Google Workspace suite

Hallo Community,

zu dem Thema finde ich irgendwie wenig. Wahrscheinlich setzen alle Unternehmen MS365 ein :wink:

Wenn ein Unternehmen im B2B - Bereich tätig ist und Google Workspace Suite (Anstelle von Microsoft) einsetzen will, ist dann eine DSFA notwendig?
Wie beurteilt Ihr generell den Einsatz von Google Workspace aus datenschutzrechtlicher Sicht?
Danke im Vorau für Eure Tipps

Viele Grüße
dedsb

Hallo dedsb,

dass ausnahmslos alle Unternehmen MS 365 einsetzen würde ich so nicht unterschreiben.
Google Workspace Suite ist genauso eine Office Anwendung wie MS365. Die Gemeinsamkeit besteht darin, dass beides Cloud-Systeme sind.
Für einen Ersteinsatz von einem der beiden Systemen ist aus meiner Sicht immer eine DSFA erforderlich. Von der Verarbeitung durch diese Dienstleister sind ja nicht nur Kundendaten betroffen, eigene Mitarbeiter dürfe da nicht außen vor bleiben, auch deren Daten werden verarbeitet.
Wenn zu MS365 bereits eine DSFA erstellt wurde und Google Workspace Suite eingesetzt werden soll, dann ist es in erster Linie abhängig davon wie die Ausgestaltung war. Der ErWG 92 macht es ja ausdrücklich möglich aus ökonomischen Gesichtspunkten die DSFA thematisch breiter auszulegen, anstelle auf ein konkretes Projekt zu begrenzen.
Datenschutzrechtlich sind beide Systeme aus meiner Sicht gleich zu beurteilen.

1 „Gefällt mir“

Teile da die Meinung des Vorredners,

ergänzen würd ich nurnoch, dass natürlich der AVV sich angeschaut werden sollte. Habe den aktuell nicht vor Augen, aber immer einen Blick wert.

Noch eine Frage zum Verständnis:
Mit Google müsste für Google Workspace ein AVV abgeschlossen werden.
Ist zusätzlich ein TIA durchzuführen oder ist dies nur erforderlich, wenn das Unternehmen nicht unter den DPF zertifiziert ist und deshalb SCC abgeschlossen werden?

VG
dedsb

Ja genau, solang ein Unternehmen im DPF ist, gilt es praktisch wie ein Angemessenheitsbeschluss

Ich habe Mandanten, die kein MS 365 einsetzen - und das aus gutem Grund.
Für GWS gilt m.E. das gleiche wie für MS 365: Teile der Verarbeitung sind intransparent (z.B. die für “eigene Zwecke” des angeblichen AV). Ein AV dürfte nur und ausschließlich weisungsgebunden verarbeiten. In den Verträgen von MS und “Google” (Alphabet, Inc.) steht aber mehr - und genau das ist das Problem.
M.E. ist diese Kuh bei keinem der beiden Anbieter vom Eis.
Ein TADPF ist auch kein Freibrief. Ich muss den AV trotzdem ansehen, ob er DSGVO-konform arbeitet und gegebenenfalls Garantien dafür einfordern, falls ich Zweifel habe. Und nach einschlägiger US-Gesetzgebung muss ich Zweifel haben. Hier habe ich noch keine gangbare Lösung gesehen. (vielleicht mit Ausnahme von Kunden-basierten Schlüsseln wie bei MS E5 Lizenzen), und die Frage der “Metadaten” oder “Nutzungsdaten” ist m.E. von keinem der beiden Anbieter ausreichend geklärt.
(Bitte widersprechen, falls jemand ein DSGVO-wasserdichtes Übereinkommen mit einem US-Cloud-Anbieter geschlossen hat, oder meint ein solches geschlossen zu haben.)

1 „Gefällt mir“

Ich sehe das nicht pauschal so. Welcher Dienstleister eingesetzt wird und wo der sitzt, ist aus meiner Sicht zunächst nicht ausschlaggebend. Zunächst wäre eine konkrete Prüfung auf Notwendigkeit einer DSFA notwendig. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten zur Folge - wäre eine DSFA zu erstellen.

Dazu empfehle ich immer das dreistufige Schema vom LFD Niedersachsen anzuwenden. Dann geht man alle Punkte / Blacklists durch

https://www.lfd.niedersachsen.de/startseite/themen/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/prufschema_zur_erforderlichkeit_einer_datenschutz_folgenabschatzung/prufschema-muss-ich-eine-datenschutz-folgenabschatzung-durchfuhren-197199.html .

Kommt man dann zu dem Schluss, dass eine DSFA gemacht werden muss, ist es so. Unabhängig davon sind die weiteren Anforderungen nach Art. 5,6, 24, 25, 28, 30, 32, 44ff. vorab zu erfüllen, bevor ich die DSFA durchführe.
Da zunehmend KI-Funktionen in die Programme eingeführt werden, ist die Prüfung auf Notwendigkeit nur noch eine Formsache. Viel Erfolg dann bei den Anforderungen der KI-VO und der DSFA insb. bei der Frage nach der Transparenz der Datenverarbeitung.

Gruß