Personensymbol zum Datenschutz
USA | Alle Branchen

Zuordnung des Zusatzes zur Verarbeitung von Google Cloud-Daten – Datenschutzgesetze von US-Bundesstaaten

Auf dieser Seite erfahren Sie, wie Google Kunden dabei unterstützt, die Datenschutzgesetze der US-Bundesstaaten einzuhalten, wenn Google als Auftragsverarbeiter von Kundendaten (einschließlich personenbezogener Daten) fungiert, um Google Cloud bereitzustellen, zu schützen und zu überwachen. Google Cloud umfasst die Google Cloud Platform, Google Workspace, Looker (Original) und Google SecOps Services. 

Wir konzentrieren uns auf die Verbraucherrechte, die allgemeinen Verpflichtungen für Unternehmen/Controller und die Verpflichtungen für Dienstanbieter/Auftragsverarbeiter in diesen Landesgesetzen, da wir davon ausgehen, dass Kunden in diesen Bereichen möglicherweise Unterstützung von Google benötigen, um die Compliance zu gewährleisten. Wir erläutern für jede Anforderung, wie Sie die entsprechenden Anforderungen mithilfe der vertraglichen Verpflichtungen im Cloud-Anhang zur Datenverarbeitung und der Funktionalität der Google Cloud-Dienste erfüllen können. Zur besseren Übersicht haben wir die Themen in den folgenden Abschnitten aufgrund der Ähnlichkeiten in vielen der anwendbaren Landesgesetze zusammengefasst und in allgemeine Beschreibungen umgewandelt. Wir ordnen diese Beschreibungen auch den entsprechenden Landesgesetzen zu.

Beachten Sie, dass in den Gesetzen der einzelnen Bundesstaaten unterschiedliche Begriffe verwendet werden. Zur Verdeutlichung bezeichnen wir auf dieser Seite den Kunden als „Verantwortlicher“ oder „Unternehmen“, Google als „Dienstanbieter“ oder „Verarbeiter“ und den einzelnen Endnutzer des Kunden als „Verbraucher“.

Auf dieser Seite werden die folgenden Gesetze behandelt:

  • California Consumer Privacy Act (CCPA) in der Fassung des California Privacy Rights Act (CPRA) und der CCPA-Verordnungen
  • Colorado Privacy Act (CPA) und CPA-Verordnungen
  • Connecticut Data Privacy Act (CTDPA) in der Fassung von SB 3
  • Delaware Personal Data Privacy Act (DPDPA)
  • Florida Digital Bill of Rights (FDBR – Gesetz des US‑Bundesstaats Florida zum Schutz der Privatsphäre von Verbrauchern)FDBR
  • Gesetz von Iowa zum Schutz der Daten von Verbrauchern (IACDPA)
  • Gesetz von Indiana zum Schutz der Daten von Verbrauchern (INCDPA)
  • Montana Consumer Data Privacy Act (MTCDPA – Gesetz des US-Bundesstaats Montana zum Schutz der Privatsphäre von Verbrauchern)MTCDPA
  • Oregon Consumer Privacy Act (OCPA – Gesetz des US-Bundesstaats Oregon zum Schutz der Privatsphäre von Verbrauchern)
  • Tennessee Information Protection Act (TIPA)
  • Texas Data Privacy and Security Act (TDPSA – Gesetz des US‑Bundesstaats Texas zum Schutz der Privatsphäre von Verbrauchern)
  • Gesetz von Utah zum Schutz der Privatsphäre von Verbrauchern (UCPA)
  • Gesetz von Virginia zum Schutz der Daten von Verbrauchern (VCDPA – Virginia Consumer Data Protection Act)

Verbraucherrechte

Recht auf Zugriff

Verbraucher können von einem Unternehmen verlangen, dass es ihnen die über sie erhobenen personenbezogenen Daten offenlegt.

