Einleitung

Eine DSFA ist ein dokumentierter Prozess, der von einem Datenverantwortlichen angewandt wird, um die Datenschutzrisiken eines Projekts zu beschreiben, zu bewerten und zu verwalten sowie die Einhaltung von Datenschutzverpflichtungen nachzuweisen. In diesem Zusammenhang könnte ein „Projekt“ z. B. ein Outsourcing durch eine Organisation sein, bei dem Google Workspace zum Einsatz kommt, oder die Nutzung von Google Workspace for Education zur Unterstützung des Lehrens, Lernens und der Zusammenarbeit.

Organisationen müssen möglicherweise eine DSFA in Bezug auf die personenbezogenen Daten durchführen, die sie als „Verantwortlicher“ verarbeiten. Der Begriff „Verantwortlicher“ im Sinne der DSGVO beschreibt im Wesentlichen eine Organisation, die für sich selbst festlegt, wie und zu welchen Zwecken sie personenbezogene Daten verarbeitet. Uns ist bewusst, dass einige unserer Kunden selbst Datenauftragsverarbeiter sind und im Namen anderer handeln. Dieses Ressourcencenter ist jedoch primär für Organisationen gedacht, die die Cloud-Dienste als Verantwortliche verwenden. 

Eine DSFA sollte Folgendes beschreiben:

• Wie und warum Ihre Organisation personenbezogene Daten verarbeitet und auf welcher Rechtsgrundlage gemäß DSGVO dies geschieht.

• Ihre Einschätzung der Notwendigkeit und Proportionalität der Verarbeitung (warum Ihre Organisation die personenbezogenen Daten verarbeiten muss, um ihr Ziel zu erreichen). Dazu gehört auch, welche Datenauftragsverarbeiter, wie z. B. Google, Ihre Organisation für die Verarbeitung nutzt.

• Alle potenziellen Risiken, die Sie identifiziert haben, und die Maßnahmen, die Sie ergreifen werden, um diesen Risiken zu begegnen und sie zu mindern. Eine DSFA kann eine effektive Möglichkeit sein, die Einhaltung der Datenschutzprinzipien durch Ihr Projekt zu bewerten und nachzuweisen. 

Wenn Sie ein neues Projekt starten, bei dem personenbezogene Daten verarbeitet werden, ist es wichtig, dass Sie frühzeitig entscheiden, ob Ihr Unternehmen eine DSFA benötigt, und sich mit dem Prozess vertraut machen. Eine frühzeitige Durchführung einer DSFA kann Ihnen auch dabei helfen, Änderungen zu identifizieren, die Sie möglicherweise an Ihrem Projekt vornehmen müssen (oder wollen). Wenn Sie feststellen, dass Sie eine DSFA benötigen, müssen Sie diese gemäß DSGVO abschließen, bevor die Verarbeitung personenbezogener Daten beginnt. Weitere Informationen finden Sie unter Benötigen Sie eine DSFA?

Eine DSFA sollte außerdem fortlaufend überprüft werden. Wenn sich die Verarbeitung der personenbezogenen Daten wesentlich ändert (z. B. wenn Sie die Cloud-Dienste für neue Arbeitslasten oder zur Verarbeitung verschiedener Datasets verwenden), sollten Sie die Risiken noch einmal bewerten und bestimmen, ob zusätzliche Maßnahmen erforderlich sind, um sie zu minimieren.

Wenn Ihre Organisation ein Datenverantwortlicher ist, der der DSGVO unterliegt, ist Ihre Organisation dafür verantwortlich, zu prüfen, ob eine DSFA erforderlich ist, und die DSFA vorzubereiten. 

Wenn Ihre Organisation einen Datenschutzbeauftragten (DSB) hat, ist es wichtig, dass Sie bei der Durchführung einer DSFA dessen Rat einholen. Sie können auch andere Teams oder Personen in Ihrer Organisation mit entsprechenden Fähigkeiten und Fachkenntnissen zur Unterstützung des Prozesses einbeziehen, z. B. IT-, Compliance- oder Rechtsteams.

Eine DSFA kann intern durchgeführt oder an einen externen Berater übertragen werden, aber Ihre Organisation bleibt dafür verantwortlich.

Wenn Ihre Organisation ein Verantwortlicher ist, der der DSGVO unterliegt, muss Ihre Organisation eine DSFA durchführen, wenn die Verarbeitung personenbezogener Daten im Zusammenhang mit Ihrem Projekt wahrscheinlich ein „hohes Risiko“ für die Rechte und Freiheiten von Einzelpersonen darstellt. Einige Arten der Datenverarbeitung werden immer als „hohes Risiko“ betrachtet und erfordern immer eine DSFA gemäß der DSGVO. Bei anderen Arten der Verarbeitung muss Ihre Organisation eine objektive Bewertung der damit verbundenen Risiken durchführen. 

Der Europäische Datenschutzausschuss hat den Einsatz neuer Technologien als einen der Faktoren bezeichnet, die auf ein „hohes Risiko“ gemäß der DSGVO hindeuten können, und hat Richtlinien herausgegeben, die besagen, dass für viele Verarbeitungsvorgänge im öffentlichen Sektor, die Cloud-Dienste für die Verarbeitung von Daten nutzen, wahrscheinlich eine DSFA erforderlich ist.

Weitere Informationen finden Sie im Abschnitt „Wie entscheiden Sie, ob die Verarbeitung eine DSFA erfordert?“ weiter unten.

Die folgenden Informationen sollten Ihnen bei einer ersten Einschätzung helfen, ob Ihre Organisation eine DSFA durchführen muss. Wir empfehlen Ihnen dennoch, sich die Vorgaben der Datenschutzaufsichtsbehörde Ihres Landes durchzulesen und sich an einen unabhängigen Rechtsberater zu wenden.  

Wenn Ihre Organisation nur als Datenauftragsverarbeiter auftritt, der der DSGVO unterliegt, muss sie gemäß der DSGVO keine DSFA durchführen – auch wenn dies eine hilfreiche Compliance-Maßnahme sein kann. 

Wenn die DSGVO gilt, ist für einige Verarbeitungsaktivitäten immer eine DSFA erforderlich. Ist dies der Fall, umfasst Ihr Projekt eine der folgenden Aufgaben:

• Automatisierte Verarbeitung personenbezogener Daten, die eine systematische und umfassende Bewertung personenbezogener Aspekte von Einzelpersonen (einschließlich Profilerstellung) umfasst. Diese Verarbeitung beeinflusst Entscheidungen mit rechtlichen (oder ähnlich erheblichen) Auswirkungen auf diese Personen.

Wenn Ihre Organisation beispielsweise die Cloud-Dienste verwendet, um personenbezogene Daten ihrer Mitarbeiter (z.B. ihre Arbeitsleistung) automatisch (z.B. ohne menschliches Eingreifen) zu analysieren und sich dies auf ihre individuellen Beschäftigungsbedingungen oder ihr Gehalt auswirken könnte, benötigen Sie wahrscheinlich eine DSFA, um die DSGVO einzuhalten.

• Datenverarbeitung in großem Maßstab für spezielle Datenkategorien oder Daten zu strafrechtlichen Verurteilungen oder Straftaten. 

Wenn Ihre Organisation beispielsweise Cloud-Speicher verwendet, um große Datensätze mit Gesundheitsdaten von Einzelpersonen zu speichern, z. B. Krankenakten oder klinische Testergebnisse, benötigen Sie wahrscheinlich eine DSFA, um die Anforderungen der DSGVO zu erfüllen.

• Systematische Überwachung öffentlich zugänglicher Bereiche in großem Umfang. In diesem Zusammenhang ist ein öffentlich zugänglicher Bereich jeder Bereich, der für alle Mitglieder der Öffentlichkeit zugänglich ist.

Wenn Ihre Organisation beispielsweise vor hat, Ihr Überwachungskamerasystem in die Cloud-Dienste zu integrieren, z. B. um Aufnahmen Ihrer Büroumgebung in der Cloud zu speichern, benötigen Sie wahrscheinlich eine DSFA, um die Anforderungen der DSGVO zu erfüllen.

Hinweis: Jede europäische Datenschutzaufsichtsbehörde hat zusätzliche Verarbeitungsarten festgelegt, für die immer eine DSFA gemäß der DSGVO erforderlich ist. Sie sollten sich daher über die zusätzlichen Anforderungen in Ihrem Land informieren. 

Für die oben beschriebene Verarbeitung ist immer eine DSFA erforderlich, wenn die DSGVO gilt. Auch wenn die Datenverarbeitung in Ihrer Organisation nicht in diese Kategorien fällt, müssen Sie dennoch entscheiden, ob die Verarbeitung Ihrer Organisation ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen gemäß der DSGVO mit sich bringt.

Wenn die DSGVO gilt, müssen Sie für diese Entscheidung die Risiken bei der Verarbeitung durch Ihre Organisation objektiv bewerten. Bei Ihrer Bewertung müssen die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung berücksichtigt werden. Mit anderen Worten, was Sie mit den personenbezogenen Daten machen, warum und unter welchen Umständen. 

Eine DSFA ist für die Verarbeitung durch die DSGVO mit höherer Wahrscheinlichkeit vorgeschrieben, wenn für die Verarbeitung neue Technologien zum Einsatz kommen. Das bedeutet aber nicht unbedingt, dass für jede Verarbeitung mit neuen Technologien standardmäßig eine DSFA erforderlich ist. Wenn Ihre Organisation jedoch innovative Technologien oder neue Anwendungen bestehender Technologien einsetzt, sollten Sie die Nutzung im Rahmen Ihrer Bewertung berücksichtigen. Wir empfehlen Kunden der Cloud-Dienste, bei der Vorbereitung der Risikobewertung besonders auf die Rolle der Technologie von Google Cloud bei der Verarbeitung zu achten.

Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien erstellt, die Aufschluss darüber geben, ob Ihre Verarbeitung gemäß DSGVO mit einem „hohen Risiko“ verbunden ist. Dieser Leitfaden umfasst neun Faktoren, die Indikatoren für ein „hohes Risiko“ sind, wenn die DSGVO gilt:

1. Die Verarbeitung umfasst die Profilerstellung, die Beurteilung oder Bewertung von Einzelpersonen (z. B. Bonitätsbewertungen).

2. Sie treffen automatisierte Entscheidungen anhand von personenbezogenen Daten, die rechtliche oder ähnliche Auswirkungen auf Einzelpersonen haben (z. B. E-Rekrutierung oder Ablehnung eines Online-Kreditantrags).

3. Sie überwachen Personen systematisch (z. B. CCTV oder Standortverfolgung).

4. Sie verarbeiten Daten aus besonderen Kategorien oder Daten von sehr persönlicher Natur (z. B. Krankenakten).

5. Sie verarbeiten personenbezogene Daten in großem Umfang. Da „großer Umfang“ in den Richtlinien nicht definiert wird, liegt dies in Ihrem Ermessen.

6. Sie vergleichen oder kombinieren verschiedene Datasets (z. B. wenn Sie ein separates Dataset von einem Drittanbieter erhalten haben, um ein vorhandenes Dataset anzureichern).

7. Sie verarbeiten Daten über schutzbedürftige Personen (z. B. Kinder oder Patienten).

8. Sie wenden neue technologische oder organisatorische Lösungen an oder Sie nutzen innovative Technologien (z. B. Künstliche Intelligenz).

9. Ihre Verarbeitung hindert Einzelpersonen daran, ein Recht ausüben oder eine Dienstleistung oder einen Vertrag in Anspruch zu nehmen (z. B. einer Person einen Kredit zu verweigern).

Allgemein gilt: Wenn die Verarbeitung Ihrer Organisation zwei oder mehr dieser Risikofaktoren erfüllt, müssen Sie wahrscheinlich eine DSFA gemäß der DSGVO durchführen.

Ein weiterer Faktor, der für Ihre Entscheidung von Bedeutung ist, ist, ob es sich bei Ihrer Organisation um eine öffentliche Einrichtung handelt oder ob Ihre Organisation personenbezogene Daten im öffentlichen Sektor verarbeitet (z. B. Regierungsbehörden, Gemeinderäte oder Kommunalverwaltungen). Der EDSA hat Richtlinien herausgegeben, dass viele Verarbeitungsvorgänge im öffentlichen Sektor, die auf Cloud-Dienste angewiesen sind, mit hoher Wahrscheinlichkeit zu einem „hohen Risiko“ gemäß der DSGVO führen werden, z. B. aufgrund der sensiblen Natur der Daten oder des Umfangs der Verarbeitung.

Einige europäische Datenschutzaufsichtsbehörden haben Tools zur Risikobewertung entwickelt, die Ihnen bei der Entscheidung helfen, ob Sie eine DSFA benötigen. Wenn also die DSGVO gilt, empfehlen wir Ihnen dringend, auf der Website Ihrer Behörde nach Informationen zu suchen.

Als Datenverantwortlicher ist Ihre Organisation dafür verantwortlich, zu ermitteln, ob eine DSFA erforderlich ist, und im Anschluss auch für die Vorbereitung der DSFA. Google kann keine DSFA im Namen unserer Kunden durchführen. Wir stellen Ihnen jedoch Informationen und andere Ressourcen zur Verfügung, die Ihnen bei der Durchführung der DSFA für Ihre Nutzung der Cloud-Dienste helfen können.

Eine DSFA besteht im Allgemeinen aus mehreren Schlüsselphasen, die in diesem Abschnitt genauer erläutert werden:

1. Beschreibung der Datenverarbeitung

2. Beurteilung der Notwendigkeit und Verhältnismäßigkeit

3. Beschreibung der Risiken und Ihres Umganges damit

4. Einholen zusätzlicher Informationen

5. Dokumentation Ihrer Schlussfolgerungen

Es gibt kein festgelegtes Format für eine DSFA. Einige Datenschutzaufsichtsbehörden haben Vorlagen veröffentlicht, die Sie verwenden können. Alternativ können Sie auch die von Google Cloud bereitgestellten Vorlagen nutzen (siehe So unterstützt Google Ihre DSFA).

Unabhängig davon, ob Sie eine Vorlage verwenden oder Ihr eigenes DSFA-Format erstellen, sollte Ihre DSFA Folgendes enthalten:

• Wie und warum Ihre Organisation personenbezogene Daten verarbeitet und Ihre Rechtsgrundlage gemäß der DSGVO (z. B. Einwilligung, Erfüllung eines Vertrags oder berechtigtes Interesse).

• Ihre Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung (warum Sie die personenbezogenen Daten verarbeiten müssen, um Ihr Ziel zu erreichen).

• Alle potenziellen Risiken, die Sie identifiziert haben, und die Maßnahmen, die Sie ergreifen werden, um diesen Risiken zu begegnen und sie zu mindern. Dies kann eine effektive Möglichkeit sein, um die Einhaltung der Datenschutzprinzipien durch Ihr Projekt zu bewerten und nachzuweisen.

