Was ist Google Meet?
Google Meet ein Tool innerhalb der G-Suite, über das User online kommunizieren und kollaborieren können. Es richtet sich an Unternehmen. Sie können darüber Videokonferenzen mit bis 100, 150 oder 250 Teilnehmern abhalten (je nach G-Suite-Konto). Daneben können sie Live-Streams für bis zu 100.000 Zuschauer ausstrahlen, Textnachrichten und Dateien verschicken und gemeinsam an Dokumenten, Tabellen, Formularen und Präsentation arbeiten.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist Google Meet datenschutzrechtlich relevant?
Google Meet erhebt und speichert verschiedene Daten der Gesprächsteilnehmer. Dazu zählen unter anderem
- IP-Adressen,
- E-Mail-Adressen und
- Gerätenamen.
Daneben greift Google auf die Gesprächsinhalte zurück. Dabei speichert es zum Beispiel gesendete Dateien und Chatverläufe. Welche Daten Google genau speichert, hängt davon ab, wie User das Tool nutzen. Bei vielen der erhobenen Daten handelt es sich um personenbezogene Daten. Unternehmen müssen daher besondere Schutzpflichten erfüllen.
Die gesammelten Daten schickt Google an Server in den USA. Dort sind die Daten nicht durch die Datenschutz-Grundverordnung (DSGVO) geschützt. Unternehmen müssen daher auch dafür datenschutzrechtliche Vorgaben beachten.
Google Meet datenschutzkonform verwenden
Um Google Meet gemäß den Anforderungen der DSGVO zu verwenden, müssen Unternehmen diese Pflichten erfüllen:
Vertrag zur Auftragsverarbeitung abschließen
Leiten Unternehmen personenbezogene Daten von Gesprächsteilnehmern an Google Meet weiter, müssen sie vorher einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit Google abschließen. Diese Pflicht ergibt sich aus Art. 28 DSGVO. Unternehmen schließen diesen Vertrag bei Meet im Rahmen der allgemeinen Nutzervereinbarungen der G-Suite ab.
Dabei sollten sie darauf achten, der der Vertrag aufführt,
- welche Nutzerdaten Google speichert,
- warum und wie lange es diese Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Haben Unternehmen mit Google den AV-Vertrag geschlossen, müssen sie das in ihrer Datenschutzerklärung angeben. Dabei sollten sie
- die Anschrift von Google,
- den Zweck der Verarbeitung der Nutzerdaten,
- die Rechtsgrundlage der Datenverarbeitung nach der DSGVO,
- die Speicherdauer der Daten und
- die Widerspruchsmöglichkeit gegen die Datenerhebung
aufführen.
Datensparsamkeit beachten
Unternehmen sollten bei Google Meet nur die Daten erheben, die sie von ihren Gesprächsteilnehmern tatsächlich benötigen. Nur so können sie den Grundsatz der Datensparsamkeit der DSGVO erfüllen. In der Praxis sollten sie so zum Beispiel Besprechungen nicht aufzeichnen. Wollen Unternehmen eine Besprechung aufnehmen, muss das
- einem erlaubten Zweck dienen,
- geeignet sein, diesen Zweck zu erfüllen und
- erforderlich sein, diesen Zweck zu erreichen.
Und: Sie dürfen die Daten nur so lange aufbewahren, wie sie sie benötigen.
Rechtsprechung zu Google Meet
Bisher liegt, soweit ersichtlich, keine Rechtsprechung zu Google Meet vor. Unternehmen sollten jedoch sicherstellen, dass sie mit Google einen AV-Vertrag geschlossen haben, bevor sie Google Meet zum ersten Mal verwenden. Denn: Verstöße werden mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet. Deutsche Datenschutzbehörden haben daher bereits diese Bußgelder ausgesprochen:
Datenschutzbehörde Hamburg zu fehlendem AV-Vertrag
Die Datenschutzbehörde Hamburg sprach am 17.12.2018 daher ein Bußgeld gegen ein Versandunternehmen aus. Dies hatte keinen Vertrag mit einem beauftragten Dienstleister geschlossen hatte. Es musste daher eine Strafe in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren zahlen.
Datenschutzbehörde Baden-Württemberg zu fehlendem AV-Vertrag
Ähnlich erging es dem Fußball-Bundesligaclub VfB Stuttgart. Dieser hatte zwischen 2016 und 2018 Mitgliederdaten an Dienstleister weitergegeben, um diese weisungsgebunden verarbeiten zu lassen. Einen AV-Vertrag hatte der Verein mit den Dritten dafür jedoch nicht geschlossen. Die Datenschutzbehörde Baden-Württemberg sprach daher ein Bußgeld in Höhe von 300.000 Euro aus.