Haben Sie unseren gemäß der DSGVO aktualisierten Zusatz zur Datenverarbeitung für die G Suite sowie die Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen für die Google Cloud Platform akzeptiert? Falls nicht, können Sie hier die Anleitung lesen, sich dieses Video für die G Suite ansehen und hier die Anleitung für die Google Cloud Platform aufrufen.
Google Cloud und die EU-Datenschutz-Grundverordnung (DSGVO)
Die Einhaltung der DSGVO hat für Google Cloud und unsere Kunden höchste Priorität. Das Ziel der DSGVO ist die Stärkung des Schutzes personenbezogener Daten in Europa. Dies beeinflusst für uns alle die Art und Weise, wie wir Geschäfte machen. Wir gehen davon aus, dass Sie viele Fragen dazu haben und wir möchten Sie bei diesem Thema unterstützen. Google Cloud verfolgt einen strikt kundenorientierten Ansatz in Bezug auf Schutz, Kontrolle und Compliance. Wir möchten Ihnen dabei helfen, die DSGVO bestmöglich umzusetzen.
Was ist die DSGVO?
Die am 25. Mai 2018 in Kraft getretene DSGVO löst die EU-Datenschutzrichtlinie von 1995 ab.
Die DSGVO definiert spezifische Anforderungen für Unternehmen und Organisationen, die in Europa ansässig sind oder Kunden in Europa Produkte bzw. Dienstleistungen verkaufen. Die DSGVO hat folgenden Zweck:
- Sie legt fest, wie Unternehmen personenbezogene Daten erfassen, verwenden und speichern dürfen bzw. müssen
- Sie definiert für eine erhöhte Rechenschaftspflicht Anforderungen zu Dokumentation und Berichtswesen
- Sie ermächtigt zur Verhängung von Geldbußen gegen Unternehmen bei Verstoß gegen diese Anforderungen
Google Cloud und die DSGVO
Bei Google Cloud stehen Maßnahmen zur Verbesserung der Sicherheit und des Schutzes von Nutzerdaten an oberster Stelle. Wir haben durch mehrere Aktualisierungen dafür gesorgt, dass Google Cloud-Kunden unsere Dienste nach dem Inkrafttreten der DSGVO problemlos nutzen können. Bei einer Partnerschaft mit Google Cloud unterstützen wir Sie in folgender Form:
- Wir verpflichten uns in unseren Verträgen zur Einhaltung der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten von Kunden in allen Google Cloud Platform- und G Suite-Diensten.
- Wir bieten zusätzliche Sicherheitsfunktionen, mit denen Sie die sensibelsten personenbezogenen Daten noch besser schützen können.
- Wir stellen eine Dokumentation und Materialien zur Verfügung, die Sie bei der Beurteilung unserer Dienste im Hinblick auf den Datenschutz unterstützen.
- Wir werden unsere Funktionen bei künftigen gesetzlichen Änderungen anpassen und weiterentwickeln.
Einhaltung der DSGVO in Bezug auf die G Suite und die Google Cloud Platform
Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenauftragsverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der DSGVO bei der Datenverarbeitung zu erfüllen. Bei der entsprechenden Beurteilung von G Suite- und Google Cloud Platform-Diensten ist Folgendes zu berücksichtigen:
Datenschutzkenntnisse
Google beschäftigt weltweit führende Sicherheits- und Datenschutzexperten in den Bereichen Informations-, Anwendungs- und Netzwerksicherheit. Zu den Aufgaben dieses Expertenteams gehören die Pflege der Schutzsysteme des Unternehmens, die Entwicklung von Prozessen zur Sicherheitsprüfung, der Aufbau einer verbesserten Sicherheitsinfrastruktur sowie die zuverlässige Implementierung der Sicherheitsrichtlinien von Google.
Google unterhält außerdem ein umfangreiches Team von Anwälten, Sachverständigen auf dem Gebiet der Einhaltung gesetzlicher Vorschriften und Spezialisten auf dem Gebiet der öffentlichen Ordnung, die für die Einhaltung der Datenschutz- und Sicherheitsauflagen für Google Cloud sorgen.
Diese Teams arbeiten mit Kunden, Branchenvertretern und Aufsichtsbehörden zusammen, um sicherzustellen, dass unsere G Suite- und Google Cloud Platform-Dienste die Kunden bei der Einhaltung ihrer Complianceanforderungen unterstützen.
Datenverarbeitungsvereinbarungen
In unseren Datenverarbeitungsvereinbarungen für die G Suite und die Google Cloud Platform ist unsere Datenschutzverpflichtung unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bestimmungen im Laufe der Jahre auf Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt.
Zuletzt wurden diese Bestimmungen gemäß der DSGVO aktualisiert und rechtzeitig im Voraus vor Inkrafttreten der DSGVO bereitgestellt. Dies soll unseren Kunden die Bewertung der Konformität mit der DSGVO und deren Einhaltung bei Verwendung von Google Cloud-Diensten erleichtern.
Unsere Kunden können diese aktualisierten Datenverarbeitungsbedingungen jetzt im Rahmen des Zustimmungsverfahrens für die Zusatzvereinbarung zur Compliance für die G Suite bzw. für die Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen für die GCP akzeptieren.
Verarbeitung gemäß Weisungen
Alle von Kunden und deren Nutzern in unsere Systeme eingegebenen Daten werden ausschließlich in Übereinstimmung mit den Weisungen des Kunden verarbeitet. Eine Erläuterung hierzu finden Sie in unseren gemäß der DSGVO aktualisierten Datenverarbeitungsvereinbarungen.
Verpflichtung zur Vertraulichkeit seitens der Mitarbeiter
Alle Mitarbeiter von Google müssen eine Vertraulichkeitsvereinbarung unterschreiben und obligatorische Schulungen zu Vertraulichkeit und Datenschutz sowie unsere Schulung zum Verhaltenskodex absolvieren. Der Verhaltenskodex von Google befasst sich insbesondere mit den Pflichten und Erwartungen, die wir im Hinblick auf den Schutz von Daten an unsere Mitarbeiter stellen.
Die Mehrzahl der für die G Suite- und Google Cloud Platform-Dienste erforderlichen Datenverarbeitungsaktivitäten wird direkt von Unternehmen der Google-Gruppe abgewickelt. Wir beauftragen jedoch auch Drittanbieter, die uns bei der Erbringung dieser Dienste unterstützen. Jeder Anbieter durchläuft ein strenges Auswahlverfahren. Wir stellen damit die nötigen technischen Fachkenntnisse sowie die Einhaltung des erforderlichen Maßes an Sicherheit und Datenschutz sicher.
Wir stellen Informationen zu den Unterauftragsverarbeitern der Google-Gruppe, die G Suite- und Google Cloud Platform-Dienste unterstützen, sowie zu Unterauftragsverarbeitern von Dritten bereit, die an diesen Diensten beteiligt sind. In unseren Datenverarbeitungsvereinbarungen sind außerdem unsere Verpflichtungen in Bezug auf Unterauftragsverarbeiter aufgeführt.
Gemäß der DSGVO müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um ein dem Risiko entsprechendes Sicherheitsniveau zu schaffen.
Google betreibt eine weltweite Infrastruktur, die darauf ausgelegt ist, im gesamten Datenverarbeitungszyklus Sicherheit auf dem neuesten Stand der Technik zu bieten. Diese Infrastruktur ermöglicht eine sichere Bereitstellung von Diensten, eine sichere Speicherung von Daten mit Absicherung des Datenschutzes für Endnutzer, eine sichere Kommunikation zwischen Diensten, eine sichere und geschützte Kommunikation mit Kunden über das Internet sowie einen sicheren Betrieb durch Administratoren. Die G Suite und die Google Cloud Platform werden beide in dieser Infrastruktur ausgeführt.
Wir haben die Sicherheit unserer Infrastruktur in Ebenen strukturiert, die aufeinander aufbauen – angefangen bei der physischen Sicherheit von Rechenzentren über die Sicherheitsmechanismen unserer Hardware und Software bis zu den Prozessen, die wir zur Förderung der Betriebssicherheit befolgen. Dieser Schutz auf mehreren Ebenen bildet ein starkes Sicherheitsfundament für all unsere Aktivitäten. Eine detaillierte Beschreibung unserer Infrastruktursicherheit finden Sie in unserem Whitepaper "Übersicht über das Sicherheitsdesign der Infrastruktur von Google".
Verfügbarkeit, Integrität und Robustheit
Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Dienste automatisch und unverzüglich von einer Einrichtung in eine andere verschoben, sodass die Dienste ohne Unterbrechung weiter bereitgestellt werden können. Außerdem schützt unsere hochredundante Infrastruktur unsere Kunden vor Datenverlusten.
Tests
Google führt jährlich Tests zur Notfallwiederherstellung durch. Diese bieten einen zentralen Ausgangspunkt für Infrastruktur- und Anwendungsteams, um Kommunikationspläne, Failover-Szenarien, die betriebliche Umstellung und weitere Notfallmaßnahmen zu testen. Alle Teams, die an der Übung zur Notfallwiederherstellung teilnehmen, entwickeln Testpläne und Störungsanalysen, in denen die Ergebnisse und Erkenntnisse aus den Tests dokumentiert werden.
Verschlüsselung
Google schützt Daten während der Übertragung und in Ruhe durch Verschlüsselung. An die G Suite übertragene Daten werden durch HTTPS geschützt. Dies ist standardmäßig für alle Nutzer aktiviert. Die G Suite- und die Google Cloud Platform-Dienste verschlüsseln inaktive Inhalte von Kunden ohne jegliche Kundenaktion mit einem oder mehreren Verschlüsselungsmechanismen. Eine detaillierte Beschreibung unserer Datenverschlüsselung finden Sie in unserem Whitepaper zum Thema Verschlüsselung.
Zugriffskontrollen
Bei Google werden Zugriffsrechte und -ebenen je nach Funktion und Rolle der einzelnen Mitarbeiter verwaltet. Grundsätzlich erhält jeder Mitarbeiter nur die geringstnötigen Berechtigungen und es werden nur absolut notwendige Personen eingebunden. Die Zugriffsrechte werden also mit den definierten Zuständigkeitsbereichen abgestimmt. Anfragen nach weiterem Zugriff folgen einem festgelegten Verfahren. Die Genehmigung muss durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft erfolgen, wie in den Google-Sicherheitsrichtlinien festgelegt.
Sicherheitslückenverwaltung
Für die Suche nach Sicherheitslücken in unserer Software nutzen wir eine Kombination aus kommerziell verfügbaren und speziell zu diesem Zweck entwickelten internen Tools. Darüber hinaus führen wir intensive automatische und manuelle Penetrationstests, Qualitätssicherungsprozesse, Softwaresicherheitsüberprüfungen und externe Audits durch. Außerdem nutzen wir die Expertise der globalen Sicherheitsforscher-Community. Wir schätzen ihre Hilfe bei der Identifizierung von Schwachstellen in der G Suite, der Google Cloud Platform und anderen Google-Produkten. Im Rahmen unseres Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) ermutigen wir Forscher, Design- und Implementierungsschwächen zu melden, die ein Risiko für Kundendaten darstellen können.
