Um es mit Thomas Magnum zu sagen: „Ich weiß, was Sie jetzt denken, und Sie haben recht“ – Nun, vielleicht auch nicht. Auch uns fiel es zunächst schwer, sich in der Beratungspraxis diesem Thema ohne Vorurteile zu nähern. Wer, diese Frage sei aus Datenschutz-Sicht erlaubt, denkt bei den Begriffen Google und Datenschutz nicht an Feuer und Wasser? Aber ist das immer noch zutreffend? Über den privaten Gebrauch der Suchmaschine, von Android und vielen Google Apps für die private Nutzung, über geräteübergreifendes (Universal-)Tracking, Profilbildung und andere daten­schutz­rechtlich frag­würdige Techniken wollen wir an dieser Stelle ausnahmsweise mal nicht berichten, sondern über die Frage, ob die Nutzung von Google Diensten für Unternehmenszwecke (Google Apps for Work, Google Drive for Work, Google Apps Unlimited etc.) tatsächlich datenschutzkonform betrieben werden kann.

Dienste via Cloud-Computing

Dass Google diese Dienste als „lupenreines“ Cloud-Computing anbietet, muss nicht mehr langatmig thematisiert werden. Auch die hohen Anforderungen der Landesdatenschutzbeauftragten in der Orientierungshilfe Cloud-Computing (z.B. hier) seien hier für die fachkundige Leserschaft im Großen und Ganzen vorausgesetzt, bzw. nachfolgend nur noch kurz stichwortartig zusammengefasst:

  • der Auftragsdatenverarbeiter (außerhalb der EU) muss SafeHarbor-zertifiziert sein oder die EU-Standard-Vertragsklauseln mit der verantwortlichen Stelle schließen (wenngleich SafeHarbor inhaltlich bekanntermaßen von den Aufsichtsbehörden – zu Recht (!) – als nicht ausreichendes Instrument gesehen wird, um ein angemessenes Datenschutzniveau im Drittland sicherzustellen)
  • über die EU-Standardvertragsklauseln hinaus muss der Auftragsdatenverarbeiter detaillierte Angaben über die eingesetzten Subunternehmer machen, dazu gehört
    • die Namen und Standorte der Subunternehmer zu nennen sowie
    • die Subunternehmer auf denselben Datenschutz-Standard verpflichten, wie den Hauptauftragnehmer
  • ferner muss der Auftragnehmer substantiierte Angaben zu seinen technisch-organisa­torischen Sicherheitsmaßnahmen machen (die vor allem bei Cloud-Dienstleistern auch detaillierte Informationen zur Umsetzung des Trennungsgebotes umfasst) und
  • regelmäßige Kontrollen seiner IT-Sicherheit ermöglichen.
  • schließlich gilt für die Verarbeitung von sensiblen Daten (ob es sich dabei nun nach US-Standard um HIPAA-Daten handelt oder nach deutschem Verständnis um Gesundheitsdaten bzw. Daten, die der ärztlichen Schweigepflicht unterliegen, sei zum Zweck der vereinfachten Darstellung einmal gleichgestellt) noch die Anforderung, dass auch die Administratoren des Dienstleisters keinen Zugriff auf die Daten haben dürfen.

Damit komme ich zum Kern der Frage: Erfüllt Google all das? Um es vorweg zu nehmen: Es sieht tatsächlich so aus!

Googles Whitepaper

Beginnen wir mit dem Dokument, welches fraglos Geschäftsführer und IT-Verantwortliche in den Unterneh­men von Google als „Grundlage“ bekommen zu allen Fragen bezüglich Datenschutz, IT-Sicherheit und Compliance: „Google for Work: Whitepaper zum Thema Sicherheit und Compliance“(englische Version). In diesem Dokument fasst Google sämtliche Informationen zu den o.g. Themen zusammen, nämlich

  • Operative Sicherheit
  • IT-Sicherheit
  • Zertifizierungen
  • Datennutzung (Datenzugriff und Einschränkungen)
  • Erfüllung aufsichtsrechtlicher Anforderungen sowie
  • Hinweise für Nutzer und Administratoren zur Erhöhung der IT-Sicherheit.

