Google Drive und das neue Schweizer Datenschutzgesetz revDSG
Die Datenschutzvorschriften DSGVO und revDSG sind in aller Munde. Das DSGVO ist bereits in Kraft, das revDSG wird ab dem 1. September 2023 Gültigkeit haben. Auch Unternehmen, welche die europäische DSGVO bereits einhalten, sollten die (wenigen) Unterschiede zwischen der EU-Verordnung und dem Schweizer revDSG kennen und deren Einhaltung rechtzeitig überprüfen. Auch bei der Verwendung von Cloud-Speicheranwendungen wie Google Drive müssen Unternehmen auf die Vorschriften des revDSG achten. In diesem Artikel erfährst du, wie du Google Drive datenschutzkonform einsetzen kannst und welche Bestimmungen des revDSG dabei zu beachten sind.
Was ist Google Drive und wieso wird es in Unternehmen eingesetzt?
Google Drive ist eine Cloud-Speicheranwendung des Google-Konzerns. Unternehmen können damit ihre Daten in einer Google-Cloud speichern, teilen und gemeinsam bearbeiten.
Die Speicherung von Unternehmensdaten in einer Cloud ist mittlerweile fast unumgänglich. Einerseits, weil es die Zusammenarbeit von mehreren Personen massiv erleichtert. Andererseits, weil viele Grundanforderungen wie Versionskontrolle, gleichzeitige Bearbeitung, dezentrale Speicherung an mehreren Orten, regelmässige Backups etc. mit einer gescheiten Cloud-Lösung schon out-of-the-box abgedeckt sind.
Es gibt auch self-hosted Cloud-Lösungen 🤩🙌🏻, dazu weiter unten mehr, aber weil das Betreiben einer solchen Cloud bereits ein relativ hohes Mass an Fachwissen voraussetzt, ist dies für viele, gerade kleinere Unternehmen keine Option. Deshalb landen die allermeisten dann schnell bei den grossen Namen wie Google Drive, Dropbox (dazu haben wir einen eigenen Artikel verfasst), Microsoft OneDrive etc.
Was ist beim Einsatz von Google Drive datenschutzrechtlich zu beachten?
In Bezug auf den Datenschutz und das kommende Inkrafttreten des revDSG sind hauptsächlich zwei Fragen zu klären:
- Werden personenbezogene Daten verarbeitet?
- Falls ja, in welche Länder werden diese transferiert?
Diese Fragen sind unabhängig von der konkreten Applikation relevant und sollten sorgfältig abgeklärt werden, um datenschutzrechtliche Verstösse gar nicht erst entstehen zu lassen.
Besonders die erste Frage ist dabei relativ umfassend zu verstehen. Es geht nicht nur um offensichtlich persönliche Informationen wie Name, Geburtsdatum, Geschlecht etc. Auch unverfänglichere Informationen wie IP-Adressen zählen zu den personenbezogenen Daten und müssen deshalb gegebenenfalls anonymisiert werden.
Welche personenbezogenen Daten übermittelt Google Drive?
Unternehmen, die Google Drive für den Einsatz von Cloud-Speicherlösungen nutzen, geben zwangsläufig personenbezogene Daten weiter. Dazu gehören Daten wie:
- Name
- E-Mail-Adresse
- Telefonnummer
- Adresse
- IP-Adresse
- Nutzungsdaten
- Geolokalisierungsdaten
Wohin werden diese Daten übermittelt?
Der Serverstandort für Google Drive ist gemäss eigenen Angaben in den USA. Die Muttergesellschaft von Google ist Alphabet Inc., die ihren Hauptsitz ebenfalls in den USA hat. Gemäss dem revDSG gehören die USA zu den unsicheren Ländern für den Datenaustausch.
Unternehmen, die Google Workplace (und Google Drive als Bestandteil dieses Paketangebots) einsetzen, können Europa als bevorzugten Speicherort wählen. Wie konsequent diese Auswahl umgesetzt wird, ist unklar.
Wie kann Google Drive datenschutzkonform eingesetzt werden?
