Hallo zusammen,
ich beschäftige mich aktuell mit dem Datenschutz in unserem Verein und muss prüfen, ob (wieso ja oder wieso nein) wir den googleCalendar noch für die Terminverwaltung (nur deutschlandweit) nutzen dürfen oder nur auf Server aus der EU oder Ländern mit mind. gleichem Datenschutzgesetz speichern dürfen -> uns also nach einer Alternative umgucken müssen.
Kennt sich jemand mit dem Thema aus oder hatte schon dasselbe Problem?
Ich freue mich sehr auf eure Antworten!
Viele Grüße
Hallo Dslos!
Der Titel deiner Nachricht enthält im Endeffekt eine andere Frage, als der Fragetext. Aber ich versuche mal beide zu beantworten ;-)
Ist die Nutzung von GoogleCalendar bzw. der sog. G Suite mit der DSGVO vereinbar?
Kurze Version: Ja, mit Google-Auftragsverarbeitungsvertrag.
Lange Version:
Google ist im Bezug auf Gesetze der Europäischen Union ein gebranntes Kind. Auch deshalb wollte man es der EU bei der Umsetzung der DSGVO besonders recht machen und stellte sich an die Spitze der Bewegung. Neben vielen Anpassungen in der internen Verarbeitung von Daten hat Google zuletzt sogar die Firmenstruktur angepasst. Alle Dienste werden innerhalb der EU nun von der Google Ireland Limited angeboten.
Zudem wurden die Nutzungsbedingungen und die Datenschutzerklärung angepasst. In der Ankündigung für diesen Schritt, schreibt Google:
"And of course, we remain fully committed to compliance with the GDPR across all of the services we provide in the European Union." - "Selbstverständlich verpflichten wir uns weiterhin uneingeschränkt zur Einhaltung der DSGVO bei allen Dienstleistungen, die wir in der Europäischen Union erbringen."
Dazu sei erwähnt, dass Google alle Daten der G Suite (auch Kalenderdaten mit Notizen und sonstigen Daten) verschlüsselt gemäß ihres "Sicherheitsdesigns der Infrastruktur" ablegt.
Für jedwede Verarbeitung durch Dritte ist aber ein sog. Auftragsverarbeitungsvertrag (AVV) mit Google vonnöten. Diesen Vertrag sollte der Verein längst geschlossen haben. - Die Daten sind also sicher verwahrt, verschlüsselt und die Verarbeitung genügt der DSGVO und auch dem BDSG-NEU.
Hier ein Web-Tipp zum Thema: Die DSGVO und Google - Der ultimative Guide.
Dürfen grundsätzlich Daten auf US-Server gespeichert werden?
Grundsätzlich dürfen Daten auf Servern sog. Drittländer gespeichert werden. Hierfür bedarf es aber wie immer eines Erlaubnisgrundes gemäß Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung). Zudem muss die Verarbeitung einer der drei folgenden Regeln entsprechen:
Datenschutz im Verein / Datenminimierung
Bei der Verarbeitung personenbezogener Daten gelten ja diverse Grundsätze (Kapitel 2 DSGVO) und Rechte der betroffenen Person (Kapitel 3 DSGVO). Diese Grundregeln müssen auch bei der elektronischen Verarbeitung in Vereinen gelten.
Herausgreifen möchte ich an dieser Stelle aber mal Artikel 5 (1) c) "Datenminimierung" DSGVO:
"Personenbezogene Daten müssen [...] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein"
In Bezug auf die Pflege eines Kalenders kann das nur heißen, so wenig personenbezogene Daten zu nutzen wie irgend möglich. Müssen beispielsweise überhaupt Klarnamen verwendet werden? Kann der Kreis der Menschen mit Zugriff auf den Kalender klein gehalten werden? Sehen andere Benutzer des Kalenders die E-Mail-Adressen anderer, womöglich sogar aller Nutzer? Werden alte Kalendereinträge regelmäßig gelöscht?
Viele Fragen offen. Ich hoffe aber dennoch geholfen zu haben!
Viele Grüße aus Berlin,
Oli Feiler
Wow, danke für deine schnelle und so ausführlich Antwort Oli!
Werde auf jeden Fall mal bei uns in Raum werfen, dass wir den GoogleCalendar (wieder) nutzen dürften. Das erleichtert uns einiges.
Dann noch eine Frage zur Datenverbreitung: dürften wir wieeder unsere "Kontaktbörse" online (auf eine mit Passwort gesicherte Cloud) stellen, damit die Leute direkt auf die jewiligen themenexperten zukommen können? Oder brauchen wir dafür von jedem einzelenen die Einverstöndniserklärung für Email und Themengebiet?
Bitte melden Sie sich an, um auf diese Frage zu antworten.
