Um es mit Thomas Magnum zu sagen: „Ich weiß, was Sie jetzt denken, und Sie haben recht“ – Nun, vielleicht auch nicht. Auch uns fiel es zunächst schwer, sich in der Beratungspraxis diesem Thema ohne Vorurteile zu nähern. Wer, diese Frage sei aus Datenschutz-Sicht erlaubt, denkt bei den Begriffen Google und Datenschutz nicht an Feuer und Wasser? Aber ist das immer noch zutreffend? Über den privaten Gebrauch der Suchmaschine, von Android und vielen Google Apps für die private Nutzung, über geräteübergreifendes (Universal-)Tracking, Profilbildung und andere datenschutzrechtlich fragwürdige Techniken wollen wir an dieser Stelle ausnahmsweise mal nicht berichten, sondern über die Frage, ob die Nutzung von Google Diensten für Unternehmenszwecke (Google Apps for Work, Google Drive for Work, Google Apps Unlimited etc.) tatsächlich datenschutzkonform betrieben werden kann.
Dienste via Cloud-Computing
Dass Google diese Dienste als „lupenreines“ Cloud-Computing anbietet, muss nicht mehr langatmig thematisiert werden. Auch die hohen Anforderungen der Landesdatenschutzbeauftragten in der Orientierungshilfe Cloud-Computing (z.B. hier) seien hier für die fachkundige Leserschaft im Großen und Ganzen vorausgesetzt, bzw. nachfolgend nur noch kurz stichwortartig zusammengefasst:
- der Auftragsdatenverarbeiter (außerhalb der EU) muss SafeHarbor-zertifiziert sein oder die EU-Standard-Vertragsklauseln mit der verantwortlichen Stelle schließen (wenngleich SafeHarbor inhaltlich bekanntermaßen von den Aufsichtsbehörden – zu Recht (!) – als nicht ausreichendes Instrument gesehen wird, um ein angemessenes Datenschutzniveau im Drittland sicherzustellen)
- über die EU-Standardvertragsklauseln hinaus muss der Auftragsdatenverarbeiter detaillierte Angaben über die eingesetzten Subunternehmer machen, dazu gehört
- die Namen und Standorte der Subunternehmer zu nennen sowie
- die Subunternehmer auf denselben Datenschutz-Standard verpflichten, wie den Hauptauftragnehmer
- ferner muss der Auftragnehmer substantiierte Angaben zu seinen technisch-organisatorischen Sicherheitsmaßnahmen machen (die vor allem bei Cloud-Dienstleistern auch detaillierte Informationen zur Umsetzung des Trennungsgebotes umfasst) und
- regelmäßige Kontrollen seiner IT-Sicherheit ermöglichen.
- schließlich gilt für die Verarbeitung von sensiblen Daten (ob es sich dabei nun nach US-Standard um HIPAA-Daten handelt oder nach deutschem Verständnis um Gesundheitsdaten bzw. Daten, die der ärztlichen Schweigepflicht unterliegen, sei zum Zweck der vereinfachten Darstellung einmal gleichgestellt) noch die Anforderung, dass auch die Administratoren des Dienstleisters keinen Zugriff auf die Daten haben dürfen.
Damit komme ich zum Kern der Frage: Erfüllt Google all das? Um es vorweg zu nehmen: Es sieht tatsächlich so aus!
Googles Whitepaper
Beginnen wir mit dem Dokument, welches fraglos Geschäftsführer und IT-Verantwortliche in den Unternehmen von Google als „Grundlage“ bekommen zu allen Fragen bezüglich Datenschutz, IT-Sicherheit und Compliance: „Google for Work: Whitepaper zum Thema Sicherheit und Compliance“(englische Version). In diesem Dokument fasst Google sämtliche Informationen zu den o.g. Themen zusammen, nämlich
- Operative Sicherheit
- IT-Sicherheit
- Zertifizierungen
- Datennutzung (Datenzugriff und Einschränkungen)
- Erfüllung aufsichtsrechtlicher Anforderungen sowie
- Hinweise für Nutzer und Administratoren zur Erhöhung der IT-Sicherheit.
Wenn man nun die jeweiligen Inhalte gegen die o.g. Anforderungen der Aufsichtsbehörden prüft, entsteht auf den ersten Blick tatsächlich ein positiver Eindruck (zugegeben, Skepsis bleibt, dazu gleich mehr). Dass Google Safe-Harbor-zertifiziert ist (übrigens auch nach dem Abkommen zwischen der Schweiz und den USA), ist genauso bekannt wie – aus Behördensicht, vgl. oben – nichtssagend. Auch wenn dem Unternehmen damit immer noch formell auf bilateraler Ebene ein der EU vergleichbares Datenschutzniveau unterstellt werden darf.
