Über eine Anfrage durch Frag den Staat auf der Grundlage des Informationsfreiheitsgesetzes NRW wurde jetzt ein Musterschreiben der LDI NRW mit Stand von September 2021 zur datenschutzrechtlichen Bewertung von Google Workspace veröffentlicht. Das Musterschreiben umfasst insgesamt sieben Seiten und ist als Vorlage für die Beantwortung von Anfragen, „ob nach Auffassung der LDI NRW ein Einsatz von Google (Google Workspaces) datenschutzrechtlich vertretbar ist“ gedacht. Inhaltlich geht es einmal um eine datenschutzrechtliche Bewertung von Google Workspace und außerdem um die von Google angebotenen Vertragsbedingungen.
Die Aufsichtsbehörde stellt im Schreiben zunächst klar, dass sie weder Genehmigungsbehörde noch Zertifizierungsstelle sei und entsprechend auch keine umfassende Prüfung und abschließende Bewertung der Google Workspace-Dienste vornehmen könne. Vielmehr liege ihre Aufgabe bei den aufsichtsbehördlichen Tätigkeiten und der Beratung von Verantwortlichen. Was die Aufsichtsbehörde selbst nicht leisten kann, muss jedoch der Verantwortliche zuwege bringen, wenn auch in anderer Form. Der Verantwortliche muss sicherstellen, dass das von ihm eingesetzte System, hier Google Workspace, im Einklang mit den datenschutzrechtlichen Vorgaben steht. Was damit für den Betroffenen einhergeht, wird im Hauptteil des Dokumentes thematisiert.
Die dabei identifizierten Problembereiche werden im letzten Teil des Musterschreibens kurz zusammengefasst, um damit auch auf die Frage nach einer Bewertung der von Google für Google Workspace angebotenen Vertragsbedingungen einzugehen, ob diese ausreichen oder ob Verantwortliche zusätzliche Vereinbarungen mit Google treffen müssen:
- Google nutzt mit großer Wahrscheinlichkeit Kundendaten zu eigenen Zwecken: Eine solche Verarbeitung würde allerdings nicht mehr unter die von Google angebotene Auftragsverarbeitung fallen.
- Entsprechend ergibt sich die Notwendigkeit einer Vereinbarung gemäß Artikel 26 DS-GVO: Diese wird von Google derzeit jedoch nicht angeboten.
- Es müsste sichergestellt sein, dass Google eine solide Rechtsgrundlage gemäß Artikel 6 DS-GVO für die entsprechenden Verarbeitungen zu eigenen Zwecken hat.
- Laut dem Data Processing Addendum von Google Workspace können Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau stattfinden. Solche Übertragungen sind jedoch nur unter den im Urteil Schrems II festgelegten Bedingungen zulässig.
- Es ist unklar, ob die aktuellen Verträge von Google Workspace die im Schrems II-Urteil festgelegten Anforderungen erfüllen können.
Bewertung
Das Musterschreiben entspricht der bekannten Beratungspraxis der Aufsichtsbehörde NRW und ist vergleichbar zu Aussagen, die es zur Nutzung von Microsoft 365 gibt. Auch wenn seit September 2021 ein und einhalbes Jahr vergangen sind und Google an seinem Vertragswerk gearbeitet hat, um dieses besser an die Vorgaben der DS-GVO anzupassen, dürften sich an den Einschätzungen der LDI NRW zu Google Workspace keine grundlegenden Veränderungen ergeben haben. Beachtenswert ist, dass die Aufsichtsbehörde auch Pseudonymisierung und Verschlüsselung als möglicherweise nicht ausreichende effektive Schutzmaßnahmen im Zusammenhang mit den Standardvertragsklauseln bei einer Nutzung von Google Workspace einschätzt. Die Problematik um die mögliche Verarbeitung von personenbezogenen Daten durch Google zu eigenen Zwecken erinnert sehr an Kritikpunkte der Aufsichtsbehörden zu Microsoft 365, wo diese allerdings eindeutig vorliegen.
Die im Musterschreiben dargestellten Bewertungen zu Google Workspace in Verbindung mit den Anforderungen an den Verantwortlichen sind auch für Schulen von Bedeutung. Das Musterschreiben ist nicht speziell auf Schulen und die Nutzung der Education Version – Google Workspace for Education – ausgelegt. Hier dürfte die Aufsichtsbehörde noch einmal strengere Maßstäbe anlegen, da es um die Daten von Kindern und Jugendlichen geht. Man kann davon ausgehen, dass sich im Falle einer Beschwerde in der Aufforderung zu einer Stellungnahme durch die LDI NRW die im Musterschreiben benannten Problembereiche wiederfinden werden, mit der Bitte darzulegen, wie der/ die Verantwortliche diese datenschutzkonform gelöst hat.
Google Workspace (for Education) ist und bleibt mit Blick auf Datenschutz ein schwieriges Thema. Wie die datenschutzrechtlichen Probleme angegangen werden, ist von Land zu Land höchst unterschiedlich wie der Blick auf die Niederlande und Dänemark zeigt. In den Niederlanden beauftragt man eine detaillierte Untersuchung der Plattform für den schulischen Einsatz und tritt darauf hin in Verhandlungen mit Google, während man in Dänemark nach einer Beschwerde zunächst die Nutzung verbietet, sie nach einer Vereinbarung mit den Beteiligten vorübergehend aufhebt, um dann die von den Verantwortlichen und ihren kommunalen Dienstleistern beigebrachte, sehr umfangreiche Dokumentation über viele Wochen zu prüfen. Zu welchem Schluss die dänische Aufsichtsbehörde kommen wird, ist noch nicht abzuschätzen. Deutschland hat seinen sehr eigenen Weg. Man berät, schiebt die Verantwortung auf die Stellen, welche die Plattform nutzen oder nutzen wollen und reagiert dann, wenn es Beschwerden gibt. Es wäre schön, wenn man wie in den Niederlanden proaktiv und unterstützend handeln würde. Ob die Handreichung zum Abschluss eines Vertrag zur Auftragsverarbeitung mit Microsoft, an welcher die Aufsichtsbehörden gerade arbeiten, hier eine neue Richtung aufsichtsbehördlichen Handelns aufzeigt oder ob diese Handreichung mehr dafür gedacht ist, Verantwortlichen zu zeigen, dass sie keine Möglichkeit haben, einen DS-GVO konformen AVV mit Microsoft abzuschließen, wird sich zeigen.
Detailliertere Darstellung der Inhalte des Musterschreibens
Eine etwas ausführlichere Darstellung der Probleme, welche die Aufsichtsbehörde bei der Nutzung von Google Workspace im Musterschreiben aufführt:
- Im Rahmen seiner Rechenschaftspflichten ist durch den Verantwortlichen sicherzustellen, dass die Rechte der betroffenen Personen geschützt werden. Dazu muss die verantwortliche Stelle die Datenverarbeitungsprozesse prüfen und zu dem Ergebnis kommen, dass keine Datenschutzverstöße vorliegen.
- Nach Einschätzung der Aufsichtsbehörde ist noch unklar, ob Google tatsächlich nur als Auftragsverarbeiter tätig ist, wenn es Google Workspace bereitstellt. Zwar verstehe sich Google laut den Google Workspace Terms of Service als Auftragsverarbeiter, doch es bestünden Zweifel, dass Google Daten nur im Auftrag und auf Weisung des Verantwortlichen verarbeitet, „u.a. weil Google in seiner allgemeinen Datenschutzerklärung darauf verweist, Daten für eine Vielzahl eigener Zwecke einzusetzen (z.B. Verbesserung der Dienste, Werbezwecke etc.).„
- Kommt der Verantwortliche zu dem Schluss, Google agiert ausschließlich als Auftragsverarbeiter gem. Art. 28 DS-GVO, dann muss sichergestellt sein, dass dabei die dafür erforderlichen Voraussetzungen erfüllt sind.
- Es dürfen durch Google nur personenbezogene Daten verarbeitet werden, deren Verarbeitung der Verantwortliche auf eine Rechtsgrundlage gem. Art. 6 DS-GVO stützen kann.
- Google muss hinreichende Garantien dafür bieten, dass personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen hinreichend geschützt sind, und ihre Verarbeitung dadurch im Einklang mit der DS-GVO erfolgt.
- Google darf personenbezogene Daten der Betroffenen nur auf Weisung des Verantwortlichen verarbeiten. Um dieses sicherzustellen, muss ein entsprechender Vertrag mit Google abgeschlossen werden.
- Kommt der Verantwortliche zu dem Schluss, Google verarbeitet Daten auch für eigene Zwecke, dürfte von einer gemeinsamen Verantwortlichkeit gem. Art 26 DS-GVO auszugehen sein.
- Auch hier muss sichergestellt sein, dass die Verarbeitung von personenbezogenen Daten durch eine Rechtsgrundlage gem. Art. 6 DS-GVO legitimiert ist.
- Außerdem muss es eine Vereinbarung zwischen dem Verantwortlichen und Google geben, in welcher „in transparenter Form festgelegt ist, wer welche Verpflichtung gemäß der DS-GVO erfüllt (Art. 26 Abs. 1 S. 2, 3 und Abs. 2 DS-GVO).“ Die Aufsichtsbehörde geht davon aus, dass es eine derartige Vereinbarung Seitens Google für Workspace bisher nicht gibt.
- Betroffenen muss diese Vereinbarung in wesentlichen Teilen zur Verfügung gestellt werden.
- Kommt der Verantwortliche zu dem Schluss, Google agiert ausschließlich als Auftragsverarbeiter gem. Art. 28 DS-GVO, dann muss sichergestellt sein, dass dabei die dafür erforderlichen Voraussetzungen erfüllt sind.
- Die Aufsichtsbehörde geht in Orientierung am Data Processing Amendment to Google Workspace and/or Complementary Product Agreement (Stand 24.09.2021) von einer Übermittlung von personenbezogenen Daten in jedes Land aus, in welchem Google tätig ist, darunter auch die USA, wenn Google Workspace genutzt wird. Daraus ergeben sich weitere Pflichten:
- Gemäß dem „Schrems II“ Urteil des EuGH müssen durch den Datenexporteur bei einer Datenübermittlung in Nicht-EU-Länder das Datenschutzniveau des Ziellandes geprüft und ggf. zusätzliche Schutzmaßnahmen ergriffen werden, um ein EU-ähnliches Datenschutzniveau zu gewährleisten. Diese Regelung gilt für alle Länder außerhalb der EU, nicht nur für die USA.
- Verweis auf „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des EDSA und Hinweise zu grundlegenden europäischen Garantien für Überwachungsmaßnahmen des EDSA via LDI NRW Seite
- Für Datenübertragungen von Google Workspace in die USA kann der EU-US Privacy Shield nicht mehr genutzt werden. Alternativen wie Standardvertragsklauseln (SCC) können nicht immer effektive zusätzliche Schutzmaßnahmen bieten, sodass in manchen Fällen nur Pseudonymisierung oder effektive Verschlüsselung ausreichend Schutz bieten.
- Obwohl Google die neuen Standardvertragsklauseln von Juni 2021einsetzt und auf Cloud-Sicherheit hinweist, fehlen im Data Processing Addendum spezifische ergänzende Maßnahmen, die für eine rechtmäßige Datenübermittlung in Länder mit unzureichendem Datenschutzniveau, wie die USA, erforderlich sind. Zudem geht die Aufsichtsbehörde davon aus, dass aufgrund der bekannten Überwachungsmaßnahmen in den USA, Pseudonymisierung oder Verschlüsselung nicht immer ausreichend sind.
- Inwieweit die Anforderungen aus den SCC im Fall von Google Workspace umsetzbar sind, kann die LDI NRW mangels eigener detaillierter Prüfung nicht angeben.
- Gemäß dem „Schrems II“ Urteil des EuGH müssen durch den Datenexporteur bei einer Datenübermittlung in Nicht-EU-Länder das Datenschutzniveau des Ziellandes geprüft und ggf. zusätzliche Schutzmaßnahmen ergriffen werden, um ein EU-ähnliches Datenschutzniveau zu gewährleisten. Diese Regelung gilt für alle Länder außerhalb der EU, nicht nur für die USA.