Google Cloud und die Datenschutz-Grundverordnung
Die Einhaltung der DSGVO hat für Google Cloud und unsere Kunden höchste Priorität. Das Ziel der DSGVO ist die Stärkung des Schutzes personenbezogener Daten in Europa. Dies beeinflusst für uns alle die Art und Weise, wie wir Geschäfte machen. Wir gehen davon aus, dass Sie viele Fragen dazu haben und wir möchten Sie bei diesem Thema unterstützen. Google Cloud verfolgt einen strikt kundenorientierten Ansatz in Bezug auf Schutz, Kontrolle und Compliance. Wir möchten Ihnen dabei helfen, die DSGVO bestmöglich umzusetzen.
Center für DSGVO-Ressourcen aufrufen arrow_forward
Haftungsausschluss: Der Inhalt dieses Dokuments entspricht dem Stand vom November 2020 und stellt den Status quo zum Zeitpunkt der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google können sich aber in Zukunft ändern, da wir den Schutz unserer Kunden kontinuierlich verbessern. Mit Google Workspace beziehn wir uns auch auf Google Workspace for Education. In den kommenden Monaten wird Google Workspace für unsere Education- und Nonprofit-Kunden verfügbar sein.
Was ist die DSGVO?
Die am 25. Mai 2018 in Kraft getretene DSGVO löst die EU-Datenschutzrichtlinie von 1995 ab.
Die DSGVO definiert spezifische Anforderungen für Unternehmen und Organisationen, die in Europa ansässig sind oder Kunden in Europa Produkte bzw. Dienstleistungen anbieten. Die DSGVO hat folgenden Zweck:
- Sie legt fest, wie Unternehmen personenbezogene Daten erfassen, verwenden und speichern dürfen bzw. müssen.
- Sie erhöht die Rechenschaftspflicht im Vergleich zu derzeitigen Dokumentations- und Meldepflichten.
- Sie ermächtigt zur Verhängung von Geldbußen gegen Unternehmen bei Verstoß gegen diese Anforderungen.
Google Cloud und die DSGVO
Bei Google Cloud stehen Maßnahmen zur Verbesserung der Sicherheit und des Schutzes von personenbezogenen Kundendaten an oberster Stelle, denn Sie sollen sich darauf verlassen können, dass Sie bei der Nutzung unserer Dienste die Anforderungen der DSGVO erfüllen. Wenn Sie mit Google Cloud zusammenarbeiten, unterstützen wir so Ihre Bemühungen zur Einhaltung der DSGVO:
- Wir verpflichten uns in unseren Verträgen zur Einhaltung der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten von Kunden in allen Diensten der Google Cloud Platform und von Google Workspace
- Wir bieten zusätzliche Sicherheitsfeatures, mit denen Sie die sensibelsten personenbezogenen Daten noch besser schützen können.
- Wir stellen eine Dokumentation und Materialien zur Verfügung, die Sie bei der Beurteilung unserer Dienste im Hinblick auf den Datenschutz unterstützen.
- Wir werden unsere Funktionen bei künftigen gesetzlichen Änderungen anpassen und weiterentwickeln.
Einhaltung der DSGVO in Google Workspace und auf der Google Cloud Platform
Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der Datenschutz-Grundverordnung bei der Datenverarbeitung zu erfüllen. Bei der entsprechenden Beurteilung der Dienste von Google Workspace und der Google Cloud Platform sollten Sie Folgendes in Betracht ziehen:
Expertise in Sachen Datenschutz
Google beschäftigt weltweit führende Sicherheits- und Datenschutzexperten in den Bereichen Informations-, Anwendungs- und Netzwerksicherheit. Zu den Aufgaben dieses Expertenteams gehören die Pflege der Schutzsysteme des Unternehmens, die Entwicklung von Prozessen zur Sicherheitsprüfung, der Aufbau einer verbesserten Sicherheitsinfrastruktur sowie die zuverlässige Implementierung der Sicherheitsrichtlinien von Google.
Google stützt sich auf ein umfangreiches Team von Anwälten, Sachverständigen auf dem Gebiet der Einhaltung gesetzlicher Vorschriften und Spezialisten auf dem Gebiet der öffentlichen Ordnung, die für die Einhaltung der Datenschutz- und Sicherheitsauflagen sorgen.
Dieses Team arbeitet mit Kunden, Branchenvertretern und Aufsichtsbehörden zusammen, damit die Dienste von Google Workspace und der Google Cloud Platform die Kunden bei der Einhaltung der Complianceanforderungen unterstützen.
Vereinbarungen zur Datenverarbeitung
In unseren Datenverarbeitungsvereinbarungen für Google Workspace und die Google Cloud Platform ist unsere Datenschutzverpflichtung unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bedingungen im Laufe der Jahre auf Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt.
Die Bedingungen wurden entsprechend der DSGVO aktualisiert. Dies soll unseren Kunden die Vorbereitung auf die DSGVO und deren Einhaltung in Verbindung mit Google Cloud-Diensten erleichtern. Diese aktualisierten Bedingungen finden Sie auf den entsprechenden Seiten für den Zusatz zur Datenverarbeitung für Google Workspace, für die EU-Standardvertragsklauseln für Google Workspace, für die Datenverarbeitungsbedingungen und Sicherheitsbestimmungen für die GCP und für die EU-Standardvertragsklauseln für die GCP.
Unsere Kunden können diese aktualisierten Datenverarbeitungsbedingungen im Rahmen des Zustimmungsverfahrens für den Zusatz zur Datenverarbeitung für Google Workspace bzw. für die Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen für die GCP akzeptieren.
Verarbeitung gemäß Weisungen
Alle von Kunden und deren Nutzern in unsere Systeme eingegebenen Daten werden ausschließlich in Übereinstimmung mit den Weisungen des Kunden verarbeitet. Eine Erläuterung hierzu finden Sie in unseren gemäß der DSGVO aktualisierten Datenverarbeitungsvereinbarungen.
Verpflichtung zur Vertraulichkeit seitens der Mitarbeiter
Alle Mitarbeiter von Google müssen eine Vertraulichkeitsvereinbarung unterschreiben und obligatorische Schulungen zu Vertraulichkeit und Datenschutz sowie unsere Schulung zum Verhaltenskodex absolvieren. Der Verhaltenskodex von Google befasst sich insbesondere mit den Pflichten und Erwartungen, die wir im Hinblick auf den Schutz von Daten an unsere Mitarbeiter stellen.
Die Unternehmen der Google-Gruppe führen die meisten Datenverarbeitungsaktivitäten direkt aus, die zur Bereitstellung der Dienste von Google Workspace und Google Cloud erforderlich sind. Wir beauftragen jedoch auch Drittanbieter, die uns bei der Erbringung dieser Dienste unterstützen. Jeder Anbieter durchläuft ein strenges Auswahlverfahren. Wir stellen damit das nötige technische Fachwissen sowie die Einhaltung des erforderlichen Maßes an Sicherheit und Datenschutz sicher.
Wir stellen Informationen zu den Unterauftragsverarbeitern der Google-Gruppe, die Google Workspace- und Google Cloud Platform-Dienste unterstützen, sowie zu Unterauftragsverarbeitern von Dritten bereit, die an diesen Diensten beteiligt sind. Unter diesen Links finden Sie Informationen zu Unterauftragsverarbeitern für Google Workspace und Informationen zu Unterauftragsverarbeitern für die GCP. In unseren Datenverarbeitungsvereinbarungen sind außerdem unsere Verpflichtungen gegenüber Unterauftragsverarbeitern aufgeführt.
Gemäß der DSGVO müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um ein dem Risiko entsprechendes Sicherheitsniveau zu gewährleisten.
Google betreibt eine weltweite Infrastruktur, die darauf ausgelegt ist, im gesamten Datenverarbeitungszyklus Sicherheit auf dem neuesten Stand der Technik zu bieten. Diese Infrastruktur ermöglicht eine sichere Bereitstellung von Diensten, eine sichere Speicherung von Daten mit Absicherung des Datenschutzes für Endnutzer, eine sichere Kommunikation zwischen Diensten, eine sichere und private Kommunikation mit Kunden über das Internet sowie einen sicheren Betrieb durch Administratoren. Google Workspace und die Google Cloud Platform werden in dieser Infrastruktur ausgeführt.
Wir haben die Sicherheit unserer Infrastruktur in Ebenen strukturiert, die aufeinander aufbauen – angefangen bei der physischen Sicherheit von Rechenzentren über die Sicherheitsmechanismen unserer Hardware und Software bis zu den Prozessen für die operative Sicherheit. Dieser Schutz auf mehreren Ebenen bildet ein starkes Sicherheitsfundament für all unsere Aktivitäten. Eine detaillierte Beschreibung unserer Infrastruktursicherheit finden Sie in unserem Whitepaper „Google Infrastructure Security Design Overview“.
Verfügbarkeit, Integrität und Robustheit
Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Dienste automatisch und unverzüglich von einer Einrichtung in eine andere verlagert,sodass sie ohne Unterbrechung bereitgestellt werden können. Außerdem schützt unsere hochredundante Infrastruktur unsere Kunden vor Datenverlusten.
Tests und Sicherheit von Geräten
Google verwendet Barcodes und Asset-Tags, um den Zustand und den Standort von Geräten des Rechenzentrums vom Erwerb über den Einbau und die Ausmusterung bis hin zur Zerstörung zu verfolgen. Wenn eine Komponente einen Leistungstest zu einem beliebigen Zeitpunkt ihres Lebenszyklus nicht besteht, wird sie aus dem Bestand genommen und ausgemustert. Auf Google-Festplatten werden Technologien wie die vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) und Laufwerksschlösser genutzt, um inaktive Daten zu schützen.
Tests zur Notfallwiederherstellung
Google führt jährlich Tests zur Notfallwiederherstellung durch. Diese bieten einen zentralen Ausgangspunkt für Infrastruktur- und Anwendungsteams, um Kommunikationspläne, Failover-Szenarien, die betriebliche Umstellung und weitere Notfallmaßnahmen zu testen. Alle Teams, die an diesen Tests teilnehmen, entwickeln Testpläne und Störungsanalysen, in denen die entsprechenden Ergebnisse und Erkenntnisse dokumentiert werden.
Verschlüsselung
Google schützt Daten während der Übertragung und im Ruhezustand durch Verschlüsselung. Google Workspace-Daten, die zwischen Regionen übertragen werden, werden durch das HTTPS-Protokoll geschützt, das standardmäßig für alle Nutzer aktiviert ist. In Google Workspace und auf der Google Cloud Platform werden inaktive Inhalte automatisch mit einem oder mehreren Mechanismen verschlüsselt. Eine detaillierte Beschreibung unserer Datenverschlüsselung finden Sie in unserem Whitepaper zum Thema Verschlüsselung.
Zugriffskontrollen
Bei Google werden Zugriffsrechte und -ebenen je nach Funktion und Rolle der einzelnen Mitarbeiter verwaltet. Es gilt das Prinzip der geringsten Berechtigung und der geringsten Personenzahl. Die Zugriffsrechte stimmen also mit den definierten Zuständigkeitsbereichen überein. Anfragen nach weiterem Zugriff folgen einem festgelegten Verfahren. Die Genehmigung muss durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft erfolgen, wie in den Google-Sicherheitsrichtlinien festgelegt. Rechenzentren mit Google Cloud-Systemen und Infrastrukturkomponenten unterliegen physischen Zugriffsbeschränkungen und sind rund um die Uhr mit Sicherheitspersonal, Sicherheitskräften, Zugangsausweisen, biometrischen Identifikationsmechanismen, physischen Schlössern und Videokameras vor Ort ausgestattet, um das Innen- und Außengelände der Einrichtung zu überwachen.
Vorfallmanagement
Das Google-Sicherheitsteam kümmert sich weltweit rund um die Uhr um die Sicherheit und den Schutz von Kundendaten. Teammitglieder erhalten Benachrichtigungen zu Vorfällen und sind für das Beheben von Notfällen rund um die Uhr verantwortlich. Es gibt Richtlinien zu Reaktionen auf Vorfälle sowie dokumentierte Verfahren zum Lösen kritischer Vorfälle. Informationen aus diesen Ereignissen werden zum Verhindern weiterer Vorfälle und gegebenenfalls auch als Beispiele für Informationssicherheitsschulungen verwendet. Die Verfahren für das Vorfallmanagement und für Reaktionsworkflows von Google sind dokumentiert. Die Vorfallmanagementverfahren von Google werden im Rahmen unserer Programme für ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 und FedRAMP regelmäßig getestet. Damit liefern wir unseren Kunden und den Aufsichtsbehörden einen Nachweis über die unabhängige Überprüfung unserer Kontrollen für Sicherheit, Datenschutz und Compliance. Weitere Informationen zu unseren Vorfallsreaktionsverfahren finden Sie in unserem Whitepaper zur Reaktion auf Vorfälle im Zusammenhang mit Daten.
Handhabung von Sicherheitslücken
Für die Suche nach Sicherheitslücken in unserer Software nutzen wir eine Kombination aus kommerziell verfügbaren und speziell zu diesem Zweck entwickelten internen Tools. Darüber hinaus führen wir intensive automatische und manuelle Penetrationstests, Qualitätssicherungsprozesse, Softwaresicherheitsüberprüfungen und externe Audits durch. Außerdem nutzen wir die Expertise der globalen Sicherheitsforscher-Community und schätzen ihre Hilfe bei der Identifizierung von Schwachstellen in Google Workspace, der Google Cloud Platform und anderen Google-Produkten. Im Rahmen unseres Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) ermutigen wir Forscher dazu, Design- und Implementierungsschwächen zu melden, die ein Risiko für Kundendaten darstellen können.
Produktsicherheit: Google Workspace
Mit Google Workspace können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder unrechtmäßigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:
- Google Workspace-Hauptdienste einschließlich Gmail, Google Admin-Konsole, Kalender, Drive, Docs, Notizen, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search und Google Groups bieten konfigurierbare Einstellungen, damit die Daten Ihres Unternehmens gemäß Ihren speziellen Anforderungen gesichert, verwendet und aufgerufen werden.
- Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung. Die Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert. Das erweiterte Sicherheitsprogramm ist unser stärkster Schutz für Nutzer vor gezielten Onlineangriffen.
- Auf maschinellem Lernen basierende leistungsstarke Systeme überwachen die Anmeldeaktivitäten und erkennen verdächtige Anmeldeversuche.
- Die erhöhte E-Mail-Sicherheit verlangt, dass E-Mail-Nachrichten mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signiert und verschlüsselt werden.
- Verschlüsselung: Die Daten von Google Workspace-Kunden werden verschlüsselt, wenn sie auf einem Laufwerk oder Sicherungsmedien gespeichert sind oder im Internet oder zwischen Rechenzentren übertragen werden.
- Der Schutz vor Datenverlust in Gmail und Drive schützt vertrauliche Informationen vor unbefugter Freigabe.
- Erweiterter Schutz vor Phishing und Malware schützt vor verdächtigen Anhängen und Skripts von nicht vertrauenswürdigen Absendern sowie vor schädlichen Links und Bildern.
- Die Verwaltung von Informationsrechten in Drive ermöglicht es Ihnen, über das erweiterte Freigabemenü das Herunterladen, Drucken und Kopieren von Dateien zu deaktivieren. Außerdem können Sie ein Ablaufdatum für den Dateizugriff festlegen.
- Die Endpunktverwaltung bietet eine kontinuierliche Systemüberwachung und Warnmeldungen im Fall von verdächtigen Geräteaktivitäten.
- In der Benachrichtigungszentrale können Sie wichtige Benachrichtigungen, Warnungen und Aktionen sehen, die sich auf Google Workspace beziehen. Mithilfe übersichtlicher Statistiken können lässt sich die Anfälligkeit einer Organisation für Sicherheitsprobleme überprüfen.
- Das Sicherheitscenter vereint Sicherheitsanalysen, Best Practice-Empfehlungen und eine integrierte Problembehebung, damit die Daten, Geräte und Nutzer Ihrer Organisation geschützt werden. Es bietet umfassende Informationen zur externen Dateifreigabe, zu Spam und Malware, von denen Nutzer in Ihrer Organisation betroffen sind, sowie integrierte Problembehebung durch das Prüftool.
- Kontextsensitiver Zugriff kann anhand der Identität des Nutzers und des Kontexts der Anfrage detaillierte Zugriffskontrollen für Google Workspace-Anwendungen durchsetzen.
- Mit Google Vault können Sie die E-Mails und öffentlichen Chats Ihres Unternehmens sowie den Inhalt von Google Drive-Dateien gemäß Ihren E-Discovery- und Compliance-Anforderungen aufbewahren, archivieren, durchsuchen und exportieren.
- In der App-Zugriffssteuerung wird festgelegt, wie der Zugriff auf Google Workspace-Dienste über OAuth 2.0 erfolgt. Unternehmen können den Zugriff externer und interner Anwendungen auf Google Workspace-Daten verwalten. Außerdem erhalten Sie Informationen zu bereits verwendeten Drittanbieter-Anwendungen.
- Mit Speicherorten für Daten können Sie mit einer Richtlinie für Speicherorte Daten an einem bestimmten Ort speichern.
