Google Cloud und allgemeine Datenschutzgrundsätze

Unsere gemeinsame Verantwortung für die Einhaltung von Datenschutzbestimmungen.

Ressourcencenter: Datenschutz bei Google CloudGoogle Cloud-Ressourcencenter zum DSFA

In gemeinsamer Sache: Datenschutz

Während sich die direkten Verantwortlichkeiten je nach den von Ihnen genutzten Diensten ändern, liegen die Datenschutzeinstellungen immer in Ihren Händen, während Google immer für den Schutz unserer Infrastruktur verantwortlich ist. Bei der Verwaltung von Datenschutz und Sicherheit verfolgen wir ein Fate-Sharing-Modell. Wir möchten Sie bei der Bereitstellung von Arbeitslasten und bei einem datenschutzkonformen Betrieb unterstützen und Ihnen Produkte und Lösungen zur Verfügung stellen. Dadurch wird auch ein Teil der Kosten für Datenschutz und Compliance weg von den Kunden auf Google Cloud übertragen.

Datenverantwortliche und Datenauftragsverarbeiter

Nach vielen gängigen Datenschutzbestimmungen wird der Umfang der Verantwortlichkeit dadurch bestimmt, ob das Rechtssubjekt als Datenverantwortlicher oder als Datenauftragsverarbeiter agiert. Die genaue Definition variiert je nach Verordnung, aber im Großen und Ganzen bestimmt die Rolle des Verantwortlichen den Zweck und die Mittel der Verarbeitung, während der Auftragsverarbeiter die Verarbeitung gemäß den Weisungen des Verantwortlichen durchführt.

Auf dieser Seite werden einige der allgemeinen Datenschutzprinzipien beschrieben, die für Kunden (in der Regel Datenverantwortliche) und Google Cloud (am häufigsten Datenauftragsverarbeiter) gelten.

Allgemeine Datenschutzgrundsätze für Datenverantwortliche

Die folgenden Datenschutzprinzipien sind für das Verhalten von Datenverantwortlichen, die ihre Daten in der Cloud speichern, relevant und gelten in vielen Rechtsprechungen weltweit. Diese Grundsätze stützen sich auf weltweit anerkannte Standards und Rahmenbedingungen (OECD-Datenschutzgrundsätze, Fair Information Privacy Principles, ISO/IEC 27001 usw.) und wichtige regionale Vorschriften (z. B. LGPD, DSGVO, CPRA).

Weitere Informationen dazu, wie Google Cloud Sie bei der Einhaltung dieser Grundsätze unterstützen kann, finden Sie auf unserer Seite für relevante Produkte.

Weitere Informationen

Datenerhebung und -minimierung

Personenbezogene Daten müssen relevant und auf das beschränkt sein, was für die Zwecke, für die Daten erhoben werden, erforderlich ist.

Speicherbegrenzung

Personenbezogene Daten sollten so aufbewahrt werden, dass die Identifizierung betroffener Personen nicht länger als unbedingt erforderlich möglich ist.

Zweckbeschränkung

Personenbezogene Daten müssen für angegebene, explizite und legitime Zwecke erhoben und dürfen nicht auf eine Weise weiterverarbeitet werden, die mit diesen Zwecken nicht vereinbar ist.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, wobei geeignete technische oder organisatorische Maßnahmen ergriffen werden müssen.


Allgemeine Datenschutzgrundsätze für Datenverarbeiter

In unserer Datenverarbeitungsvereinbarung für Google Workspace und Google Cloud ist unsere Datenschutzverpflichtung unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bedingungen im Laufe der Jahre auf Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt. Sämtliche Daten, die ein Kunde und dessen Nutzer in unsere Systeme eingeben, werden nur gemäß den Weisungen des Kunden verarbeitet.

Verpflichtung zur Vertraulichkeit seitens der Mitarbeiter

Alle Mitarbeiter von Google müssen eine Vertraulichkeitsvereinbarung unterschreiben und obligatorische Schulungen zu Vertraulichkeit und Datenschutz sowie unsere Schulung zum Verhaltenskodex absolvieren. Der Verhaltenskodex von Google befasst sich insbesondere mit den Pflichten und Erwartungen, die wir im Hinblick auf den Schutz von Daten an unsere Mitarbeiter stellen.

Die vollständigen Bedingungen finden Sie unter Zusatz zur Verarbeitung von Cloud-Daten für Google Cloud und Google Workspace.

Die Unternehmen der Google-Gruppe führen die meisten Datenverarbeitungsaktivitäten direkt aus, die zur Bereitstellung der Dienste von Google Workspace und Google Cloud erforderlich sind. Wir beauftragen jedoch auch Drittanbieter, die uns bei der Erbringung dieser Dienste unterstützen. Jeder Anbieter durchläuft ein strenges Auswahlverfahren. Wir stellen damit das nötige technische Fachwissen sowie die Einhaltung des erforderlichen Maßes an Sicherheit und Datenschutz sicher.

