Google vertrauen ist seit spätestens 2013 kritisch.
Aber wenn jemand Gmail als Google Workspace (ehemals G Suite), es heißt teils ab dem Tarif „Business Standard“, verwendet und Serverstandort Europa wählt, sein Haken bei Auftragsverarbeitungsvertrag macht, dann sei man mit Gmail DSGVO-konform unterwegs.
Ist das so einfach? Was wenn der Nutzende den Haken bei z.B. Serverstandort EU und oder AV-Vertrag vergessen hat?
Wie sieht das alles rechtlich aus?
Bei NOYB findet sich nur etwas zum Thema Gmail und Spam: https://noyb.eu/de/gmail-erstellt-spam-e-mails-trotz-eugh-urteil
Die Antwort lautet: Google!
So, wie man den Laden kennt, ist da nichts einfach und Google scannt ja trotzdem weiterhin E-Mails, um Kalendereinträge anzulegen usw… Zudem traue ich auch der DSGVO nicht im geringsten, die bedeutet nur, das die EU gerne alle Daten hätte und diese nicht vorab an den Ami ausgeliefert werden. Ist das Gleiche wie bei Google, Schutz und Sicherheit heucheln, aber die größte Datenkrake sein.
Danke für die Antwort.
Aber das von dir angesprochene Thema wollte ich mit Punkt 1) und Link zu Kuketz-Blog als beantwortet sehen.
Also die Frage ist, kann man Gmail DSGVO-konform nutzen, in dem man einfach Google Workspace aboniert und zwei Haken in den Settings macht (Serverstandort EU und AV-Vertrag)?
Oder gibt es Beschlüsse, Urteile etc. wo jemand damit auf die Nase gefallen ist?
Danke.
Business und „Haken vergessen“ heißt, dass das Unternehmen seine Sorgfaltspflicht nicht erledigt hat. Rechtlich eindeutig.
Ein AV-Vertrag geht einher, den externen Dienstleister, hier Google, auch zu prüfen, im besten Fall vor Ort. Mindestens deren technisch-organisatorischen Maßnahmen, die schriftlich am AV-Vertrag angehängt sein müssen. Einfach unterschreiben langt nicht. Vor allem nicht, wenn man Abläufe ahnt wie z.B. „die Lesen meine E-Mails“.
Eigentlich stellt der Auftraggeber die AVV, es wird aber gerne die Vorlage von den Auftragnehmern übernommen. Die muss der Auftraggeber aber exakt prüfen mit seinen Vorgaben.
Gibt es von Google als Anhang zum AV-Vertrag die „technisch-organisatorischen Maßnahmen“, die schriftlich?
Hat das jemand gemacht, den externen Dienstleister, hier Google, auch zu prüfen, im besten Fall vor Ort.
Hat dann jemand mal einen Dienstleister, der Google Workspace verwendet, zur Rechenschaft gezogen? Wenn mit „einfach unterschreiben nicht ausreicht. Vor allem nicht, wenn man Abläufe ahnt wie z.B. „die Lesen meine E-Mails“.“
Zu 3) Ich ahne es, es liegt auch daran, dass Datenschutzproblem „totgeschwiegen werden“, siehe NOYB:
Ein schlechtes Beispiel. Noch schlimmer macht das Ganze, dass gerade die Irische Datenschutzkommission (DPC) – also die Aufsichtsbehörde für Google und Meta – zu den 20 Datenschutzbehörden gehört, die noch keinen Finger gerührt haben. Alle sechs noyb-Beschwerden, die bei der DPC eingereicht wurden, sind weiterhin anhängig. Alleine ist die Behörde damit jedoch nicht. Das Gleiche gilt unter anderem für die belgische, niederländische, griechische, polnische, slowakische und tschechische Datenschutzbehörde. Eine vollständige Analyse wurde eingangs verlinkt https://noyb.eu/de/23-years-illegal-data-transfers-due-inactive-dpas-and-new-eu-us-deals
Gibt es dazu Fälle, oder wie läuft das im realen Geschäftsleben? Also ein Kunde schaut sich den AV-Vertrag vom Dienstleister an, der diesen mit z.B. Google (für Produkt „Google Workspace“) abgeschlossen hat, an. Nun sagt der Kunde, ja halt, was ist das für ein AV-Vertrag zwischen meinem Dienstleister und z.B. Google, der ist an vielen Stellen gar nicht DSGVO-Konform! Das sieht nur auf dem Papier schön aus. Gibt es das?