Darüber hinaus ist die regelmäßige Überwachung der Datenverarbeitungsaktivitäten, für die Ihre DSFA durchgeführt wird, und das Einbinden von Aktualisierungen bei Bedarf ein wichtiger Bestandteil des gesamten DSFA-Lebenszyklus. Wenn eine wesentliche Änderung auftritt, die sich auf die Datenverarbeitungsaktivitäten auswirkt, sollten Sie die relevanten Teile der DSFA prüfen und entsprechend aktualisieren.

1. Beschreibung der Datenverarbeitung

Sie müssen eine funktionale Beschreibung der Datenverarbeitung Ihrer Organisation angeben. Dabei kann es hilfreich sein, sich die folgenden Fragen zu stellen:

• Welche Arten von personenbezogenen Daten werden in Ihrem Projekt verwendet (z. B. Namen, Kontaktdaten, Finanzdaten, E-Mail-Adressen)?

• Auf wen beziehen sich die personenbezogenen Daten (auch betroffene Personen genannt) (z. B. Ihre Mitarbeiter, Kunden, Schüler oder Studenten)?

• Was sind die Quellen der personenbezogenen Daten? Holen Sie sie direkt von den Einzelpersonen oder über einen Dritten ein? 

• Zu welchen Zwecken werden Sie die Daten verwenden? Mit anderen Worten, warum verarbeiten Sie sie?

• Wie werden die Daten genutzt? Wie speichern Sie sie? Wie lange werden Sie sie behalten?

• Wer hat Zugriff auf die personenbezogenen Daten innerhalb Ihrer Organisation?

• Werden die Daten an Personen außerhalb Ihrer Organisation weitergegeben?

Sie können der Beschreibung auch Diagramme, Flussdiagramme oder andere visuelle Hilfsmittel hinzufügen. 

2. Beurteilung der Notwendigkeit und Verhältnismäßigkeit 

Notwendigkeit und Verhältnismäßigkeit sind Grundprinzipien im europäischen Datenschutzrecht und können auch für Gesetze außerhalb Europas relevant sein.

Um die Notwendigkeit und Verhältnismäßigkeit Ihrer Datenverarbeitung nachzuweisen, wenn die DSGVO gilt, müssen Sie nachweisen, dass Ihre Organisation bereit ist, die Datenschutzverpflichtungen gemäß der DSGVO zu erfüllen. Außerdem sollte Ihre Bewertung zeigen, dass Sie sich über Folgendes nachgedacht haben:

• Welche Rechtsgrundlage besteht gemäß Artikel 6 der DSGVO für die Verarbeitung dieser Daten (z. B. Einwilligung, Erfüllung eines Vertrages, berechtigte Interessen)? Wenn Sie sich auf Ihre berechtigten Interessen stützen, sollten Sie diese angeben.

• Ist die Verarbeitung notwendig, um Ihren Zweck zu erreichen? Sind Sie überzeugt, dass Sie diesen Zweck nicht erreichen können, ohne die personenbezogenen Daten zu verarbeiten?

• Wie werden Sie sicherstellen, dass Sie nicht mehr personenbezogene Daten als nötig verarbeiten? Haben Sie die Pseudonymisierung oder Anonymisierung der Daten in Betracht gezogen?

• Wie teilen Sie den betroffenen Personen mit, dass Sie ihre personenbezogenen Daten verarbeiten, und wie stellen Sie ihnen die gemäß DSGVO erforderlichen Informationen zur Verfügung (z. B. Datenschutzerklärungen oder Hinweise)?

• Informieren Sie die betroffenen Personen über ihre Rechte in Bezug auf Ihre Nutzung ihrer personenbezogenen Daten, z. B. um auf die personenbezogenen Daten zuzugreifen oder Ihrer Verarbeitung zu widersprechen? Weitere Informationen dazu, wie die Cloud-Dienste die Rechte betroffener Personen unterstützen, finden Sie unter So unterstützt Google Ihre DSFA. 

• Haben Sie eine maximale Aufbewahrungsdauer für die personenbezogenen Daten festgelegt? Wie ist diese gerechtfertigt und welche Maßnahmen können Sie ergreifen, um sicherzustellen, dass die Daten zum richtigen Zeitpunkt gelöscht werden?

• Welche Datenauftragsverarbeiter nutzen Sie, um Ihre Datenverarbeitung zu unterstützen? Google Cloud wird einer Ihrer Datenauftragsverarbeiter sein, und Sie sollten dies in Ihrer DSFA dokumentieren. Weitere Informationen zu Google und seinen Unterauftragsverarbeitern finden Sie unter So unterstützt Google Ihre DSFA. 

• Welche Sicherheitsmaßnahmen ergreifen Sie, um die Daten in Drittländern zu schützen, wenn Sie Daten mit anderen (z.B. externen Unternehmen oder eigenen Tochtergesellschaften) teilen, die sich außerhalb des Europäischen Wirtschaftsraums in einem Land befinden, das kein angemessenes Datenschutzniveau bietet (wie von der Europäischen Kommission bestimmt?) Weitere Informationen zu den Sicherheitsmaßnahmen von Google Cloud für Datenübertragungen finden Sie unter Wie kann Google Sie bei der Einhaltung der Datenschutzgrundsätze unterstützen?.

• Wenn die Verarbeitung dem Verhaltenskodex entspricht, der von einer Datenschutzaufsichtsbehörde genehmigt wurde, sollten Sie dies berücksichtigen. Weitere Informationen zur Einhaltung des Cloud-Verhaltenskodex der EU (Cloud Code of Conduct) durch Google finden Sie unter So unterstützt Google Ihre DSFA.

3. Beschreibung der Risiken und Ihres Umganges damit

Ihre DSFA sollte die Risiken für die Rechte und Freiheiten von Einzelpersonen identifizieren, die sich aus der Datenverarbeitung durch Ihre Organisation ergeben können. 

Die Identifizierung dieser Risiken ist ein entscheidender Bestandteil der DSFA: Ihre Bewertung der tatsächlichen Auswirkungen der Datenverarbeitungsaktivität. Die Auswirkungen und Risiken können je nach den Aktivitäten Ihrer Organisation, der Art der personenbezogenen Daten und den betroffenen Personen variieren. 

Es gibt viele Möglichkeiten, die Auswirkungen und Risiken in Bezug auf den Datenschutz zu bewerten, und die DSGVO erfordert keinen bestimmten Ansatz. Einige europäische Datenschutzbehörden haben Materialien und Tools veröffentlicht, die Organisationen bei dieser Bewertung unterstützen.

Nachfolgend sind einige Punkte aufgeführt, die wahrscheinlich Teil Ihrer Beurteilung sind.

A) Welche potenziellen Risiken sollten Sie berücksichtigen?

Ihre DSFA sollte die negativen Auswirkungen berücksichtigen, die durch Ihr Projekt entstehen können. Es kann hilfreich sein, sich in die Lage der Personen zu versetzen, deren personenbezogene Daten verarbeitet werden, und darüber nachzudenken, was ihnen Sorgen machen könnte. 

Beispiele für potenzielle Risiken:

• Für Einzelpersonen überraschende oder unerwartete Nutzung der personenbezogenen Daten.

• Verlust der Kontrolle der Einzelpersonen über ihre personenbezogenen Daten.

• Diskriminierung oder Voreingenommenheit

• Erhöhtes Risiko für Identitätsdiebstahl und Betrug.

• Invasion des Privatlebens der Menschen.

• Verlust der Vertraulichkeit.

• Re-Identifikation pseudonymisierter Daten.

• Offenlegung vertraulicher Informationen oder Informationen über schutzbedürftige Personen (z. B. Kinder).

• Erfassung fehlerhafter Informationen oder falsche Annahmen über die Person.

Sie sollten auch Ihre eigenen Risiken als Unternehmen einbeziehen, z. B. das Risiko von Reputationsschäden, regulatorische Maßnahmen oder dem Verlust von Vertrauen in der Öffentlichkeit.

Berücksichtigen Sie auch das Risikoniveau und dabei sowohl die Wahrscheinlichkeit als auch den Schweregrad des potenziellen Schadens. Ein Risiko kann beispielsweise sehr ernst sein, in der Praxis aber sehr unwahrscheinlich sein. Ein Risiko kann hingegen relativ gering sein, aber seine Eintrittswahrscheinlichkeit hoch. Es kann hilfreich sein, einen numerischen Risiko-Score zuzuweisen oder einen Rot-/Gelb-/Grün-Ampelansatz zu verwenden. 

B) Welche Schritte können Sie unternehmen, um die Risiken zu mindern?

Nachdem Sie das Risikoniveau bewertet haben, sollten Sie alle Schritte identifizieren, die Sie unternehmen können, um diese Risiken zu mindern. Beispiele für Maßnahmen zur Risikobegrenzung:

• Entscheidung gegen die Erhebung bestimmter personenbezogener Daten.

• Pseudonymisierung der Daten

• Nach Möglichkeit gefährdete Personen aus dem Datensatz ausschließen.

• Maßnahmen zur Sicherstellung eines dem Risiko angemessenen Sicherheitsniveaus.

• Interne Richtlinien zur Datenverarbeitung für Mitarbeiter einführen

• Mitarbeiter im Umgang mit personenbezogenen Daten schulen

• Ergreifen zusätzlicher Maßnahmen, um Einzelpersonen darüber zu informieren, wie das Unternehmen mit ihren personenbezogenen Daten umgeht.

• Nutzern die Wahl lassen, wie ihre personenbezogenen Daten verwendet werden.

Sie müssen nicht alle Risiken vollständig ausschließen. Sie sollten jedoch in der Lage sein, die Gesamtrisiken gemäß Ihren Verpflichtungen gemäß der DSGVO (sofern zutreffend) auf ein akzeptables Niveau zu reduzieren. Bei der Bewertung der Restrisiken können Sie den Nutzen Ihres Projekts berücksichtigen, einschließlich des Nutzens für die einzelnen Personen. Wenn die Restrisiken „hoch“ bleiben, können Sie entscheiden, dass Sie das Projekt nicht fortsetzen oder dass Sie sich an Ihre Datenschutzaufsichtsbehörde wenden müssen, bevor Sie fortfahren.

4. Einholen zusätzlicher Informationen

Wenn Ihre Organisation einen Datenschutzbeauftragten (DSB) hat und der DSGVO unterliegt, müssen Sie sich bei der Vorbereitung einer DSFA gemäß der DSGVO an diesen wenden. Es kann auch hilfreich sein, mit anderen Stakeholdern in Ihrem Unternehmen zu sprechen, z. B. IT-, Compliance- oder Rechtsabteilungen. 

Je nach Art Ihres Projekts und den damit verbundenen Risiken ist es möglicherweise auch ratsam, Input von den Personen einzuholen, deren Daten Sie verarbeiten. Je nach Projekt und Standort können diese Eingaben viele Formen annehmen, z. B. das Sprechen mit Ihren Mitarbeitenden, um eventuelle Fragen oder Bedenken zu beantworten; Konsultation mit Vertretern der Arbeitnehmer in Ihrer Organisation (z. B. einem Betriebsrat oder Ausschuss, sofern vorhanden) oder Durchführen von Marktforschung, um die Ansichten Ihrer Endnutzer (z. B. Ihrer Kundschaft, bei einem Einzelhandelsunternehmen) herauszufinden. 

5. Dokumentation Ihrer Schlussfolgerungen

Nach Abschluss der Bewertung sollten Sie Folgendes in Ihre DSFA eintragen:

• Die von Ihnen identifizierten Risiken der geplanten Verarbeitung personenbezogener Daten

• Die Maßnahmen, die Sie ergreifen werden, um diese Risiken zu mindern.

• In welchem Umfang Restrisiken bestehen und wie hoch diese sind.

• Ob Sie weitere Maßnahmen ergreifen müssen, z. B. Ihre Datenschutzaufsichtsbehörde konsultieren.

Wenn die DSGVO gilt und Ihre DSFA zu dem Schluss kommt, dass alle identifizierten Risiken ausreichend gemindert wurden, können Sie ohne Rücksprache mit der Datenschutzaufsichtsbehörde Ihres Unternehmens fortfahren.

Wenn jedoch die DSGVO gilt und Ihre DSFA zu dem Schluss kommt, dass die Verarbeitung (ungeachtet etwaiger Risikominderungen) ein „hohes Risiko“ darstellt, müssen Sie sich vor Beginn der Verarbeitung an Ihre Datenschutzaufsichtsbehörde wenden. Andernfalls können Sie das Projekt nicht weiterverfolgen. 

Wir bieten zwei Vorlagen für DSFA an: eine für Google Workspace(einschließlich Google Workspace for Education) und eine für Google Cloud:

• DSFA-Vorlage für Google Workspace

• DSFA-Vorlage für Google Cloud

Diese Vorlagen können Ihnen bei der Planung und Durchführung Ihrer DSFA helfen. Sie wurden zwar für die Verwendung in Verbindung mit den Cloud-Diensten entwickelt, sie können jedoch nicht alle möglichen Anwendungsfälle unserer Kunden für die Cloud-Dienste vorhersehen und sind daher allgemein gehalten und sollten als empfohlener Ausgangspunkt betrachtet werden. Außerdem stellen die darin enthaltenen Informationen keine Rechtsberatung dar. Denken Sie daran, dass Sie als Datenverantwortlicher die Verantwortung für die Erstellung einer DSFA (sofern gemäß der DSGVO oder anderen Datenschutzgesetzen erforderlich) haben und diese auf Ihre geplanten Anwendungsfälle für die Cloud-Dienste zugeschnitten sein muss.

Im Rahmen der DSGVO gibt es kein festgelegtes Format für eine DSFA. Einige europäische Datenschutzbehörden haben eigene Vorlagen für DSFA veröffentlicht. Sie können sich auch diese vorgeschlagenen Formate ansehen.

Im Folgenden finden Sie Informationen zu den Cloud-Diensten, damit unsere Kunden die relevante Datenverarbeitung besser beschreiben können. Außerdem finden Sie Links zu zusätzlichen Materialien über die Cloud-Dienste, die beim Ausfüllen dieses Abschnitts Ihrer DSFA hilfreich sein können.

Welche personenbezogenen Daten sollte Ihre DSFA abdecken?

Ihre DSFA sollte alle personenbezogenen Daten abdecken, die Sie als Verantwortlicher verarbeiten und die unter die Definition des Begriffs „Personenbezogene Kundendaten“ im Zusatz zur Verarbeitung von Cloud-Daten fallen.

Gemäß Anhang 1 des Zusatzes zur Verarbeitung von Cloud-Daten umfassen die Kategorien personenbezogener Daten, die über die Cloud-Dienste verarbeitet werden, alle Daten zu Personen, die Google über die Cloud-Dienste vom Kunden (oder auf dessen Anweisung) bzw. dessen Endnutzern zur Verfügung gestellt werden. 

In der Praxis kann dies Folgendes umfassen:

• Personenbezogene Daten, einschließlich aller Informationen, die die betroffene Person und ihre persönlichen Eigenschaften identifizieren, einschließlich Name, Adresse, Kontaktdaten, Alter, Geburtsdatum, Geschlecht und physische Beschreibung.

• Beschäftigungsdetails, einschließlich Informationen zur Beschäftigung der betroffenen Person, wie Beschäftigungs- und Karriereverlauf, Details zu Rekrutierung und Kündigung, Teilnahme- und Leistungseinschätzungen, Schulungsunterlagen und Sicherheitsunterlagen.

• Finanzielle Details, einschließlich Informationen zu den finanziellen Angelegenheiten der betroffenen Person, wie Einkommen, Gehalt, Vermögenswerte und Investitionen, Zahlungen, Kreditwürdigkeit, Darlehen, Leistungen, Zuschüsse, Versicherungsdetails und Informationen zur Rente.

• Details zur schulischen und beruflichen Ausbildung, einschließlich Informationen, die sich auf jede berufliche Ausbildung der betroffenen Person beziehen, wie akademische Aufzeichnungen, Qualifikationen, Fähigkeiten, Schulungsunterlagen, berufliche Fachkenntnisse sowie Schüler- und Studentenunterlagen.

• Personenbezogene Daten, die von einer Behörde zu Identifizierungszwecken ausgestellt wurden, darunter Reisepassdetails, Sozialversicherungsnummern, Ausweisnummern, Führerscheinnummern.

• Familie, Lebensstil und soziale Umstände, einschließlich aller Informationen in Bezug auf die Familie der betroffenen Person und den Lebensstil sowie die sozialen Umstände der betroffenen Person, einschließlich Angaben zu Familie und anderen Haushaltsmitgliedern, Gewohnheiten, Wohnen, Reisedetails, Freizeitaktivitäten und Mitgliedschaft in wohltätigen oder ehrenamtlichen Organisationen.

• Alle anderen personenbezogenen Daten, die von Ihrem Unternehmen kontrolliert werden.

Abhängig von der beabsichtigten Nutzung der Cloud-Dienste durch Ihre Organisation können die personenbezogenen Daten besondere Kategorien von personenbezogenen Daten gemäß der DSGVO oder anderen Datenschutzgesetzen umfassen, z.B. Daten, die die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft offenlegen, genetische Daten, biometrische Daten (wenn diese zur Identifizierung verwendet werden) oder Daten in Bezug auf die sexuelle Orientierung oder Gesundheit.

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Unabhängig von der Verarbeitung personenbezogener Kundendaten durch Google verarbeitet Google bei der Bereitstellung von Cloud-Diensten auch Dienstdaten. Gemäß den Datenschutzhinweisen für Google Cloud bezeichnet Dienstdaten die personenbezogenen Daten, die Google während der Bereitstellung oder Verwaltung der Cloud-Dienste erhebt oder erstellt. Kundendaten sind davon ausgenommen.

Kunden von Google Workspace for Education können können mit Google Vertragsbedingungen (den sogenannten Google Workspace for Education Service Data Addendum) abschließen, unter denen sie Verantwortliche für Dienstdaten sind und Google als ihren Auftragsverarbeiter von Dienstdaten beauftragen. Mit Ausnahme der eingeschränkten Verarbeitung von Dienstdaten, bleibt Google weiterhin als Verantwortlicher tätig. Diese Kunden möchten möglicherweise die Bereiche dieses Ressourcencenters verwenden, die dieselbe Überschrift wie dieser Unterabschnitt haben, um die Verwendung von Dienstdaten in ihren DSFA zu berücksichtigen.

Wie können Sie die Verarbeitung beschreiben, die mit Ihrer Nutzung der Cloud-Dienste verbunden ist?

Wenn Sie die Verarbeitungsaktivitäten beschreiben, können Sie als Hilfe unsere Beschreibung der Dienste und Funktionen lesen, die im Rahmen der Cloud-Dienste verfügbar sind.

• Google Workspace und Google Workspace for Education sind Tools für Produktivität und Zusammenarbeit. Die Dienste werden im Überblick über die Dienste von Google Workspace beschrieben. Wählen Sie die Version/SKU aus, die für Sie relevant ist. Weitere Informationen zu diesen Diensten finden Sie hier für Google Workspace und hier für Google Workspace for Education.

• Google Cloud umfasst mehr als 150 Cloud-Computing-, Datenanalyse- und ML-Produkte. Die für Google Cloud-Kunden verfügbaren Dienste werden in der Zusammenfassung der Google Cloud-Dienste beschrieben. Weitere Informationen zu diesen Diensten finden Sie hier.

Zur Klarstellung: Die Cloud-Dienste sind unabhängig von den allgemeinen Verbraucherdiensten, die auch von Google angeboten werden, wie YouTube und die Google Suche. Die Cloud-Dienste geben keine Kundendaten (einschließlich personenbezogener Kundendaten) an diese Verbraucherdienste weiter, um sie kommerziell zu nutzen (z.B. zur Verbesserung von Diensten, zur Werbung oder zum Trainieren von KI-Modellen).

Was bedeutet die Nutzung der Cloud-Dienste für Ihre Datenverarbeitung?

In der DSFA sollten die Zwecke beschrieben werden, zu denen Ihre Organisation (als Verantwortlicher) die Auftragsverarbeiter anweist, personenbezogene Daten in ihrem Namen zu verarbeiten.

Wenn Ihre Organisation die Cloud-Dienste nutzt, beauftragt sie Google Cloud mit der Verarbeitung personenbezogener Kundendaten zur Förderung dieser Zwecke. Insbesondere weist Ihre Organisation (als Verantwortlicher) Google Cloud (als Auftragsverarbeiter) an, personenbezogene Kundendaten in Übereinstimmung mit der anwendbaren Cloud-Dienstvereinbarung (einschließlich des Zusatzes zur Verarbeitung von Cloud-Daten) nur für die folgenden Zwecke zu verarbeiten:

• Um die Cloud-Dienste und alle technischen Supportdienste, die im Rahmen Ihrer Cloud-Dienstvereinbarung bereitgestellt werden, bereitzustellen, zu sichern und zu überwachen.

• Wie durch Ihre Nutzung der entsprechenden Cloud-Dienste und der technischen Supportdienste oder über andere schriftliche Anweisungen, die Sie im Rahmen des Zusatzes zur Verarbeitung von Cloud-Daten erteilt haben und von Google als solche anerkannt werden, näher beschrieben wird.

Google wird Ihre Weisungen in Bezug auf eine solche Verarbeitung wie im Zusatz zur Verarbeitung von Cloud-Daten beschrieben befolgen.

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Wenn Sie Google Workspace for Education-Kunde sind und den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben, folgen Sie der Anleitung „Google Cloud (als Auftragsverarbeiter)“ im Hinblick auf die in diesem Zusatz aufgeführten Dienstdaten.

Welche Drittanbieter haben Zugriff auf personenbezogene Daten in den Cloud-Diensten?

In der DSFA sollten Dritte angegeben sein, an die Sie personenbezogene Daten weitergeben:

• Wenn Sie die Cloud-Dienste nutzen, geben Sie personenbezogene Kundendaten an den im Zusatz zur Verarbeitung von Cloud-Daten angegebenen Auftraggeber von Google weiter, der ein Auftragsverarbeiter dieser Daten ist. Hier können Sie die richtige Entität prüfen.

• Google Cloud setzt auch Unterauftragsverarbeiter ein, um in Verbindung mit den Cloud-Diensten eingeschränkte Aktivitäten auszuführen, z. B. technische Supportdienste, den Betrieb von Rechenzentren oder die Wartung von Diensten. Wenn Sie unserem Zusatz zur Verarbeitung von Cloud-Daten zustimmen, autorisieren Sie die Ernennung dieser Dritten.

Hinweis: Eine Liste der Unterauftragsverarbeiter und Informationen zu ihren Aktivitäten für Google Workspace (einschließlich Google Workspace for Education) finden Sie hier und für Google Cloud hier.

Wenn Unterauftragsverarbeiter eingesetzt werden, verpflichtet sich Google, für Folgendes zu sorgen:

• Jeder Unterauftragsverarbeiter hat nur im Rahmen der ihm übertragenen begrenzten Aktivitäten Zugriff auf Kundendaten (einschließlich personenbezogener Kundendaten) und tut dies in Übereinstimmung mit der Cloud-Dienstvereinbarung zwischen Google und dem Kunden (einschließlich des Zusatzes zur Verarbeitung von Cloud-Daten).

• Die im CDPA beschriebenen Datenschutzverpflichtungen werden den Unterauftragsverarbeitern gemäß der DSGVO oder anderen Datenschutzgesetzen (falls zutreffend) auferlegt.

• Unsere Kunden werden im Voraus informiert, bevor ein neuer Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten (einschließlich personenbezogener Kundendaten) beginnt, einschließlich des Namens und des Standorts des Unterauftragsverarbeiters und der von ihm ausgeführten Aktivitäten.

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Wenn Sie Google Workspace for Education-Kunde sind und sich entschieden haben, den Zusatz zu Google Workspace for Education-Dienstdaten zu akzeptieren, sind die Unterauftragsverarbeiter für personenbezogenen Kundendaten von Google auch Unterauftragsverarbeiter von Dienstdaten und unterliegen ähnlichen Verpflichtungen im Hinblick auf Dienstdaten, die in diesem Zusatz dargelegt sind.

Wo werden die Daten gespeichert und verarbeitet?

Angesichts des globalen Charakters unserer öffentlichen Cloud-Dienste haben wir in allen Regionen (weltweit) Einrichtungen zur Speicherung und Verarbeitung von Kundendaten (einschließlich personenbezogener Kundendaten).

Weitere Informationen zu den Standorten, an denen Google und seine Unterauftragsverarbeiter Einrichtungen unterhalten, finden Sie hier:

Für Google Workspace (einschließlich Google Workspace for Education):

• Einrichtungen von Google

• Einrichtungen von Unterauftragsverarbeitern

Für Google Cloud:

• Einrichtungen von Google

• Einrichtungen von Unterauftragsverarbeitern

Weitere Informationen über die Infrastruktur (z. B. Hardware und Netzwerke), die zur Verarbeitung von Kundendaten (einschließlich personenbezogener Kundendaten) verwendet wird, finden Sie in unserer Übersicht über das Sicherheitsinfrastrukturdesign sowie unter:

• Informationen zu Google Workspace (einschließlich Google Workspace for Education) im Whitepaper zur Sicherheit in Google Workspace.

• Informationen zu Google Cloud in der Übersicht zur Google-Sicherheit.

Uns ist auch bewusst, dass sich einige Kunden mehr Auswahl und Kontrolle über den Speicherort ihrer Kundendaten wünschen:

• Für Google Cloud: Kunden können die hier aufgeführten Dienste konfigurieren, um inaktive Kundendaten in einer bestimmten Region oder Mehrfachregion zu speichern, wie auf der Seite „Cloud-Standorte“ aufgeführt. Dies wird im Abschnitt „Speicherort der Daten“ der dienstspezifischen Nutzungsbedingungen für Google Cloud beschrieben. Darüber hinaus können Kunden auch eine Organisationsrichtlinie einrichten, die den physischen Standort neuer Ressourcen für unterstützte Dienste einschränkt.

• Für Google Workspace (einschließlich Google Workspace for Education): Kunden mit berechtigten Versionen können unsere Funktion „Speicherorte für Daten“ verwenden, um einen Speicherort für Daten auszuwählen (z. B. Europa), um die abgedeckten Kundendaten (einschließlich Sicherungen) im inaktiven Zustand zu speichern. Diese Funktion gilt derzeit für die hier aufgeführten Google Workspace-Hauptdienste (siehe Abschnitt „Speicherorte für Daten“ der dienstspezifischen Nutzungsbedingungen für Google Workspace).

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Für Google Workspace for Education-Kunden, die den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben, gelten die entsprechenden Informationen zu unseren Einrichtungen für Unterauftragsverarbeiter. Diese finden Sie unter dem jeweiligen Link im Zusatz.

Wie lange werden Kundendaten von Google Cloud aufbewahrt?

Sofern der Kunde sie nicht zuvor löscht, verarbeitet Google Cloud die Kundendaten:

• Für die Dauer der Laufzeit des Zusatzes zur Verarbeitung von Cloud-Daten (die mit dem Ende der Bereitstellung der Cloud-Dienste endet).

• Für einen Zeitraum nach dem Ende der Laufzeit bis zum Löschen der Daten. Nach einem Wiederherstellungszeitraum von bis zu 30 Tagen löscht Google die Daten so schnell, wie dies nach vernünftigem Ermessen möglich ist, und innerhalb von maximal 180 Tagen, wie im Zusatz zur Verarbeitung von Cloud-Daten beschrieben. Wenn Sie die Daten nach dem Ende der Laufzeit behalten möchten, können Sie Google anweisen, diese vor Ablauf der Laufzeit mithilfe integrierter Funktionen wie Datenexport-Tools an Sie zurückzugeben.

Außerdem können Sie die Kundendaten während der Laufzeit jederzeit mithilfe der integrierten Funktionen der von Ihnen genutzten Cloud-Dienste löschen. Wenn Sie die Funktionen der Cloud-Dienste zum Löschen von Kundendaten verwenden, löscht Google die Daten so schnell wie möglich und innerhalb von maximal 180 Tagen, wie im Zusatz zur Verarbeitung von Cloud-Daten beschrieben.

Weitere Informationen zum Aufbewahren und Löschen:

• Informationen zu Google Workspace (einschließlich Google Workspace for Education) finden Sie in den Hilfeartikeln Nutzer aus Ihrer Organisation löschen oder entfernen und Das Google-Konto Ihrer Organisation löschen.

• Informationen zu Google Cloud finden Sie auf der Seite Datenlöschung in Google Cloud.

Beachten Sie, dass Sie für Kopien der Daten verantwortlich sind, die Sie außerhalb der Systeme von Google oder seiner Unterauftragsverarbeiter speichern können.

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Für Google Workspace for Education-Kunden, die den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben, gilt die Aufbewahrungs- und Löschungsverpflichtung von Google in Bezug auf Dienstdaten, die in diesem Zusatz dargelegt sind.

Bei der Beurteilung der Notwendigkeit und Proportionalität Ihrer Verarbeitung muss Ihre DSFA verschiedene Aspekte Ihrer Einhaltung der Datenschutzgrundsätze berücksichtigen.

Ihre Organisation ist zwar als Verantwortlicher für den Compliance-Nachweis verantwortlich, aber die Cloud-Dienste bieten Absicherungen und Funktionen, die Sie bei Ihrer Bewertung unterstützen.

Wie kann Google Sie bei der Datenminimierung unterstützen?

Zusätzlich zu allen technischen und organisatorischen Maßnahmen, die Ihre Organisation ergriffen hat, damit nur die für die Erreichung der angegebenen Zwecke erforderliche Mindestmenge an personenbezogenen Daten verarbeitet wird, kann Google Cloud bestimmte Funktionen und Ressourcen zur Verfügung stellen, um die Menge der personenbezogenen Daten zu reduzieren, die in den Cloud-Diensten verarbeitet werden. Weitere Informationen finden Sie beispielsweise in der Google Cloud-Dokumentation zur De-Identifikation sensibler Daten und zur Pseudonymisierung.

Wie kann Google Sie bei der Einhaltung der Rechte betroffener Personen unterstützen?

Als Verantwortlicher für personenbezogene Daten ist Ihre Organisation dafür verantwortlich, Einzelpersonen über ihre Rechte in Bezug auf ihre personenbezogenen Daten (z.B. Zugriffsrechte, Löschung und Übertragbarkeit) aufzuklären und auf Anfragen von Personen zu reagieren, die diese Rechte ausüben.

Damit Ihre Organisation ihren Verpflichtungen nachkommen kann, ermöglicht Google Ihnen in Übereinstimmung mit der Funktionalität der Cloud-Dienste, Kundendaten (einschließlich personenbezogener Kundendaten) zu löschen, darauf zuzugreifen, zu exportieren, zu berichtigen oder ihre Verarbeitung einzuschränken.

Wenn das Cloud-Datenschutzteam von Google eine Anfrage von einer Person erhält, die sich auf personenbezogene Kundendaten bezieht und Ihre Organisation identifiziert, wird Google dieser Person empfehlen, ihre Anfrage an Sie zu senden. Google teilt Ihnen umgehend mit, dass die Anfrage eingegangen ist, und wird ohne Ihre Zustimmung nicht anderweitig darauf reagieren. 

Für Google Workspace (einschließlich Google Workspace for Education) bietet der Leitfaden „Google Workspace Data Subject Requests (DSR)“ weitere Informationen dazu, wie Sie diese Dienste nutzen können, um Anfragen von betroffenen Personen zu beantworten.

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Für Kunden von Google Workspace for Education, die den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben, gelten außerdem die in diesem Abschnitt beschriebenen Verpflichtungen für Dienstdaten, die Google als Auftragsverarbeiter verarbeitet.

Welche Sicherheitsmaßnahmen gibt es für internationale Datenübertragungen?

Wenn die DSGVO gilt, sind sowohl Ihre Organisation als Verantwortlicher als auch Google (als Auftragsverarbeiter) dafür verantwortlich, dass bei der Übertragung von personenbezogenen Kundendaten (und Dienstdaten für Google Workspace for Education-Kunden, die den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben) in sogenannte „Drittländer“ außerhalb des Europäischen Wirtschaftsraums die Anforderungen der DSGVO bezüglich Datenübertragungen eingehalten werden. 

Wenn solche Daten gemäß der DSGVO in die oder aus den USA übertragen werden, stützt sich Google derzeit auf den Datenschutzrahmen EU-USA (DPF) als alternative Übertragungslösung, wie unter https://cloud.google.com/terms/alternative-transfer-solution beschrieben. Der DPF spiegelt einen Angemessenheitsbeschluss der Europäischen Kommission wider.

Bei allen anderen Übermittlungen solcher Daten, die der DSGVO unterliegen, in Drittländer, die nicht von Angemessenheitsbeschlüssen abgedeckt sind, stützen wir uns auf die genehmigten Standardvertragsklauseln der EU-Kommission, wie im Whitepaper Google Cloud-Ansatz zu europäischen Standardvertragsklauseln beschrieben. 

Unsere vertraglichen Verpflichtungen in Bezug auf die internationale Übermittlung personenbezogener Kundendaten sind im Zusatz zur Verarbeitung von Cloud-Daten festgelegt. 

Ferner stellen wir zusätzliche Informationen zu den technischen, rechtlichen und organisatorischen Sicherheitsmaßnahmen bereit, die Google zum Schutz internationaler Datenübertragungen eingerichtet hat, wenn die DSGVO oder ein anderes europäisches Datenschutzrecht Anwendung findet:

• Informationen zu Google Workspace (einschließlich Google Workspace for Education) finden Sie in unserem Whitepaper Safeguards for International Data Transfers with Google Workspace and Google Workspace for Education.

• Informationen zu Google Cloud finden Sie im Whitepaper Safeguards for International Data Transfers with Google Cloud.

Hält Google sich an einen genehmigten Verhaltenskodex?

Google hält sich in Bezug auf die Cloud-Dienste an den Cloud-Verhaltenskodex für die EU-DSGVO. 

Durch diesen Verhaltenskodex können Anbieter nachweisen, dass sie ausreichende Garantien zur Implementierung angemessener technischer und organisatorischer Maßnahmen als Datenverarbeiter gemäß DSGVO bieten. Hier finden Sie Informationen dazu, welche Cloud-Dienste abgedeckt sind. 

Der Cloud Code of Conduct wurde am 20. Mai 2021 von der belgischen Datenschutzaufsichtsbehörde auf Grundlage einer positiven Meinung des Europäischen Datenschutzausschusses genehmigt. 

Sobald Sie die Risiken der Verarbeitung für Ihre Organisation bewertet haben, sollte Ihre DSFA erklären, wie Sie diese Risiken mindern möchten. Dies bedeutet in der Regel, dass Sie nachweisen, dass Ihr Unternehmen technische und organisatorische Maßnahmen ergriffen hat, die den damit verbundenen Risiken angemessen sind, einschließlich Maßnahmen zur Datensicherheit.

Wenn Sie die Cloud-Dienste nutzen, profitieren Sie bei der Verarbeitung von Kundendaten von folgenden Vorteilen:

• Branchenführende Sicherheitsmaßnahmen, die von Google implementiert und gepflegt werden.

• Zusätzliche Sicherheitsressourcen, -funktionen und/oder -einstellungen für Nutzer der Cloud-Dienste, die Sie nach Belieben verwenden können.

• Vertragliche Verpflichtungen von Google in Bezug auf technische, organisatorische und physische Maßnahmen. 

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Für Google Workspace for Education-Kunden, die den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben, gelten auch entsprechende vertragliche Verpflichtungen zu Sicherheitsmaßnahmen für Dienstdaten, die Google als Auftragsverarbeiter verarbeitet. 

Wenn Ihre Organisation in den Zusatz zur Verarbeitung von Cloud-Daten einwilligt, stimmen Sie zu, dass diese Maßnahmen angesichts der mit der Verarbeitung verbundenen Risiken ein angemessenes Sicherheitsniveau bieten.

Welche Sicherheitsmaßnahmen unterhält Google für die Cloud-Dienste?

Als Cloud-Pionier weiß Google, wie Sicherheit in der Cloud funktioniert. Sicherheit hat bei uns höchste Priorität. Die Cloud-Dienste sind darauf ausgelegt, eine bessere Sicherheit zu bieten als viele andere lokale Ansätze.

Sicherheit ist die treibende Kraft hinter der Organisationsstruktur, der Unternehmenskultur, den Schulungsprioritäten und Einstellungsprozessen von Google. Sie bestimmt den Aufbau unserer Rechenzentren und die Technologie, die sich darin befindet. Sie ist von zentraler Bedeutung für unsere täglichen Abläufe und hat beim Umgang mit Kundendaten und Dienstdaten Priorität. Sie wirkt sich auch auf unsere Zertifizierungen und Prüfberichte aus.

In der Übersicht über das Sicherheitsinfrastrukturdesign von Google erfahren Sie mehr darüber, wie unsere global skalierte technische Infrastruktur für eine sichere Bereitstellung der Cloud-Dienste, eine sichere Kommunikation zwischen Diensten sowie für eine sichere und private Kommunikation mit Kunden über das Internet und den sicheren Betrieb durch Administratoren ausgelegt ist.

Weitere Informationen zu technischen und organisatorischen Maßnahmen von Google finden Sie hier:

• Informationen zu Google Workspace (einschließlich Google Workspace for Education) im Whitepaper zur Sicherheit in Google Workspace.

• Informationen zu Google Cloud finden Sie unter Sicherheit bei Google und in den Whitepapers zur Sicherheit in Google Cloud. 

Zusätzliche Ressourcen zu den technischen und organisatorischen Sicherheitsmaßnahmen von Google für die Cloud-Dienste finden Sie in unseren Best Practices für Sicherheit und im Datenschutz-Center.

Welche optionalen Sicherheitskontrollen können Sie bei Ihrer Nutzung der Cloud-Dienste anwenden?

Google bietet außerdem optionale zusätzliche Sicherheitskontrollen, damit Kunden von Cloud-Diensten ihre Sicherheits- und Compliance-Anforderungen erfüllen können. Dies sind Sicherheitsressourcen, -funktionen, und -einstellungen, die Kunden nach ihrer Wahl verwenden können, darunter die Admin-Konsole, Verschlüsselungslösungen, Logging- und Monitoring-Tools sowie Identitäts- und Zugriffsverwaltung.

Hier finden Sie weitere Informationen dazu, wie Ihre Organisation die Cloud-Dienste und -Features konfigurieren kann:

• Für Google Workspace (einschließlich Google Workspace for Education) bieten unsere Leitfäden zur Datenschutzimplementierung für Google Workspace und Google Workspace for Education Informationen darüber, wie Kunden die entsprechenden Dienste und Einstellungen verwenden und konfigurieren können.

• Für Google Cloud bietet das Google Cloud-Architektur-Framework Best Practices und Empfehlungen zur Implementierung und kann Kunden dabei helfen, ihre Google Cloud-Bereitstellung an ihre Geschäftsanforderungen anzupassen.

In unserem Best-Practices-Center für mehr Sicherheit und dem Datenschutz-Center stehen weitere Ressourcen zur Verfügung, mit denen Sie Ihre Sicherheits- und Compliance-Anforderungen erfüllen können.

Welche vertraglichen und sonstigen Verpflichtungen bietet Google?

Der Zusatz zur Verarbeitung von Cloud-Daten enthält die vertraglichen Verpflichtungen von Google in Bezug auf Kundendaten, einschließlich personenbezogener Kundendaten. Google verpflichtet sich, unter anderem technische, organisatorische und physische Maßnahmen zu ergreifen und aufrechtzuerhalten, um Kundendaten vor zufälligem oder unrechtmäßigem Löschen, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.

Diese Maßnahmen werden in Anhang 2 des Zusatzes zur Verarbeitung von Cloud-Daten ausführlicher beschrieben und umfassen Verpflichtungen in Bezug auf die Sicherheit von Rechenzentren und Netzwerken, Zugriffs- und Standortkontrollen, Datensicherheit, Personalsicherheit und Sicherheit von Unterauftragsverarbeitern.

In unseren Selbstverpflichtungen zum Datenschutz für Cloud-Unternehmenskunden wird allgemein beschrieben, wie wir die Daten von Kunden, die unsere Cloud-Dienste nutzen, schützen:

1. Sie haben die Kontrolle über Ihre Daten: Die Kundendaten gehören Ihnen, nicht Google. Wir verarbeiten Ihre Daten nur gemäß den mit Ihnen geschlossenen Vereinbarungen.

2. Wir verwenden Ihre Daten nicht für die Anzeigenausrichtung: Wir verarbeiten Ihre Kundendaten nicht, um Anzeigenprofile zu erstellen oder Google Ads-Produkte zu verbessern.

3. Wir gehen bei der Erhebung und Nutzung von Daten transparent vor: Wir verpflichten uns zu Transparenz, zur Einhaltung von Vorschriften wie der DSGVO und zu Best Practices für den Datenschutz.

4. Wir verkaufen keine Kundendaten oder Dienstdaten: Wir verkaufen Kundendaten oder Dienstdaten nicht an Dritte.

5. Sicherheit und Datenschutz sind die wichtigsten Designkriterien bei allen unseren Produkten: Die Privatsphäre unserer Kunden steht an erster Stelle. Das bedeutet auch, die Daten, die Sie uns anvertrauen, zu schützen. Wir integrieren robuste Sicherheitstechnologien in unsere Produkte.

Zusätzliche Informationen, wenn Google Dienstdaten als Auftragsverarbeiter verarbeitet

Wenn Sie Google Workspace for Education-Kunde sind und den Zusatz zu Google Workspace for Education-Dienstdaten akzeptiert haben, gelten die in diesem Zusatz dargelegten vertraglichen Verpflichtungen von Google im Hinblick auf Dienstdaten, die Google als Auftragsverarbeiter verarbeitet.

Wie geht Google mit Anfragen von Strafverfolgungsbehörden um?

Google hat einen transparenten und durchdachten Prozess entwickelt, der internationalen Best Practices entspricht, wenn es um Ersuchen von Strafverfolgungsbehörden und anderen staatlichen Stellen auf Datenzugriff geht. Google Cloud entscheidet über jeden Fall einzeln, wobei die jeweils unterschiedlichen Umstände berücksichtigt werden und auf rechtliche Anforderungen, Kundenvereinbarungen und Datenschutzerklärungen Rücksicht genommen wird. 

Die Vorgehensweise von Google Cloud in Bezug auf solche Anfragen wird in unserem Whitepaper Auskunftsersuchen von Behörden zu Cloud-Kundendaten beschrieben.

Darüber hinaus legt unser Transparenzbericht, soweit dies nach anwendbarem Recht zulässig ist, die Anzahl der Ersuchen von Strafverfolgungsbehörden und anderen Regierungsbehörden nach Enterprise Cloud-Kundendaten offen. 

Wie weist Google Cloud Compliance nach?

Die Cloud-Dienste werden regelmäßig von unabhängigen Stellen in Bezug auf ihre Sicherheits-, Datenschutz- und Compliancekontrollen überprüft und erhalten Zertifizierungen, Bescheinigungen und Prüfberichte, die die Compliance nachweisen. Über unsere Übersicht über Complianceberichte können Kunden verschiedene Zertifizierungen (einschließlich ISO 27001, 27017, 27018 und 27701), Prüfberichte (einschließlich SOC 1, 2 und 3) und andere relevante Ressourcen direkt aufrufen und herunterladen.

Darüber hinaus und als Zeichen unserer kontinuierlichen Bemühungen zum Schutz von Dienstdaten haben wir den Umfang unserer Zertifizierungen nach ISO 27001, 27017, 27018 und 27701 für relevante Google Workspace-Dienste auch um Dienstdaten erweitert (wo wir als Auftragsverarbeiter dieser Daten fungieren). 

Wie bereits oben erwähnt, hält sich Google auch an den Cloud-Verhaltenskodex der EU-DSGVO. Mit diesem Verfahren können Cloud-Anbieter nachweisen, dass sie ausreichende Garantien bieten, angemessene technische und organisatorische Maßnahmen als Auftragsverarbeiter gemäß der DSGVO zu implementieren.