Google Drive und DSGVO
Google Drive ist einer der bekanntesten Filehosting-Dienste. Google Drive ermöglicht seinen Benutzern das Speichern von Dokumenten in der Cloud, das Teilen von Dateien sowie das gemeinsame Bearbeiten von Dokumenten. Google Drive beinhaltet Google Docs, Sheets, Slides und Forms, ein Office-Softwarepaket, welches das gemeinsame Bearbeiten von Dokumenten, Tabellen, Präsentationen etc. ermöglicht. Öffentlich auf Google Drive geteilte Dateien können mit Internet-Suchmaschinen gefunden werden. Soweit, so gut. Aber wie hält es Google Drive mit dem Datenschutz? Was müssen Unternehmen beachten, wenn sie den Dienst nutzen möchten?
Datenschutzrechtliche Anforderungen an Cloud-Dienstleister aus Drittstaaten
Eine der wichtigsten Neuerungen der Datenschutz-Grundverordnung besteht in der Etablierung des sogenannten Marktortprinzips. Wenn ein Unternehmen, egal, wo es auf der Welt seinen Sitz hat, Bürgerinnen und Bürgern der Europäischen Union Produkte oder Dienstleistungen anbietet, muss es sich an die Vorgaben der DSGVO halten. Umgekehrt sind europäische Unternehmen dazu verpflichtet, einen Datenexport an einen Cloud-Anbieter datenschutzrechtlich abzusichern.
Innerhalb der EU werden hierfür Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen. Werden personenbezogene Daten an einen Dienstleister mit Sitz in einem Drittland ausgelagert, wobei hier Zugriffe zum gelegentlichen „Trouble-Shooting“ schon ausreichen, müssen in der Regel Standardvertragsklauseln und zusätzliche, ergänzende Maßnahmen getroffen werden, damit ein adäquates Datenschutzniveau im Drittland sichergestellt werden kann.
Ergänzende Maßnahmen können in einer Verschlüsselung oder einer Anonymisierung der zu exportierenden Daten bestehen. So soll die Vertraulichkeit der Daten gegen Zugriffe durch Behörden oder Geheimdienste, was in den USA vollkommen legal geschehen kann, abgesichert werden. Bei der Verschlüsselung ist zu beachten, dass der Schlüssel in den Händen des Auftraggebers verbleibt, also in diesem Fall nicht bei Google.
Was bietet Google seinen Kunden nach „Schrems II“ an?
Die Antwort auf diese Frage muss recht flapsig ausfallen: Google bietet eine ganze Menge, aber leider kaum brauchbares. So existiert keine Information nach Art. 13 DSGVO für das Produkt Google Drive, wohl aber für sämtliche Google-Dienste: „Diese Datenschutzerklärung gilt für alle Dienste, die von Google LLC und seinen verbundenen Unternehmen angeboten werden, einschließlich YouTube, Android und Dienste, die auf Websites Dritter bereitgestellt werden, wie Werbedienste.“ Unübersichtlicher geht es kaum und verstößt, nach Ansicht des Autors dieser Zeilen, gegen die Transparenzpflichten der DSGVO. Da ändern auch die zahlreichen Videos zur Datenschutzerklärung nichts. Eine klare und einfache Sprache wäre deutlich hilfreicher.
Hinsichtlich des Datentransfers in die USA arbeitet Google mit den neuen Standardvertragsklauseln und bietet ein vorausgefülltes Muster des Moduls 2 EU-Controller-to-processor an. Allerdings bleibt die Transparenz hinsichtlich Datenschutz und Google Drive auch hier auf der Strecke, wenn beispielsweise in Anhang I der Standardvertragsklauseln die Datenkategorien wie folgt beschrieben werden: „Family, lifestyle and social circumstances, including any information relating to the family of the data subject and the data subject’s lifestyle and social circumstances, including details of family and other household members, habits, housing, travel details, leisure activities, and membership of charitable or voluntary organisations.“ Ähnliche allumfassende Beschreibungen gibt es auch für „Personal details“, „Employment Details“, „Financial details“, „Education and training details“ usw. Auch hier gilt: Wirklich transparent ist das nicht.
Transfer Impact Assessment
Mit den neuen Standardvertragsklauseln existiert nunmehr eine Pflicht zur Durchführung eines „Transfer Impact Assessments“, einer umfassenden, einzelfallbezogenen Datenschutz-Folgenabschätzung vor einem Drittstaatentransfer. Dabei ist die folgende Kontrollfrage zu beantworten: Kann und wird Google seinen vertraglich auferlegten Pflichten nach der DSGVO tatsächlich nachkommen? Um diese Frage zu beantworten, müsste man sich durch die zahlreichen Dokumente, Annexe, Videos und sonstige Verlinkungen, die Google hier hinterlegt hat, hindurchklicken. Ob man am Ende alle Informationen für eine belastbare Aussage findet, bleibt abzuwarten.
Und nun?
Google als ein durchstandardisierter „Internet-Gigant“ wird kaum auf den Klärungsbedarf kleiner und mittlerer Unternehmen eingehen, auch nicht hinsichtlich Google Drive und der Datenschutz-Grundverordnung. Der Abschluss der angebotenen Standardvertragsklauseln wird nach dem „Friss-oder-stirb-Prinzip“ erfolgen. Unternehmen sollte daher proaktiv zu weiteren Sicherheitsmaßnahmen greifen und bei einer Entscheidung für Google Drive nur stark verschlüsselte Daten hochladen und den Schlüssel nicht aus der Hand geben.
Dies wäre eine Möglichkeit, um den Datenschutz bei Google Drive in Deutschland wenigstens einigermaßen zu gewährleisten. Schließlich wird es bis zum flächendeckenden Einsatz der homomorphen Verschlüsselung noch etwas dauern. Gerne unterstützt 2B Advice Ihr Unternehmen bei einer datenschutzrechtlichen Bewertung des Einsatzes von Google Drive, insbesondere bei der Durchführung des Transfer Impact Assessments.
German 
English 
Italian 
French