Kunden können jederzeit auf ihre Daten in Google Cloud zugreifen, einschließlich der Daten ihrer Endnutzer. Wenn Google von einer betroffenen Person eine Anfrage in Bezug auf personenbezogene Kundendaten erhält, weist unser Datenschutzteam die betroffene Person an, die Anfrage an Sie, den Google Cloud-Kunden, zu richten. Google Cloud-Kunden können dann gemäß ihren internen Verfahren und Anforderungen auf diese Anfragen reagieren.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 9.1 (Zugriff; Berichtigung; eingeschränkte Verarbeitung; Übertragbarkeit), Abschnitt 9.2 (Anfragen von betroffenen Personen) und Abschnitt 12.1 (Cloud Data Protection Team) der allgemeinen Geschäftsbedingungen des CDPA.


Recht auf Korrektur

Verbraucher können von Unternehmen verlangen, dass diese Ungenauigkeiten in ihren personenbezogenen Daten korrigieren.

Google bietet Funktionen, mit denen Kunden auf ihre Kundendaten zugreifen, diese korrigieren und die Verarbeitung einschränken können. Außerdem können sie Daten abrufen oder löschen. Beispielsweise können Kunden die folgenden Funktionen von Google Cloud Platform und Google Workspace nutzen: 

Cloud Console: Eine webbasierte grafische Benutzeroberfläche, mit der Kunden ihre Google Cloud-Ressourcen verwalten können. 

Admin-Konsole: eine webbasierte grafische Benutzeroberfläche, mit der Kunden ihre Google Workspace-Ressourcen verwalten können. 

gcloud-Befehlstool: Ein Tool, das die primäre Befehlszeile für Google Cloud bereitstellt. Eine Befehlszeile ist eine Benutzeroberfläche für das Betriebssystem eines Computers. 

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IN, MT, OR, TN, TX, VA

CDPA-Referenz: Abschnitt 9.1 (Zugriff; Berichtigung; eingeschränkte Verarbeitung; Übertragbarkeit) und Abschnitt 9.2 (Anfragen von betroffenen Personen) der allgemeinen Geschäftsbedingungen der CDPA.


Recht auf Löschen

Nutzer können von Unternehmen verlangen, dass ihre personenbezogenen Daten gelöscht werden.

Google stellt Funktionen bereit, mit denen Kunden Kundendaten über die Dienste löschen können. Weitere Informationen zur Datenlöschung auf der Google Cloud finden Sie auf dieser Seite. Informationen zu Google Workspace (einschließlich Google Workspace for Education) finden Sie in den Hilfeartikeln Nutzer aus Ihrer Organisation löschen oder entfernen und Das Google-Konto Ihrer Organisation löschen.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 6 (Datenlöschung) der allgemeinen Geschäftsbedingungen des CDPA.


Portabilitätsrecht

Nutzer können von einem Unternehmen verlangen, dass es ihre personenbezogenen Daten exportiert.

Google stellt eine Funktion bereit, mit der Kunden ihre Daten über die Dienste exportieren können. 

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 9.1 (Zugriff; Berichtigung; eingeschränkte Verarbeitung; Übertragbarkeit) der allgemeinen Geschäftsbedingungen der CDPA.


Recht auf Opt-out

Nutzer können von einem Unternehmen verlangen, dass es ihre personenbezogenen Daten exportiert.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert. Google verpflichtet sich, Kundendaten (einschließlich personenbezogener Daten von Kunden) nur für die Bereitstellung, Sicherung und Überwachung der Dienste gemäß den Vertragsbedingungen abzurufen oder zu verwenden.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 5.2 (Einhaltung der Anweisungen des Kunden), Abschnitt 7.1.2 (Zugriff und Compliance) und Abschnitt 9.1 (Zugriff; Berichtigung; eingeschränkte Verarbeitung; Portabilität) der allgemeinen Geschäftsbedingungen des CDPA.


