Compliance

Wir halten Vorschriften weltweit und in verschiedenen Branchen wie etwa dem Gesundheits- oder Bildungswesen ein. Sie können sich bei der Nutzung der Google-Dienste darauf verlassen, dass wir Tools und Schutzmaßnahmen implementieren, die zur Einhaltung Ihrer Compliancevorgaben nötig sind.

Bei uns gehen sehr viele Fragen ein, deshalb haben wir diese FAQ-Seite sowie eine Website zur Sicherheit von Google Workspace zusammengestellt. Wir hoffen, damit einige Ihrer Fragen zur Haltung von Google gegenüber diesen wichtigen Themen beantworten zu können. Informationen zum Datenschutz für Nutzer erhalten Sie unter Datenschutzerklärung und Nutzungsbedingungen.

Wenn Sie einen Missbrauch melden möchten, finden Sie hier entsprechende Informationen

Wie kann ich die Sicherheit von Google Workspace und der Google Cloud Platform prüfen? .

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Prüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Das bedeutet, dass die Kontrollen, die in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb zum Einsatz kommen, von unabhängigen Prüfern eingehend analysiert wurden. Die Lösungen von Google werden regelmäßig auf die Einhaltung der folgenden Standards geprüft:

  • SOC 1 (SSAE-18/ISAE-3402): Google Workspace und Google Cloud Platform
  • SOC 2: Google Workspace und Google Cloud Platform 
  • SOC 3: Google Workspace und Google Cloud Platform
  • ISO 27001: Google Workspace und Google Cloud Platform
  • ISO 27017: Google Workspace und Google Cloud Platform
  • ISO 27018: Google Workspace und Google Cloud Platform
  • ISO 27701: Google Workspace und Google Cloud Platform
  • HIPAA: Google Workspace und Google Cloud Platform
  • FedRAMP: Google Workspace und Google Cloud Platform
Kann ich ein Exemplar dieser Zertifikate und Prüfberichte erhalten? Wo kann ich SOC 3-Berichte herunterladen? Wo kann ich mir das ISO 27001-Zertifikat von Google ansehen?

Die SOC 3-Berichte weisen nach, dass unsere Kontrollen von einem unabhängigen Dritten geprüft wurden. In diesem Bericht bestätigt der Prüfer hinsichtlich der Zusagen des Managements, dass das Unternehmen im jeweiligen Bereich die anwendbaren Prinzipien und Kriterien für vertrauenswürdige Dienste einhält.

In den ISO 27001-Zertifikaten wird der funktionelle Rahmen des ISO/IEC 27001:2013-Standards nachgewiesen. Die Zertifizierung ist auf die Angebote folgender Dienste und auf die über diese Dienste erfassten und gespeicherten Daten beschränkt: Google Workspace, einschließlich Google Workspace for Education, Google Cloud Platform, Google Plus, Google Now, Google Analytics und Analytics Premium.

Ein Exemplar dieser Complianceberichte erhalten Sie über die Übersicht über Complianceberichte. Melden Sie sich dazu in Ihrem Konto an. 

Wie hält Google sich an die europäischen Datenschutzanforderungen?

Google hat in Europa einen breiten Kundenstamm. Mehr als 50 % unserer Geschäftskunden haben ihren Sitz außerhalb der USA. Google bietet vertragliche Zusagen zur Umsetzung der Datenschutzempfehlungen der Artikel-29-Datenschutzgruppe. Google erklärt sich bereit, den Zusatz zur Datenverarbeitung für Google Workspace und die Datenverarbeitungsbedingungen und Sicherheitsbestimmungen für die Google Cloud Platform zu unterzeichnen. Google Cloud bietet seinen Kunden Standardvertragsklauseln, die bereits in unseren Datenverarbeitungsbedingungen und Sicherheitsbestimmungen und unserem Zusatz zur Datenverarbeitung eingebunden sind.

Folgen Sie dieser Anleitung, um dem Zusatz zur Datenverarbeitung zuzustimmen:

Neben unabhängigen Prüfungen unseres Umgangs mit dem Datenschutz und unserer ISO 27001-Zertifizierung sowie der Bestätigung, dass unser Umgang mit dem Datenschutz und die vertraglichen Verpflichtungen dem ISO/IEC 27018:2014-Standard entsprechen, bieten wir unseren Kunden verschiedene Compliance-Optionen zur Einhaltung der EU-Datenschutzbestimmungen.