Als zusätzlichen Service für europäische Kunden bietet Google aber darüber hinaus auch den Abschluss der EU-Standard-Vertragsklauseln an (Whitepaper, S. 15). So weit, so gut. Allerdings wäre damit, wenn man der o.g. Auflistung der Anforderungen folgt, erst ein Spiegelstrich „abgearbeitet“. Wenden wir uns also den weiteren zu…
Was die eingesetzten Subunternehmen betrifft, so gibt Google hier bereitwillig Auskunft. Und überraschender Weise handelt es sich, z.B. im Gegensatz zu Microsoft, um eine recht kurze Liste – so kurz, dass man die beteiligten Unternehmen hier nennen kann, ohne Sie als Leser zu sehr zu strapazieren: Es sind die
- EPAM Systems Inc,
- Fujitsu Communications Services Limited,
- Sellbytel Group GmBH,
- Sutherland Global Services Inc.,
- Telus International (U.S.) Corp,
- Telus Communications Company und
- Voxpro Limited.
Um nun die weitere Anforderung bzgl. der Verpflichtung der Subunternehmer auf Einhaltung der dem Hauptauftragnehmer auferlegten Datenschutzstandards prüfen zu können, bedarf es der Einsicht in das von Google als „Zusatz zur Datenverarbeitung“ benannte Dokument. Den Abschluss dieses Zusatzes bietet Google im Whitepaper über die EU-Standardvertragsklauseln hinaus an. Ich muss zugeben, dass mich das überrascht hat! Bei dem Zusatz handelt es sich letztlich um einen (mit 10 Seiten recht ausführlichen) Vertrag zur Auftragsdatenverarbeitung („Data Processing Admendment to Google Apps Agreement“), der zusätzlich alle die Regelungen enthält, die die EU-Standard-Vertragsklauseln nicht beinhalten, aber zur „Vervollständigung“ der rechtlichen Zulässigkeit – zumindest nach der letztlich relevanten Einschätzung der Aufsichtsbehörden – erforderlich sind. Zum Umgang mit den Subauftragnehmern findet sich in Ziff. 11 des Dokuments folgende Regelung:
11.2. Processing Restrictions:
Google will ensure that Subprocessors only access and use Customer Data in accordance with the terms of the Agreement and that they are bound by written obligations (i) that require them to provide at least the level of data protection required by the Safe Harbor Privacy Principles; and (ii) if Customer (…) has entered into Model Contract Clauses with Google Inc. that impose the level of data protection required by the Model Contract Clauses.
Ergänzend dazu findet sich in Ziff. 5 des Anhangs 2 zur IT-Sicherheit (Subprocessor Security) die Aussage, dass alle Subunternehmer vor Aufnahme der Tätigkeit für Google einem Audit unterzogen werden um sicherzustellen, dass ihre IT-Sicherheitsmaßnahmen dem Risiko des Umfangs ihrer Zugriffsrechte und Dienstleistungen entsprechen. Zum Thema Subauftragnehmer dürften damit eigentliche keine (rechtlichen) Wünsche mehr offen bleiben.
IT-Sicherheit
Zum Thema IT-Sicherheit – bei Google selbst – zeigt sich das Unternehmen im Rahmen der Möglichkeiten (detaillierte Informationen darüber, wie Zugangscodes generiert bzw. verwaltet werden und wie dezidiert z.B. die Authentisierungsmechanismen sind, werden natürlich nicht in öffentlichen Dokumenten mitgeteilt) ebenfalls transparent. Der Anhang 2 zum Auftragsdatenverarbeitungsvertrag enthält ausführliche Angaben zur Infrastruktur der Rechenzentren, zu Netzwerk und sicheren Übertragungswegen, zu Zugangs-, Zutritts- und Zugriffskontrolle sowie zur (logischen) Trennung von Kundendaten(-banken). Das Whitepaper gibt den Kunden darüber hinaus ausführliche Informationen über weitere Maßnahmen zur kontinuierlichen Sicherstellung höchstmöglicher IT-Sicherheit, so z.B. die Information, dass allein das Sicherheitsteam 500 Personen umfasst, es ein spezielles Datenschutzteam gibt, welches unabhängig von den Entwicklern Google Entwicklungen vor und nach der Produkteinführung auditiert und Best-Practice-Lösungen entwickelt. Als „hard fact“ jedoch interessanter und im Hinblick auf die formellen Anforderungen an eine rechtskonforme Auftragsdatenverarbeitung noch wichtiger ist allerdings die Tatsache, dass das Unternehmen Zertifizierungen nach ISO 27001, SOC 2 und 3 sowie (in diesem Zusammenhang allerdings weniger relevant) FISMA (U.S. Federal Information Security Modernization Act) bzw. FedRAMP (Federal Risk and Authorization Management Program, www.fedramp.gov) vorweisen kann.