Recht auf Einschränkung der Verwendung sensibler Daten

Verbraucher können die Zwecke einschränken, für die ein Unternehmen ihre vertraulichen Daten verwendet.

Der Kunde legt fest, zu welchen Zwecken die personenbezogenen Daten der Kunden im Rahmen der Dienste verarbeitet werden. Google verpflichtet sich, Kundendaten nur nach Anweisung der Kundin bzw. des Kunden zu verarbeiten. 

Anwendbare Staaten: CA

CDPA-Referenz: Abschnitt 9.1 (Zugriff; Berichtigung; eingeschränkte Verarbeitung; Übertragbarkeit) der allgemeinen Geschäftsbedingungen der CDPA.


Wahrnehmung von Kinderrechten durch Eltern

Bei der Verarbeitung personenbezogener Daten eines bekannten Kindes können die Verbraucherrechte im Namen des Kindes von einem Elternteil oder Erziehungsberechtigten ausgeübt werden.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: N/A


Möglichkeiten zur Einreichung von Anfragen zu Rechten

Unternehmen müssen einen Prozess einrichten, über den Nutzer ihre Datenschutzrechte geltend machen können.

Siehe Prozess für die Beantwortung von Anfragen zu Rechten.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: N/A


Signale für Opt-out

Ein Verbraucher kann eine andere Person bevollmächtigen, in seinem Namen der Verarbeitung bestimmter personenbezogener Daten zu widersprechen.

Siehe Opt-out-Recht.

Anwendbare Bundesstaaten: CA, CO, CT, MT, OR, TX

CDPA-Referenz: N/A


Prozess für die Beantwortung von Anfragen zu Rechten

Unternehmen müssen Verbraucheranfragen unverzüglich und spätestens innerhalb von 45 Tagen nach Erhalt beantworten.

Obwohl dies letztendlich in der Verantwortung der Kunden liegt, wird das Cloud-Datenschutzteam von Google, wenn es von einem Verbraucher eine Anfrage in Bezug auf personenbezogene Kundendaten erhält, den Anfragenden anweisen, die Anfrage an Sie, den Google Cloud-Kunden, zu senden. Google Cloud-Kunden können dann die Kontrolle über die Beantwortung dieser Anfragen übernehmen, gemäß ihren internen Verfahren und Anforderungen.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 9.2 (Anfragen von betroffenen Personen) der allgemeinen Geschäftsbedingungen des CDPA.


Überprüfung von Anfragen

Unternehmen müssen die Identität von Verbrauchern überprüfen, die ihre Rechte geltend machen. 

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CA, CO

CDPA-Referenz: N/A 


Rechtsmittelverfahren

Unternehmen müssen einen internen Prozess einführen, um gegen ihre Entscheidung, auf eine Verbraucheranfrage nicht zu reagieren, Einspruch zu erheben.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

CDPA-Referenz: N/A


Anforderungen an den Ablauf von Rechteanfragen

Unternehmen, die Anfragen von Nutzern erhalten, ihre personenbezogenen Daten zu löschen, müssen alle Dienstleister benachrichtigen, damit diese die personenbezogenen Daten der Nutzer löschen.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert. Google bietet Kunden die Möglichkeit, Kundendaten jederzeit über die Funktionen der Dienste zu löschen. Siehe Zeile 3 (Recht auf Löschen).

Anwendbare Staaten: CA

CDPA-Referenz: Abschnitt 5.2 (Einhaltung der Anweisungen des Kunden) und Abschnitt 6 (Datenlöschung) der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Minimierung und Zweckbindung

Die Erhebung und Verwendung personenbezogener Daten von Verbrauchern durch ein Unternehmen sollte auf das beschränkt sein, was für die Zwecke, für die die personenbezogenen Daten erhoben oder verarbeitet wurden, angemessen erforderlich ist.

Die Kunden entscheiden, welche Informationen sie in die Dienste einspeisen und welche Dienste sie wie und zu welchem Zweck nutzen. Google verpflichtet sich, Kundendaten nur für die Bereitstellung, Sicherung und Überwachung der Dienste gemäß den Vertragsbedingungen abzurufen oder zu verwenden. 

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IN, MT, OR, TN, TX, VA

Zusatz zur Verarbeitung von Cloud-Daten: Abschnitt 5.2 (Einhaltung der Weisungen des Kunden) und Abschnitt 7.1.2 (Zugriff und Compliance) der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Datensicherheit

Unternehmen müssen angemessene administrative, technische und physische Datensicherheitsmaßnahmen einführen, um die Vertraulichkeit, Integrität und Zugänglichkeit personenbezogener Daten zu schützen.

Zusätzlich zu den in Anhang 2 der CDPA beschriebenen Sicherheitsmaßnahmen stellt Google Funktionen zur Verfügung, mit denen Kunden zusätzliche Schutzmaßnahmen zum Schutz personenbezogener Daten implementieren können. Dafür ist unter Umständen eine entsprechende Konfiguration der Funktionen in der Cloud erforderlich, die vom Kunden verwaltet wird.

Google verwaltet die Sicherheit seiner Infrastruktur (d. h. Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen). Google erkennt an, dass die Kunden unsere internen Kontrollen im Rahmen ihrer Risikobewertung prüfen müssen. Deshalb unterzieht sich Google mindestens einmal jährlich einer unabhängigen Prüfung, um unsere Abläufe und internen Kontrollen unabhängig zu verifizieren. Google verpflichtet sich, während der Laufzeit unseres Vertrags mit Ihnen mindestens folgende wichtige internationale Standards einzuhalten:

Google stellt Kunden auch detaillierte Informationen zu Sicherheitsmaßnahmen zur Verfügung unter:

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 7.1 (Sicherheitsmaßnahmen, -kontrollen und -unterstützung von Google), Abschnitt 7.3 (Verantwortlichkeiten und Bewertung der Sicherheit durch den Kunden), Abschnitt 7.4 (Compliance-Zertifizierungen und SOC-Berichte) der Allgemeinen Geschäftsbedingungen und Anhang 2 (Sicherheitsmaßnahmen) des CDPA.


Diskriminierung aufgrund der Ausübung von Rechten

Unternehmen dürfen keine Diskriminierung von Verbrauchern vornehmen, die ihre Rechte wahrnehmen.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: N/A


Diskriminierungsfördernde Verarbeitung

Ein Unternehmen darf personenbezogene Daten nicht in einer Weise verarbeiten, die gegen staatliche und bundesstaatliche Gesetze verstößt, die unrechtmäßige Diskriminierung von Verbrauchern verbieten.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IA, IN, MT, TN, TX, VA

CDPA-Referenz: N/A 


Einwilligung für sensible Daten / Opt-out-Anforderungen

Ein Unternehmen darf sensible Daten von Verbrauchern nur verarbeiten, wenn es die Einwilligung der Verbraucher eingeholt hat oder, im Fall von Kindern, wenn es die COPPA-Vorschriften einhält.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: N/A 


Weitere Einwilligungspflichten

Ein Unternehmen darf Daten, die mit einem Gerät erhoben werden (z. B. per Sprach- oder Gesichtserkennung), nicht ohne Einwilligung zum Zweck der Überwachung verwenden.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: FL

CDPA-Referenz: N/A 


Minderjährige – Einwilligung für den Verkauf / die Weitergabe / die zielgerichtete Werbung

Ein Unternehmen darf die personenbezogenen Daten eines Minderjährigen ohne dessen Einwilligung nicht für personalisierte Werbung oder einen Verkauf verarbeiten.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CA, CT, MT, OR

