Scroll Top

Google G Suite und Datenschutz

von Anne-Kathrin Philipp und Carola Sieling

Die Angebote von Google – insbesondere die G Suite werden immer beliebter…. Gerade in kleinen und mittelständischen Unternehmen bieten die Dienste auf einfachem Wege in vielen Bereichen Erleichterung. Die G Suite, früher Google Apps for work, beinhaltet zum Beispiel die Dienste Google Hangout, Textverarbeitung, Tabellenkalkulation, Kalenderfunktion, Mailing, etc… Vor allem das kollaborative Zusammenarbeiten wird wesentlich vereinfacht.

Wir werden häufig gefragt: “Ist dieser Dienst aus datenschutzrechtlicher Sicht überhaupt einsetzbar? Gerade beim Stichwort Google denkt man nicht unbedingt an Datenschutz und Datensicherheit, aber wie sich herausstellt, wohl nicht ganz gerechtfertigt…gern möchten wir Ihnen hier die datenschutzrechtliche Aufgabenstellung und einen Lösungsweg erläutern!

Problem

Wie immer geht es um personenbezogene Daten, welche an Google übertragen werden. Für diese Übertragung sind die jeweiligen Unternehmen verantwortlich. Es geht vor allem um Mitarbeiter-, Lieferanten- und Kundendaten.

Werden personenbezogene Daten an ein externes Unternehmen übermittelt, müssen gewisse Anforderungen erfüllt werden, damit eine solche Übermittlung datenschutzrechtlich zulässig ist.

Die Aufgabenstellung ist dabei tatsächlich die Übermittlung der Daten in die USA. Seit Safe Harbour 2056 gekippt wurde, besteht hier eine große Unsicherheit, wie eine solche Übermittlung datenschutzrechtlich aussehen muss. Zwar wurde hier das EU/US Privacy Shield geschaffen, aber auch ist es tatsächlich fraglich, inwieweit dieses aufrechterhalten bleibt oder ebenfalls für unzulässig erklärt wird.

Was gilt denn nun?

Grundsätzlich gilt:
Wenn personenbezogene Daten in die USA übermittelt werden sollen, handelt es sich zunächst um einen unsicheren Drittstaat, der an sich kein angemessenes Datenschutzniveau vorweisen kann. Dementsprechend ist eine Übermittlung zunächst unzulässig.

Hier muss dann derzeit zunächst eine Zertifizierung unter dem Privacy Shield, eine Art Selbstzertifizierung, vorliegen oder es müssen die sogenannten EU-Standardvertragsklauseln zwischen Auftragnehmer und Auftraggeber vereinbart werden. Beides ist bei Google gegeben bzw. möglich. Inwieweit diese Optionen auch in Zukunft verwendet werden können, wird sich zeigen, da beide datenschutzrechtlich kritisiert werden. Der Eintrag von Google unter dem Privacy Shield finden Sie hier:
(https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI)

Zudem bietet Google ein weiteres Vertragswerk an, welches die Anforderungen an den zusätzlich zu schließenden Vertrag zur Auftragsdatenverabeitung beinhaltet.

Unter den jeweiligen Links gibt Google auch Auskunft über die eingesetzten Subunternehmer. Diese werden laut Google auf den gleichen Standard wie der Hauptauftragnehmer selber verpflichtet und vorab bezüglich der Sicherheitsstandards auditiert.
Weiter bietet Google einen Zusatz zur Datenverarbeitung an. Hierbei handelt es sich um einen Vertrag zur Auftragsdatenverarbeitung.

In einem entsprechenden White Paper erläutert Google diese Dokumente und beantwortet Fragen bezüglich Datenschutz, IT-Sicherheit und Zertifizierungen. Hier gibt es Informationen zum Thema IT-Sicherheit, es werden zudem die technischen und organisatorischen Maßnahmen beschrieben.

Zudem kann Google die Zertifizierungen nach ISO 27001, SOC 2 und 3 vorweisen. Der Kunde kann zwar sein Kontrollrecht nur eingeschränkt ausüben, um die technischen und organisatorischen Maßnahmen zu überprüfen, es wird aber auf den regelmäßigen Nachweis der Zertifizierungen verwiesen. Dies gehört aber bei den großen Anbietern mittlerweile zum Standard.

Nach den Beschreibungen von Google umfasst das Sicherheitsteam 500 Mitarbeiter und es gibt ein Team, welches allein für die Umsetzung von datenschutzrechtlichen Vorschriften zuständig ist.

Mehr Informationen werden auch als FAQ bereitgestellt!

Fazit

Derzeit ist eine Nutzung der G Suite mit dem Abschluss der aufgezeigten Vertragswerke datenschutzrechtlich in den meisten Anwendungsfällen zulässig. Für besondere Konstellationen müssen evtl. weitere Anforderungen erfüllt werden, beispielsweise wenn Berufsgeheimnispflichten zu beachten sind oder Betriebsräte vorhanden sind.
Weiterhin ist die Rechtslage zu beobachten, insbesondere im Hinblick auf die ungewissen Zukunft des EU/US Privacy Shields und der EU-Standardvertragsklauseln.

Verwandte Beiträge

Kommentare (1)

Hallo und danke für den spannenden Artikel. Spielt es nicht auch eine Rolle wo die Server stehen?

Viele Grüße
Nico

Kommentare sind deaktiviert.