Wie steht es mit der DSGVO bei Cloud Diensten wie Google und Firebase?

Die Cloud Dienste von Google und Firebase gewinnen sowohl in Unternehmen als auch für den privaten Gebrauch zunehmend an Beliebtheit. Sie bieten viele Vorteile, die eine flexible Arbeitsweise ermöglichen und damit die aktuellen Entwicklungen in der Arbeitswelt unterstützen. Mitarbeiter haben beispielsweise die Möglichkeit, gemeinsam und zeitgleich mit Kollegen an einer Datei zu arbeiten, was die Zusammenarbeit fördert. Außerdem erleichtert es die remote Arbeit, da sie von unterschiedlichen Geräten und Standorten Zugriff auf ihre Dateien haben. Die unten stehende Grafik zeigt diese und weitere Vorteile, die aus einer Umfrage zum Thema Cybersecurity hervorgehen.

Gründe für die Nutzung von Cloud-Diensten (Quelle: Statista)

Unterschiedliche Cloud Dienste sammeln personenbezogene Daten, die sie häufig auf Servern im Ausland beziehungsweise außerhalb der EU speichern. Als Data Processor, sind Google und Firebase lediglich für die Verarbeitung der Daten zuständig. Unternehmen, die solche Cloud Dienstleistungen nutzen, müssen als Data Controller sicherstellen, dass die Verarbeitung ihrer Nutzerdaten allen rechtlichen Anforderungen entspricht. Den Rechtsrahmen für Unternehmen im Umgang mit personenbezogenen Daten gibt die DSGVO (Datenschutz-Grundverordnung) vor. Besonders bei einem Datentransfer in Länder, die weniger Schutz bieten als in der DSGVO vorgesehen, sind bestimmte Maßnahmen zu beachten.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist eine Vorschrift, die seit dem 25. Mai 2018 gilt und das Datenschutzrecht innerhalb der EU regelt. Sie vereinheitlicht die Regelungen zur Verarbeitung personenbezogener Daten durch Unternehmen. Die Regelungen betreffen beispielsweise den Umgang mit Kundendaten, das Setzen von Cookies und das Tracking von Nutzern. Unter personenbezogenen Daten verstehen sich alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Der Name, die Adresse sowie E-Mail und IP-Adressen, Standortdaten oder Cookies zählen zu solchen personenbezogenen Daten.

Allgemein resultieren aus der DSGVO mehr Rechte für Nutzer und mehr Pflichten für Unternehmen. Die Ziele sind es, einen zukunftsorientierten Rechtsrahmen für Unternehmen zu schaffen, welche Daten speichern und verarbeiten. Bürger sollen eine verstärkte Transparenz und Mitbestimmung im Hinblick auf ihre Daten erhalten. Dadurch stärkt die DSGVO das Grundrecht auf informationelle Selbstbestimmung.

Kritik an Google – Inwiefern soll Google die Vorschriften nicht einhalten?

Google steht oft in der Kritik, unverhältnismäßig viele Nutzerdaten zu sammeln. Man kann davon ausgehen, dass Google diese Informationen für Werbezwecke verwendet oder sie an Dritte weiterverkauft.

Die Verbraucherzentrale Bundesverband (vzbv) klagte bereits mehrfach erfolgreich gegen den US-Konzern. Die zwei schwerwiegendsten Verstöße gegen die DSGVO waren fehlende Transparenz und das Fehlen einer wirksamen Einwilligung zur Nutzung der Daten. Google informierte seine Nutzer nicht ausreichend transparent darüber, für welche Zwecke sie die Daten nutzen. Dazu waren die Informationen unklar und teilweise schwer zugänglich. Außerdem konnten Nutzer aufgrund der ungenügenden Informationen nicht einschätzen, welche weiteren Dienste Zugriff auf ihre Daten haben. Aus diesem Grund ist die Einwilligung der Nutzer zur Nutzung ihrer Daten nicht wirksam.Diese Verstöße führten dazu, dass gegen Google ein Bußgeld von 50 Millionen Euro verhängt wurde. Das höchste Bußgeld in der Geschichte der Datenschutzverstöße.

Umfrage zur Einschätzung der DSGVO-Konformität von Google und Facebook (Quelle: ZDF Politbarometer)

Wie äußert sich Google zum Thema Datenschutz?

Laut Google hat die Einhaltung der DSGVO sowie die Sicherheit und Vertraulichkeit der Nutzerdaten höchste Priorität bei allen angebotenen Programmen. Das gilt auch für die dazugehörigen Firebase-Dienste. Der Konzern ist dazu verpflichtet, die Datenschutzgesetze einzuhalten und muss seinen Kunden die entsprechenden Möglichkeiten bieten. Dazu arbeitet Google mit der europäischen Datenschutzbehörde zusammen. Mit regelmäßigen Aktualisierungen sorgen sie dafür, dass ihre Dienstleistungen den aktuellen Datenschutz Anforderungen entsprechen und gewährleisten eine problemlose Nutzung. Die Maßnahmen, welche Nutzerdaten schützen sollen, unterliegen laut Google einer regelmäßigen Prüfung Dritter. Dazu gehören beispielsweise Verträge, in denen Google sich zur Einhaltung der DSGVO verpflichtet sowie die Anpassung der Funktionen bei künftigen gesetzlichen Änderungen.

Das Trackingtool Google Analytics als Beispiel für einen Google Dienst

Standard Contractual Clauses – Ist der Datentransfer in Nicht-EU Länder trotzdem möglich?