Produktsicherheit in der G Suite
Mit der G Suite können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder rechtswidrigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:
- Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung. Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert.
- Die Überwachung auf verdächtige Anmeldungen ermöglicht die Ermittlung verdächtiger Anmeldungen mithilfe von robusten Funktionen maschinellen Lernens.
- Die erhöhte E-Mail-Sicherheit verlangt, dass E-Mail-Nachrichten mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signiert und verschlüsselt werden.
- Der Schutz vor Datenverlust in Gmail und Drive schützt vertrauliche Informationen vor unbefugter Freigabe. Weitere Informationen erhalten Sie in unserem Whitepaper zum Schutz vor Datenverlust.
- Die Verwaltung von Informationsrechten in Drive ermöglicht es Ihnen, über das erweiterte Freigabemenü das Herunterladen, Drucken und Kopieren von Dateien zu deaktivieren. Außerdem können Sie Ablaufdaten für den Dateizugriff festlegen.
- Die Mobilgeräteverwaltung bietet eine kontinuierliche Systemüberwachung und Warnmeldungen im Fall von verdächtigen Geräteaktivitäten.
- Das Sicherheitscenter bietet umfassende Informationen zur externen Dateifreigabe, zu Spam und Malware, von denen Nutzer in Ihrer Organisation betroffen sind, sowie Messwerte zur Effektivität Ihrer Sicherheitskonfiguration – alles in einem einzigen Dashboard.
- Mit Google Vault können Sie die E-Mails und öffentlichen Chats Ihres Unternehmens sowie den Inhalt von Google Drive-Dateien entsprechend Ihren E-Discovery- und Complianceanforderungen aufbewahren, archivieren, durchsuchen und exportieren.
Die Zugriffssteuerungen für Drittanbieteranwendungen ermöglichen Transparenz und Kontrolle hinsichtlich Drittanbieteranwendungen. Dabei wird OAuth für die Authentifizierung und für den Zugriff auf Unternehmensdaten verwendet. Sie können den OAuth-Zugriff im Einzelnen deaktivieren und überprüfte Anwendungen von Drittanbietern auf die weiße Liste setzen.
Weitere Informationen hierzu finden Sie unter https://gsuite.google.com/security/.
Produktsicherheit der GCP
Mit der GCP können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder rechtswidrigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:
- Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung. Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert.
- Mit Cloud Identity and Access Management (Cloud IAM) können Sie detaillierte Zugriffs- und Änderungsberechtigungen für Google Cloud Platform-Ressourcen erstellen und verwalten.
- Die Data Loss Prevention API erleichtert die Identifizierung und Überwachung der Verarbeitung bestimmter Kategorien personenbezogener Daten und damit die Umsetzung angemessener Kontrollmechanismen.
- Stackdriver Logging und Stackdriver Monitoring binden Systeme für Logging, Monitoring, Benachrichtigungen und Anomalieerkennung in die Google Cloud Platform ein.
- Cloud Identity-Aware Proxy (Cloud IAP) steuert den Zugriff auf Cloudanwendungen, die auf der Google Cloud Platform ausgeführt werden.
- Cloud Security Scanner sucht und erkennt gängige Sicherheitslücken in Google App Engine-Anwendungen.
- Cloud Security Command Center ermöglicht über ein einziges zentrales Dashboard die Anzeige und Überwachung Ihrer Cloud-Assets, das Durchsuchen von Speichersystemen nach sensiblen Daten, die Ermittlung gängiger Websicherheitslücken und die Überprüfung der Zugriffsrechte für Ihre wichtigsten Ressourcen.
Weitere Informationen erhalten Sie unter https://cloud.google.com/security/.
Administratoren können Kundendaten über die Funktionen der G Suite- oder der Google Cloud Platform-Dienste jederzeit während der Laufzeit der Vereinbarung exportieren. Informationen zu den Diensten erhalten Sie in der Dokumentation zur Google Cloud Platform. Wir haben schon vor mehreren Jahren Datenexportverpflichtungen in unsere Datenverarbeitungsbedingungen aufgenommen und nun an die DSGVO angepasst. Außerdem verbessern wir kontinuierlich die Stabilität der Datenexportfunktionen und vereinfachen gleichzeitig das sichere Herunterladen einer Kopie Ihrer Geschäftsdaten von G Suite- und Google Cloud Platform-Diensten.
Sie können Kundendaten auch jederzeit über die Funktionen der G Suite oder Google Cloud Platform-Dienste löschen. Wenn Google von Ihnen die Aufforderung zum vollständigen Löschen erhält, damit also beispielsweise eine von Ihnen gelöschte E-Mail nicht mehr aus dem "Papierkorb" wiederhergestellt werden kann, löscht Google die entsprechenden Kundendaten innerhalb von maximal 180 Tagen aus allen Systemen, sofern keine Verpflichtung zur Aufbewahrung besteht.
Rechte betroffener Personen
Datenverantwortliche können über die Verwaltungskonsole der G Suite und der Google Cloud Platform auf sämtliche Daten zugreifen, die von ihnen oder ihren Nutzern in unsere Systeme gestellt werden. Außerdem können sie solche Daten löschen, korrigieren oder deren Verarbeitung einschränken. Diese Funktion erleichtert es ihnen, ihren Verpflichtungen im Hinblick auf Anträge von betroffenen Personen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen.
Datenschutzteam
Google hat einen Datenschutzbeauftragten für Google LLC und seine Tochtergesellschaften für die Bereiche der Datenverarbeitung ernannt, die der DSGVO unterliegen, einschließlich der Unternehmensprodukte von Google Ireland Limited. Diese Aufgabe übernimmt Keith Enright (Director Privacy Legal) in San Francisco (USA).
Dort, wo es erforderlich ist, wurden für die Google-Unternehmensprodukte Teams zur Beantwortung von Kundenanfragen in Bezug auf den Datenschutz eingerichtet. Wie Sie mit diesen Teams Kontakt aufnehmen, ist in der jeweiligen Vereinbarung angegeben. Für die G Suite kann das Cloud-Datenschutzteam von Kundenadministratoren unter https://support.google.com/a/contact/googlecloud_dpr kontaktiert werden. Administratoren müssen dazu bei ihrem Administratorkonto angemeldet sein. Es besteht auch die Möglichkeit, direkt eine Nachricht an Google zu senden, wie in der entsprechenden Vereinbarung festgelegt. Für die Google Cloud Platform kann mit dem Datenschutzteam unter https://support.google.com/cloud/contact/dpo Kontakt aufgenommen werden.
Benachrichtigungen über Vorfälle
Für die G Suite und die Google Cloud Platform gelten bereits seit Jahren vertragliche Verpflichtungen zur Information von Nutzern über aufgetretene Vorfälle. Wir werden Sie auch weiterhin gemäß den Bestimmungen zu Datenvorfällen in unseren der DSGVO angepassten Vereinbarungen und Bestimmungen unverzüglich über Vorfälle im Zusammenhang mit Ihren Kundendaten informieren.
Die DSGVO sieht verschiedene Verfahren zur Übertragung personenbezogener Daten außerhalb der EU vor. Diese Verfahren sollen ein ausreichendes Maß an Schutz bzw. die Implementierung geeigneter Sicherheitsmaßnahmen bei der Übertragung personenbezogener Daten in ein Drittland gewährleisten.
Geeignete Sicherheitsmaßnahmen können durch Mustervertragsklauseln festgelegt werden. Ein ausreichendes Maß an Schutz lässt sich durch Angemessenheitsentscheidungen der Europäischen Kommission gewährleisten, z. B. durch die Entscheidungen zum EU-US-Datenschutzschild.
Wir verpflichten uns im Rahmen unserer derzeitigen Datenverarbeitungsvereinbarungen vertraglich zu einem Verfahren, das die Übertragung personenbezogener Daten außerhalb der EU nach den Vorgaben der DSGVO ermöglicht. Die Zertifizierung von Google gemäß den Datenschutzschildabkommen zwischen der EU und den USA (EU-US-Datenschutzschild) bzw. zwischen der Schweiz und den USA beinhaltet auch die G Suite und die Google Cloud Platform. Außerdem haben die europäischen Datenschutzbehörden die Compliance unserer Mustervertragsklauseln bestätigt und versichert, dass unsere vertraglichen Verpflichtungen für die G Suite und die Google Cloud Platform den Anforderungen für eine rechtlich zulässige Übertragung personenbezogener Daten aus der EU in ein anderes Land vollständig genügen.
Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Zur Erfüllung dieser Erwartungen werden die G Suite und die Google Cloud Platform regelmäßig Audits durch verschiedene unabhängige Dritte unterzogen.
ISO 27001 (Managementsysteme für die Informationssicherheit)
ISO 27001 gehört zu den am weitesten verbreiteten und anerkannten unabhängigen Sicherheitsstandards. Das Personal sowie die Systeme, Anwendungen, Technologien, Prozesse und Rechenzentren, die zur Bereitstellung unserer gemeinsam genutzten Common Infrastructure sowie für G Suite- und Google Cloud Platform-Produkte eingesetzt werden, sind nach ISO 27001 zertifiziert.
ISO 27017 (Informationssicherheit in der Cloud)
ISO 27017 ist ein internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit, der auf ISO/IEC 27002 basiert und sich speziell auf Clouddienste bezieht. Die G Suite und die Google Cloud Platform wurden nach ISO 27017 zertifiziert.
ISO 27018 (Datenschutz in der Cloud)
ISO 27018 ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen in öffentlichen Clouddiensten. Die G Suite und die Google Cloud Platform wurden nach ISO 27018 zertifiziert.
SSAE16/ISAE 3402 (SOC 2/3)
Das US-Institut amtlich zugelassener Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) hat mit SOC 2 und SOC 3 sogenannte Service Organization Controls geschaffen. Dies sind Auditrahmen für Vertrauensgrundsätze und Kriterien in Bezug auf Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Die Google Cloud Platform und die G Suite wurden sowohl nach SOC 2 als auch nach SOC 3 geprüft.
Datenverarbeitungsvereinbarungen
In unseren Datenverarbeitungsvereinbarungen für die G Suite und die Google Cloud Platform ist unsere Datenschutzverpflichtung unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bestimmungen im Laufe der Jahre auf Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt.
Zuletzt wurden diese Bestimmungen gemäß der DSGVO aktualisiert und rechtzeitig im Voraus vor Inkrafttreten der DSGVO bereitgestellt. Dies soll unseren Kunden die Bewertung der Konformität mit der DSGVO und deren Einhaltung bei Verwendung von Google Cloud-Diensten erleichtern.
Unsere Kunden können diese aktualisierten Datenverarbeitungsbedingungen jetzt im Rahmen des Zustimmungsverfahrens für die Zusatzvereinbarung zur Compliance für die G Suite bzw. für die Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen für die GCP akzeptieren.
Verarbeitung gemäß Weisungen
Alle von Kunden und deren Nutzern in unsere Systeme eingegebenen Daten werden ausschließlich in Übereinstimmung mit den Weisungen des Kunden verarbeitet. Eine Erläuterung hierzu finden Sie in unseren gemäß der DSGVO aktualisierten Datenverarbeitungsvereinbarungen.
Verpflichtung zur Vertraulichkeit seitens der Mitarbeiter
Alle Mitarbeiter von Google müssen eine Vertraulichkeitsvereinbarung unterschreiben und obligatorische Schulungen zu Vertraulichkeit und Datenschutz sowie unsere Schulung zum Verhaltenskodex absolvieren. Der Verhaltenskodex von Google befasst sich insbesondere mit den Pflichten und Erwartungen, die wir im Hinblick auf den Schutz von Daten an unsere Mitarbeiter stellen.
Die Mehrzahl der für die G Suite- und Google Cloud Platform-Dienste erforderlichen Datenverarbeitungsaktivitäten wird direkt von Unternehmen der Google-Gruppe abgewickelt. Wir beauftragen jedoch auch Drittanbieter, die uns bei der Erbringung dieser Dienste unterstützen. Jeder Anbieter durchläuft ein strenges Auswahlverfahren. Wir stellen damit die nötigen technischen Fachkenntnisse sowie die Einhaltung des erforderlichen Maßes an Sicherheit und Datenschutz sicher.
Wir stellen Informationen zu den Unterauftragsverarbeitern der Google-Gruppe, die G Suite- und Google Cloud Platform-Dienste unterstützen, sowie zu Unterauftragsverarbeitern von Dritten bereit, die an diesen Diensten beteiligt sind. In unseren Datenverarbeitungsvereinbarungen sind außerdem unsere Verpflichtungen in Bezug auf Unterauftragsverarbeiter aufgeführt.
Gemäß der DSGVO müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um ein dem Risiko entsprechendes Sicherheitsniveau zu schaffen.
Google betreibt eine weltweite Infrastruktur, die darauf ausgelegt ist, im gesamten Datenverarbeitungszyklus Sicherheit auf dem neuesten Stand der Technik zu bieten. Diese Infrastruktur ermöglicht eine sichere Bereitstellung von Diensten, eine sichere Speicherung von Daten mit Absicherung des Datenschutzes für Endnutzer, eine sichere Kommunikation zwischen Diensten, eine sichere und geschützte Kommunikation mit Kunden über das Internet sowie einen sicheren Betrieb durch Administratoren. Die G Suite und die Google Cloud Platform werden beide in dieser Infrastruktur ausgeführt.
Wir haben die Sicherheit unserer Infrastruktur in Ebenen strukturiert, die aufeinander aufbauen – angefangen bei der physischen Sicherheit von Rechenzentren über die Sicherheitsmechanismen unserer Hardware und Software bis zu den Prozessen, die wir zur Förderung der Betriebssicherheit befolgen. Dieser Schutz auf mehreren Ebenen bildet ein starkes Sicherheitsfundament für all unsere Aktivitäten. Eine detaillierte Beschreibung unserer Infrastruktursicherheit finden Sie in unserem Whitepaper "Übersicht über das Sicherheitsdesign der Infrastruktur von Google".
Verfügbarkeit, Integrität und Robustheit
Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Dienste automatisch und unverzüglich von einer Einrichtung in eine andere verschoben, sodass die Dienste ohne Unterbrechung weiter bereitgestellt werden können. Außerdem schützt unsere hochredundante Infrastruktur unsere Kunden vor Datenverlusten.
Tests
Google führt jährlich Tests zur Notfallwiederherstellung durch. Diese bieten einen zentralen Ausgangspunkt für Infrastruktur- und Anwendungsteams, um Kommunikationspläne, Failover-Szenarien, die betriebliche Umstellung und weitere Notfallmaßnahmen zu testen. Alle Teams, die an der Übung zur Notfallwiederherstellung teilnehmen, entwickeln Testpläne und Störungsanalysen, in denen die Ergebnisse und Erkenntnisse aus den Tests dokumentiert werden.
Verschlüsselung
Google schützt Daten während der Übertragung und in Ruhe durch Verschlüsselung. An die G Suite übertragene Daten werden durch HTTPS geschützt. Dies ist standardmäßig für alle Nutzer aktiviert. Die G Suite- und die Google Cloud Platform-Dienste verschlüsseln inaktive Inhalte von Kunden ohne jegliche Kundenaktion mit einem oder mehreren Verschlüsselungsmechanismen. Eine detaillierte Beschreibung unserer Datenverschlüsselung finden Sie in unserem Whitepaper zum Thema Verschlüsselung.
Zugriffskontrollen
Bei Google werden Zugriffsrechte und -ebenen je nach Funktion und Rolle der einzelnen Mitarbeiter verwaltet. Grundsätzlich erhält jeder Mitarbeiter nur die geringstnötigen Berechtigungen und es werden nur absolut notwendige Personen eingebunden. Die Zugriffsrechte werden also mit den definierten Zuständigkeitsbereichen abgestimmt. Anfragen nach weiterem Zugriff folgen einem festgelegten Verfahren. Die Genehmigung muss durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft erfolgen, wie in den Google-Sicherheitsrichtlinien festgelegt.
Sicherheitslückenverwaltung
Für die Suche nach Sicherheitslücken in unserer Software nutzen wir eine Kombination aus kommerziell verfügbaren und speziell zu diesem Zweck entwickelten internen Tools. Darüber hinaus führen wir intensive automatische und manuelle Penetrationstests, Qualitätssicherungsprozesse, Softwaresicherheitsüberprüfungen und externe Audits durch. Außerdem nutzen wir die Expertise der globalen Sicherheitsforscher-Community. Wir schätzen ihre Hilfe bei der Identifizierung von Schwachstellen in der G Suite, der Google Cloud Platform und anderen Google-Produkten. Im Rahmen unseres Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) ermutigen wir Forscher, Design- und Implementierungsschwächen zu melden, die ein Risiko für Kundendaten darstellen können.
Produktsicherheit in der G Suite
Mit der G Suite können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder rechtswidrigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:
- Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung. Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert.
- Die Überwachung auf verdächtige Anmeldungen ermöglicht die Ermittlung verdächtiger Anmeldungen mithilfe von robusten Funktionen maschinellen Lernens.
- Die erhöhte E-Mail-Sicherheit verlangt, dass E-Mail-Nachrichten mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signiert und verschlüsselt werden.
- Der Schutz vor Datenverlust in Gmail und Drive schützt vertrauliche Informationen vor unbefugter Freigabe. Weitere Informationen erhalten Sie in unserem Whitepaper zum Schutz vor Datenverlust.
- Die Verwaltung von Informationsrechten in Drive ermöglicht es Ihnen, über das erweiterte Freigabemenü das Herunterladen, Drucken und Kopieren von Dateien zu deaktivieren. Außerdem können Sie Ablaufdaten für den Dateizugriff festlegen.
- Die Mobilgeräteverwaltung bietet eine kontinuierliche Systemüberwachung und Warnmeldungen im Fall von verdächtigen Geräteaktivitäten.
- Das Sicherheitscenter bietet umfassende Informationen zur externen Dateifreigabe, zu Spam und Malware, von denen Nutzer in Ihrer Organisation betroffen sind, sowie Messwerte zur Effektivität Ihrer Sicherheitskonfiguration – alles in einem einzigen Dashboard.
- Mit Google Vault können Sie die E-Mails und öffentlichen Chats Ihres Unternehmens sowie den Inhalt von Google Drive-Dateien entsprechend Ihren E-Discovery- und Complianceanforderungen aufbewahren, archivieren, durchsuchen und exportieren.
Die Zugriffssteuerungen für Drittanbieteranwendungen ermöglichen Transparenz und Kontrolle hinsichtlich Drittanbieteranwendungen. Dabei wird OAuth für die Authentifizierung und für den Zugriff auf Unternehmensdaten verwendet. Sie können den OAuth-Zugriff im Einzelnen deaktivieren und überprüfte Anwendungen von Drittanbietern auf die weiße Liste setzen.
Weitere Informationen hierzu finden Sie unter https://gsuite.google.com/security/.
Produktsicherheit der GCP
Mit der GCP können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder rechtswidrigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:
- Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung. Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert.
- Mit Cloud Identity and Access Management (Cloud IAM) können Sie detaillierte Zugriffs- und Änderungsberechtigungen für Google Cloud Platform-Ressourcen erstellen und verwalten.
- Die Data Loss Prevention API erleichtert die Identifizierung und Überwachung der Verarbeitung bestimmter Kategorien personenbezogener Daten und damit die Umsetzung angemessener Kontrollmechanismen.
- Stackdriver Logging und Stackdriver Monitoring binden Systeme für Logging, Monitoring, Benachrichtigungen und Anomalieerkennung in die Google Cloud Platform ein.
- Cloud Identity-Aware Proxy (Cloud IAP) steuert den Zugriff auf Cloudanwendungen, die auf der Google Cloud Platform ausgeführt werden.
- Cloud Security Scanner sucht und erkennt gängige Sicherheitslücken in Google App Engine-Anwendungen.
- Cloud Security Command Center ermöglicht über ein einziges zentrales Dashboard die Anzeige und Überwachung Ihrer Cloud-Assets, das Durchsuchen von Speichersystemen nach sensiblen Daten, die Ermittlung gängiger Websicherheitslücken und die Überprüfung der Zugriffsrechte für Ihre wichtigsten Ressourcen.
Weitere Informationen erhalten Sie unter https://cloud.google.com/security/.
Administratoren können Kundendaten über die Funktionen der G Suite- oder der Google Cloud Platform-Dienste jederzeit während der Laufzeit der Vereinbarung exportieren. Informationen zu den Diensten erhalten Sie in der Dokumentation zur Google Cloud Platform. Wir haben schon vor mehreren Jahren Datenexportverpflichtungen in unsere Datenverarbeitungsbedingungen aufgenommen und nun an die DSGVO angepasst. Außerdem verbessern wir kontinuierlich die Stabilität der Datenexportfunktionen und vereinfachen gleichzeitig das sichere Herunterladen einer Kopie Ihrer Geschäftsdaten von G Suite- und Google Cloud Platform-Diensten.
Sie können Kundendaten auch jederzeit über die Funktionen der G Suite oder Google Cloud Platform-Dienste löschen. Wenn Google von Ihnen die Aufforderung zum vollständigen Löschen erhält, damit also beispielsweise eine von Ihnen gelöschte E-Mail nicht mehr aus dem "Papierkorb" wiederhergestellt werden kann, löscht Google die entsprechenden Kundendaten innerhalb von maximal 180 Tagen aus allen Systemen, sofern keine Verpflichtung zur Aufbewahrung besteht.
Rechte betroffener Personen
Datenverantwortliche können über die Verwaltungskonsole der G Suite und der Google Cloud Platform auf sämtliche Daten zugreifen, die von ihnen oder ihren Nutzern in unsere Systeme gestellt werden. Außerdem können sie solche Daten löschen, korrigieren oder deren Verarbeitung einschränken. Diese Funktion erleichtert es ihnen, ihren Verpflichtungen im Hinblick auf Anträge von betroffenen Personen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen.
Datenschutzteam
Google hat einen Datenschutzbeauftragten für Google LLC und seine Tochtergesellschaften für die Bereiche der Datenverarbeitung ernannt, die der DSGVO unterliegen, einschließlich der Unternehmensprodukte von Google Ireland Limited. Diese Aufgabe übernimmt Keith Enright (Director Privacy Legal) in San Francisco (USA).
Dort, wo es erforderlich ist, wurden für die Google-Unternehmensprodukte Teams zur Beantwortung von Kundenanfragen in Bezug auf den Datenschutz eingerichtet. Wie Sie mit diesen Teams Kontakt aufnehmen, ist in der jeweiligen Vereinbarung angegeben. Für die G Suite kann das Cloud-Datenschutzteam von Kundenadministratoren unter https://support.google.com/a/contact/googlecloud_dpr kontaktiert werden. Administratoren müssen dazu bei ihrem Administratorkonto angemeldet sein. Es besteht auch die Möglichkeit, direkt eine Nachricht an Google zu senden, wie in der entsprechenden Vereinbarung festgelegt. Für die Google Cloud Platform kann mit dem Datenschutzteam unter https://support.google.com/cloud/contact/dpo Kontakt aufgenommen werden.
Benachrichtigungen über Vorfälle
Für die G Suite und die Google Cloud Platform gelten bereits seit Jahren vertragliche Verpflichtungen zur Information von Nutzern über aufgetretene Vorfälle. Wir werden Sie auch weiterhin gemäß den Bestimmungen zu Datenvorfällen in unseren der DSGVO angepassten Vereinbarungen und Bestimmungen unverzüglich über Vorfälle im Zusammenhang mit Ihren Kundendaten informieren.
Die DSGVO sieht verschiedene Verfahren zur Übertragung personenbezogener Daten außerhalb der EU vor. Diese Verfahren sollen ein ausreichendes Maß an Schutz bzw. die Implementierung geeigneter Sicherheitsmaßnahmen bei der Übertragung personenbezogener Daten in ein Drittland gewährleisten.
Geeignete Sicherheitsmaßnahmen können durch Mustervertragsklauseln festgelegt werden. Ein ausreichendes Maß an Schutz lässt sich durch Angemessenheitsentscheidungen der Europäischen Kommission gewährleisten, z. B. durch die Entscheidungen zum EU-US-Datenschutzschild.
Wir verpflichten uns im Rahmen unserer derzeitigen Datenverarbeitungsvereinbarungen vertraglich zu einem Verfahren, das die Übertragung personenbezogener Daten außerhalb der EU nach den Vorgaben der DSGVO ermöglicht. Die Zertifizierung von Google gemäß den Datenschutzschildabkommen zwischen der EU und den USA (EU-US-Datenschutzschild) bzw. zwischen der Schweiz und den USA beinhaltet auch die G Suite und die Google Cloud Platform. Außerdem haben die europäischen Datenschutzbehörden die Compliance unserer Mustervertragsklauseln bestätigt und versichert, dass unsere vertraglichen Verpflichtungen für die G Suite und die Google Cloud Platform den Anforderungen für eine rechtlich zulässige Übertragung personenbezogener Daten aus der EU in ein anderes Land vollständig genügen.
Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Zur Erfüllung dieser Erwartungen werden die G Suite und die Google Cloud Platform regelmäßig Audits durch verschiedene unabhängige Dritte unterzogen.
ISO 27001 (Managementsysteme für die Informationssicherheit)
ISO 27001 gehört zu den am weitesten verbreiteten und anerkannten unabhängigen Sicherheitsstandards. Das Personal sowie die Systeme, Anwendungen, Technologien, Prozesse und Rechenzentren, die zur Bereitstellung unserer gemeinsam genutzten Common Infrastructure sowie für G Suite- und Google Cloud Platform-Produkte eingesetzt werden, sind nach ISO 27001 zertifiziert.
ISO 27017 (Informationssicherheit in der Cloud)
ISO 27017 ist ein internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit, der auf ISO/IEC 27002 basiert und sich speziell auf Clouddienste bezieht. Die G Suite und die Google Cloud Platform wurden nach ISO 27017 zertifiziert.
ISO 27018 (Datenschutz in der Cloud)
ISO 27018 ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen in öffentlichen Clouddiensten. Die G Suite und die Google Cloud Platform wurden nach ISO 27018 zertifiziert.
SSAE16/ISAE 3402 (SOC 2/3)
Das US-Institut amtlich zugelassener Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) hat mit SOC 2 und SOC 3 sogenannte Service Organization Controls geschaffen. Dies sind Auditrahmen für Vertrauensgrundsätze und Kriterien in Bezug auf Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Die Google Cloud Platform und die G Suite wurden sowohl nach SOC 2 als auch nach SOC 3 geprüft.
Das können Sie tun
Was sind Ihre Pflichten als Kunde?
G Suite1- und Google Cloud Platform-Kunden sind in der Regel die Datenverantwortlichen für alle personenbezogenen Daten, die sie Google im Rahmen der Nutzung der Google Cloud-Dienste zur Verfügung stellen. Der Datenverantwortliche legt Zweck und Methoden der Verarbeitung personenbezogener Daten fest. Daneben gibt es noch den Datenauftragsverarbeiter. Das sind in der Regel wir. Als Datenauftragsverarbeiter verarbeitet Google personenbezogene Daten im Auftrag des Datenverantwortlichen, wenn dieser die G Suite oder die Google Cloud Platform nutzt.
Was ist ein Datenverantwortlicher?
Datenverantwortliche sind für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen verantwortlich, mit denen auf nachvollziehbare Weise sichergestellt wird, dass die Datenverarbeitung den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) entspricht. Die Verpflichtungen eines Datenverantwortlichen betreffen Aspekte wie die Einhaltung von Gesetzen, Billigkeit und Transparenz, Zweckbindung, Datensparsamkeit und Datengenauigkeit sowie den Schutz der Rechte von Datensubjekten in Bezug auf ihre Daten.
Informationen zu Ihren Pflichten gemäß der DSGVO finden Sie auf der Website Ihrer zuständigen nationalen Datenschutzaufsichtsbehörde und in den Veröffentlichungen von Datenschutzverbänden wie der International Association of Privacy Professionals (IAPP). Diese Informationsquellen sollten Sie regelmäßig prüfen. Wir werden auch dafür sorgen, dass diese DSGVO-Seite und unser Center für DSGVO-Ressourcen immer die neuesten Nachrichten und Aktualisierungen enthält.
Mit dieser Website möchten wir unsere Kunden über die Haltung von Google Cloud zur DSGVO informieren. Sie stellt aber keine Rechtsberatung dar. Wir empfehlen Ihnen, sich bei einem Anwalt über die für Ihre Organisation geltenden spezifischen Anforderungen zu informieren.
Wie sollten Sie anfangen?
Als Kunde von Google Cloud sollte die DSGVO Teil Ihrer Compliancestrategie für den Datenschutz sein. Beachten Sie dazu folgende Tipps:
- Machen Sie sich mit den Bestimmungen der DSGVO vertraut.
- Ermitteln Sie den aktuellen Bestand personenbezogener Daten, die Sie verarbeiten. Wir bieten Ihnen entsprechende Tools, um Ihnen die Ermittlung und Klassifizierung der Daten zu erleichtern.
- Prüfen Sie Ihre derzeitigen Kontrollmechanismen, Richtlinien und Prozesse zur Verwaltung und zum Schutz von Daten gemäß den Anforderungen der DSGVO. Suchen Sie nach eventuellen Schwachstellen und erstellen Sie gegebenenfalls einen Plan, um diese zu beheben.
- Prüfen Sie, inwieweit Sie die vorhandenen Datenschutzfeatures von Google Cloud für Ihr eigenes System zur Einhaltung gesetzlicher Auflagen nutzen können. Prüfen Sie vorab die Materialien zu externen Audits und zur Zertifizierung der G Suite oder der Google Cloud Platform.
- Lesen und akzeptieren Sie unsere aktualisierten Datenverarbeitungsbedingungen im Rahmen des Zustimmungsverfahrens für den Zusatz zur Datenverarbeitung für die G Suite bzw. für die Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen für die GCP.
FAQ
- Was ist die DSGVO?
- Die EU-Datenschutz-Grundverordnung (DSGVO) ist eine EU-Datenschutzgesetzgebung, die am 25. Mai 2018 die Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995 abgelöst hat.
- Ist es aufgrund der DSGVO erforderlich, dass personenbezogene Daten innerhalb der EU gespeichert werden?
- Nein. Ebenso wie die Datenschutzrichtlinie 95/46/EG legt die DSGVO bestimmte Bedingungen für die Übertragung personenbezogener Daten außerhalb der EU fest. Diese Bedingungen können z. B. durch Mustervertragsklauseln erfüllt werden.
- Wie wurden Ihre Bestimmungen an die DSGVO angepasst?
- Seit vielen Jahren bietet Google Cloud Datenverarbeitungsbedingungen, die unser Engagement für den Datenschutz und die Sicherheit unserer Kunden klar zum Ausdruck bringen. Obwohl die DSGVO direkt auf Clouddienstanbieter unabhängig von ihren diesbezüglichen vertraglichen Verpflichtungen anwendbar ist, haben wir unsere Bestimmungen an die DSGVO angepasst. Unsere gemäß der DSGVO aktualisierten Bestimmungen spiegeln insbesondere die Bestimmungen des Artikels 28 der DSGVO wider, der die Verwendung eines Datenauftragsverarbeiters durch einen Cloudkunden regelt.
- Gibt die DSGVO Kunden das Recht, einen Audit der Google Cloud durchzuführen?
- Gemäß der DSGVO müssen Datenverantwortlichen in ihren Verträgen mit Datenauftragsverarbeitern Auditrechte eingeräumt werden. Unsere aktualisierten Datenverarbeitungsvereinbarungen beinhalten Auditrechte im Sinne unserer Kunden.
- Welche Rolle spielen ISO 27001, ISO 27017, ISO 27018 und SOC 2/3-Berichte bei der Einhaltung der DSGVO?
- Unsere ISO-Zertifizierungen und SOC 2/3-Auditberichte unterstützen Kunden bei der Risikobewertung und helfen bei der Ermittlung, ob die vorhandenen technischen und organisatorischen Maßnahmen den Anforderungen entsprechen.
- Welche weiteren Informationen und Ressourcen stellt Google zur DSGVO zur Verfügung?
- Besuchen Sie dazu die Google-Website zu Unternehmen und Daten und unser Center für DSGVO-Ressourcen.