Google plant Selbstverpflichtung bezüglich Service Daten

Schon im Juni 2022 veröffentlichte Google ein Statement mit dem Titel „Einführung neuer Verpflichtungen in Bezug auf die Verarbeitung von Servicedaten für unsere Cloud-Kunden,“ in welchem eine Roadmap mit Änderungen bezüglich der Verarbeitung von sogenannten Service Daten durch Google angekündigt wird. Diese Änderungen gehen vor allem auf die Initiative der Niederlande zurück. Dort hatte man, nachdem durch Privacy Company in einer Datenschutz Folgenabschätzung (DSFA) datenschutzrechtliche Probleme in vor allem diesem Bereich festgestellt worden waren, Google mit den Ergebnissen unter Druck gesetzt. Man ankündigte, eine schulische Nutzung von Google Workspace for Education, Chrome Browser und ChromeOS nicht länger zuzulassen, falls Google keine Änderungen an beiden System im Sinne der Ergebnisse der DSFA vornehmen würde. Google hatte sich in Folge zu entsprechenden Änderungen verpflichtet. Es wurde darüber hinaus eine Zusatzvereinbarung zu Datenverarbeitung mit Google abgeschlossen. Die Schulen hatten für die Zeit bis die Änderungen umgesetzt sind, von SVION und SURF einen Weg aufgezeigt bekommen, wie sie die Google Produkte administrativ einstellen und im Unterricht nutzen, um die Risiken für Betroffene zu minimieren. Siehe dazu auch den Beitrag Niederlande – Vereinbarung mit Google zur Minderung hoher Datenschutzrisiken bei Google Workspace for Education von 2021. Es gab bereits aus einem Schreiben aus der niederländischen Regierung an das Parlament (siehe „Edu Version“ von Chrome OS und Chrome-Browser bis 08-2023) Informationen zum Zeitplan Googles bezüglich der neuen, speziell auf die niederländischen Forderungen angepassten Versionen von Chrome OS und Chrome Browser. Allerdings war hier nicht klar, ob es sich dabei nur um Versionen für die Niederlande handeln würde oder ob sie allen Kunden zur Verfügung stehen würden.

Aus dem oben erwähnten Statement Googles vom Juni 2022 ist nun aber klar, dass man beabsichtigt, neue vertragliche Verpflichtungen bezüglich der Service Daten1„Service-Daten werden in den Google Cloud Privacy Notice als die personenbezogenen Daten definiert, die Google während der Bereitstellung und Verwaltung der Cloud-Services erfasst oder generiert, mit Ausnahme von Kundendaten und Partnerdaten.“ einzugehen und diese auch allgemein verfügbar zu machen. Sobald dieses erfolgt ist, wird man die Service Daten als Auftragsverarbeiter auf Weisung der Kunden verarbeiten. Ausgenommen davon bleiben eine eingeschränkte Zahl von Verarbeitungsvorgängen, bei denen Google selbst Verantwortlicher bleibt.2Laut Google sind dieses: Daten im Zusammenhang mit Abrechnungs- und Kontoverwaltung, Kapazitätsplanung und Prognosemodellierung, Erkennen, Vorbeugen und Reagieren auf Sicherheitsrisiken und technische Probleme. Die Updaten werden  laut Planung durch Google für Google Workspace, Google Workspace for Education und Google Cloud services ab 2023 phasenweise bis ins Jahr 2024 umgesetzt. Weitere Informationen sollen dann veröffentlicht werden. Gleichzeitig arbeitet man an einer Version von Chrome OS, einschließlich des Chrome Browsers, wie er auf verwalteten Chrome OS Geräten eingesetzt wird, für welche Google dann eine vergleichbare Auftragsverarbeiter Selbstverpflichtung anbieten wird. Man möchte für Kunden damit mehr Transparenz schaffen und ihnen Kontrolle über die Verarbeitung ihrer Daten geben. Sobald die neuen Versionen fertig sind, wird man sie Bildungskunden weltweit zur Verfügung stellen.

Welche Rolle die Niederlande dabei spielten, Google zu einer Anpassung von Verarbeitungsvorgängen und datenschutzrechtlichen Verträgen zu bewegen, beschreibt sehr lesenswert der Beitrag How the Netherlands Is Taming Big Tech in der New York Times vom 18.01.2023.

Bewertung

Das Statement Googles, auf welches der Autor dieses Beitrags erst durch Artikel in der NYT stieß, macht etwas deutlicher, mit welchem zeitlichen Rahmen Schulen rechnen müssen, bis Google seine Produkte Chrome OS und Google Workspace for Education in technischer Hinsicht sowie bezüglich der dazugehörigen datenschutzrechtlichen Vertragswerke in Orientierung an den Vorgaben der Niederlande angepasst haben wird. Die entscheidende Information ist hier, dass man diese Anpassungen weltweit zur Verfügung stellen wird. Auch wenn das zu erwarten war, ist es gut, hier eine Bestätigung zu erhalten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert