Google Cloud bekräftigt angesichts der EDSA-Empfehlungen seine Verpflichtungen gegenüber EU-Unternehmen

Vom Einzelhandel über Fahrzeughersteller bis zu Finanzdienstleistern nutzen Organisationen in ganz Europa unsere Cloud-Dienste. Mit weitreichenden technischen Kontrollinstrumenten, vertraglichen Verpflichtungen und lückenloser Transparenz möchten wir es unseren Kunden erleichtern, ihre Risiken zu bewerten, Compliance-Anforderungen zu erfüllen und die strengen Datenschutzbestimmungen einzuhalten. 

Nachdem der Europäische Gerichtshof sich in einem Urteil gegen den EU-US Datenschutzschild und für die Gültigkeit der EU Standardvertragsklauseln ausgesprochen hatte, verabschiedete der Europäische Datenschutzausschuss (EDSA) am 21. Juni 2021 seine Empfehlungen zu ergänzenden Maßnahmen. Diese Empfehlungen sind eine wichtige Orientierungshilfe für Organisationen bei der internationalen Datenübertragung und entsprechen in weiten Teilen den Verfahren, die wir bereits seit vielen Jahren anwenden.

Angesichts der neuen Empfehlungen bekräftigen wir unsere Verpflichtung zur Einhaltung der DSGVO und werden Google Cloud-Kunden auch weiterhin dabei unterstützen, bei der Nutzung unserer Dienste ihre Compliance-Ziele zu erreichen. Das betrifft insbesondere Folgendes:

Die kundenseitig kontrollierte Cloud

Unsere Kunden sind im Besitz ihrer Daten und sollen ein Höchstmaß an Kontrolle über in der Cloud gespeicherte Daten haben. Unsere Public Cloud gewährt bei der Nutzung unserer Dienste höchste Transparenz und Kontrolle über ihre Daten.

Mit den von uns angebotenen Funktionen können Kunden der Google Cloud Platform Daten in Europa speichern, dafür sorgen, dass diese die Region nicht verlassen und verhindern, dass Nutzer*innen und Administrator*innen außerhalb Europas auf ihre Daten zugreifen. Sie können ihre Schlüssel selbst verwalten und auf diesem Weg kontrollieren, wer auf ihre Daten zugreifen darf. Dabei werden die Schlüssel in Europa und außerhalb der Google Cloud-Infrastruktur gespeichert. Darüber hinaus können Kunden bei jeder Anforderung eines Schlüssels zur Datenentschlüsselung mit External Key Manager eine detaillierte Begründung und Genehmigung verlangen und Google mit den nun allgemein verfügbaren Begründungen für den Schlüsselzugriff die Entschlüsselung der Daten verweigern. Weitere Informationen hierzu finden Sie in unserem Blogbeitrag. Was diese Verpflichtung in technischer Hinsicht für unsere Kunden bedeutet, erläutert unser Artikel zu den Optionen für Datenstandort, operative Transparenz und Kontrolle. Google Cloud war der erste und bislang einzige Cloud-Anbieter, der die Möglichkeit bietet, Schlüssel für Daten in der Cloud außerhalb der Anbieterinfrastruktur zu speichern und zu verwalten und die Entschlüsselung mit spezifischen Begründungen programmatisch zu steuern, behördliche Zugriffsanfragen eingeschlossen.

Wer Google Workspace (früher G Suite) nutzt, hat die Möglichkeit, abgedeckte Daten in Europa zu speichern. Zusätzlich erweitern wir die Verschlüsselungsmöglichkeiten in Workspace mit der Option, Schlüssel und den Identitätsdienst, über den der Zugriff auf diese Schlüssel erfolgt, direkt zu kontrollieren. Clientseitig verschlüsselte Kundendaten sind so für Google nicht lesbar. Nutzer*innen können trotzdem die cloud-nativen webbasierten Google-Tools für die Zusammenarbeit verwenden, auf ihren Mobilgeräten Inhalte aufrufen und verschlüsselte Dateien extern freigeben. In den öffentlichen Betaversionen von Google Drive, Docs, Tabellen und Präsentationen ist diese Funktion bereits verfügbar; die Erweiterung auf weitere Workspace-Dienste ist in Planung. Kunden können darüber hinaus Lösungen von Drittanbietern mit Ende-zu-Ende-Verschlüsselung für Gmail nutzen. So ist es möglich, Schlüssel am Standort ihrer Wahl abzulegen und den Zugriff auf abgedeckte Inhalte zu verwalten.

Google Cloud plant die Entwicklung weiterer Funktionen zur kundenseitigen Kontrolle von Datenstandort und -zugriff.

Neue Standardvertragsklauseln 

Die Europäische Kommission hat zum Schutz personenbezogener Daten in Europa neue Standardvertragsklauseln veröffentlicht, denen Google Cloud entsprechen wird, um Kundendaten zu schützen und die Anforderungen der europäischen Gesetzgebung zum Datenschutz zu erfüllen. Wie auch die bisherigen Standardvertragsklauseln erleichtern diese die rechtskonforme Übertragung von Daten.

Transparenz für risikobasierte Bewertungen

Die EDSA-Empfehlungen führen einen risikobasierten Ansatz ein, der vorsieht, dass Datenexporteure den Risikograd bewerten, den eine bestimmte Übertragung in der Praxis für die Grundrechte bedeutet.

Unser Transparenzbericht legt die Anzahl der Anfragen durch Strafverfolgungsbehörden und andere öffentliche Stellen auf Enterprise Cloud-Kundendaten offen. Die bisherigen Zahlen belegen, dass die Zahl der Anfragen für Enterprise Cloud im Verhältnis zur Enterprise Cloud-Kundenbasis äußerst gering ist. Aus unserem Bericht geht beispielsweise hervor, dass wir im letzten Berichtszeitraum keine Daten von Enterprise-Kunden der Google Cloud Platform auf Anfrage von Behörden vorgelegt haben. Es ist also unwahrscheinlich, dass Enterprise Cloud-Kundendaten von entsprechenden Anfragen betroffen sind.

Darüber hinaus unterstützen wir unsere Kunden bei der Erstellung aussagekräftiger Bewertungen, indem wir ihnen klare, ausführliche Informationen über unseren Prozess zum Umgang mit Behördenanfragen zum Zugriff auf Cloud-Kundendaten geben.

Rechenschaftspflicht

Wir prüfen fortlaufend neue Möglichkeiten, unsere Rechenschaftspflicht und die Compliance-Unterstützung für unsere Kunden zu erweitern. Vor Kurzem haben wir bekannt gegeben, dass wir uns zum Verhaltenskodex der EU-DSGVO, den sogenannten Verhaltensregeln, verpflichten. Verhaltenskodizes sind bewährte Instrumente für die Zusammenarbeit zwischen Branchenakteuren und Datenschutzbehörden zur Einhaltung von Datenschutzauflagen. Wir sind davon überzeugt, dass dieser Kodex ein solides Fundament für die Entwicklung eines Tools zur internationalen Datenübertragung für Cloud-Dienste bietet, und werden die entsprechenden Brancheninitiativen weiterhin unterstützen.

Darüber hinaus werden wir auch weiterhin international anerkannte Datenschutz- und Sicherheitsstandards wie ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 und ISO/IEC 27701 einhalten und uns entsprechend zertifizieren lassen. Diese Zertifizierungen erfolgen durch unabhängige Stellen und belegen unser kontinuierliches Engagement für Sicherheit und Datenschutz.

Engagiertes Eintreten für Richtlinien

Wir setzen uns auch weiterhin für weltweite Grundsätze zu Zugriffsanfragen von Behörden auf Unternehmensdaten ein. Bilaterales und multilaterales Engagement von Behörden ist ein entscheidender Faktor, wenn es darum geht, Regeln für die grenzüberschreitende Offenlegung elektronischer Beweismittel aufzustellen und die Gesetzgebung so zu modernisieren, dass die internationalen Vorschriften erfüllt und potenzielle Normenkollisionen eliminiert werden. Google unterstützt bereits seit Langem entsprechende Initiativen, darunter die Suche nach einem Nachfolgemodell für den US-EU-Datenschutzschild. Ziel ist die Wiederherstellung der Rechtssicherheit für die transatlantische Übertragung personenbezogener Daten und die Entwicklung gemeinsamer globaler Grundsätze für den behördlichen Datenzugriff auf Ebene der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). Wir unterstützen diese Initiativen auch weiterhin und setzen uns zugleich für den Datenschutz und die Sicherheit unserer Kunden ein. 

Millionen von Organisationen mit Nutzer*innen in Europa verlassen sich im täglichen Geschäftsbetrieb auf unsere Cloud-Dienste. Wir verpflichten uns auch weiterhin dazu, sie angesichts der EDSA-Empfehlungen mit unseren Compliance-Tools bei der Einhaltung behördlicher Anforderungen zu unterstützen.