Google ist auch ein Dienstleister. Du schreibst von zwei Dienstleistern. In deinem Fall ist Google ein Unterauftragnehmer. Im AVV sollte geklärt sein, wie der direkte Auftragnehmer mit möglichen Unterauftragnehmern umgehen darf. In der Regel will man als AuftragGEBER vorab informiert werden, ggf. darf der Auftragnehmer selbst abschließen oder eben nicht vor Genehmigung durch den Auftraggeber.
Der AuftragGEBER ist verantwortlich, immer, auch über seine Auftragnehmer. Man schließt keine AVV und liest sie dann, was da an Unterauftragnehmern so enthalten ist. Der Auftraggeber muss die gesamte Kette vorab geprüft haben. Dazu gehören auch die TOMS.
Deswegen hat man ja - eigentlich - seine eigene AVV-Vorlage, von der man weiß, was drin steht. Oder eben sein Prüfmuster, wenn externe AVVs angenommen werden; aber gegenprüfen muss man dann diese.
„Technische und organisatorische Maßnahmen (TOMs) sind die nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) vorgeschriebenen Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Jeder Verantwortliche hat die TOMs in seinem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Darüber hinaus muss jeder Verantwortliche TOMs umsetzen, um gemäß Art. 24 DS-GVO sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen gewahrt werden. Der Verantwortliche hat gemäß Art. 25 DS-GVO zudem TOMs zu ergreifen, die geeignet sind, die Datenschutzgrundsätze wie z. B. Datenminimierung umzusetzen. …“ https://de.wikipedia.org/w/index.php?title=Technische_und_organisatorische_Maßnahmen&oldid=237918157
Aber wie läuft das in der Praxis?
Aber wer traut sich dann (bei all der AV, AVV, TOMs…) einen Dienstleister in Anspruch zu nehmen, der als Unterauftragnehmern z.B. Google laufen hat?
Wieso gibt es dazu „nur so viel Schwammiges“ in Netz?
Oder ich habe schlecht recherchiert… Werde auch noch mal neu darangehen.
In der Praxis wird darüber überwiegend nicht weiter nachgedacht. Und wenn gedacht wird, wird das Risiko als gering eingeschätzt; es müsste ja jemand klagen, was du oben ja schon erwähnt hast mit NOYB und deren offenen Beschwerden/Klagen bei der irischen Behörde, die da jahrelang unbeantwortet rumliegen.
Faktisch betrachte ich das als rechtsfreien Raum und das ist politisch ja auch so gewollt.
Praktisch kostet das Google Workspace ja auch reichlich Geld pro Monat, wo man auch reichlich Anbieter innerhalb der EU zu findet; gibt also Alternativen.
Prüfungen kann man pauschal nicht machen, sind individuell durchzuführen; ergo findet man wenig dazu im Web. Es hängt ja stark auch davon ab, was für personenbezogene Daten über Google dann laufen werden, welche Reputation man möchte und welches Risiko man als Unternehmer eingeht (keiner deckt zu 100% alle Compliance ab).
Ich rate Unternehmen zu Google u.a. immer ab und sehe regelmäßig auch keine wirklichen Mehrwert, auf Dauer betrachtet.
Nachtrag: das Kerngeschäft von Google sind Daten, damit einhergehend also die maschinelle Auswertung und industrielle Verwertung. Dieser Dienstleister tut also alles, auch mit neuen Innovationen wie maschinelles Lernen etc. (sog. KI), dieses Kerngeschäft erfolgreich und marktbestimmend zu führen und höchstmögliche Rendite einzufahren. Es wird also immer wieder Änderungen geben, die die personenbezogenen Daten betreffen. Daher empfehle ich regelmäßig, von solch einen Mischkonzern die Finger zu lassen, da die Abhängigkeiten im laufenden Betrieb später ja viel zu hoch sind, da einfach wieder rauszugehen. Das sollte man vorher klar haben und überlegen, ob man diesen Aufwand und die Abhängigkeit aus unternehmerischen Interessen wirklich eingehen will („Ehe bis zum Tod“).
