„Hello Administrator, We are sending you this message because your organization is operating G Suite account XYZ…“ Mit diesen Worten kündigt Google derzeit einen neuen Datenschutzvertrag für seine Software-Sammlung an. Unternehmen, die G Suite bzw. Programme wie Gmail, Google Docs, Google Drive oder Hangouts nutzen, speichern Daten außerhalb der EU in der Cloud. Dennoch müssen sie sicherstellen, dass dabei das EU-Datenschutzrecht eingehalten wird. Mit diesem Beitrag zeigen wir Ihnen, wie die Google-Dienste der G Suite datenschutzkonform genutzt werden können und wo Probleme lauern.

 

 

Mit G Suite (früher: Google Apps for Work) hat Google eine leistungsstarke Software-as-a-Service Groupware im Angebot. Die Nutzung dieser Dienste bringt es mit sich, dass dabei eine Vielzahl personenbezogener Daten verarbeitet werden. Die Daten werden dabei in der Cloud bzw. auf Servern gespeichert, die sich außerhalb der EU und des EWR befinden können. Wenn Sie G Suite nutzen, sind Sie hinsichtlich der verarbeiteten Daten im datenschutzrechtlichen Sinne verantwortlich. Sie müssen also sicherzustellen, dass auch beim ausländischen Anbieter ein Datenschutzniveau gewährleistet wird, das demjenigen in der EU entspricht. US-Anbieter wie Google haben dabei das Problem, dass in den USA aus Sicht der EU-Kommission kein angemessenes Datenschutzniveau besteht. Durch spezielle Abkommen, denen US-Unternehmen beitreten können (EU-US Privacy Shield) oder mit Hilfe spezieller Datenschutzverträge (EU Standardvertragsklauseln bzw. Model Contract Clauses) kann jedoch in einzelnen Unternehmen ein angemessenes Datenschutzniveau hergestellt werden.

Das angemessene Datenschutzniveau ist aber erst die halbe Miete. Bei Cloud-Diensten handelt es sich meist um eine Datenverarbeitung im Auftrag, weshalb Sie mit dem Cloud-Anbieter zusätzlich einen Vertrag zur Auftragsverarbeitung gemäß § 11 BDSG bzw. zukünftig Art. 28 DSGVO schließen müssen.

Die Datenschutzbehörden kontrollieren regelmäßig den Datentransfer europäischer Unternehmen in Staaten außerhalb der EU. Werden Verstöße festgestellt, drohen Bußgelder. Wenn im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) zur Anwendung kommt, können diese bis zu 20.000.000 EUR betragen oder 4% des weltweiten Vorjahresumsatzes – je nachdem was höher ist. Um dieses Risiko bei der Nutzung der G Suite zu minimieren, bietet Google den Abschluss von zwei Datenschutzverträgen an: den „G Suite Model Contract Clauses“ und einem „Data Processing Amendment to G Suite“.

 

G Suite Model Contract Clauses

Schon seit längerer Zeit bietet Google den Abschluss sogenannter G Suite Model Contract Clauses (MCCs) an. Es handelt sich dabei um einen Vertrag auf Basis von EU Standardvertragsklauseln, die von der EU-Kommission zur Verfügung gestellt und von Google für die Nutzung von G Suite ergänzt wurden. Der Abschluss dieser MCCs ist erforderlich, um aus Sicht eines EU-Unternehmens ein angemessenes Datenschutzniveau bei Google herzustellen.

So vereinbaren Sie die Standardvertragsklauseln für G Suite:

  • Melden Sie sich in Ihrem Google Administratorkonto an.
  • Gehen Sie auf den Abschnitt „Unternehmensprofil“ und dann auf „Profil“.
  • Scrollen Sie nach unten zu dem Punkt „Zusätzliche Bedingungen zu Sicherheit und Datenschutz“. Dort finden Sie die „EU Standardvertragsklauseln für G Suite“.
  • Klicken Sie auf „PRÜFEN UND AKZEPTIEREN“.
  • Indem Sie auf „ICH STIMME ZU“ klicken, vereinbaren Sie die Standardvertragsklauseln.

Wir raten jedem Unternehmen, welches G Suite nutzt, die Standardvertragsklauseln zu akzeptieren. Wenn Sie die Standardvertragsklauseln bereits in der Vergangenheit akzeptiert haben, bleiben diese trotz des geänderten DPA (siehe unten) wirksam. Es ist also nicht erforderlich, sie erneut zu akzeptieren.