Schreiben die Datenschutzgesetze der EU nicht vor, dass personenbezogene Daten innerhalb der EU bzw. des EWR gespeichert werden müssen?

Die Richtlinie zum Schutz von personenbezogenen Daten der Europäischen Kommission ist ein wichtiger Bestandteil der Gesetzgebung zum Datenschutz, die von der Europäischen Union 1995 verabschiedet wurde. Sie untersagt den Datenverkehr zwischen der EU und Ländern außerhalb der EU, die den angemessenen Standard der EU zum Datenschutz nicht erfüllen. Die Richtlinie kann also dadurch eingehalten werden, dass personenbezogene Daten nur innerhalb der EU verarbeitet werden. Es gibt jedoch auch andere Möglichkeiten zu ihrer Einhaltung, bei denen der Datenstandort nicht auf die EU beschränkt ist. Dazu zählen etwa die von der Europäischen Kommission genehmigten Standardvertragsklauseln.

Google Cloud bietet seinen Kunden Standardvertragsklauseln, die bereits in unseren Datenverarbeitungsbedingungen und Sicherheitsbestimmungen und unserem Zusatz zur Datenverarbeitung eingebunden sind. Kunden können über das hier beschriebene Onlineverfahren für Google Workspace und hier für die GCP den Standardvertragsklauseln zustimmen. 

Bedeutet die Datenspeicherung außerhalb der USA, dass die Daten nicht dem Ersuchen von US-Regierungsbehörden unterliegen?

Ihre Daten sind nicht zwangsläufig vor dem Zugriff einer ausländischen Behörde geschützt, nur weil sie in einem bestimmten Land gespeichert wurden. Der Speicherort von Daten in einer Gerichtsbarkeit schließt nicht zwangsläufig aus, dass eine andere die Offenlegung erzwingen kann. Es gibt zudem Berichte, laut denen Regierungen direkt versucht haben, Kabelleitungen zwischen Rechenzentren an verschiedenen Standorten weltweit anzuzapfen. Daher befürworten wir eine Reform der Überwachung. Wir weigern uns, Regierungen Zugriff auf unsere Systeme oder die Installation von Ausrüstung zu gestatten, mit der sie Zugriff auf die Nutzerdaten haben. Weitere Informationen dazu, wie wir mit Behördenanfragen nach Daten umgehen, finden Sie in unserem Transparenzbericht.

Wo speichert Google meine Daten?

Ihre Daten werden im Netzwerk aus Google-Rechenzentren gespeichert. Google unterhält eine Reihe geografisch verteilter Rechenzentren. Die Rechencluster von Google wurden im Hinblick auf Stabilität und Redundanz entworfen, wobei Single Points of Failure eliminiert und die Auswirkungen häufiger Gerätefehler und Umweltrisiken minimiert wurden.

Kann ich Gesundheitsdaten in den Google-Systemen speichern?

Google Workspace ermöglicht die Compliance unserer Kunden mit dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) von 1996. Kunden, die HIPAA unterliegen und Google Workspace in Verbindung mit geschützten Gesundheitsdaten (Protected Health Information, PHI) nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen. Administratoren von Organisationen mit Google Workspace, Google Workspace for Education und Google Workspace for Government können eine BAA beantragen, bevor sie Google-Dienste in Verbindung mit PHI nutzen. Eine Liste der HIPAA-konformen Google Workspace-Funktionen finden Sie hier.

Entsprechen die Google-Produkte den Datenschutzbestimmungen für die Verwendung durch Schüler und Kinder?

Mehr als 40 Millionen Schüler nutzen Google Workspace for Education. Google Workspace for Education entspricht den Bestimmungen des US-Gesetzes zur Weitergabe von Schülerdaten (Family Educational Rights and Privacy Act, FERPA). Diese Verpflichtung ist fester Bestandteil unserer geschäftlichen Vereinbarungen. Wir bestehen in unseren Verträgen darauf, dass Schulen, die Google Workspace for Education verwenden, die Einwilligung der Erziehungsberechtigten für die Nutzung unserer Dienste einholen. Dies entspricht den Bestimmungen des US-Gesetzes zum Schutz der Privatsphäre von Kindern im Internet (Children's Online Privacy Protection Act, COPPA). Unsere Dienste können somit gemäß COPPA verwendet werden.

Kann Google von US-Regierungsbehörden genutzt werden?

Der Federal Information Security Management Act (FISMA) von 2002 ist ein US-Bundesgesetz zur Sicherheit der Informationssysteme bei Bundesbehörden. FISMA gilt für alle Informationssysteme, die von US-Bundesbehörden oder von den Vertragspartnern oder sonstigen Organisationen im Namen der Regierung genutzt oder betrieben werden. 

Das Gesetz wird mithilfe des US-Bundesprogramms zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program, FedRAMP) für US-Regierungsbehörden implementiert, die Cloud-Computing-Dienste verwenden. FedRAMP ist der erforderliche Compliancestandard für die Cloudsicherheit von US-Bundesbehörden.

Google Workspace, einschließlich Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits und Google Workspace for Government sowie Google App Engine, haben die FedRAMP Authorization to Operate (ATO) auf der Ebene „FIPS 199 Moderate impact“ der US-Bundesregierung erhalten. Dies ist der Compliancestandard für kontrollierte, nicht klassifizierte Informationen.

Meine Organisation verarbeitet Daten von Zahlungskarten und unterliegt PCI DSS. Welche Tools sind verfügbar, um Complianceanforderungen zu erfüllen?

Der Payment Card Industry Data Security Standard (PCI DSS) umfasst Richtlinien und technische Anforderungen für Systeme, die Daten von Zahlungskarten enthalten oder verarbeiten. Die Google Cloud Platform wurde von einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) geprüft, der die Compliance mit den Payment Card Industry (PCI) Data Security Standards (DSS) bescheinigt hat. Mit dem Compliancebericht des QSA bestätigt Google, dass Anwendungsentwickler ihre eigenen sicheren und gesetzeskonformen Lösungen mithilfe dieser Plattform entwickeln und betreiben können. Mit Google Workspace sollen Kreditkartentransaktionen nicht verarbeitet oder gespeichert werden. Kunden können daher Kontrollmöglichkeiten konfigurieren, damit E-Mails mit Kreditkarteninformationen nicht über Google Workspace gesendet werden. So halten unsere Kunden die Compliance mit PCI DSS ein. 

Die Google Cloud Platform wird jährlich von einem unabhängigen Unternehmen geprüft, um einzelne Produkte gemäß dem PCI DSS zu zertifizieren. Dies bedeutet, dass durch die Dienste eine Infrastruktur geschaffen wird, auf der Kunden eigene Dienste oder Anwendungen einrichten oder erstellen können, um Daten von Karteninhabern zu speichern, zu verarbeiten oder zu übertragen. Dabei ist unbedingt zu beachten, dass die Kunden weiterhin selbst dafür verantwortlich sind, dass ihre Anwendungen PCI DSS-konform sind. Informationen zur Implementierung von PCI DSS in Ihrer Anwendung mit der Google Cloud Platform finden Sie im Hilfeartikel Compliance mit dem PCI-Datensicherheitsstandard.

Welche E-Discovery-Tools stehen für meine Organisation zur Verfügung, damit ich rechtliche und Complianceanforderungen erfüllen kann?

Google Vault ist ein Add-on für Google Workspace, mit dem Sie Daten in Einklang mit den Compliance- und E-Discovery-Anforderungen Ihrer Organisation aufbewahren, archivieren, suchen und exportieren können. Google Vault ist vollständig webbasiert, daher muss keinerlei Software installiert oder gewartet werden. Mit Vault ist Folgendes möglich:

  • Daten so lange wie erforderlich speichern
  • Nicht mehr benötigte Daten entfernen
  • Relevante Daten suchen, speichern und exportieren

Weitere Informationen finden Sie im Hilfeartikel Was ist Google Vault?

Kann ich die Google-Dienste mit Daten verwenden, die unter die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) fallen?

ITAR beinhaltet Regelungen der US-Regierung, die den Export und Import von Verteidigungsgütern und -diensten auf der Waffenliste der USA (United States Munitions List, USML) kontrollieren. Die Verwendung der Dienste mit Daten, die ITAR unterliegen, wird von Google nicht unterstützt.