Werden personenbezogene Daten in Google Drive gespeichert, dann ist ein datenschutzkonformer Einsatz als Unternehmen gemäss unserer Einschätzung ohne weitere rechtliche Abklärungen (und Absicherungen) nicht möglich.
Gehört Google Drive in die Datenschutzerklärung?
Ja, sofern beim Verwenden der Website personenbezogene Daten im Google Drive-Account des Unternehmens abgelegt werden. Denkbar wäre dies zum Beispiel bei der Übermittlung von Formular-Daten, die ein:e Nutzer:in auf der Website eingibt.
Muss man eine Einwilligung über das Cookie-Banner einholen?
Nein, weil bis anhin keine direkte Integration von Tracking-Möglichkeiten in Google Drive vorhanden ist.
Was empfehlen wir für den datenschutzkonformen Einsatz?
Für einen datenschutzkonformen Einsatz von Cloud-Speicheranwendungen empfehlen wir die Nutzung eines quelloffenen Cloud-Speichers, gehostet bei einem Schweizer Hosting-Anbieter*. So können Unternehmen ohne grosse Abklärungs- und Absicherungsaufwände relativ einfach sicherstellen, dass ihre Daten den Anforderungen des revDSG entsprechen und angemessen geschützt sind.
[*] Wir empfehlen Ops One 😇; kompetent, zuverlässig, immer hilfsbereit und wir haben imfall eine Carrera-Bahn im Sitzungszimmer, falls du mal zu uns an eine Besprechung kommst! 😅🏎️💨
Welche datenschutzkonforme Alternative für Google Drive gibt es?
Als datenschutzkonforme Alternative zu Google Drive empfehlen wir die Open-Source-Lösung Nextcloud. Nextcloud ist eine quelloffene, self-hosted Cloud-Speicheranwendung, die alle Funktionen von Google Drive bietet und darüber hinaus auch noch erweiterbar ist. So kannst du als Unternehmer:in die volle Datenhoheit behalten und die Anwendung vollständig an deine eigenen Bedürfnisse anpassen.
Klingt interessant? Melde dich unbedingt bei uns, wir zeigen dir sehr gerne im persönlichen Gespräch, wie Nextcloud aussieht, was es kann, und wie es sich auf deine konkrete Situation anpassen lässt.
Und weil deine langfristige Zufriedenheit unser oberstes Ziel ist, sind wir stets um absolute Transparenz bemüht, und sagen auch klar, wenn wir allenfalls Probleme oder Herausforderungen für deinen Anwendungsfall sehen. Aber weil wir Knacknüsse lieben, bin ich fast sicher, dass unser smarten Köpfe auch da eine passende Lösung finden 🤓💪🏻.
Kleiner Exkurs zum Schluss: Wo liegt der Unterschied zwischen revDSG und DSGVO/GDPR?
Eingang haben wir erwähnt, dass es zwischen der DSGVO und dem revDSG zwar wenige Unterschiede gibt, man diese aber kennen sollte. Grundsätzlich gilt: Unternehmen mit Sitz in der Schweiz müssen das revDSG einhalten, während Unternehmen mit Sitz in der Europäischen Union die DSGVO/GDPR beachten müssen.
Aber Achtung: Auch Schweizer Unternehmen, die personenbezogene Daten von europäischen Kundinnen und Kunden verarbeiten, sind an die Vorschriften der DSGVO gebunden. Die DSGVO verlangt unter anderem, dass die Website eine Datenschutzerklärung enthält, und fordert einen Auftragsverarbeitungsvertrag mit Partnern.
Inwiefern sich die beiden Gesetzesgrundlagen genau unterscheiden, und was du allenfalls abklären solltest, haben wir kurz und hoffentlich verständlich im Blogartikel “Schweizer revDSG vs. DSGVO/GDPR” für dich zusammengestellt. Zudem gibt es in dieser Artikelserie auch eigene Beiträge zu Dropbox, Google Tag Manager und Google Analytics.
Und falls deine Fragen nach dem Lesen nicht beantwortet sind, haben wir immer ein offenes Ohr!