 

Data Processing Amendment to G Suite and/or Complementary Product Agreement (Version 2.0)

Auch ein Data Processing Amendment (DPA), welches die Rechte und Pflichten zwischen Ihnen als Verantwortlicher für die Datenverarbeitung und Google als Auftragsverarbeiter regelt, bietet Google schon seit geraumer Zeit an. Dieser Vertrag zur Auftragsverarbeitung ist jedoch aufgrund der Datenschutz-Grundverordnung (DSGVO), welche ab dem 25.05.2018 gilt und zahlreiche Änderungen mit sich bringt, anzupassen. Google hat sein DPA angesichts dieser Gesetzesänderungen überarbeitet und unter dem Titel „Data Processing Amendment to G Suite and/or Complementary Product Agreement (Version 2.0)“ neu veröffentlicht.

So vereinbaren Sie den Zusatz zur Datenverarbeitung für G Suite:

  • Melden Sie sich in Ihrem Google Administratorkonto an.
  • Gehen Sie auf den Abschnitt „Unternehmensprofil“ und dann auf „Profil“.
  • Scrollen Sie nach unten zu dem Punkt „Zusätzliche Bedingungen zu Sicherheit und Datenschutz“. Dort finden Sie den „Zusatz zur Datenverarbeitung für die G Suite-Vereinbarung und/oder die Vereinbarung für ergänzende Produkte (z. B. Cloud Identity)“.
  • Klicken Sie auf „PRÜFEN UND AKZEPTIEREN“.
  • Indem Sie auf „ICH STIMME ZU“ klicken, vereinbaren Sie den Zusatz zur Datenverarbeitung.

Wir raten jedem Unternehmen, welches G Suite nutzt, den Zusatz zur Datenverarbeitung zu akzeptieren. Dies gilt auch, wenn Sie das Data Processing Amendment to G Suite bereits in einer älteren Version akzeptiert haben! Die neue Version ist auf die Regelung der DSGVO abgestimmt und daher spätestens ab dem 25.05.2018 erforderlich. Übrigens schadet es nicht, schon vorher die neuen Bestimmungen zu akzeptieren, weil die alte Version bis zum 24.05.2018 gültig bleibt.

 

Alle Datenschutzfragen für G Suite geklärt?

Auch wenn Sie beide Verträge wie beschrieben akzeptieren, müssen Sie mit gewissen Risiken leben:

Zum einen setzt das deutsche Datenschutzrecht bei Verträgen zur Auftragsverarbeitung derzeit noch die Schriftform voraus. Um das Data Processing Amendment formal korrekt zu schließen, müsste der Vertrag also ausgedruckt und von beiden Parteien unterschrieben werden („Tinte auf Papier“). Darauf wird sich Google aber kaum einlassen. Mit der DSGVO entfällt das Schriftformerfordernis, so dass der Vertrag dann auch per Mausklick geschlossen werden kann. Es handelt sich daher um ein temporäres Problem, welches sich ab dem 25.05.2018 in Luft auflöst.

Zum anderen sind die datenschutzrechtlichen Fragen bei der Nutzung von Diensten wie G Suite noch nicht abschließend geklärt. Nachdem der Europäische Gerichtshof (EuGH) im Herbst 2015 das Safe Harbor Datenschutz-Abkommen für Datentransfers in die USA für unwirksam erklärt hatte , stehen auch das Folgeabkommen EU US Privacy Shield und die Standardvertragsklauseln regelmäßig in der Kritik der Datenschützer. Aktuell werden die Standardvertragsklauseln für Datenübermittlungen in die USA vom EuGH geprüft . Sollte das Gericht die Standardvertragsklauseln für US-Datenverarbeiter kippen, müsste die Übermittlung in die USA auf eine andere rechtliche Grundlage gestützt werden. Als Nutzer von G Suite oder anderen US-Clouddiensten sollten Sie die Entwicklung also im Blick behalten und ggf. auf geänderte Rahmenbedingungen reagieren.

Trotzdem ist es ratsam, die beiden Verträge mit Google jetzt abzuschließen.


Verfasser: Sebastian Herting (Rechtsanwalt)