Wie halten Google Cloud-Dienste die EU-Datenschutz-Grundverordnung (DSGVO) ein?

Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die EU-Datenschutzrichtlinie von 1995. Sie stärkt die Rechte von Personen bezüglich ihrer personenbezogenen Daten und hat das Ziel, die Datenschutzgesetze in ganz Europa unabhängig vom Ort der Datenverarbeitung zu vereinheitlichen.

Sie können sich darauf verlassen, dass Google die DSGVO in allen Google Workspace- und Google Cloud Platform-Diensten einhält. Außerdem unterstützen wir unsere Kunden aktiv bei der Einhaltung der DSGVO. Wir bieten ihnen dazu bewährte Datenschutz- und Sicherheitsmaßnahmen, die wir im Lauf der Jahre in unsere Dienste und Verträge eingebunden haben.

Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenauftragsverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der Datenschutz-Grundverordnung bei der Datenverarbeitung zu erfüllen.

In den Datenverarbeitungsbedingungen für Google Workspace und die Google Cloud Platform sind unsere Datenschutzverpflichtungen unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Nutzungsbedingungen im Lauf der Jahre auf der Grundlage des Feedbacks von Kunden und Aufsichtsbehörden angepasst und unter Berücksichtigung der Änderungen der DSGVO überarbeitet.

Weitere Informationen hierzu finden Sie auf unserer Website zur DSGVO.

Was ist der Unterschied zwischen Google Workspace und den privaten Versionen der Google Workspace-Apps?

Die Google Workspace-Dienste für Organisationen unterliegen den Nutzungsbedingungen für Google Workspace sowie dem Zusatz zur Datenverarbeitung. Für die von Google direkt angebotenen privaten App-Versionen gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google. Die Funktionen der beiden Versionen sind zum großen Teil identisch. Allerdings bieten die Google Workspace-Dienste Steuerelemente, mit denen Administratoren die Sicherheits- und Datenschutzeinstellungen für die Apps in ihrer Organisation verwalten können.

Bietet Google den Zusatz zur Datenverarbeitung auch für die privaten Versionen der Google Workspace-Apps an?

Nein. Unsere Bestimmungen zur Datenverarbeitung, einschließlich des Zusatzes zur Datenverarbeitung und der Standardvertragsklauseln, sind nur für Google Workspace-Kunden verfügbar. Für die privaten Versionen der Google Workspace-Apps gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google.

Wenn Sie sich nicht sicher sind, welches Modell für Ihre Datenschutzanforderungen das richtige ist, empfehlen wir Ihnen, sich an Ihre Rechtsberatung zu wenden.

Wie hält Google AADC-Anforderungen ein?

Unsere Priorität ist es, Produkte zu entwickeln, die standardmäßig sicher und auf Datenschutz ausgerichtet sind sowie Nutzern die Kontrolle geben. Kinder, die noch nicht das Mindestalter für Google-Konten erreicht haben, dürfen kein reguläres Google-Konto erstellen. Wir haben jedoch Produkte entwickelt, die speziell auf Kinder, Teenager und Familien zugeschnitten sind.  

Wir empfehlen Ihnen, sich mit Ihrem Rechtsbeistand zu beraten, um Verpflichtungen zur Einhaltung des altersgerechten Designcodes (Age Appropriate Design Code, AADC) und anderer Datenschutzbestimmungen für Kinder zu beurteilen. 

Bei Google Workspace Business- und Workspace Enterprise-Konten muss der Domainadministrator festlegen, ob AADC für Nutzer in der Domain gilt. Falls ja, empfehlen wir, alle zusätzlichen Dienste für Nutzer unter 18 Jahren zu deaktivieren. Das liegt daran, dass Google Workspace Business- und Enterprise-Abos Geschäftskonten sind. Zusätzliche Dienste, auf die über ein Geschäftskonto zugegriffen wird, haben derzeit keine auf Kinder ausgerichteten Datenschutzfunktionen. Das gilt nicht für Google Workspace for Education-Konten, bei denen für Google Workspace for Education-Domains altersabhängige Zugriffseinstellungen eingeführt wurden. Weitere Informationen

War das hilfreich?
Wie können wir die Seite verbessern?
Google-Apps
Hauptmenü
Suchen in der Hilfe
false