Hinsichtlich des Themas Kontrolle der t-o Maßnahmen sagt der Zusatz zur Datenverarbeitung ergänzend in Ziff. 6.4 aus, dass sich das Kontrollrecht des Kunden im regelmäßigen Nachweis der o.g. Zertifizierungen durch Google erschöpft, der Kunde also keine eigenen Auditierungen durchführen kann. Wenn man also nach dem Haar in der Suppe sucht, würde man hier fündig – allerdings, so zeigen die Vergleiche zu den Regelungen von Microsoft (MS 365, Azure etc.) ist diese Variante des Nachweises von angemessener IT-Sicherheit Standard bei den großen Providern und wohl in der Praxis auch kaum anders machbar.
Gesundheitsdaten
Worauf ergänzend und erschöpfend noch zum Schluss hingewiesen werden sollte, ist die Tatsache, dass Google seinen Kunden auch die Möglichkeit bietet, geschützte Gesundheitsdaten – Protected Health Information (PHI)– gesondert zu verarbeiten, erforderlich hierfür ist der zusätzliche Abschluss des sog. Business Associate Agreement (BAA, https://support.google.com/a/answer/3407054?hl=en). Dieses sieht vor, dass PHI-Daten (deren Schutzbedarf hier der Einfachheit halber mit Daten, die der ärztlichen Schweigepflicht unterliegen, gleichgesetzt wird) nur in bestimmten „Core Services“ gespeichert werden dürfen, auf die (Google-) Administratoren keinen Zugriff haben. Zu diesen „Core Services“ zählen GMail, Google Drive (inkl. Docs, Sheets etc.), Calendar, Google Apps Vault – keine „Core Services“ sind Hangouts, Contacts und Groups. Wie diese Services im Detail für geschützte Gesundheitsdaten zu nutzen sind, wird in einem weiteren ausführlichen Dokument erläutert, sollte aber Gegenstand einer separaten datenschutzrechtlichen Betrachtung sein.
Fazit
Vielleicht bin ich ja nicht der Einzige, der von der Bereitschaft Googles überrascht ist, den Forderungen deutscher bzw. europäischer Datenschützer in dem aufgezeigten weiten Umfang nachzukommen. In der Beratungspraxis dürfte es daher zukünftig schwer fallen, Unternehmen noch von der Nutzung von Google for Work abzuraten, wenn sämtliche o.g. Dokumente bilateral mit Google abgeschlossen werden. Zwar dürfte Microsoft gegenüber Google im Hinblick auf das (nicht mit Regelungen greifbare) Vertrauen noch immer einen Vorsprung bei Unternehmen haben, die partout „in die Cloud“ wollen – dieser Vorsprung dürfte nun aber zunehmend kleiner werden.
Thomas
15. Februar 2018 @ 14:48
Zur Frage: Macht es Sinn einen Unternehmensaccount nur aufgrund der Datensicherheit anzumelden und dafür zu bezahlen? Google AGBs sind beim kostenlosen Konto wohl nicht fürs Unternehmen geeignet, da kein Vertrag abgeschlossen wird § 11 Abs. Auch drücken die sich vor Schadenersatz, die DSGVO sieht es wohl anders 😉
Verwendung unserer Dienste in Unternehmen (kostenlos, Google Drive)
Sollten Sie unsere Dienste für ein Unternehmen nutzen, erklären Sie sich für dieses Unternehmen rechtsverbindlich mit der Geltung dieser Nutzungsbedingungen einverstanden. Das Unternehmen hält Google und die mit Google verbundenen Unternehmen sowie Angestellte, Vertreter und Mitarbeiter schadlos und stellt sie von Gerichtsverfahren oder Ansprüchen frei, die im Zusammenhang mit der Verwendung der Dienste oder dem Verstoß gegen diese Nutzungsbedingungen entstehen, einschließlich aller Ansprüche und Kosten aufgrund von Klagen, Verlusten, Schäden, Gerichtsverfahren und -urteilen sowie Gerichts- und Anwaltskosten.