Wir stellen Informationen zu den Unterauftragsverarbeitern der Google-Gruppe, die Google Workspace- und Google Cloud-Dienste unterstützen, sowie zu Unterauftragsverarbeitern von Dritten bereit, die an diesen Diensten beteiligt sind.

Eine vollständige Liste der relevanten Vertragsbedingungen finden Sie unter:

  • Google Cloud und Google Workspace – Zusatz zur Verarbeitung von Cloud-Daten (CDPA, Cloud Data Processing Addendum)
  • Datenverarbeitung | Abschnitt 5.2

Google betreibt eine weltweite Infrastruktur, die darauf ausgelegt ist, im gesamten Datenverarbeitungszyklus Sicherheit auf dem neuesten Stand der Technik zu bieten. Diese Infrastruktur ermöglicht eine sichere Bereitstellung von Diensten, eine sichere Speicherung von Daten mit Absicherung des Datenschutzes für Endnutzer, eine sichere Kommunikation zwischen Diensten, eine sichere und private Kommunikation mit Kunden über das Internet sowie einen sicheren Betrieb durch Administratoren. Google Workspace und Google Cloud werden in dieser Infrastruktur ausgeführt.

Wir haben die Sicherheit unserer Infrastruktur in Ebenen strukturiert, die aufeinander aufbauen – angefangen bei der physischen Sicherheit von Rechenzentren über die Sicherheitsmechanismen unserer Hardware und Software bis zu den Prozessen für die operative Sicherheit. Dieser Schutz auf mehreren Ebenen bildet ein starkes Sicherheitsfundament für all unsere Aktivitäten. Eine detaillierte Beschreibung unserer Infrastruktursicherheit finden Sie in unserem Whitepaper „Google Infrastructure Security Design Overview“.

Verfügbarkeit, Integrität und Robustheit

Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Dienste automatisch und unverzüglich von einer Einrichtung in eine andere verlagert,sodass sie ohne Unterbrechung bereitgestellt werden können. Außerdem schützt unsere hochredundante Infrastruktur unsere Kunden vor Datenverlusten.

Tests und Sicherheit von Geräten

Google verwendet Barcodes und Asset-Tags, um den Zustand und den Standort von Geräten des Rechenzentrums vom Erwerb über den Einbau und die Ausmusterung bis hin zur Zerstörung zu verfolgen. Wenn eine Komponente einen Leistungstest zu einem beliebigen Zeitpunkt ihres Lebenszyklus nicht besteht, wird sie aus dem Bestand genommen und ausgemustert. Auf Google-Festplatten werden Technologien wie die vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) und Laufwerksschlösser genutzt, um inaktive Daten zu schützen.

Tests zur Notfallwiederherstellung

Google führt jährlich Tests zur Notfallwiederherstellung durch. Diese bieten einen zentralen Ausgangspunkt für Infrastruktur- und Anwendungsteams, um Kommunikationspläne, Failover-Szenarien, die betriebliche Umstellung und weitere Notfallmaßnahmen zu testen. Alle Teams, die an diesen Tests teilnehmen, entwickeln Testpläne und Störungsanalysen, in denen die entsprechenden Ergebnisse und Erkenntnisse dokumentiert werden.

Verschlüsselung

Google schützt Daten während der Übertragung und im Ruhezustand durch Verschlüsselung. Google Workspace-Daten, die zwischen Regionen übertragen werden, werden durch das HTTPS-Protokoll geschützt, das standardmäßig für alle Nutzer aktiviert ist. In Google Workspace und Google Cloud werden inaktive Inhalte automatisch mit einem oder mehreren Mechanismen verschlüsselt.

Zugriffssteuerung

Bei Google werden Zugriffsrechte und -ebenen je nach Funktion und Rolle der einzelnen Mitarbeiter verwaltet. Es gilt das Prinzip der geringsten Berechtigung und der geringsten Personenzahl. Die Zugriffsrechte stimmen also mit den definierten Zuständigkeitsbereichen überein. Anfragen nach weiterem Zugriff folgen einem festgelegten Verfahren. Die Genehmigung muss durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft erfolgen, wie in den Google-Sicherheitsrichtlinien festgelegt. Rechenzentren mit Google Cloud-Systemen und Infrastrukturkomponenten unterliegen physischen Zugriffsbeschränkungen und sind rund um die Uhr mit Sicherheitspersonal, Sicherheitskräften, Zugangsausweisen, biometrischen Identifikationsmechanismen, physischen Schlössern und Videokameras vor Ort ausgestattet, um das Innen- und Außengelände der Einrichtung zu überwachen.

