Google Workspace suite

Hallo Community,

zu dem Thema finde ich irgendwie wenig. Wahrscheinlich setzen alle Unternehmen MS365 ein :wink:

Wenn ein Unternehmen im B2B - Bereich tätig ist und Google Workspace Suite (Anstelle von Microsoft) einsetzen will, ist dann eine DSFA notwendig?
Wie beurteilt Ihr generell den Einsatz von Google Workspace aus datenschutzrechtlicher Sicht?
Danke im Vorau für Eure Tipps

Viele Grüße
dedsb

Hallo dedsb,

dass ausnahmslos alle Unternehmen MS 365 einsetzen würde ich so nicht unterschreiben.
Google Workspace Suite ist genauso eine Office Anwendung wie MS365. Die Gemeinsamkeit besteht darin, dass beides Cloud-Systeme sind.
Für einen Ersteinsatz von einem der beiden Systemen ist aus meiner Sicht immer eine DSFA erforderlich. Von der Verarbeitung durch diese Dienstleister sind ja nicht nur Kundendaten betroffen, eigene Mitarbeiter dürfe da nicht außen vor bleiben, auch deren Daten werden verarbeitet.
Wenn zu MS365 bereits eine DSFA erstellt wurde und Google Workspace Suite eingesetzt werden soll, dann ist es in erster Linie abhängig davon wie die Ausgestaltung war. Der ErWG 92 macht es ja ausdrücklich möglich aus ökonomischen Gesichtspunkten die DSFA thematisch breiter auszulegen, anstelle auf ein konkretes Projekt zu begrenzen.
Datenschutzrechtlich sind beide Systeme aus meiner Sicht gleich zu beurteilen.

1 „Gefällt mir“

Teile da die Meinung des Vorredners,

ergänzen würd ich nurnoch, dass natürlich der AVV sich angeschaut werden sollte. Habe den aktuell nicht vor Augen, aber immer einen Blick wert.

Noch eine Frage zum Verständnis:
Mit Google müsste für Google Workspace ein AVV abgeschlossen werden.
Ist zusätzlich ein TIA durchzuführen oder ist dies nur erforderlich, wenn das Unternehmen nicht unter den DPF zertifiziert ist und deshalb SCC abgeschlossen werden?

VG
dedsb

Ja genau, solang ein Unternehmen im DPF ist, gilt es praktisch wie ein Angemessenheitsbeschluss

Ich habe Mandanten, die kein MS 365 einsetzen - und das aus gutem Grund.
Für GWS gilt m.E. das gleiche wie für MS 365: Teile der Verarbeitung sind intransparent (z.B. die für “eigene Zwecke” des angeblichen AV). Ein AV dürfte nur und ausschließlich weisungsgebunden verarbeiten. In den Verträgen von MS und “Google” (Alphabet, Inc.) steht aber mehr - und genau das ist das Problem.
M.E. ist diese Kuh bei keinem der beiden Anbieter vom Eis.
Ein TADPF ist auch kein Freibrief. Ich muss den AV trotzdem ansehen, ob er DSGVO-konform arbeitet und gegebenenfalls Garantien dafür einfordern, falls ich Zweifel habe. Und nach einschlägiger US-Gesetzgebung muss ich Zweifel haben. Hier habe ich noch keine gangbare Lösung gesehen. (vielleicht mit Ausnahme von Kunden-basierten Schlüsseln wie bei MS E5 Lizenzen), und die Frage der “Metadaten” oder “Nutzungsdaten” ist m.E. von keinem der beiden Anbieter ausreichend geklärt.
(Bitte widersprechen, falls jemand ein DSGVO-wasserdichtes Übereinkommen mit einem US-Cloud-Anbieter geschlossen hat, oder meint ein solches geschlossen zu haben.)