Wenn man nun die jeweiligen Inhalte gegen die o.g. Anforderungen der Aufsichtsbehörden prüft, entsteht auf den ersten Blick tatsächlich ein positiver Eindruck (zugegeben, Skepsis bleibt, dazu gleich mehr). Dass Google Safe-Harbor-zertifiziert ist (übrigens auch nach dem Abkommen zwischen der Schweiz und den USA), ist genauso bekannt wie – aus Behördensicht, vgl. oben – nichtssagend. Auch wenn dem Unternehmen damit immer noch formell auf bilateraler Ebene ein der EU vergleichbares Datenschutzniveau unterstellt werden darf.

Als zusätzlichen Service für europäische Kunden bietet Google aber darüber hinaus auch den Abschluss der EU-Standard-Vertragsklauseln an (Whitepaper, S. 15). So weit, so gut. Allerdings wäre damit, wenn man der o.g. Auflistung der Anforderungen folgt, erst ein Spiegelstrich „abgearbeitet“. Wenden wir uns also den weiteren zu…

Was die eingesetzten Subunternehmen betrifft, so gibt Google hier bereitwillig Auskunft. Und überraschender Weise handelt es sich, z.B. im Gegensatz zu Microsoft, um eine recht kurze Liste – so kurz, dass man die beteiligten Unternehmen hier nennen kann, ohne Sie als Leser zu sehr zu strapazieren: Es sind die

  • EPAM Systems Inc,
  • Fujitsu Communications Services Limited,
  • Sellbytel Group GmBH,
  • Sutherland Global Services Inc.,
  • Telus International (U.S.) Corp,
  • Telus Communications Company und
  • Voxpro Limited.

Um nun die weitere Anforderung bzgl. der Verpflichtung der Subunternehmer auf Einhaltung der dem Hauptauftragnehmer auferlegten Datenschutzstandards prüfen zu können, bedarf es der Einsicht in das von Google als „Zusatz zur Datenverarbeitung“ benannte Dokument. Den Abschluss dieses Zusatzes bietet Google im Whitepaper über die EU-Standardvertragsklauseln hinaus an. Ich muss zugeben, dass mich das überrascht hat! Bei dem Zusatz handelt es sich letztlich um einen (mit 10 Seiten recht ausführlichen) Vertrag zur Auftragsdatenverarbeitung („Data Processing Admendment to Google Apps Agreement“), der zusätzlich alle die Regelungen enthält, die die EU-Standard-Vertragsklauseln nicht beinhalten, aber zur „Vervollständigung“ der rechtlichen Zulässigkeit – zumindest nach der letztlich relevanten Einschätzung der Aufsichtsbehörden – erforderlich sind. Zum Umgang mit den Subauftragnehmern findet sich in Ziff. 11 des Dokuments folgende Regelung:

11.2. Processing Restrictions:

Google will ensure that Subprocessors only access and use Customer Data in accordance with the terms of the Agreement and that they are bound by written obligations (i) that require them to provide at least the level of data protection required by the Safe Harbor Privacy Principles; and (ii) if Customer (…) has entered into Model Contract Clauses with Google Inc. that impose the level of data protection required by the Model Contract Clauses.     

Ergänzend dazu findet sich in Ziff. 5 des Anhangs 2 zur IT-Sicherheit (Subprocessor Security) die Aussage, dass alle Subunternehmer vor Aufnahme der Tätigkeit für Google einem Audit unterzogen werden um sicherzustellen, dass ihre IT-Sicherheitsmaßnahmen dem Risiko des Umfangs ihrer Zugriffsrechte und Dienstleistungen entsprechen. Zum Thema Subauftragnehmer dürften damit eigentliche keine (rechtlichen) Wünsche mehr offen bleiben.

