Im Lauf der Jahre hat Google eine Vielzahl an Cloud-Diensten hervorgebracht. Deren Spektrum reicht von E-Mail-Diensten über Cloud-Speicher bis hin zur vollwertigen Office-Lösung (Google Workspace). Der Zulauf bei Groupware (Lösungen für die kollaborative Zusammenarbeit) ist mittlerweile riesig, zunehmend mehr Unternehmen begeistern sich für Google Dienste und integrieren diese in ihre Abläufe und Systeme.
Nicht in die Datenschutzfalle tappen
So praktisch und zuverlässig die Apps, Programme und SaaS-Lösungen von Google auch sein mögen, zahlreiche Unternehmen verstoßen mit der Nutzung gegen geltende Datenschutzbestimmungen. Oft geschehen derartige DSGVO-Verstöße unbewusst, weil datenschutzrechtliche Aspekte nicht berücksichtigt wurden.
Sollten Sie einen Datenschutzverstoß bemerken, kann je nach Situation eine Meldepflicht bestehen. Darüber hinaus besteht das Risiko, dass Verstöße gegen die DSGVO von außerhalb aufgedeckt und gemeldet werden. Schreitet die zuständige Datenschutzbehörde ein, kann dies erhebliche Kosten (z.B. ein Bußgeld) zur Folge haben.
Die beliebtesten Google Dienste im Überblick
- Google Docs, Sheets, Slides und Forms (Office-Lösung)
- Google Drive (Datei-Speicher)
- Gmail (E-Mail Lösung)
- Google Kalender
- Google Notizen
- Google Meet (Videokonferenzen)
Stolperstein beim Datenschutz: Auftragsverarbeitung & Übermittlung in Drittstaaten
Ob bei Google oder anderen Anbietern von Cloud-Diensten, die typischen Risiken sind überwiegend dieselben. Da wäre zunächst die Zulässigkeit der Nutzung. Notwendig ist eine Überprüfung dahingehend, ob für die geplante Verarbeitung personenbezogener Daten ein berechtigtes Interesse besteht. Falls nicht, wäre eine Verarbeitung der Daten (z.B. in Form von Speichern oder Übermitteln) rechtlich nicht zulässig.
Einer der häufigsten Stolpersteine bei der Nutzung von Google Diensten ist die Übermittlung der Daten an Google. Weltweit betreibt der Konzern eigene Rechenzentren, wobei die Speicherung von Daten jedoch mit Vorliebe auf Servern in den USA erfolgt. Somit besteht das Risiko einer Datenübermittlung in die USA und damit in einen Drittstaat. Sie ist jedoch nur in Verbindung mit einer Absicherung durch gezielte Maßnahmen zulässig.
Ein weiterer Aspekt ist die Auftragsverarbeitung. Selbst wenn nur eine Speicherung der Daten (z.B. via Google Drive) geplant ist, stellt dies eine Auftragsverarbeitung dar. Als Folge besteht die Notwendigkeit, mit dem Auftragsverarbeiter – also Google – einen Vertrag zu schließen.
Wie Sie Google Services datenschutzkonform verwenden
Bevor Sie auf Dienste von Google zurückgreifen, nehmen Sie diese unter die Lupe. Es ist zu prüfen, wie der Konzern mit übermittelten Daten verfährt. Je nach Situation kann sich eine Datenschutz-Folgenabschätzung empfehlen, um Risiken zu erkennen, zu bewerten und geeignete Lösungen herzuleiten.
Die in den meisten Fällen einfachste und sicherste Lösung dürfte darin bestehen, Google Dienste in Verbindung mit einem geeigneten Business-Tarif zu nutzen. Fakt ist, dass sich Google mit vielen seiner Dienste an Verbraucher und Unternehmen gleichermaßen richtet. Aber die für Verbraucher kostenfrei angebotenen Dienste sind hinsichtlich der Bedürfnisse von Unternehmen nicht immer datenschutzkonform einsetzbar.
Zahlreiche Dienste stehen im Rahmen von Google Workspace (kostenpflichtig) zur Verfügung. Im Vergleich zur kostenlosen Lösung sind die Leistungen erweitert und versprechen die Einhaltung der DSGVO, u.a. durch den „Zusatz zur Datenverarbeitung“, der Standardvertragsklauseln enthält (Google stützt sich hierauf, weil eine Übermittlung von Daten an Rechenzentren außerhalb des EWR möglich ist). Darüber hinaus stehen oft weitere Tools zur Verfügung, beispielsweise für eine Compliance-gerechte E-Mail-Archivierung. Die Abrechnung innerhalb dieser Tarife erfolgt üblicherweise auf Basis der Anzahl an Mitarbeiter- bzw. Google-Konten.
Fazit
Der ungeprüfte Einsatz von Google Diensten geht mit erheblichen datenschutzrechtlichen Risiken einher. Erfreulicherweise sind viele Tools und Dienste jedoch DSGVO-konform nutzbar, sofern eine gezielte Tarifwahl erfolgt. Sollten Sie noch Fragen oder andere Anliegen rund um den betrieblichen Datenschutz haben, stehen wir Ihnen gerne zur Verfügung. Nutzen Sie unsere kostenlose Erstberatung.