CDPA-Referenz: N/A 


Hinweis bei der Erhebung

Ein Unternehmen muss Verbrauchern eine Mitteilung zur Datenverarbeitung zum Zeitpunkt oder vor der Erhebung personenbezogener Daten zur Verfügung stellen.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Staaten: CA

CDPA-Referenz: N/A 


Datenschutzhinweise

Unternehmen müssen Verbrauchern eine Datenschutzerklärung zur Verfügung stellen, in der erklärt wird, wie ihre personenbezogenen Daten verarbeitet werden, und in der die Verbraucherrechte aufgeführt sind.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: N/A


Weitere Transparenzpflichten

Die Informationen für Verbraucher müssen zugänglich und verständlich sein.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CA, CO, FL

CDPA-Referenz: N/A

 

Verkaufsinformationen und zielgerichtete Werbung

Ein Unternehmen muss den Verkauf personenbezogener Daten oder die zielgerichtete Werbung offenlegen und die Möglichkeit zum Opt-out bieten.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: N/A


Verarbeitung von anonymisierten Daten und pseudonymisierten Daten

Ein Unternehmen, das anonymisierte Daten verwendet, muss angemessene Maßnahmen ergreifen, um sicherzustellen, dass diese Daten nicht mit einem Verbraucher in Verbindung gebracht werden können, und alle Empfänger dieser anonymisierten Daten dazu verpflichten, diese Verpflichtung einzuhalten.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert. Google verpflichtet sich, Kundendaten nur für die Bereitstellung, Sicherung und Überwachung der Dienste gemäß den Vertragsbedingungen abzurufen oder zu verwenden.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 5.2 (Einhaltung der Weisungen des Kunden) der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Datenschutzbewertungen

Ein Unternehmen muss eine Datenschutz-Folgenabschätzung für bestimmte Verarbeitungstätigkeiten durchführen.

Google verpflichtet sich, Kunden bei der Durchführung von Datenschutzfolgenabschätzungen angemessen zu unterstützen. Weitere Informationen zu DPIAs für Google Cloud Platform- oder Google Workspace-Dienste finden Sie auf der DPIA-Ressourcenseite von Google.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 8 (Folgenabschätzungen und Konsultationen) der allgemeinen Bedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Einschränkung des Weiterverkaufs personenbezogener Daten

Dritte dürfen personenbezogene Daten, die sie von einem Unternehmen erworben haben, nicht weiterverkaufen.

Google verkauft Ihre Kundendaten niemals. Google beschränkt den Zugriff auf und die Verwendung von Kundendaten auf den Umfang, der für die Bereitstellung, Sicherung und Überwachung der Dienste gemäß den Vertragsbedingungen erforderlich ist.

Anwendbare Staaten: CA

CDPA-Referenz: Abschnitt 5.2 (Einhaltung der Weisungen des Kunden) der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Anforderungen an Schulungen und Dokumentation

Unternehmen müssen ihre Mitarbeiter für die Beantwortung von Verbraucheranfragen schulen und die Anfragen und Antworten der Verbraucher*innen 24 Monate lang aufbewahren.

Dies ist eine Kundenverantwortung, die auf den eigenen Geschäftsabläufen basiert.

Anwendbare Staaten: CA

CDPA-Referenz: Abschnitt 12.2 (Google's Processing Records) der allgemeinen Geschäftsbedingungen des CDPA.

Vertragsanforderungen für den Verkauf, die Weitergabe oder Offenlegung personenbezogener Daten an Dienstleister oder Auftragnehmer

Ein Unternehmen, das personenbezogene Daten von Verbrauchern verkauft, muss mit dem Drittanbieter einen Vertrag mit bestimmten Anforderungen abschließen.

Google kauft keine personenbezogenen Daten von Kunden und verkauft sie auch nicht an Dritte. Die Subunternehmer von Google müssen dieselben hohen Standards erfüllen wie Google. Insbesondere verlangt Google von den Subunternehmern, dass sie unseren Vertrag mit Ihnen einhalten und nur in dem Umfang auf Ihre Daten zugreifen und sie verwenden, der zur Erfüllung der ihnen übertragenen Verpflichtungen erforderlich ist. Google bleibt für alle weitervergebenen Verpflichtungen verantwortlich.

Anwendbare Staaten: CA

Zusatz zur Verarbeitung von Cloud-Daten: Abschnitt 11.3 (Anforderungen an den Einsatz von Unterauftragsverarbeitern) der allgemeinen Bedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Controller-/Prozessorstatus

Ob eine Partei im Hinblick auf eine bestimmte Verarbeitung personenbezogener Daten Verantwortlicher oder Auftragsverarbeiter ist, ist eine datenbasierte Entscheidung, die vom Kontext abhängt, in dem die personenbezogenen Daten verarbeitet werden sollen.

Im Rahmen von Google Cloud fungiert Google als Auftragsverarbeiter personenbezogener Daten von Kunden. Der Kunde ist je nach Anwendungsfall Verantwortlicher oder Auftragsverarbeiter.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

Referenz zum Zusatz zur Verarbeitung von Cloud-Daten: Abschnitt 4.1 (Rollen der Parteien) der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Vertragsbedingung

Ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter regelt die Verfahren zur Datenverarbeitung des Auftragsverarbeiters im Hinblick auf die im Namen des Verantwortlichen durchgeführte Verarbeitung.

Der Vertrag des Kunden, der den Zusatz zur Verarbeitung von Cloud-Daten enthält, regelt die Verfahren von Google zur Datenverarbeitung im Namen des Kunden.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Anhang 1 (Gegenstand und Details der Datenverarbeitung) des CDPA.


Einschränkungen bei der Datennutzung

Ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter muss Anweisungen für die Datenverarbeitung, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden Daten, die Dauer der Verarbeitung sowie die Rechte und Pflichten beider Parteien enthalten.

Google verpflichtet sich, personenbezogene Kundendaten nur in Übereinstimmung mit dem Zusatz zur Verarbeitung von Cloud-Daten einschließlich Anhang 1 zu verarbeiten. In Anhang 1 werden Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung sowie Kategorien von Daten beschrieben. 

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 5.2 (Einhaltung der Weisungen des Kunden) und Abschnitt 7.1.2 (Zugriff und Compliance) der allgemeinen Geschäftsbedingungen sowie Anhang 1 (Gegenstand und Einzelheiten der Datenverarbeitung) des Zusatzes zur Verarbeitung von Cloud-Daten.


Vertraulichkeitsverpflichtung für Mitarbeiter festlegen

Der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss sicherstellen, dass jede Person, die personenbezogene Daten verarbeitet, einer Geheimhaltungspflicht unterliegt.

Kunden können jederzeit auf ihre Daten in Google Cloud zugreifen, einschließlich der Daten ihrer Endnutzer. Wenn Google von einer betroffenen Person (z. B. einem Kundenendnutzer) eine Anfrage in Bezug auf personenbezogene Kundendaten erhält, wird unser Datenschutzteam die betroffene Person anweisen, die Anfrage an Sie, den Google Cloud-Kunden, zu senden. Google Cloud-Kunden können dann gemäß ihren internen Verfahren und Anforderungen auf diese Anfragen reagieren.

Anwendbare Bundesstaaten: CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, UT, VA

CDPA-Referenz: Abschnitt 7.1.2 (Zugriff und Compliance) der allgemeinen Geschäftsbedingungen und Abschnitt 4 (Persönliche Sicherheit) in Anhang 2 (Sicherheitsmaßnahmen) des CDPA.


Audit-Anforderung

Der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss sicherstellen, dass der Auftragsverarbeiter dem Unternehmen auf Anfrage Informationen zur Verfügung stellt, um die Erfüllung der Verpflichtungen des Auftragsverarbeiters nachzuweisen, und dass er sich jährlichen unabhängigen Prüfungen unterzieht, die nach anerkannten Kontrollrahmen durchgeführt werden.