Vorfallmanagement

Das Google-Sicherheitsteam kümmert sich weltweit rund um die Uhr um die Sicherheit und den Schutz von Kundendaten. Teammitglieder erhalten Benachrichtigungen zu Vorfällen und sind für das Beheben von Notfällen rund um die Uhr verantwortlich. Es gibt Richtlinien zu Reaktionen auf Vorfälle sowie dokumentierte Verfahren zum Lösen kritischer Vorfälle. Informationen aus diesen Ereignissen werden zum Verhindern weiterer Vorfälle und gegebenenfalls auch als Beispiele für Informationssicherheitsschulungen verwendet. Die Verfahren für das Vorfallmanagement und für Reaktionsworkflows von Google sind dokumentiert. Die Vorfallmanagementverfahren von Google werden im Rahmen unserer Programme für ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS, SOC 2 und FedRAMP regelmäßig getestet. Damit liefern wir unseren Kunden und den Aufsichtsbehörden einen Nachweis über die unabhängige Prüfung unserer Kontrollen für Sicherheit, Datenschutz und Compliance. Weitere Informationen zu unseren Incident Response-Verfahren finden Sie in unserem Whitepaper zur Reaktion auf Vorfälle im Zusammenhang mit Daten.

Handhabung von Sicherheitslücken

Für die Suche nach Sicherheitslücken in unserer Software nutzen wir eine Kombination aus kommerziell verfügbaren und speziell zu diesem Zweck entwickelten internen Tools. Darüber hinaus führen wir intensive automatische und manuelle Penetrationstests, Qualitätssicherungsprozesse, Softwaresicherheitsüberprüfungen und externe Audits durch. Außerdem nutzen wir die Expertise der globalen Sicherheitsforscher-Community und schätzen ihre Hilfe bei der Identifizierung von Schwachstellen in Google Workspace, Google Cloud und anderen Google-Produkten. Im Rahmen unseres Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) ermutigen wir Forscher dazu, Design- und Implementierungsschwächen zu melden, die ein Risiko für Kundendaten darstellen können.

Produktsicherheit – Google Workspace: Weitere Informationen finden Sie unter https://workspace.google.com/security.

Produktsicherheit – Google Cloud: Weitere Informationen finden Sie unter https://cloud.google.com/security/.

Die vollständigen Nutzungsbedingungen finden Sie hier:

  • Google Cloud und Google Workspace – Zusatz zur Verarbeitung von Cloud-Daten (CDPA, Cloud Data Processing Addendum)
  • Datensicherheit | Abschnitt 7
  • Sicherheitsmaßnahmen | Anhang 2
  • Weitere Informationen: Whitepaper zur Sicherheit bei Google

Rechte betroffener Personen

Datenverantwortliche können die Verwaltungskonsolen und -dienste von Google Workspace und Google Cloud nutzen, um den Zugriff auf, die Berichtigung, die Einschränkung der Verarbeitung sowie das Löschen der Daten, die sie und ihre Nutzer in unsere Systeme eingeben, zu vereinfachen. Diese Funktion erleichtert es ihnen, ihren Verpflichtungen im Hinblick auf Anträge von betroffenen Personen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen.

Datenschutzteam

Google hat einen Datenschutzbeauftragten für Google LLC und seine Tochtergesellschaften für die Bereiche der Datenverarbeitung ernannt, die der DSGVO unterliegen, einschließlich der Cloud-Produkte und -Dienste. Kristie Chon Flynn ist Datenschutzbeauftragte bei Google. Kristie Chon Flynn lebt in Sunnyvale in den USA.

Dort, wo es erforderlich ist, wurden für die Google Cloud-Produkte spezielle Teams zur Beantwortung von Kundenanfragen zum Thema Datenschutz ernannt. Wie Sie mit diesen Teams Kontakt aufnehmen, ist in der jeweiligen Vereinbarung angegeben. Das für Google Workspace zuständige Cloud-Datenschutzteam kann von den Administratoren des Kunden unter https://support.google.com/a/contact/googlecloud_dpr kontaktiert werden. Hierzu ist eine Anmeldung im Administratorkonto erforderlich. Es kann auch eine entsprechende Mitteilung direkt an Google gesendet werden, wie in der zugehörigen Vereinbarung beschrieben. Für Google Cloud können Sie sich unter https://support.google.com/cloud/contact/dpo an das entsprechende Team wenden.

Benachrichtigungen über Vorfälle

Google Workspace und Google Cloud gehen seit vielen Jahren vertragliche Verpflichtungen im Zusammenhang mit der Benachrichtigung über Vorfälle ein. Wir werden Sie auch weiterhin gemäß den Bestimmungen zu Datenvorfällen in unseren aktuellen Vereinbarungen unverzüglich über Vorfälle im Zusammenhang mit Ihren Kundendaten informieren.

