Google G-Suite & Gmail DSGVO-konform

Bevor ich mich in den nächsten Tagen an die Einzelheiten der DSGVO für kleine Unternehmen “mache”, möchte ich mich um eins der wichtigsten Themen kümmern, ohne dass wir gar nicht anfangen brauchen, über irgendwelche Maßnahmen und Checklisten für die Einhaltung der DSGVO zu sprechen.

Ich meine damit die täglichen Dienste, die im Alltag benutzt werden, um mit dem Kunden zu kommunizieren und die Arbeitsumgebung, mit der wir unsere Listen anlegen und Materialien, aber eben auch Passwörter und Zugangsdaten speichern.

Wie setze ich als Kleinunternehmer und Einzelunternehmer die Verordnung zum Datenschutz um?

Der Beschluss der EU zum Datenschutz lautet sinngemäß:

Die Verschlüsselungen der E-Mails ist unter der Berücksichtigung des Stands der Technik und der abgeschätzten Schwere des Risikos umzusetzen. Meint: Niemand muss riesige Summen investieren, um das teuerste und sicherste Verschlüsselungspaket zu kaufen.

In Bezug auf die DSGVO muss jeder Unternehmer
  • Feststellen, welchen Standard er JETZT hat, um seine Daten zu schützen

  • Feststellen, wo Risikoquellen auftauchen

  • Einen Plan auf die Beine stellen, diese “Löcher zu stopfen“

  • Den Plan angemessen seiner vertretbaren Möglichkeiten, Branche, Daten etc. Plan umsetzen

  • Die Maßnahmen kontrollieren und bei Bedarf weiterhin anpassen

Nicht zu vergessen: Dieses Vorgehen muss protokolliert werden. Auch hierfür gibt es keine Vorschrift. Die Dokumentation muss nur übersichtlich und vollständig sein.

Über die einzelnen Schritte schreibe ich in den nächsten Tagen mehr. Soweit es meine Zeit zulässt, werde ich auch schauen, Formulare zum Download vorzubereiten, mindestens aber für meine Kunden zur Verfügung zu stellen.

Parallel dazu wird bei Advanced Dynamics – einem befreundeten Unternehmen – ein Datenschutzbevollmächtigter ausgebildet, der dann mit Rat und Tat helfen kann.

G-Mail & Datenschutz: Blogbeitrag iDIA Marketing Mülheim

Header-Grafik: 123rf, Aurelio Scetta

Kann man die Google-Tools unter dem Gesichtspunkt der DSGVO weiter nutzen?

Ohne Blabla: Klares JA!

Warum?

Google hat bereits seit Monaten vorgesorgt. Bereits im letzten Jahr hat Diane Green, Mitglied des Aufsichtsrates bei Google und der MIT Corporation, angekündigt, dass Google in Hinblick auf die Erfüllung aller Vorgaben der DSGVO eine Führungsrolle einnehmen wird. Und das hat das ehrgeizige Team auch geschafft. Mir geht es hier in dem Beitrag nicht darum, ob Google E-Mails “mitliest” oder nicht, sondern darum, ob man als Unternehmer als Google Suite-Nutzer seine Arbeitsmittel datenschutzkonform weiter nutzen kann. also eher darum, eine offiziell anerkannte Antwort.

Google hat zum Schutz personenbezogener Daten Konfigurationen für die Nutzer zur Verfügung gestellt, nach deren Umsetzung ich als Unternehmer dem Gesetz gegenüber abgesichert bin – und somit auch nachweisen kann, dass ich mit den Daten meiner Kunden verantwortungsvoll umgehe. Sicher gehe ich an dieser Stelle dann, wenn ich die gewerbliche Version der Google-Umgebung nutze. Also die G-Suite für 4.- € im Monat.

Aber auch in der kostenlosen Version hat Google eine Möglichkeit eingerichtet, durch entsprechende Änderungen in den Einstellungen der Personalisierung ( Also das Sammeln von Daten zum Einblenden personalisierter Werbung) zu widersprechen. Das ein kostenloser Dienst sich über Werbung finanziert, sollte jedem klar sein. Hier gilt: Wer A will, muss auch B irgendwie handhaben.

Aber wie genau hat Google für das hohe Maß an Datensicherheit in der G-Suite-Umgebung gesorgt? Der Internetriese erklärt HIER, wie er über mehrere Ebenen von der Hardware-Struktur bis zum Frontend (also das, was wir als Nutzer auf dem Bildschirm sehen) DSGVO-konform mit DoS Protections, Verschlüsselungen, Secure Boot Stacks und anderen Maßnahmen dafür sorgt, dass die in der Cloud gespeicherten Daten sicher abgelegt sind und die Daten verschlüsselt versendet werden.

Google selber sagt über die Verschlüsselung:

“Hier bei Google wissen wir, dass der Gedanke an die Datensicherheit ein Grundgedanke bei Unternehmen ist, die unsere Dienste nutzen. Deshalb arbeiten wir so hart daran, Ihre Daten zu schützen, ganz gleich, ob diese sich über das Internet bewegen oder in den Rechenzentren und Servern gespeichert werden. Ein zentraler Teil unserer umfassenden Sicherheitsstrategie ist die Verschlüsselungstechnologie, damit Ihre Daten nicht in fremde Hände geraten.”

Weiter erfahre ich in dem Whitepaper, was genau wie verschlüsselt wird:
  • Gmail: Nachrichten und Anhänge

  • Kalender: Events und die darin enthaltenen Notizen und Daten

  • Drive: hochgeladene Daten in Windows und Mac aus den hauseigenen mobilen Apps, Google Fotos und Gmail. Derzeit ist der Video Upload noch nicht verschlüsselt.

  • Kontakte: Der Inhalt des Adressbuches des Nutzers

  • Talk und Hangouts Chat: Archiviert in Aufzeichnungen

  • Docs und Sheets: Als Inhalt des Eigentümers gespeichert, mit Ausnahme eingebetteter Tabellen, die auf anderen Google-Produkten verwaltet werden

Google Dienste Verschlüsselung. Quelle: Google

Die Inhalte, welche ich als G-Suite Kunde erstelle, werden als Teile per Segment verschlüsselt. Die Codes für die Verschlüsselungen rotieren und werden regelmäßig ersetzt.

Soweit zu den Daten, die ich als Unternehmer in Google verarbeite. Was aber passiert, wenn ich mit einem Nutzer kommuniziere, der außerhalb von Google mit z.B. Outlook oder einer Web-Mail arbeitet? Google nutzt für den Transport der E-Mails TLS (Transport Layer Security). Das bedeutet, dass die G-Mail auf Ihrem Weg durch das Netz durch einen verschlüsselten Tunnel transportiert werden. Ähnlich wie ein Autobahnnetz gibt es aber auch hier Knoten und den “Parkplatz” des Empfängers. An diesen Punkten kann die Mail unverschlüsselt sein.

Wer sich hier zusätzlich absichern möchte, z.B. weil er gesundheitsbezogene daten versendet – sollte eines der zwei erweiterten Verschlüsselungsprotokolle nutzen: S/MIME und Open PGP. Während ich schreibe, habe ich natürlich die Stimmen derjenigen im Hinterkopf, die weiter darüber nachdenken, ob Google die verarbeiteten Daten nicht doch irgendwie “mitliest”. Natürlich gibt es Mailprovider, die bereits seit längerem hochverschlüsselte Mailsysteme anbieten. Hier verweise ich gerne auf Startmail. Die Web-Zeitschrift Chip nennt drei weitere Anbieter.

Hausaufgaben für Unternehmer, die Google Produkte verwenden:

Die von Google an uns gesendeten Mails mit der Bitte, sich diverse Formulare durchzulesen und diesen zuzustimmen (oder es eben zu lassen), sollten nicht ignoriert werden. Der bestehende Vertrag mit Google muss auf den aktuellen Stand gebracht werden.

Den entsprechenden Link im G-Suite-Administrator finden Sie HIER.

By | 2018-06-19T07:54:22+00:00 März 31st, 2018|Datenschutz-DSGVO|

About the Author:

Kathrin Lyhs, Inhaberin von iDIA Marketing - Online Marketing mit Passion