Oliver Stutz
16. Februar 2018 @ 16:12
Ohne jetzt sämtliche AGB von Google durchgeflöht zu haben, würde ich in jedem Fall die „Unternehmensvariante“ zu wählen. Soweit ich weiß, besteht ein weiterer Unterschied, neben AGB und Datensicherheit auch darin, dass in der Unternehmensvariante die Emails (soweit man diese Funktionalität nutzt) nicht automatisch nach Stichwörtern gescannt werden. Im Hinblick auf den „alten“ § 11 BDSG lässt die DSGVO jetzt ja auch den elektronisch geschlossen AD-Vertrag zu.. so dass das Vertragsargument ggfls. zukünftig nicht mehr ins Gewicht fällt.
Sascha Hommel
10. Februar 2017 @ 12:10
Vielen Dank für den aufschlussreichen Beitrag.
Nach einer kurzen Recherche konnte ich leider keine befriedigende Antwort zu folgender Frage finden:
Gibt es einen einen tatsächlichen Unterschied was die Datensicherheit in der Google-Drive angeht, zwischen der bezahlten und der kostenlosen Version?
Ich arbeite in einer kleinen Firma und uns reichen die Funktionen der kostenlosen Version völlig aus. Macht es Sinn einen Unternehmensaccount nur aufgrund der Datensicherheit anzumelden und dafür zu bezahlen?
Technikinteressierter
8. Dezember 2017 @ 10:17
Das würde mich auch interessieren. Entsprechen die kostenlosen Google-Dienste den EU-Standards für Datenschutz?
Oliver Stutz
11. Dezember 2017 @ 10:13
Sehr geehrter Leser,
auch ich musste kurz recherchieren. Google verschlüsselt auf Google Drive – Stand 2017, lt. https://trusted.de/google-drive-test – die Dateien mit einem 128Bit Blockchiffre. Im entsprechenden Beitrag wird hierzu erwähnt, dass Microsoft und andere „die 256Bit-Variante“ nutzen würden. Dies suggeriert auf den ersten Blick eine „höhere“ Sicherheit. Wenn wir uns allerdings an den Kritieren des BSI zum „Stand der Technik“ orientieren, dann findet sich in der aktuellen BSI-TR 02102-1 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf;jsessionid=E3F986A3B7CE9ED6159832EC49B54E9A.2_cid341?__blob=publicationFile&v=4) unter Ziff. 2.1 (S. 23) noch immer die Empfehlung, dass auch AES 128 eine noch sichere Verschlüsselungsmethode ist. Das BSI veröffentlicht in der Regel jährlich neue Empfehlungen, daher kann es sein, dass dies im nächsten Jahr anders aussieht. Zurzeit spricht aber vor diesem Hintergrund nichts gegen die derzeitige Verschlüsselungstechnik.
Florian
19. Oktober 2016 @ 13:38
Soweit ich es finden konnte, ermöglicht Google für Google Apps for Business/Education den Abschluss der Standardvertragsklauseln und der ADV-Vereinbarung nur über das setzten eines Häkchens im Admin-Bereich des GAfB/E Accounts. Ist das überhaupt eine rechtlich ausreichende Form für ADV oder Standardvertragsklauseln?
Das ist weder unveränderlich noch unterschrieben oder digital signiert wie bei Microsoft. Google könnte den Vertragstext einseitig ändern, ohne dass ich die Möglichkeit hätte Kenntnis zu nehmen und ich habe auch keine belastbare oder unterschriebene Vertragsausfertigung von Google. Auch der Stand der technischen und organisatorischen Maßnahmen (TOMs) ist nicht belastbar festgelegt. Ich kann mir den Text aus dem Admin-Bereich zwar ausdrucken, aber das ist wohl auch kaum eine genügende Vertragsform.
Kann ich also überhaupt wirksam Standardvertragsklauseln und ADV mit Google für Google Appls vereinbaren? Auch für das Privacy Shield benötige ich ja eine belastbare Garantie der TOMs.
Oliver Stutz
21. Oktober 2016 @ 10:13
Ja, das ist richtig – diese Form würde zum einen den Strengbeweisregelungen der ZPO nicht genügen, zum anderen sieht tatsächlich auch § 11 Abs. 2 BDSG für die Wirksamkeit der Auftragsdatenverarbeitung die Schriftlichkeit vor. Dies gilt auch für die technisch-organisatorischen Sicherheitsmaßnahmen. Microsoft ist in diesem Bereich in der Tat deutlich besser aufgestellt.
Bastian Keil
10. Januar 2018 @ 8:17
Vielen Dank für diesen wirklich guten Beitrag.
Ihre Antwort auf diese Frage führt Ihre Kernaussage und Ihr Fazit scheinbar wieder in eine völlig andere Richtung? Theoretisch mögen die Google Dienste ds-konform sein, aber wenn ich aufgrund der fehlenden Schriftlichkeit keine wirksame ADV habe dann doch nicht nutzbar? Oder habe ich hier etwas falsch verstanden?
Oliver Stutz
10. Januar 2018 @ 9:19
Guten Tag, mittlerweile sieht Art. 28 Abs. 9 DSGVO für Verträge zur Auftragsverarbeitung ja auch vor, dass diese in einem elektronischen Format vorliegen können – insoweit eine Änderung gegenüber der bisherigen engen Regelung des BDSG. D.h. spätestens ab Mai 2018 ist mit dem Inkrafttreten der DSGVO auch diese „Hürde“ beseitigt.
Tom
13. Juni 2016 @ 13:35
Wie sieht es denn da mit Google Analytics aus? Das darf ich ja auch nicht mehr verwenden. Eine von Google gebotene Möglichkeit auf EU Standardvertragsklauseln umzusteigen habe ich bisher nirgends entdeckt. Wie also schließe ich einen derartigen Vertrag mit Google um Universal Analytics weiterhin nutzen zu können?
Oliver Stutz
13. Juni 2016 @ 13:55
Vielen Dank für die zurzeit in der Tat sehr aktuelle Frage. Tatsächlich schweben die Nutzer v. Google Analytics seit dem Wegfall von Safe Harbor in der Luft. Der Hamburgische Datenschutzbeauftragte hat dazu gerade kurz ein Zwischenstatement veröffentlicht:
https://www.datenschutz-hamburg.de/news/detail/article/google-analytics-hinweise-fuer-webseitenbetreiber-in-hamburg.html
Leider können wir dazu auch noch nichts Genaueres bzw. Belastbares sagen als das, was in dem o.g. Statement zum Ausdruck gebracht wird. Unbefriedigend… klar.
kollaborateure.com |
30. Oktober 2015 @ 22:51
[…] Googles Cloudlösungen gibt. Auch schon vor der neuerlichen Zertifizierung hatten Experten wie Oliver Stutz im Blog von datenschutz-notizen.de aus deutscher datenschutzrechtlicher Sicht geschildert, warum sie das Produkt in Deutschland für […]
Schlomo
17. Oktober 2015 @ 20:28
Ändert sich an der Betrachtung etwas durch das EuGH Urteil?
Oliver Stutz
19. Oktober 2015 @ 11:40
Naja, das hängt davon ab, wie lange die EU-Standard-Vertragsklauseln noch von den Aufsichtsbehörden als wirksames Instrument angesehen werden: Google bietet diese ja im Rahmen der vertraglichen Unterlagen mit an, d.h. formal wirskam kann man die Dienstleistungen von Google noch immer – trotz des Todes von Safe Harbor – in Anspruch nehmen, wenn man diese mit abschließt. Gerade am 16.10. hat die Art. 29-Gruppe der EU-Datenschützer noch bestätigt, dass die Klauseln wirksam sind. Es bleibt jetzt allerdings genau zu beobachten, wie sich das entwickelt und wie sich (irgendwann mal) die deutschen Aufsichtsbehörden positionieren.
German lawyer Oliver Stutz proves Google Apps for Work to be completely legal in Germany
2. Oktober 2015 @ 0:22
[…] article originally appeared on the German blog datenschutz notizen (original in German). The author, Oliver Stutz, is an in-house lawyer at datenschutz nord, a German data protection and […]
Google Apps für die Unternehmensdatenverarbeitung – im Ernst?? Gastbeitrag von Oliver Stutz
20. August 2015 @ 12:52
[…] Beitrag ist ursprünglich im Blog datenschutz notizen erschienen (Link zum Original). Herzlichen Dank an Oliver Stutz, dass wir ihn auch hier in unserem Blog veröffentlichen […]
Rico Seiferth
4. August 2015 @ 17:58
Einen nicht ganz uneigennützigen Dank an den Autor. Als Google Partner frage ich mich schon länger, wann es in Deutschland soweit sein wird, dass in diesem Thema mehr Fakten (und Zertifikate) zählen und weniger das eigene Bauchgefühl.
Noch eine Anmerkung an den Autor: Im Link zur Googles Seite, in dem die eingesetzten Subunternehmen aufgelistet werden, hat sich ein Leerzeichen eingeschlichen, so dass man eine Fehlermeldung erhält. Korrekt muss der Link wie folgt aussehen: https://www.google.com/intx/en/work/apps/terms/subprocessors.html