Datenschutzerklärung für Google Drive

(1 Bewertung, 5.00 von 5)

Worum geht's?

Google Drive ist ein Filehosting-Dienst des Suchmaschinenkonzerns Google. Unternehmen können bei Google Drive Dokumente in einer Cloud speichern, teilen und mit anderen Usern gemeinsam bearbeiten. Damit ähnelt der Dienst den Anbietern Dropbox und OneDrive. Was müssen Unternehmend datenschutzrechtlich beachten, wenn sie Google Drive verwenden?

 

Für Google Drive benötigen Sie einen Passus in Ihrer Datenschutzerklärung

Datenschutzerklärung kostenlos erstellen

 

Warum ist Google Drive datenschutzrechtlich relevant?

Speichern Unternehmen sensible Daten wie Kundendaten in Google Drive, kann der Anbieter diese einsehen und für eigene Zwecke nutzen. Google gibt dabei in seiner Datenschutzerklärung an, wie er in Drive abgelegte Dateien verwendet:

Verbesserung seiner Dienste

Google scannt hochgeladene Dokumente nach Informationen, Schlüsselwörtern und Bildern, um seine Dienste zu verbessern, neue Dienstleistungen zu entwickeln und Werbung zu erstellen, die auf den Nutzer ausgerichtet sind. Und: Google nutzt die Informationen, um seine Algorithmen zu verbessern und maschinelles Lernen weiterzuentwickeln.

Auslagerung von Diensten

Google gibt in Drive gespeicherte, personenbezogene Daten an Partnerunternehmen weiter, damit diese die Daten weiterverarbeiten können. Das ist beispielsweise beim Kundensupport der Fall.

Erfüllung rechtlicher Pflichten

Google verarbeitet in Drive abgelegte Daten, um rechtliche Verpflichtungen zu erfüllen. Dabei behält sich Google das Recht vor, Daten an Behörden weiterzugeben.

Google Drive DSGVO-konform verwenden

Um Google Drive datenschutzkonform zu verwenden, müssen Unternehmen diese Pflichten der Datenschutz-Grundverordnung (DSGVO) erfüllen:

Nutzer-Einwilligung in Cookies einholen

Google Drive nutzt nicht-essenzielle Cookies. Seitenbetreiber müssen dafür die Erlaubnis ihrer User einholen. Das können sie beispielsweise über einen Cookie-Banner vornehmen. Um den Banner datenschutzkonform umzusetzen, können Seitenbetreiber auf ein Cookie Consent Tool zurückgreifen. Dies holt die Einwilligung der Nutzer per Opt-In ein und passt dann die Datenströme auf der Webseite entsprechend an.

Vertrag zur Auftragsverarbeitung abschließen

Speichern Unternehmen sensible Daten wie Kundendaten in Google Drive, geben sie auf diese Weise personenbezogene Daten an den Suchmaschinenkonzern weiter. Das heißt: Sie geben schützenswerte Daten an einen Dritten weiter. Dafür müssen sie mit Google einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht ergibt sich aus Art. 28 DSGVO. Der Vertrag sollte erklären,

  • welche personenbezogenen Daten Unternehmen an Google weitergeben,
  • warum sie diese an Google weitergeben,
  • wie lange Google die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Immer wenn Unternehmen personenbezogene Daten an Dritte weitergeben, müssen sie in ihrer Datenschutzerklärung darauf hinweisen. Das ist bei der Verwendung von Google Drive der Fall. Unternehmen sollten in ihrer Datenschutzerklärung daher aufführen,

  • warum sie bei Google Drive personenbezogene Daten speichern,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO),
  • dass sie für die Datenweitergabe mit Google einen AV-Vertrag geschlossen haben und
  • dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.

Damit Nutzer verstehen, wie Google ihre Daten verarbeitet und speichert, sollten Unternehmen zusätzlich auf die Nutzungs- und Datenschutzbestimmungen von Google verweisen. Auf diese Weise können User selbst überprüfen, was Google mit ihren Daten macht.

Standardvertragsklauseln prüfen

Google speichert seine Daten vorwiegend auf Servern in den USA. Auf diese Weise landen personenbezogene Daten in einem Drittstaat außerhalb der EU. Google nutzt dafür Standardvertragsklauseln. Unternehmen müssen die Standardvertragsklauseln prüfen und abschließen. Zusätzlich müssen sie das Risiko der Datenübermittlung dokumentieren. Dabei sollten sie unter anderem offenlegen,

  • welche Art von Daten sie an Google weitergeben,
  • welche Rechtsvorschriften in den USA gelten und
  • ob Google weitere Bemühungen unternimmt, Userdaten zu schützen.

Rechtsprechung zu Google Drive

Für die Verwendung von Google Drive ist diese Rechtsprechung relevant:

Europäischer Gerichtshof zum Privacy Shield

Der Privacy Shield stellt keine rechtlich zulässige Grundlage dar, um personenbezogene Daten in die USA zu verschicken. Das stellte der Europäische Gerichtshof (EuGH) im Juli 2020 fest. Die Richter führten das auf die dort aktiven Überwachungsprogramme zurück. Diese sind nicht auf das zwingend erforderliche Maß beschränkt. Und: Europäische Nutzer können nicht gegen US-amerikanische Firmen wie Google klagen, wenn ihre Daten dort missbraucht werden (Az. C-311/18).

Datenschutzbehörde Hamburg zum AV-Vertrag

Im Dezember 2018 verhängte die Datenschutzbehörde Hamburg ein Bußgeld in Höhe von 5.000 Euro zzgl. 250 Euro Gebühren gegen ein deutsches Versandunternehmen. Dies hatte personenbezogene Daten an einen spanischen Postdienstleister weitergegeben, ohne mit diesem einen AV-Vertrag zu schließen. Grundsätzlich ermöglicht das Gesetz eine Strafe von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Im März 2021 sprach die Datenschutzbehörde Baden-Württemberg eine Strafe von 300.000 Euro gegen den Fußballverein VfB Stuttgart aus. Dieser hatte tausende Mitgliederdaten an Dienstleister weitergegeben, ohne AV-Verträge dafür zu schließen. Damit fehlte dem Verein die rechtliche Grundlage, die Mitgliederdaten an Dritte weiterzugeben.

Aktuelles zu Google-Diensten

Derzeit liegen zwei aktuelle Entscheidungen zu Google-Diensten vor:

Datenschutzbehörde Österreich zu Google Analytics

Google Analytics übermittelt personenbezogene Daten in die USA. Dort herrscht jedoch kein gesichertes Datenschutzniveau. Denn: US-Behörden können jederzeit auf alle Daten zugreifen, ohne dass User etwas dagegen unternehmen können. Google Analytics ist daher nicht mit der DSGVO vereinbar. Das entschied die österreichische Datenschutzbehörde im Januar 2022. Die Einschätzung bezog sich zwar nur auf Google Analytics in Österreich und hat daher keine Auswirkungen auf Deutschland. Es ist jedoch davon auszugehen, dass deutsche Datenschutzbehörden zum gleichen Ergebnis – auch in Bezug auf andere Google-Dienste wie Google Drive – kommen werden.

Datenschutzbehörde Frankreich zu Google Analytics

Zum gleichen Ergebnis kam die französische Datenschutzbehörde CNIL Anfang Februar 2022. Sie stellte fest: Verwenden Seitenbetreiber Google Analytics, verstoßen sie gegen die DSGVO. Google verwendet zwar Standardvertragsklauseln, um Nutzerdaten zu schützen. Das reicht jedoch nicht aus, um ein angemessenes Datenschutzniveau herzustellen. Das ist vor allem darauf zurückzuführen, dass US-Behörden jederzeit auf Userdaten zugreifen können. Auch dieser Einschätzung könnten deutsche Datenschutzbehörden bald folgen und Dienste wie Google Analytics und Google Drive für rechtswidrig erklären.

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutzerklärung für Zendesk
Weiterlesen...
Datenschutzerklärung für Newsletter allgemein
Weiterlesen...
Datenschutzerklärung für Social-Media-Plugins mit Shariff
Weiterlesen...
Datenschutzerklärung für American Express
Weiterlesen...
Datenschutzerklärung für Stripe
Weiterlesen...
Datenschutzerklärung für Mittwald
Weiterlesen...
Datenschutzerklärung für Sofortüberweisung
Weiterlesen...
Datenschutzerklärung für Kommentarfunktion mit Speicherung der IP-Adresse
Weiterlesen...
Datenschutzerklärung für verschlüsselten Zahlungsverkehr
Weiterlesen...
Datenschutzerklärung für OpenStreetMaps
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support