Google unterstützt die Compliance von Kundenunternehmen, indem es relevante Sicherheitsdokumente zur Überprüfung zur Verfügung stellt und sich mindestens einmal jährlich einer unabhängigen Prüfung durch Dritte unterzieht, um die Effektivität der internen Kontrollen unabhängig zu überprüfen. Die Seite „Übersicht über Complianceberichte“ von Google bietet Ihnen einfachen On-Demand-Zugriff auf diese wichtigen Compliance-Ressourcen, ohne dass zusätzliche Kosten anfallen. Zu den wichtigsten Ressourcen gehören unsere neuesten ISO/IEC-Zertifizierungen, SOC-Berichte und Selbsteinschätzungen.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

CDPA-Referenz: Abschnitt 7.4 (Compliance-Zertifizierungen und SOC-Berichte) und Abschnitt 7.5 (Überprüfungen und Compliance-Audits) der allgemeinen Geschäftsbedingungen des CDPA.


Unterstützung bei den Verpflichtungen des Verantwortlichen

Ein Auftragsverarbeiter muss sich an die Anweisungen des Unternehmens halten und es dabei unterstützen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen auf Anfragen im Zusammenhang mit Verbraucherrechten zu reagieren.

Google verpflichtet sich, Kunden bei Verbraucheranfragen zu unterstützen, wie in Abschnitt 9 der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten beschrieben.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

CDPA-Referenz: Siehe Antworten in den Abschnitten „Verbraucherrechte“ und „Verantwortlichkeiten von Unternehmen / Controllern“ oben. Abschnitt 9 (Zugriff; Rechte betroffener Personen; Datenexport) und Abschnitt 9.2.2 (Unterstützung durch Google bei Anfragen von betroffenen Personen) der Allgemeinen Geschäftsbedingungen des CDPA.


Unterstützung bei den Verpflichtungen des Verantwortlichen

Ein Auftragsverarbeiter muss die Anweisungen des Unternehmens befolgen und es dabei unterstützen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen seine Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten und die Benachrichtigung über Sicherheitsverstöße zu erfüllen.

Google setzt technische, organisatorische und physische Maßnahmen um und hält sie aufrecht, um Kundendaten vor unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Google benachrichtigt Kunden unverzüglich und ohne unangemessene Verzögerung über einen Datenvorfall und stellt ihnen Informationen dazu zur Verfügung. Google stellt seinen Kunden auch zusätzliche Sicherheitskontrollen zur Verfügung. 

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TX, UT, VA

CDPA-Referenz: Abschnitt 7.1 (Sicherheitsmaßnahmen, -kontrollen und ‑unterstützung von Google), Abschnitt 7.1.4 (Sicherheitsunterstützung von Google), Abschnitt 7.2 (Datenvorfälle), Abschnitt 7.2.1 (Benachrichtigung über Vorfälle) und Abschnitt 7.3 (Verantwortlichkeiten und Bewertung der Sicherheit durch den Kunden) der Allgemeinen Geschäftsbedingungen sowie Anhang 2 (Sicherheitsmaßnahmen) des CDPA.


Unterstützung bei den Verpflichtungen des Verantwortlichen

Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen hält sich der Auftragsverarbeiter an die Anweisungen des Unternehmens und unterstützt es, indem er Informationen bereitstellt, die für die Durchführung von Datenschutzbewertungen erforderlich sind.

Google verpflichtet sich, Kunden bei der Datenschutzbewertung gemäß Abschnitt 8 der allgemeinen Geschäftsbedingungen des Zusatzes zur Verarbeitung von Cloud-Daten zu unterstützen. Außerdem bietet Google für Google Cloud Platform und Google Workspace ein DPIA Resource Center, um Kunden zu unterstützen.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IN, MT, OR, TX, VA

CDPA-Referenz: Abschnitt 8 (Folgenabschätzungen und Konsultationen) der allgemeinen Bedingungen des Zusatzes zur Verarbeitung von Cloud-Daten.