IT-Sicherheit

Zum Thema IT-Sicherheit – bei Google selbst – zeigt sich das Unternehmen im Rahmen der Möglichkeiten (detaillierte Informationen darüber, wie Zugangscodes generiert bzw. verwaltet werden und wie dezidiert z.B. die Authentisierungsmechanismen sind, werden natürlich nicht in öffentlichen Dokumenten mitgeteilt) ebenfalls transparent. Der Anhang 2 zum Auftragsdatenverarbeitungsvertrag enthält ausführliche Angaben zur Infrastruktur der Rechenzentren, zu Netzwerk und sicheren Übertragungswegen, zu Zugangs-, Zutritts- und Zugriffskontrolle sowie zur (logischen) Trennung von Kundendaten(-banken). Das Whitepaper gibt den Kunden darüber hinaus ausführliche Informationen über weitere Maßnahmen zur kontinuierlichen Sicherstellung höchstmöglicher IT-Sicherheit, so z.B. die Information, dass allein das Sicherheitsteam 500 Personen umfasst, es ein spezielles Datenschutzteam gibt, welches unabhängig von den Entwicklern Google Entwicklungen vor und nach der Produkteinführung auditiert und Best-Practice-Lösungen entwickelt. Als „hard fact“ jedoch interessanter und im Hinblick auf die formellen Anforderungen an eine rechtskonforme Auftragsdatenverarbeitung noch wichtiger ist allerdings die Tatsache, dass das Unternehmen Zertifizierungen nach ISO 27001, SOC 2 und 3 sowie (in diesem Zusammenhang allerdings weniger relevant) FISMA (U.S. Federal Information Security Modernization Act) bzw. FedRAMP (Federal Risk and Authorization Management Program, www.fedramp.gov) vorweisen kann.

Hinsichtlich des Themas Kontrolle der t-o Maßnahmen sagt der Zusatz zur Datenverarbeitung  ergänzend in Ziff. 6.4 aus, dass sich das Kontrollrecht des Kunden im regelmäßigen Nachweis der o.g. Zertifizierungen durch Google erschöpft, der Kunde also keine eigenen Auditierungen durchführen kann. Wenn man also nach dem Haar in der Suppe sucht, würde man hier fündig – allerdings, so zeigen die Vergleiche zu den Regelungen von Microsoft (MS 365, Azure etc.) ist diese Variante des Nachweises von angemessener IT-Sicherheit Standard bei den großen Providern und wohl in der Praxis auch kaum anders machbar.

Gesundheitsdaten

Worauf ergänzend und erschöpfend noch zum Schluss hingewiesen werden sollte, ist die Tatsache, dass Google seinen Kunden auch die Möglichkeit bietet, geschützte Gesundheitsdaten – Protected Health Information (PHI)– gesondert zu verarbeiten, erforderlich hierfür ist der zusätzliche Abschluss des sog. Business Associate Agreement (BAA, https://support.google.com/a/answer/3407054?hl=en). Dieses sieht vor, dass PHI-Daten (deren Schutzbedarf hier der Einfachheit halber mit Daten, die der ärztlichen Schweigepflicht unterliegen, gleichgesetzt wird) nur in bestimmten „Core Services“ gespeichert werden dürfen, auf die (Google-) Administratoren keinen Zugriff haben. Zu diesen „Core Services“ zählen GMail, Google Drive (inkl. Docs, Sheets etc.), Calendar, Google Apps Vault – keine „Core Services“ sind Hangouts, Contacts und Groups. Wie diese Services im Detail für geschützte Gesundheitsdaten zu nutzen sind, wird in einem weiteren ausführlichen Dokument erläutert, sollte aber Gegenstand einer separaten datenschutzrechtlichen Betrachtung sein.

Fazit

Vielleicht bin ich ja nicht der Einzige, der von der Bereitschaft Googles überrascht ist, den Forderungen deutscher bzw. europäischer Datenschützer in dem aufgezeigten weiten Umfang nachzukommen. In der Beratungspraxis dürfte es daher zukünftig schwer fallen, Unternehmen noch von der Nutzung von Google for Work abzuraten, wenn sämtliche o.g. Dokumente bilateral mit Google abgeschlossen werden. Zwar dürfte Microsoft gegenüber Google im Hinblick auf das (nicht mit Regelungen greifbare) Vertrauen noch immer einen Vorsprung bei Unternehmen haben, die partout „in die Cloud“ wollen – dieser Vorsprung dürfte nun aber zunehmend kleiner werden.