Google setzt neue Standardvertragsklauseln um – Was ist zu beachten?

Nachdem am 04. Juni dieses Jahres von der EU-Kommission neue Standardvertragsklauseln veröffentlicht worden sind (wir haben darüber berichtet: https://www.datarea.de/verabschiedung-neuer-standardvertragsklauseln-durch-die-eu-kommission/), hat Google diese nun in seine Vertragsbedingungen implementiert.

Grundsätzlich gilt eine Umsetzungsfrist für die endgültige Einführung der neuen Standardvertragsklauseln bis 27.12.2021. Für Neuverträge gilt jedoch bereits seit 27.09.2021, dass die neuen Standardvertragsklauseln eingesetzt werden müssen. Google hat deshalb fristgerecht auf die Frist reagiert und die neuen Klauseln implementiert.

Google hat von den verschiedenen Modulen der Standardvertragsklauseln Gebrauch gemacht und vier Versionen der Standardvertragsklauseln veröffentlicht.

Am häufigsten wird dabei die Google Ads & Measurement-Version zum Einsatz kommen: https://business.safety.google/adsprocessorterms/sccs/eu-p2p-intra-group/. Vertragspartner ist Google Ireland für Europa und die Standardvertragsklauseln sollen die Datenübermittlung Google Ireland als Auftragsverarbeiter an andere Google Institutionen außerhalb der EU legitimieren.

Für welche Dienste gelten die Standardvertragsklauseln?

Für folgende Dienste gelten die Standardvertragsklauseln, wenn Google als Auftragsverarbeiter agiert:

  • Ads Data Hub
  • Audience Partner API (frühere Bezeichnung: DoubleClick Data Platform)
  • Campaign Manager 360 (frühere Bezeichnung: Campaign Manager)
  • Display & Video 360 (frühere Bezeichnung: DoubleClick Bid Manager)
  • Erweiterte Conversions
  • Google Ad Manager-Auftragsverarbeiterfunktionen
  • Google Ad Manager 360-Auftragsverarbeiterfunktionen
  • Google Ads Kundenabgleich
  • Google Ads Ladenverkäufe (direkter Upload)
  • Google Analytics
  • Google Analytics 360
  • Google Analytics für Firebase
  • Google Data Studio
  • Google Optimize
  • Google Optimize 360
  • Google Tag Manager
  • Google Tag Manager 360
  • Search Ads 360 (frühere Bezeichnung: DoubleClick Search)

Die wichtigsten Anwendungsfälle sind hierbei sicherlich Google Analytics und der Google Tag Manager.

Wenn Google selbst als Verantwortlicher für einen Dienst auftritt, sollen die folgenden Standardvertragsklauseln gelten: https://business.safety.google/adscontrollerterms/sccs/eu-c2c/

Dies ist insbesondere für folgende Dienste relevant:

  • AdMob
  • AdSense
  • Authorized Buyers (frühere Bezeichnung: DoubleClick Ad Exchange Buyers)
  • Funding Choices
  • Google Ad Manager
  • Google Ad Manager 360
  • Google Ads (frühere Bezeichnung: AdWords)
  • Google Kundenrezensionen
  • Waze Ads

Wie schließt man die neuen Standardvertragsklauseln ab?

Seit dem 27.09.2021 kann man die neuen Standardvertragsklauseln über den Google Analytics-Account akzeptieren. Wenn man dies nicht bis zum 27.10.2021 tut, werden die neuen Klauseln danach trotzdem einfach Vertragsbestandteil.

Was ist außerdem noch zu beachten?

Nach dem Wegfall des Privacy Shield war die Überarbeitung der Standardvertragsklauseln absolut notwendig, um eine Rechtsgrundlage für eine möglichst datenschutzkonforme Datenübermittlung in die USA zu ermöglichen. Jedoch reicht allein der Abschluss dieser Standardvertragsklauseln nicht aus. Die Datenschutzbehörden verlangen zudem eine Überprüfung durch den Verantwortlichen, inwiefern die Daten im Drittstaat tatsächlich sicher sind:

  1. Transfer Impact Assessment

Es sollten die Risiken einer Datenübermittlung für die Rechte und Freiheiten der Betroffenen überprüft und dokumentiert werden, um die Datenübermittlung zu legitimieren. Dabei sollte insbesondere geprüft werden, welche Regelungen zum Datenschutz im Zielstaat vorhanden sind und inwiefern dort Zugriffsrechte von Behörden auf Datenbestände bestehen. Außerdem sollten die Gegenmaßnahmen und das allgemeine Risiko für die Betroffenen überprüft werden.

Der Datenschutzbeauftragte kann herbei gerne um Unterstützung gebeten werden.

  • Alternative Dienste

Außerdem sollte noch eine Überprüfung und Begründung erfolgen, warum kein alternativer Dienst gewählt wurde, bei dem keine Datenübermittlung in die USA erfolgt. Hierbei kann sich bei der Begründung auf die Kosten und die Funktionalität berufen werden.

Auch hier kann der Datenschutzbeauftragte mit entsprechenden Formulierungen unterstützen.

Zusammenfassung und To-Do

Abschließend lässt sich sagen, dass Google mit den neuen Standardvertragsklauseln die erforderlichen Neuerungen grundsätzlich erfüllt. Auch die Schutzmaßnahmen erscheinen grundsätzlich geeignet, um die Daten vor Zugriffen von Behörden zu schützen. Wie so oft, lässt sich aber nicht abschließend prüfen, ob Google hier tatsächlich komplett transparent und datenschutzkonform mit den Nutzerdaten umgeht.

Nutzer von Google-Diensten sollten nun Folgendes tun:

  1. Akzeptieren der neuen Vertragsbedingungen über das Google Konto bzw. Google Analytics
  2. Durchführung Transfer Impact Assessment und Überprüfung von alternativen Diensten
  3. Dokumentation der Ergebnisse

Google ist bisher der erste große Internetkonzern, welcher auf die neuen Standardvertragsklauseln reagiert. Bei anderen Anbietern wie Facebook und Microsoft lässt sich noch auf entsprechende Umsetzungen warten, obwohl bei diesen auch die Frist des 27.09.2021 für Neuverträge gültig ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in