Widerspruchsrecht für Subunternehmer

Ein Subunternehmer, der personenbezogene Daten verarbeitet, darf nur dann beauftragt werden, wenn das Unternehmen die Möglichkeit hat, dem zu widersprechen.

Google informiert die Kunden über die Beauftragung eines neuen Unterauftragsverarbeiters und bietet ihnen die Möglichkeit, Widerspruch einzulegen, indem sie die Vereinbarung ordentlich kündigen. Aufgrund der n:1-Beziehung unserer Dienste ist es Google nicht möglich, einen Genehmigungsprozess für jeden einzelnen Kunden zu implementieren. Die Subunternehmer von Google müssen dieselben hohen Standards erfüllen wie Google. Google bleibt für alle weitervergebenen Verpflichtungen verantwortlich. Insbesondere verlangt Google von den Subunternehmern, dass sie unseren Vertrag mit Ihnen einhalten und nur in dem Umfang auf Ihre Daten zugreifen und sie nutzen, wie es erforderlich ist, um die ihnen übertragenen Verpflichtungen zu erfüllen.

Anwendbare Bundesstaaten: CO, CT, DE 

CDPA-Referenz: Abschnitt 11.1 (Zustimmung zur Beauftragung von Unterauftragsverarbeitern), Abschnitt 11.3 (Voraussetzungen für die Beauftragung von Unterauftragsverarbeitern) und Abschnitt 11.4 (Möglichkeit, dem Wechsel des Unterauftragsverarbeiters zu widersprechen) der allgemeinen Geschäftsbedingungen der CDPA.


Daten bei Beendigung/Abschluss der Dienste löschen oder zurückgeben

Der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss sicherstellen, dass der Auftragsverarbeiter alle personenbezogenen Daten des Kunden nach Beendigung der Dienstleistungserbringung zurückgibt oder vernichtet.

Google wird alle Kundendaten (einschließlich personenbezogener Daten) am Ende der Laufzeit gemäß geltendem Recht und innerhalb einer Frist von maximal 180 Tagen löschen. Weitere Informationen zum Prozess und zu den Verpflichtungen von Google in Bezug auf die Datenlöschung finden Sie im Zusatz zur Verarbeitung von Cloud-Daten von Google (CDPA) und in der Dokumentation Datenlöschung in Google Cloud.

Anwendbare Bundesstaaten: CA, CO, CT, DE, FL, IA, IN, MT, OR, TN, TX, VA

CDPA-Referenz: Abschnitt 6.1 (Löschen durch den Kunden) und Abschnitt 6.2 (Rückgabe oder Löschen nach Ablauf der Laufzeit) der allgemeinen Geschäftsbedingungen des CDPA.


Benachrichtige den Controller, wenn Verpflichtungen nicht mehr erfüllt werden können

Ein Auftragsverarbeiter muss das Unternehmen benachrichtigen, wenn er feststellt, dass er seine Verpflichtungen gemäß dem CCPA nicht mehr erfüllen kann.

Google wird Kunden darüber informieren, wenn es nicht in der Lage ist, seine Verpflichtungen gemäß dem CCPA zu erfüllen, es sei denn, eine solche Mitteilung ist durch geltendes Recht untersagt.

Anwendbare Staaten: CA

CDPA-Referenz: Unterabschnitt „3. Compliance“ im Anhang 3 („Specific Privacy Laws“) des CDPA.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Jetzt kostenlos starten
Google Cloud
DocsSupport
Console
Anmelden
Security
StartseiteErkenntnisse und FachwissenSecOpsCloud-SicherheitSicherheitsressourcen
Unterstützung bei der Reaktion auf Vorfälle
Kontakt
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud