Google Cloud und die Datenschutz-Grundverordnung

Die Einhaltung der DSGVO hat für Google Cloud und unsere Kunden höchste Priorität. Das Ziel der DSGVO ist die Stärkung des Schutzes personenbezogener Daten in Europa. Dies beeinflusst für uns alle die Art und Weise, wie wir Geschäfte machen. Wir gehen davon aus, dass Sie viele Fragen dazu haben und wir möchten Sie bei diesem Thema unterstützen. Google Cloud verfolgt einen strikt kundenorientierten Ansatz in Bezug auf Schutz, Kontrolle und Compliance. Wir möchten Ihnen dabei helfen, die DSGVO bestmöglich umzusetzen.

LEITFADEN ZUR DATENSCHUTZIMPLEMENTIERUNG IN GOOGLE WORKSPACE TRUSTING YOUR DATA WITH GOOGLE CLOUD PLATFORM

Center für DSGVO-Ressourcen aufrufen 

Haftungsausschluss: Der Inhalt dieses Dokuments entspricht dem Stand vom November 2020 und stellt den Status quo zum Zeitpunkt der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google können sich aber in Zukunft ändern, da wir den Schutz unserer Kunden kontinuierlich verbessern. Mit Google Workspace beziehn wir uns auch auf Google Workspace for Education. In den kommenden Monaten wird Google Workspace für unsere Education- und Nonprofit-Kunden verfügbar sein.

Was ist die DSGVO?

Die am 25. Mai 2018 in Kraft getretene DSGVO löst die EU-Datenschutzrichtlinie von 1995 ab.

Die DSGVO definiert spezifische Anforderungen für Unternehmen und Organisationen, die in Europa ansässig sind oder Kunden in Europa Produkte bzw. Dienstleistungen anbieten. Die DSGVO hat folgenden Zweck:

  • Sie legt fest, wie Unternehmen personenbezogene Daten erfassen, verwenden und speichern dürfen bzw. müssen.
  • Sie erhöht die Rechenschaftspflicht im Vergleich zu derzeitigen Dokumentations- und Meldepflichten.
  • Sie ermächtigt zur Verhängung von Geldbußen gegen Unternehmen bei Verstoß gegen diese Anforderungen.

Google Cloud und die DSGVO

Bei Google Cloud stehen Maßnahmen zur Verbesserung der Sicherheit und des Schutzes von personenbezogenen Kundendaten an oberster Stelle, denn Sie sollen sich darauf verlassen können, dass Sie bei der Nutzung unserer Dienste die Anforderungen der DSGVO erfüllen. Wenn Sie mit Google Cloud zusammenarbeiten, unterstützen wir so Ihre Bemühungen zur Einhaltung der DSGVO:

  1. Wir verpflichten uns in unseren Verträgen zur Einhaltung der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten von Kunden in allen Diensten der Google Cloud Platform und von Google Workspace
  2. Wir bieten zusätzliche Sicherheitsfeatures, mit denen Sie die sensibelsten personenbezogenen Daten noch besser schützen können.
  3. Wir stellen eine Dokumentation und Materialien zur Verfügung, die Sie bei der Beurteilung unserer Dienste im Hinblick auf den Datenschutz unterstützen.
  4. Wir werden unsere Funktionen bei künftigen gesetzlichen Änderungen anpassen und weiterentwickeln.

Einhaltung der DSGVO in Google Workspace und auf der Google Cloud Platform

Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der Datenschutz-Grundverordnung bei der Datenverarbeitung zu erfüllen. Bei der entsprechenden Beurteilung der Dienste von Google Workspace und der Google Cloud Platform sollten Sie Folgendes in Betracht ziehen:

Expertise in Sachen Datenschutz

Google beschäftigt weltweit führende Sicherheits- und Datenschutzexperten in den Bereichen Informations-, Anwendungs- und Netzwerksicherheit. Zu den Aufgaben dieses Expertenteams gehören die Pflege der Schutzsysteme des Unternehmens, die Entwicklung von Prozessen zur Sicherheitsprüfung, der Aufbau einer verbesserten Sicherheitsinfrastruktur sowie die zuverlässige Implementierung der Sicherheitsrichtlinien von Google.

Google stützt sich auf ein umfangreiches Team von Anwälten, Sachverständigen auf dem Gebiet der Einhaltung gesetzlicher Vorschriften und Spezialisten auf dem Gebiet der öffentlichen Ordnung, die für die Einhaltung der Datenschutz- und Sicherheitsauflagen sorgen.

Dieses Team arbeitet mit Kunden, Branchenvertretern und Aufsichtsbehörden zusammen, damit die Dienste von Google Workspace und der Google Cloud Platform die Kunden bei der Einhaltung der Complianceanforderungen unterstützen.

Alternativen

Was sind Ihre Pflichten als Kunde?

Google Workspace1- und Google Cloud Platform-Kunden sind in der Regel die Datenverantwortlichen für alle personenbezogenen Daten, die sie Google im Rahmen der Nutzung der Google Cloud-Dienste zur Verfügung stellen. Die Datenverantwortlichen legen Zweck und Methoden der Verarbeitung personenbezogener Daten fest. Daneben gibt es noch den Datenauftragsverarbeiter. Das sind in der Regel wir. Als Datenauftragsverarbeiter verarbeitet Google Cloud personenbezogene Daten im Namen des Datenverantwortlichen, wenn dieser Google Workspace oder die Google Cloud Platform verwendet.

Was ist ein Datenverantwortlicher?

Datenverantwortliche sind zusammen mit den Datenauftragsverarbeitern für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen verantwortlich, mit denen auf nachvollziehbare Weise sichergestellt wird, dass die Datenverarbeitung den Vorgaben der DSGVO entspricht. Die zusätzlichen Verpflichtungen von Datenverantwortlichen betreffen Aspekte wie die Einhaltung von Gesetzen, Fairness und Transparenz, Zweckbindung, Datensparsamkeit und Datengenauigkeit sowie den Schutz der Rechte von betroffenen Personen in Bezug auf ihre Daten.

Informationen zu Ihren Pflichten gemäß der DSGVO finden Sie auf der Website Ihrer zuständigen nationalen Datenschutzaufsichtsbehörde und in den Veröffentlichungen von Datenschutzverbänden wie der International Association of Privacy Professionals (IAPP). Diese Informationsquellen sollten Sie regelmäßig prüfen. Wir werden auch dafür sorgen, dass die vorliegende DSGVO-Seite und unser Center für DSGVO-Ressourcen immer die neuesten Nachrichten und Aktualisierungen enthält.

Mit dem Center für DSGVO-Ressourcen möchten wir unsere Kunden über die Haltung von Google Cloud zur DSGVO informieren. Sie stellt aber keine Rechtsberatung dar. Wir empfehlen Ihnen, sich bei einem Anwalt über die für Ihre Organisation geltenden spezifischen Anforderungen zu informieren.

Wie können Sie vorgehen?

Wenn Sie z. B. ein im Europäischen Wirtschaftsraum oder dem Vereinigten Königreich wohnhafter Google Cloud-Kunde sind, oder für die Verarbeitung von Daten bezüglich betroffener Personen aus dem EWR oder Vereinigten Königreich verantwortlich sind, sollte die DSGVO Teil Ihrer Compliancestrategie für den Datenschutz sein. Beachten Sie dazu folgende Tipps:

  • Machen Sie sich mit den Bestimmungen der DSGVO vertraut.
  • Ermitteln Sie den aktuellen Bestand personenbezogener Daten, die Sie verarbeiten. Wir bieten Ihnen entsprechende Tools, um Ihnen die Ermittlung und Klassifizierung der Daten zu erleichtern.
  • Prüfen Sie Ihre derzeitigen Kontrollmechanismen, Richtlinien und Prozesse zur Verwaltung und zum Schutz von Daten gemäß den Anforderungen der DSGVO. Suchen Sie nach eventuellen Schwachstellen und erstellen Sie gegebenenfalls einen Plan, um diese zu beheben.
  • Prüfen Sie, inwieweit Sie die vorhandenen Datenschutzfeatures von Google Cloud für Ihr eigenes System zur Einhaltung gesetzlicher Auflagen nutzen können. Sehen Sie sich erst einmal die Drittanbieter-Audit- und Zertifizierungsmaterialien für Google Workspace oder die Google Cloud Platform an.
  • Lesen und akzeptieren Sie gegebenenfalls unsere aktualisierten Datenverarbeitungsbedingungen im Rahmen des Zustimmungsverfahrens für den Zusatz zur Datenverarbeitung für Google Workspace bzw. für die Datenverarbeitungsbedingungen und Sicherheitsbestimmungen für die GCP.
1 Google Workspace (ehemals G Suite) umfasst Google Workspace for Teams, Google Workspace Business und Google Workspace for Education. Einige Legacy-Preismodelle für die G Suite werden weiterhin unterstützt. 2 Bitte erkundigen Sie sich bei einem unabhängigen Rechtsberater nach der für Sie zuständigen Datenschutzaufsichtsbehörde.

FAQ

Was ist die DSGVO?
Die EU-Datenschutz-Grundverordnung (DSGVO) ist eine EU-Datenschutzgesetzgebung, die am 25. Mai 2018 die Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995 abgelöst hat.
Ist es aufgrund der DSGVO erforderlich, dass personenbezogene Daten innerhalb der EU gespeichert werden?
Nein. Ebenso wie die Datenschutzrichtlinie 95/46/EG legt die DSGVO bestimmte Bedingungen für die Übertragung personenbezogener Daten außerhalb der EU fest. Diese Bedingungen können z. B. durch Standardvertragsklauseln erfüllt werden.
Wie wurden Bestimmungen an die DSGVO-Anforderungen angepasst?
Seit vielen Jahren bietet Google Cloud Datenverarbeitungsbedingungen, die unser Engagement für den Datenschutz und die Sicherheit unserer Kunden klar zum Ausdruck bringen. Wir haben diese Bedingungen weiterentwickelt, um sie an die DSGVO anzupassen. Unsere gemäß der DSGVO aktualisierten Bedingungen spiegeln insbesondere Artikel 28 der DSGVO wider, der den Einsatz eines Datenauftragsverarbeiters durch einen Datenverantwortlichen regelt.
Gibt die DSGVO Kunden das Recht, einen Audit der Google Cloud durchzuführen?
Gemäß der DSGVO müssen Datenverantwortlichen in ihren Verträgen mit Datenauftragsverarbeitern Auditrechte eingeräumt werden. Unsere aktualisierten Vereinbarungen zur Datenverarbeitung beinhalten Auditrechte im Sinne der Kunden, die der DSGVO unterliegen.
Welche Rolle spielen ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 und SOC 2/3-Berichte bei der Einhaltung der DSGVO?
Unsere ISO-Zertifizierungen und SOC 2/3-Auditberichte unterstützen Kunden bei der Risikobewertung und bei der Ermittlung, ob die vorhandenen technischen und organisatorischen Maßnahmen den Anforderungen entsprechen. Unser Zertifikat gemäß ISO/IEC 27701 bietet eine bessere Übersicht über die Datenschutzrollen und entsprechenden Pflichten. Dadurch können die Bemühungen zum Einhalten von Datenschutzgesetzen einschließlich der DSGVO erleichtert werden.
Kann ich, obwohl das Privacy Shield jetzt ungültig ist, noch immer Google Cloud verwenden und die Anforderungen der DSGVO erfüllen, wenn ich personenbezogene Daten aus der EU verarbeite?
Google wird weiterhin die Auswirkungen der Rechtssache C-311/18 des Gerichtshofs der Europäischen Union (EuGH) prüfen. Dabei wird Google angemessene Maßnahmen treffen, um maximalen Datenschutz für EU-Bürger zu bieten.
Google Cloud bietet unseren Kunden Standardvertragsklauseln, die in der Ermangelung einer alternativen Übertragungslösung durch Google als anwendbar gelten.
Unabhängig vom Standort der Daten bleibt der Datenschutz für Google eine Priorität. Wir sind gemäß internationaler Standards wie ISO/IEC 27001, ISO/IEC 27018 und ISO/IEC 27017 zertifiziert. Die vollständige Liste der Compliance-Angebote von Google finden Sie im Center für Compliance-Ressourcen.
Welche weiteren Informationen und Ressourcen stellt Google zur DSGVO zur Verfügung?
Besuchen Sie dazu die Google-Website zu Unternehmen und Daten und unser Center für DSGVO-Ressourcen.