationen, die wir aus allen unseren Diensten sammeln, für folgende Zwecke ... zur Bereitstellung, Pflege und Verbesserung unserer Dienste ... zur Entwicklung neuer Dienste ... zur Bereitstellung personalisierter Dienste, einschließlich Inhalten und Werbung."
Google verwendet deine Inhalte explizit zur Verbesserung von Diensten und zur Entwicklung neuer. Googles Nutzungsbedingungen besagen: „Wenn du Inhalte zu unseren Diensten hochlädst, einreichst, speicherst, sendest oder erhältst, gibst du Google (und denjenigen, mit denen wir zusammenarbeiten) eine weltweite Lizenz zur Nutzung, zum Hosting, zur Speicherung, zur Reproduktion, zur Modifikation, zur Erstellung abgeleiteter Werke, zur Kommunikation, zum Publizieren, zur öffentlichen Aufführung, zur öffentlichen Darstellung und zur Verbreitung dieser Inhalte."
Diese Lizenz gilt „zum begrenzten Zweck des Betriebs, der Förderung und der Verbesserung unserer Dienste sowie der Entwicklung neuer." Google erklärt, diese Lizenz bestehe „auch dann fort, wenn du unsere Dienste nicht mehr nutzt" für bereits verarbeitete Inhalte.
Was Google mit deinen Fotos macht
Google Fotos verwendet KI zur Organisation, Suche und zum Vorschlagen von Bearbeitungen. Das erfordert serverseitige Analyse von Fotoinhalten. Google scannt Fotos auf:
- Objekt- und Gesichtserkennung (für Suche und Organisation)
- Standortextraktion (aus EXIF-Metadaten)
- CSAM-Erkennung (automatisiertes Scanning)
- Verstöße gegen Inhaltsrichtlinien (Nacktheit in geteilten Inhalten, Urheberrechtsverletzungen)
Google hat erklärt, keine Google-Fotos-Inhalte für Werbezwecke zu nutzen, aber die Inhalte werden von Googles Systemen für die oben genannten Zwecke analysiert.
Zugriff durch Strafverfolgungsbehörden
Googles Transparenzbericht dokumentiert staatliche Datenanfragen. Google stellt Daten auf gültige rechtliche Anfragen hin bereit. Google-Fotos-Daten sind für Google zugänglich und können Strafverfolgungsbehörden bereitgestellt werden.
Der Gesperrte Ordner ändert daran nichts. Google hält die Verschlüsselungsschlüssel für Inhalte im Gesperrten Ordner.
Keine Ende-zu-Ende-Verschlüsselungsoption
Google bietet keine Ende-zu-Ende-Verschlüsselung für Google Fotos an. Alle Google-Fotos-Daten sind für Googles Systeme zugänglich. Es gibt keine optionale Alternative zu Apples ADP.
Amazon Photos
Anbieter: Amazon.com Inc. Datenschutzrichtlinie: amazon.com/privacy Verschlüsselungsmodell: Nur serverseitig. Keine E2E-Verschlüsselungsoption.
Was Amazons Datenschutzrichtlinie sagt
Amazons Datenschutzhinweis besagt: „Wir verwenden deine persönlichen Daten, um die Produkte und Dienstleistungen, die wir unseren Kunden anbieten, zu betreiben, bereitzustellen, zu entwickeln und zu verbessern."
Amazon Photos ist in der Prime-Mitgliedschaft enthalten. Amazons Datenschutzrichtlinie gilt für alle Amazon-Dienste gemeinsam, was bedeutet, dass die Datenpraktiken für Amazons Einzelhandel, Alexa und Werbegeschäfte auch für deine Fotos gelten.
Was Amazon mit deinen Fotos macht
Amazon Photos bietet KI-gestützte Suche, Gesichtserkennungsgruppierung und automatische Organisation. Amazons Systeme analysieren Fotoinhalte für diese Funktionen. Amazons weiteres Ökosystem verbindet Daten über Dienste hinweg – dein Einkaufsverhalten, Alexa-Interaktionen und Foto-Metadaten existieren innerhalb derselben Dateninfrastruktur.
Amazon trennt den Umgang mit Amazon-Photos-Daten in seiner Datenschutzrichtlinie nicht klar von seinen breiteren Datenpraktiken. Diese Unklarheit ist selbst ein Datenschutzproblem.
Zugriff durch Strafverfolgungsbehörden
Amazon stellt Daten auf gültige rechtliche Anfragen hin bereit. Amazons Transparenzbericht ist weniger detailliert als der von Apple oder Google, bestätigt aber die Compliance mit staatlichen Anfragen.
Dropbox
Anbieter: Dropbox Inc. Datenschutzrichtlinie: dropbox.com/privacy Verschlüsselungsmodell: Nur serverseitig (AES-256 mit Dropbox-verwalteten Schlüsseln). Keine E2E-Verschlüsselungsoption für Verbraucherkonten.
Was Dropboxs Datenschutzrichtlinie sagt
Dropboxs Datenschutzrichtlinie besagt: „Wir sammeln und verwenden die folgenden Informationen, um unsere Dienste bereitzustellen, zu verbessern, zu schützen und zu fördern." Dropbox sammelt Datei-Metadaten, Nutzungsdaten, Geräteinformationen und Inhaltsdaten.
Dropbox vermerkt ausdrücklich: „Wir können die oben beschriebenen Informationen mit Strafverfolgungsbehörden, Behörden oder anderen Unternehmen abrufen, aufbewahren und teilen, wenn wir in gutem Glauben davon ausgehen, dass die Offenlegung vernünftigerweise notwendig ist."
Verschlüsselung und Sicherheitsgeschichte
Dropbox verwendet AES-256-Verschlüsselung im Ruhezustand und TLS bei der Übertragung. Dropbox hält die Verschlüsselungsschlüssel. 2012 erlitt Dropbox eine Datenpanne, die 68 Millionen Konten betraf. 2024 wurde Dropbox Sign (früher HelloSign) gehackt, wobei Kunden-E-Mails, Namen und gehashte Passwörter offengelegt wurden.
Dropbox Vault (ein kostenpflichtiges Feature) fügt PIN-Schutz hinzu, ergänzt aber keine Ende-zu-Ende-Verschlüsselung. Dropbox kann weiterhin auf Vault-Inhalte zugreifen.
Für Geschäftskunden bietet Dropbox „Bring-your-own-key"-Optionen an, die aber nicht für Verbrauchertarife verfügbar sind.
Foto-Scanning
Dropbox scannt Dateien auf CSAM und Verstöße gegen Inhaltsrichtlinien. Dropboxs Nutzungsbedingungen besagen, dass automatisierte Systeme zur Inhaltsüberprüfung eingesetzt werden können.
OneDrive
Anbieter: Microsoft Corporation Datenschutzrichtlinie: microsoft.com/privacy Verschlüsselungsmodell: Nur serverseitig. Keine E2E-Verschlüsselung für Verbraucher-Fotospeicherung.
Was Microsofts Datenschutzrichtlinie sagt
Microsofts Datenschutzerklärung gilt für alle Microsoft-Produkte gemeinsam. Sie besagt: „Microsoft verwendet die von uns gesammelten Daten, um dir reichhaltige, interaktive Erlebnisse zu bieten. Insbesondere verwenden wir Daten, um: unsere Produkte bereitzustellen ... unsere Produkte zu verbessern und zu entwickeln ... unsere Produkte zu personalisieren ... für Werbung und Marketing."
OneDrive-Daten sind Teil dieses weiteren Datenerfassungsökosystems. Microsoft verwendet Daten über Dienste hinweg für Werbung und Produktentwicklung.
OneDrive Personal Vault
OneDrive Personal Vault fügt Identitätsverifizierung (2FA) für den Zugriff auf bestimmte Dateien hinzu. Es fügt keine Ende-zu-Ende-Verschlüsselung hinzu. Microsoft hält die Verschlüsselungsschlüssel. Personal Vault ist eine Zugriffssteuerungsfunktion, keine Verschlüsselungsfunktion. Eine an Microsoft gerichtete Gerichtsverfügung kann auf Personal-Vault-Inhalte zugreifen.
Zugriff durch Strafverfolgungsbehörden
Microsofts Bericht über Strafverfolgungsanfragen dokumentiert staatliche Datenanfragen. Microsoft kommt gültigen rechtlichen Anfragen nach.
Anbietervergleich
| Funktion | iCloud (Standard) | iCloud (ADP) | Google Fotos | Amazon Photos | Dropbox | OneDrive |
|---|---|---|---|---|---|---|
| Verschlüsselung bei Übertragung | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ | TLS 1.2+ |
| Verschlüsselung im Ruhezustand | AES-128 (Apple-Schlüssel) | AES-256 (Nutzerschlüssel) | AES-256 (Google-Schlüssel) | AES-256 (Amazon-Schlüssel) | AES-256 (Dropbox-Schlüssel) | AES-256 (Microsoft-Schlüssel) |
| E2E-Verschlüsselung verfügbar | Ja (opt-in ADP) | Ja | Nein | Nein | Nein | Nein |
| Anbieter kann auf Fotos zugreifen | Ja | Nein | Ja | Ja | Ja | Ja |
| KI/ML-Analyse von Fotos | CSAM-Scanning | Nein (kann nicht entschlüsseln) | Umfangreich (Suche, Gesichter, Objekte) | Ja (Suche, Gesichter) | Begrenzt (CSAM) | Ja (Suche, OneDrive-Funktionen) |
| Inhalte für Werbezwecke verwendet | Nein (erklärte Richtlinie) | Nein | Nein (erklärt speziell für Fotos) | Unklar (weitreichende Richtlinie) | Nein (erklärte Richtlinie) | Ja (in Datenschutzrichtlinie angegeben) |
| Compliance mit Strafverfolgung | Ja (~77 % der Anfragen) | Nur Metadaten | Ja | Ja | Ja | Ja |
| Bekannte Datenpannen | Kein größerer Verstoß | N/A | Kein größerer Verstoß bei Fotos | Kein größerer Verstoß bei Fotos | 2012 (68 Mio. Konten), 2024 (Sign) | Kein größerer OneDrive-Verstoß |
| Kostenloser Speicher | 5 GB | 5 GB | 15 GB | 5 GB (unbegrenzt für Prime-Fotos) | 2 GB | 5 GB |
Was das für deine Fotos bedeutet
Fünf Erkenntnisse aus diesem Audit:
Jeder Anbieter hält standardmäßig deine Verschlüsselungsschlüssel. Apple ist der einzige, der eine optionale Änderung davon anbietet (ADP). Google, Amazon, Dropbox und Microsoft bieten keine Ende-zu-Ende-Verschlüsselungsoption für Verbraucher-Fotospeicherung an.
„Verschlüsselt" bedeutet nicht „privat vor dem Anbieter". Alle fünf Dienste verwenden Verschlüsselung. In allen fünf Fällen (außer iCloud mit ADP) kann der Anbieter deine Fotos entschlüsseln und darauf zugreifen.
Anbieterseitige Analyse ist Standard. Google analysiert deine Fotos umfangreich für Suche, Gesichter, Objekte und Szenen. Amazon und Microsoft bieten KI-gestützte Such- und Organisationsfunktionen an. Apples Standard-iCloud-Fotos bleibt für den Anbieter lesbar, sofern ADP nicht aktiviert ist. Deine Fotos werden nicht nur gespeichert – sie können auch von den Systemen des Anbieters verarbeitet werden.
Strafverfolgungszugriff ist üblich. Apple, Google und Microsoft erhalten jährlich jeweils über 100.000 staatliche Datenanfragen. Sie entsprechen der Mehrheit davon. Auf deine Fotos kann durch rechtliche Maßnahmen gegen den Anbieter zugegriffen werden.
Datenschutzrichtlinien sind breit formuliert. Die Richtlinien von Amazon und Microsoft gelten für alle Dienste gemeinsam, was bedeutet, dass Fotospeicherdaten denselben Datenpraktiken unterliegen wie Einkaufsverhalten und Suchverlauf.
Die Alternative: Zero-Knowledge-verschlüsselter Speicher
Für Fotos, die für den Speicheranbieter privat sein müssen, ohne deinen Schlüssel nicht zugänglich sind und außerhalb anbieterseitiger Analysesysteme liegen sollen, bieten Zero-Knowledge-verschlüsselte Tresor-Apps ein grundlegend anderes Modell.
Vaultaire verschlüsselt Fotos auf dem Gerät mit AES-256-GCM, bevor ein Upload stattfindet. Der Verschlüsselungsschlüssel wird aus einem auf einem 5x5-Raster gezeichneten Muster mittels PBKDF2 mit HMAC-SHA512 abgeleitet. Der Schlüssel verlässt das Gerät nie. Sogar Vaultaires verschlüsseltes iCloud-Backup lädt verschlüsselte Blobs hoch, die Apple nicht entschlüsseln kann. Der Entwickler kann nicht auf deine Daten zugreifen. Es gibt kein Scanning, keine KI-Analyse und keine für Server zugänglichen Metadaten.
Der Kompromiss: keine Passwortwiederherstellung (wenn du das Muster und die Wiederherstellungsphrase verlierst, sind die Daten weg), keine KI-gestützte Suche oder Gesichtsgruppierung und kein Webzugriff. Die Privatsphäre ist eine direkte Folge dieser Einschränkungen.
Häufig gestellte Fragen
Ist Cloud-Fotospeicherung sicher?
Sie ist sicher vor externen Hackern in dem Sinne, dass alle großen Anbieter bei der Übertragung und im Ruhezustand Verschlüsselung einsetzen. Sie ist nicht privat vor dem Anbieter selbst. Der Anbieter hält standardmäßig die Verschlüsselungsschlüssel und kann auf deine Fotos zugreifen, sie innerhalb seines Dienstmodells analysieren und sie auf gültige rechtliche Anfragen hin bereitstellen.
Welcher Cloud-Speicher ist am privatesten für Fotos?
iCloud mit aktiviertem Erweitertem Datenschutz ist die privateste gängige Option. Es ist der einzige große Cloud-Dienst, der Ende-zu-Ende-Verschlüsselung für die Fotospeicherung anbietet. Mit ADP kann Apple nicht auf deine Fotos zugreifen. Ohne ADP haben alle großen Anbieter gleichwertigen Zugriff auf deine Daten.
Scannen Cloud-Anbieter meine Fotos?
Große Anbieter analysieren gespeicherte Inhalte auf unterschiedliche Weise. Google Fotos nutzt Inhaltsanalyse für Suche und Organisation. Amazon und Microsoft bieten KI-gestützte Such- und Gruppierungsfunktionen. Dropbox gibt an, automatisierte Systeme zur Richtliniendurchsetzung zu verwenden. Apples Datenschutzgrenze lässt sich am besten durch den Schlüsselzugriff verstehen: Standard-iCloud-Fotos ist für den Anbieter lesbar, während iCloud Fotos mit aktiviertem ADP Ende-zu-Ende-verschlüsselt ist.
Können Behörden auf meine Fotos im Cloud-Speicher zugreifen?
Mit einer gültigen Gerichtsverfügung oder einem Durchsuchungsbefehl, ja – für alle Anbieter, die Verschlüsselungsschlüssel halten (was alle standardmäßig tun). Apple mit ADP ist die Ausnahme: Apple kann Kontometadaten, aber keine Fotoinhalte bereitstellen.
Schützt der Gesperrte Ordner in Google Fotos meine Privatsphäre?
Der Gesperrte Ordner verbirgt Fotos vor der Google-Fotos-Oberfläche und sperrt den Zugriff hinter deiner Displaysperre. Google hält weiterhin die Verschlüsselungsschlüssel. Google kann weiterhin auf die Fotos zugreifen und auf rechtliche Anfragen reagieren. Der Gesperrte Ordner ist eine UI-Funktion, keine Sicherheitsfunktion.
Sind kostenlose Cloud-Speicherdienste weniger privat als kostenpflichtige?
Nicht unbedingt. Google bietet 15 GB kostenlos mit denselben Datenschutzpraktiken wie kostenpflichtige Google-One-Speicherung. Die Preisstufe ändert nicht, wer die Verschlüsselungsschlüssel hält oder wie der Anbieter mit deinen Daten umgeht. Datenschutz hängt vom Verschlüsselungsmodell ab, nicht vom Preis.
Fazit
Jeder große Cloud-Fotodienst verschlüsselt deine Daten. Keiner von ihnen verschlüsselt sie standardmäßig so, dass der Anbieter nicht darauf zugreifen kann. Apples Erweiterter Datenschutz ist die einzige gängige Opt-in-Option für echte Ende-zu-Ende-Verschlüsselung von Cloud-Fotos. Für alles andere hält der Anbieter die Schlüssel.
Lies die Datenschutzrichtlinie, bevor du hochlädst. Prüfe, wer die Verschlüsselungsschlüssel hält. Für Fotos, bei denen Datenschutz am wichtigsten ist, erwäge einen Zero-Knowledge-verschlüsselten Speicher wie Vaultaire, bei dem der Verschlüsselungsschlüssel dein Gerät nie verlässt.
Die Frage ist nicht „Ist Cloud-Speicherung verschlüsselt?" Das ist sie immer. Die Frage ist „Verschlüsselt vor wem?"