Man muss unterscheiden
1. Werden personenbezogene Daten verarbeitet.
Das wird besonders relevant wenn die Daten Dritter verarbeitet werden. Diese (Kunden, Mitglieder, Studenten etc) haben mir gegenüber Auskunfts, Lösch und Schadenersatzrechte. Ich bin verpflichtet die Verarbeitung sauber zu dokumentieren und zu kontrollieren. Bei extrerner Speicherung findet eine Auftragsdatenverarbeitung statt die extra geregelt werden muss und die man bei Anbietern z.B. aus den USA per se nicht sauber regeln kann. Bei Verstoß gegen Regeln drohen mir Strafen bis zu 4% meines weltweiten Umsatzes. (DSGVO)
Sind das meine eigene Daten die bei mir verarbeitet werden ist das unkritisch. Ich kann auch meine Krankenakte ins Internet stellen um das zu diskutieren. Speichere ich meine eigenen Daten z.B. meine eigenen Bilder extern muss der Anbieter die DSGVO einhalten (oder nicht weil der im Nicht-EU Ausland sitzt).
2. Datensicherheit (technisch)
Das sind eigenständige Vorgaben auf die aber auch im Datenschutz verwiesen wird. Hier handelt es sich um technische Fragen wie Sicherheitsupdates, Ransomware Sicherheit, Backup, unveränderliche readonly Versionierung, Schutz vor Hackversuchen. Diebstahl, Feuer etc. Mache ich das mit meinem NAS muss ich dafür Vorsorge treffen und zwar nach "Stand der Technik"
2. Datensicherheit (organisatorisch)
Hier dreht es sich um die Features der benutzten Sofware. Bei den meisten Cloudprodukten kann man per email einen Link verschicken mit dem man auf die Daten zugreifen kann. Jeder der den Link kennt, kommt ohne weitere Kontrolle an die Daten. Wird der Link anderen bekannt ist das der GAU und Ursache der letzten großen Datenschutz Skandale. Nur Verfahren mit Authorisierung (ich erlaube das Person X) und Authentifizierung (persönliche Anmeldung, ich bin Person X) sind geeignet.
Nextcloud, Owncloud, einfacher Webzugriff etc sind dann tabu. Für den externen Internetzugriff auf personenbezogene Daten ist spezielle Software nötig z.B. zumindest ein sicherer personenbezogener sftp oder vpn Zugang oder Software wie Titan SFTP/HTTPS für größere Installationen weil da Authorisiserung und AD Authentifizierung mit sftp, ftps und https mit Erhalt der AD Zugriffsregeln auf dem/n NAS geht.
Hat alles nichts mit Synology oder einer beliebig anderen NAS Software zu tun sondern sind Fragen die man als Betreiber beantworten muss.