- Mit Access Transparency können Sie Logs von Aktionen einsehen, die von Google-Mitarbeitern beim Zugriff auf Nutzerinhalte durchgeführt werden.
Weitere Informationen finden Sie unter https://workspace.google.com/security.
Produktsicherheit der Google Cloud Platform (GCP)
Mit der GCP können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder unrechtmäßigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:
- Die Verschlüsselung während der Übertragung zwischen Regionen wird standardmäßig in der GCP zum Verschlüsseln von Anfragen vor der Übertragung und zum Schutz der Rohdaten mit dem TLS-Protokoll (Transport Layer Security) verwendet. Sobald die Daten an die GCP übertragen und dort gespeichert wurden, verwendet die GCP standardmäßig die Verschlüsselung inaktiver Daten.
- Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung. Die Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert.
- Mit Cloud Identity and Access Management (Cloud IAM) können Sie detaillierte Zugriffs- und Änderungsberechtigungen für Google Cloud Platform-Ressourcen erstellen und verwalten.
- Die Data Loss Prevention API erleichtert die Identifizierung und Überwachung der Verarbeitung bestimmter Kategorien personenbezogener Daten und damit die Umsetzung angemessener Kontrollmechanismen.
- Durch Cloud Logging und Cloud Monitoring werden Systeme für Logging, Monitoring, Benachrichtigung und Anomalieerkennung in der Google Cloud Platform eingebunden.
- Cloud Identity-Aware Proxy (Cloud IAP) steuert den Zugriff auf Anwendungen, die auf der Google Cloud Platform ausgeführt werden.
- Cloud Security Scanner sucht und erkennt gängige Sicherheitslücken in Google App Engine-Anwendungen.
- VPC Service Controls bieten Perimeterschutz für Dienste, die höchst sensible Daten für eine Datensegmentierung auf Dienstebene speichern.
- Cloud KMS und HSM erlauben das Verwalten von Verschlüsselungsschlüsseln und kryptografischen Vorgängen in einem Cluster von nach FIPS 140-2 Level 3 zertifizierten Hardwaresicherheitsmodulen (HSMs). Mit KMS können Kunden von Google oder von Kunden verwaltete Verschlüsselungsschlüssel je nach Complianceanforderungen nutzen.
- Mit dem Cloud Security Command Center können Kunden über ein zentrales Dashboard ihre Cloud-Assets einsehen und überwachen, Speichersysteme nach sensiblen Daten durchsuchen, gängige Websicherheitslücken ermitteln und die Zugriffsrechte für ihre wichtigsten Ressourcen prüfen.
- Für die Zugriffsgenehmigung brauchen Google-Administratoren eine ausdrückliche Genehmigung durch den Kunden, bevor Google auf Daten zugreifen kann. Hierbei erhalten Kunden eine E-Mail und/oder Cloud Pub/Sub-Nachricht mit einer Zugriffsanfrage, die der Kunde genehmigen kann. Mit den Informationen aus der Nachricht können Kunden die GCP Console oder die Access Approval API nutzen, um den Zugriff zu genehmigen.
Weitere Informationen erhalten Sie unter https://cloud.google.com/security/.
1 Nur für die Google Cloud Platform.
Administratoren können Kundendaten über die Funktionen von Google Workspace oder der Google Cloud Platform-Dienste jederzeit während der Laufzeit der Vereinbarung exportieren. Informationen zu den Diensten erhalten Sie in der Dokumentation zur Google Cloud Platform. Wir haben schon vor mehreren Jahren Datenexportverpflichtungen in unsere Datenverarbeitungsbedingungen aufgenommen und werden weiter daran arbeiten, unsere Datenexportfunktionen zu verbessern. Damit machen wir es Ihnen noch einfacher, eine Kopie Ihrer Kundendaten aus Google Workspace- und Google Cloud Platform-Diensten herunterzuladen.
Sie können Kundendaten auch jederzeit über die entsprechenden Funktionen der Google Workspace- oder Google Cloud Platform-Dienste löschen. Wenn Google von Ihnen die Weisung zum vollständigen Löschen erhält, damit also beispielsweise eine von Ihnen gelöschte E-Mail nicht mehr aus dem „Papierkorb“ wiederhergestellt werden kann, löscht Google die entsprechenden Kundendaten innerhalb von maximal 180 Tagen von allen Systemen, sofern keine Verpflichtung zur Aufbewahrung besteht.
Rechte betroffener Personen
Datenverantwortliche können über die Verwaltungskonsolen und Funktionen von Google Workspace und der Google Cloud Platform auf sämtliche Daten zugreifen, die von ihnen oder ihren Nutzern in unsere Systeme gestellt werden. Außerdem können sie solche Daten löschen, korrigieren oder deren Verarbeitung einschränken. Diese Funktion erleichtert es ihnen, ihren Verpflichtungen im Hinblick auf Anträge von betroffenen Personen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen.
Datenschutzteam
Google hat einen Datenschutzbeauftragten für Google LLC und seine Tochtergesellschaften für die Bereiche der Datenverarbeitung ernannt, die der DSGVO unterliegen, einschließlich der Unternehmensprodukte von Google Ireland Limited. Emil Ochotta ist der Datenschutzbeauftragte von Google. Dr. Ochotta ist in Sunnyvale in den USA wohnhaft.
Dort, wo es erforderlich ist, wurden für die Google-Unternehmensprodukte Teams zur Beantwortung von Kundenanfragen in Bezug auf den Datenschutz eingerichtet. Wie Sie mit diesen Teams Kontakt aufnehmen, ist in der jeweiligen Vereinbarung angegeben. Das für Google Workspace zuständige Cloud-Datenschutzteam kann von den Administratoren des Kunden unter https://support.google.com/a/contact/googlecloud_dpr kontaktiert werden. Hierzu ist eine Anmeldung im Administratorkonto erforderlich. Es kann auch eine entsprechende Mitteilung an Google gesendet werden, wie in der anwendbaren Vereinbarung beschrieben. Für die Google Cloud Platform können Sie sich an das Team unter https://support.google.com/cloud/contact/dpo wenden.
Benachrichtigungen über Vorfälle
Google Workspace und die Google Cloud Platform haben bereits seit vielen Jahren vertragliche Verpflichtungen im Zusammenhang mit der Benachrichtigung über Vorfälle geschlossen. Wir werden Sie auch weiterhin gemäß den Bestimmungen zu Datenvorfällen in unseren aktuellen Vereinbarungen unverzüglich über Vorfälle im Zusammenhang mit Ihren Kundendaten informieren.
Die DSGVO sieht verschiedene Verfahren zur Übertragung personenbezogener Daten außerhalb der EU vor. Diese Verfahren sollen ein ausreichendes Maß an Schutz bzw. die Implementierung geeigneter Absicherungen bei der Übertragung personenbezogener Daten in ein Drittland gewährleisten.
Ein ausreichendes Maß an Schutz lässt sich durch Angemessenheitsbeschlüsse sicherstellen, z. B. durch das Japanische Gesetz zum Schutz personenbezogener Daten (Japanese Act on the Protection of Personal Information, APPI) und das Schweizer Datenschutzgesetz.
Wenn personenbezogene Daten außerhalb der EU an Drittländer übertragen werden, die nicht durch Angemessenheitsbeschlüsse erfasst sind, verpflichten wir uns gemäß den Datenschutzvereinbarungen, einen Mechanismus zu verwenden, der diese Übertragungen gemäß der DSGVO unterstützt. 2017 haben die europäischen Datenschutzaufsichtsbehörden die Compliance unserer Standardvertragsklauseln bestätigt und bekräftigt, dass unsere vertraglichen Verpflichtungen für Google Workspace und die Google Cloud Platform den Anforderungen für eine rechtlich zulässige Übertragung personenbezogener Daten aus der EU in die Drittländer, die keinen angemessenen Schutz bieten, entsprechen.
Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Um diesen Erwartungen gerecht zu werden, werden Google Workspace und die Google Cloud Platform regelmäßig Prüfungen durch verschiedene unabhängige Dritte unterzogen.
ISO/IEC 27001 (Managementsysteme für die Informationssicherheit)
ISO/IEC 27001 gehört zu den am weitesten verbreiteten und international anerkannten unabhängigen Sicherheitsstandards. Die Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren, die zur Bereitstellung unserer gemeinsam genutzten Common Infrastructure sowie für Google Workspace und die Google Cloud Platform eingesetzt werden, sind nach ISO/IEC 27001 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.
ISO/IEC 27017 (Informationssicherheit in der Cloud)
ISO/IEC 27017 ist ein internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit, der auf ISO/IEC 27002 basiert und sich speziell auf Cloud-Dienste bezieht. Google Workspace und die Google Cloud Platform wurden nach ISO/IEC 27017 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.
ISO/IEC 27018 (Datenschutz in der Cloud)
ISO/IEC 27018 ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen in öffentlichen Cloud-Diensten. Google Workspace und die Google Cloud Platform wurden nach ISO/IEC 27018 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.
ISO/IEC 27701 (Privacy Information Management)
ISO/IEC 27701 ist ein weltweiter Datenschutzstandard, der sich mit der Erhebung und Verarbeitung personenidentifizierbarer Informationen befasst. Dieser Standard ergänzt die Anforderungen von ISO/IEC 27001 und ISO/IEC 27002 um das Thema Datenschutz. Wir haben eine akkreditierte Zertifizierung gemäß ISO/IEC 27701 als Auftragsverarbeiter personenidentifizierbarer Informationen sowohl für Google Workspace als auch die Google Cloud Platform erhalten. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.
SSAE18/ISAE 3402 (SOC 2/3)
Das US-Institut amtlich zugelassener Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) hat mit SOC 2 und SOC 3 sogenannte Service Organization Controls geschaffen. Dies sind Auditrahmen für Vertrauensgrundsätze und Kriterien in Bezug auf Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Google verfügt über SOC 2- und SOC 3-Berichte für Google Workspace und die Google Cloud Platform. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.
Alternativen
Was sind Ihre Pflichten als Kunde?
Google Workspace1- und Google Cloud Platform-Kunden sind in der Regel die Datenverantwortlichen für alle personenbezogenen Daten, die sie Google im Rahmen der Nutzung der Google Cloud-Dienste zur Verfügung stellen. Die Datenverantwortlichen legen Zweck und Methoden der Verarbeitung personenbezogener Daten fest. Daneben gibt es noch den Datenauftragsverarbeiter. Das sind in der Regel wir. Als Datenauftragsverarbeiter verarbeitet Google Cloud personenbezogene Daten im Namen des Datenverantwortlichen, wenn dieser Google Workspace oder die Google Cloud Platform verwendet.
Was ist ein Datenverantwortlicher?
Datenverantwortliche sind zusammen mit den Datenauftragsverarbeitern für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen verantwortlich, mit denen auf nachvollziehbare Weise sichergestellt wird, dass die Datenverarbeitung den Vorgaben der DSGVO entspricht. Die zusätzlichen Verpflichtungen von Datenverantwortlichen betreffen Aspekte wie die Einhaltung von Gesetzen, Fairness und Transparenz, Zweckbindung, Datensparsamkeit und Datengenauigkeit sowie den Schutz der Rechte von betroffenen Personen in Bezug auf ihre Daten.
Informationen zu Ihren Pflichten gemäß der DSGVO finden Sie auf der Website Ihrer zuständigen nationalen Datenschutzaufsichtsbehörde und in den Veröffentlichungen von Datenschutzverbänden wie der International Association of Privacy Professionals (IAPP). Diese Informationsquellen sollten Sie regelmäßig prüfen. Wir werden auch dafür sorgen, dass die vorliegende DSGVO-Seite und unser Center für DSGVO-Ressourcen immer die neuesten Nachrichten und Aktualisierungen enthält.
Mit dem Center für DSGVO-Ressourcen möchten wir unsere Kunden über die Haltung von Google Cloud zur DSGVO informieren. Sie stellt aber keine Rechtsberatung dar. Wir empfehlen Ihnen, sich bei einem Anwalt über die für Ihre Organisation geltenden spezifischen Anforderungen zu informieren.
Wie können Sie vorgehen?
Wenn Sie z. B. ein im Europäischen Wirtschaftsraum oder dem Vereinigten Königreich wohnhafter Google Cloud-Kunde sind, oder für die Verarbeitung von Daten bezüglich betroffener Personen aus dem EWR oder Vereinigten Königreich verantwortlich sind, sollte die DSGVO Teil Ihrer Compliancestrategie für den Datenschutz sein. Beachten Sie dazu folgende Tipps:
- Machen Sie sich mit den Bestimmungen der DSGVO vertraut.
- Ermitteln Sie den aktuellen Bestand personenbezogener Daten, die Sie verarbeiten. Wir bieten Ihnen entsprechende Tools, um Ihnen die Ermittlung und Klassifizierung der Daten zu erleichtern.
- Prüfen Sie Ihre derzeitigen Kontrollmechanismen, Richtlinien und Prozesse zur Verwaltung und zum Schutz von Daten gemäß den Anforderungen der DSGVO. Suchen Sie nach eventuellen Schwachstellen und erstellen Sie gegebenenfalls einen Plan, um diese zu beheben.
- Prüfen Sie, inwieweit Sie die vorhandenen Datenschutzfeatures von Google Cloud für Ihr eigenes System zur Einhaltung gesetzlicher Auflagen nutzen können. Sehen Sie sich erst einmal die Drittanbieter-Audit- und Zertifizierungsmaterialien für Google Workspace oder die Google Cloud Platform an.
- Lesen und akzeptieren Sie gegebenenfalls unsere aktualisierten Datenverarbeitungsbedingungen im Rahmen des Zustimmungsverfahrens für den Zusatz zur Datenverarbeitung für Google Workspace bzw. für die Datenverarbeitungsbedingungen und Sicherheitsbestimmungen für die GCP.

FAQ
- Was ist die DSGVO?
- Die EU-Datenschutz-Grundverordnung (DSGVO) ist eine EU-Datenschutzgesetzgebung, die am 25. Mai 2018 die Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995 abgelöst hat.
- Ist es aufgrund der DSGVO erforderlich, dass personenbezogene Daten innerhalb der EU gespeichert werden?
- Nein. Ebenso wie die Datenschutzrichtlinie 95/46/EG legt die DSGVO bestimmte Bedingungen für die Übertragung personenbezogener Daten außerhalb der EU fest. Diese Bedingungen können z. B. durch Standardvertragsklauseln erfüllt werden.
- Wie wurden Bestimmungen an die DSGVO-Anforderungen angepasst?
- Seit vielen Jahren bietet Google Cloud Datenverarbeitungsbedingungen, die unser Engagement für den Datenschutz und die Sicherheit unserer Kunden klar zum Ausdruck bringen. Wir haben diese Bedingungen weiterentwickelt, um sie an die DSGVO anzupassen. Unsere gemäß der DSGVO aktualisierten Bedingungen spiegeln insbesondere Artikel 28 der DSGVO wider, der den Einsatz eines Datenauftragsverarbeiters durch einen Datenverantwortlichen regelt.
- Gibt die DSGVO Kunden das Recht, einen Audit der Google Cloud durchzuführen?
- Gemäß der DSGVO müssen Datenverantwortlichen in ihren Verträgen mit Datenauftragsverarbeitern Auditrechte eingeräumt werden. Unsere aktualisierten Vereinbarungen zur Datenverarbeitung beinhalten Auditrechte im Sinne der Kunden, die der DSGVO unterliegen.
- Welche Rolle spielen ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 und SOC 2/3-Berichte bei der Einhaltung der DSGVO?
- Unsere ISO-Zertifizierungen und SOC 2/3-Auditberichte unterstützen Kunden bei der Risikobewertung und bei der Ermittlung, ob die vorhandenen technischen und organisatorischen Maßnahmen den Anforderungen entsprechen. Unser Zertifikat gemäß ISO/IEC 27701 bietet eine bessere Übersicht über die Datenschutzrollen und entsprechenden Pflichten. Dadurch können die Bemühungen zum Einhalten von Datenschutzgesetzen einschließlich der DSGVO erleichtert werden.
- Kann ich, obwohl das Privacy Shield jetzt ungültig ist, noch immer Google Cloud verwenden und die Anforderungen der DSGVO erfüllen, wenn ich personenbezogene Daten aus der EU verarbeite?
- Google wird weiterhin die Auswirkungen der Rechtssache C-311/18 des Gerichtshofs der Europäischen Union (EuGH) prüfen. Dabei wird Google angemessene Maßnahmen treffen, um maximalen Datenschutz für EU-Bürger zu bieten.
- Google Cloud bietet unseren Kunden Standardvertragsklauseln, die in der Ermangelung einer alternativen Übertragungslösung durch Google als anwendbar gelten.
- Unabhängig vom Standort der Daten bleibt der Datenschutz für Google eine Priorität. Wir sind gemäß internationaler Standards wie ISO/IEC 27001, ISO/IEC 27018 und ISO/IEC 27017 zertifiziert. Die vollständige Liste der Compliance-Angebote von Google finden Sie im Center für Compliance-Ressourcen.
- Welche weiteren Informationen und Ressourcen stellt Google zur DSGVO zur Verfügung?
- Besuchen Sie dazu die Google-Website zu Unternehmen und Daten und unser Center für DSGVO-Ressourcen.