Bisher diente das EU-U.S. Privacy Shield als Rechtsgrundlage für eine Datenübermittlung in die USA. Im Juli 2020 setzte der Europäische Gerichtshof die Gültigkeit des Privacy Shields jedoch außer Kraft. Grund dafür war, dass die Richtlinien, die in den USA für den Umgang mit personenbezogenen Daten gelten, den europäischen Datenschutzstandards nicht gerecht werden. Seither ersetzen die Standard Contractual Clauses das abgeschaffte EU-U.S. Privacy Shield.

Die Standard Contractual Clauses sind Musterverträge, die einen DSGVO-konformen Datentransfer in Länder außerhalb der EU ermöglichen sollen. Sie werden zwischen Datenimporteur und -exporteur abgeschlossen. In vielen Ländern entsprechen die Datenschutzregelungen nicht den Anforderungen der DSGVO und bieten weniger Schutz für einzelne Personen. Die Standard Contractual Clauses sollen Daten bei der Übermittlung in entsprechende Länder schützen. Auf der Website der Europäischen Kommission stehen die Verträge zum Download bereit. Keiner der Vertragspartner darf die vorliegenden Klauseln ändern, jedoch können sie zusätzliche geschäftsbezogene Klauseln aufnehmen. Die Musterverträge enthalten Verpflichtungen für beide Parteien sowie Rechte für Personen, deren Daten einer Übermittlung unterliegen.

Allerdings wurden die Standardvertragsklauseln geschrieben, bevor die DSGVO in Kraft trat und seitdem nicht mehr aktualisiert. Laut dem Urteil des Europäischen Gerichtshofs reichen die Verträge allein nicht aus. Um bei der Übermittlung von Daten in Länder außerhalb der EU genügend Schutz zu bieten, müssen Unternehmen zusätzliche Maßnahmen ergreifen.

Wie können sich Unternehmen absichern?

Weltweit nutzen Unternehmen die Dienste von Google und Firebase. Nicht alle Länder schreiben dieselben strengen Datenschutzgesetze vor, die in der EU gelten. Unternehmen sind deshalb bei der Nutzung selbst dafür verantwortlich, die Einstellungen auf die Vorschriften in ihrem Land anzupassen.

Zunächst ist es wichtig, sich über den Ort der Datenspeicherung zu informieren. Der Unternehmenssitz der Data Controller sowie der Standort des Servers, auf dem die Daten liegen, spielen dabei eine Rolle. Google bietet mittlerweile für seine Cloud Services weltweit zahlreiche Speicherorte an. Gehen wir von einem Unternehmen in der EU aus, muss dieses keine weiteren Maßnahmen treffen, sofern sich der Server ebenfalls innerhalb der EU befindet. Es greift das EU-Datenschutzgesetz und die Datenverarbeitung ist rechtlich unbedenklich. Dazu müssen Data Controller gründlich prüfen, ob auch wirklich kein Service ihre Daten ins EU-Ausland übermittelt. Befinden sich Daten auf Servern außerhalb der EU, müssen sich Unternehmen mit zusätzlichen Maßnahmen wie den Standard Contractual Clauses absichern.

Des Weiteren müssen Unternehmen sicherstellen, dass keine Sammlung und Verwendung von personenbezogenen Daten ohne Zustimmung der Nutzer stattfindet. Sie müssen den Usern die Möglichkeit bieten, das Tracking abzulehnen oder nachträglich zu deaktivieren. Google und Firebase bieten Unternehmen dafür ausreichend Optionen.

• Datensammlung: Das Tracking entweder vollständig oder temporär unterdrücken, beispielsweise bis eine Zustimmung der Nutzer erfolgt
• Daten für Werbezwecke: Das Sammeln von Daten für personalisierte Werbung deaktivieren
• IP-Adressen: Anonymisieren der IP-Adressen für Websites und Apps
• Aufbewahrungsdauer der Daten: Gesetzliche Löschfrist für personenbezogene Daten einhalten
• Löschen von Daten: Datensätze auf Wunsch einzelner Nutzer gezielt aus Berichten zur Nutzeraktivität und von Analytics-Servern löschen

Was muss in die eigene Datenschutzerklärung?

In der Datenschutzerklärung müssen Betreiber einer Website ausreichend und transparent darüber informieren, welche personenbezogenen Daten sie bei einem Besuch der Seite erfassen. Sie müssen über die Art, den Umfang und den Zweck der Erhebung und Verwendung der Daten Auskunft geben. Neben diesen Informationen muss auch beispielsweise die Verwendung von Cookies, Kontaktformularen und Analysetools wie Google Analytics enthalten sein. Je mehr Dienste sie verwenden, desto länger sind auch die Ausführungen in der Datenschutzerklärung.

Beauftragt ein Unternehmen externe Dienstleister zur Datenverarbeitung und erhalten diese somit Zugriff auf Kundendaten, müssen sie einen Auftragsverarbeitungsvertrag (AVV) abschließen. In diesem Vertrag sind genaue Verantwortlichkeiten für beide Parteien bezüglich Datenschutz geregelt und es ist festgelegt, welche Datenfelder sie weitergeben.

Die richtigen Einstellungen sichern DSGVO-Konformität

Grundsätzlich lässt sich sagen, dass Google und Firebase ihren Anwendern ausreichend Möglichkeiten bieten, sich rechtlich abzusichern. Durch die richtigen Einstellungen können sie alle Dienste nutzen, ohne gegen Datenschutzgesetze zu verstoßen. Um kein Risiko einzugehen, sollten sich Unternehmen im Vorfeld ausführlich informieren und ihren Usern alle Informationen offen legen.

Sie benötigen professionelle Unterstützung bei der Umsetzung Ihres Projektes? Wir helfen Ihnen ihre Vision zu verwirklichen! Kontaktieren Sie uns telefonisch +49 711 21723730 oder per Mail hello@bitfactory.io.