Die vollständigen Bedingungen finden Sie hier:

  • Google Cloud und Google Workspace – Zusatz zur Verarbeitung von Cloud-Daten (CDPA, Cloud Data Processing Addendum)
  • Folgenabschätzungen und Konsultationen | Abschnitt 8

Administratoren können Kundendaten über die Funktionen der Google Workspace- oder der Google Cloud-Dienste jederzeit während der Laufzeit der Vereinbarung exportieren. Weitere Informationen erhalten Sie in der Dokumentation zur Google Cloud. Wir haben schon vor mehreren Jahren Datenexportverpflichtungen in unsere Datenverarbeitungsbedingungen aufgenommen und werden weiter daran arbeiten, unsere Datenexportfunktionen zu verbessern. Damit machen wir es Ihnen noch einfacher, Kopien Ihrer Kundendaten aus Google Workspace- und Google Cloud-Diensten herunterzuladen.

Sie können Kundendaten auch jederzeit über die entsprechenden Funktionen der Google Workspace- oder Google Cloud-Dienste löschen. Wenn Google von Ihnen die Weisung zum vollständigen Löschen erhält, damit also beispielsweise eine von Ihnen gelöschte E-Mail nicht mehr aus dem „Papierkorb“ wiederhergestellt werden kann, löscht Google die entsprechenden Kundendaten innerhalb von maximal 180 Tagen von allen Systemen, sofern keine Verpflichtung zur Aufbewahrung besteht.

Die vollständigen Nutzungsbedingungen finden Sie hier:

  • Google Cloud und Google Workspace – Zusatz zur Verarbeitung von Cloud-Daten (CDPA, Cloud Data Processing Addendum)
  • Löschen von Daten | Abschnitt 6
  • Rechte betroffener Personen; Datenexport | Abschnitt 9.1

Google Cloud und Google Workspace – Zusatz zur Verarbeitung von Cloud-Daten (CDPA, Cloud Data Processing Addendum)

Datensicherheit | Abschnitt 7.4

Zusätzlich zu den Bedingungen der Vereinbarung erwarten unsere Kunden und die Aufsichtsbehörden eine unabhängige Prüfung unserer Sicherheits-, Datenschutz- und Compliance-Kontrollen. Um diesen Erwartungen gerecht zu werden, werden Google Workspace und Google Cloud regelmäßig Prüfungen durch verschiedene unabhängige Dritte unterzogen.

ISO/IEC 27001 (Managementsysteme für die Informationssicherheit)

ISO/IEC 27001 gehört zu den am weitesten verbreiteten und international anerkannten unabhängigen Sicherheitsstandards. Die Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren, die zur Bereitstellung unserer gemeinsam genutzten Common Infrastructure sowie für Google Workspace- und Google Cloud-Produkte eingesetzt werden, sind nach ISO/IEC 27001 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

ISO/IEC 27017 (Cloud Securitty)

ISO/IEC 27017 ist ein internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit, der auf ISO/IEC 27002 basiert und sich speziell auf Cloud-Dienste bezieht. Google Workspace und Google Cloud wurden nach ISO/IEC 27017 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

ISO/IEC 27018 (Datenschutz in der Cloud)

ISO/IEC 27018 ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen in öffentlichen Cloud-Diensten. Google Workspace und Google Cloud wurden nach ISO/IEC 27018 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

ISO/IEC 27701 (Privacy Information Management)

ISO/IEC 27701 ist ein weltweiter Datenschutzstandard, der sich mit der Erhebung und Verarbeitung personenidentifizierbarer Informationen befasst. Dieser Standard ergänzt die Anforderungen von ISO/IEC 27001 und ISO/IEC 27002 um das Thema Datenschutz. Wir haben eine akkreditierte Zertifizierung gemäß ISO/IEC 27701 als Auftragsverarbeiter personenidentifizierbarer Informationen sowohl für Google Workspace als auch für Google Cloud erhalten. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

SSAE18/ISAE 3402 (SOC 2/3):

Das US-Institut amtlich zugelassener Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) hat mit SOC 2 und SOC 3 sogenannte Service Organization Controls geschaffen. Dies sind Auditrahmen für Vertrauensgrundsätze und Kriterien in Bezug auf Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Google verfügt über SOC 2- und SOC 3-Berichte für Google Workspace und Google Cloud. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

Gleich loslegen

Starten Sie Ihr nächstes Projekt, nutzen Sie interaktive Tutorials und verwalten Sie Ihr Konto.

Kontakt
Google Cloud
DocsSupport
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Anmelden
Jetzt kostenlos testen
Kontakt
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud