Compliance

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Prüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Das bedeutet, dass die Kontrollen, die in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb zum Einsatz kommen, von unabhängigen Prüfern eingehend analysiert wurden. Die Lösungen von Google werden regelmäßig auf die Einhaltung der folgenden Standards geprüft:

• SOC 1^™ (SSAE-18/ISAE-3402): Google Workspace und Google Cloud Platform
• SOC 2^™: Google Workspace und Google Cloud Platform 
• SOC 3^™: Google Workspace und Google Cloud Platform
• ISO 27001: Google Workspace und Google Cloud Platform
• ISO 27017: Google Workspace und Google Cloud Platform
• ISO 27018: Google Workspace und Google Cloud Platform
• ISO 27701: Google Workspace und Google Cloud Platform
• HIPAA: Google Workspace und Google Cloud Platform
• FedRAMP: Google Workspace und Google Cloud Platform

Der SOC 3-Bericht dokumentiert, dass unsere Kontrollen von einem unabhängigen Dritten geprüft wurden. In diesem Bericht bestätigt der Prüfer die Zusagen des Managements, dass das Unternehmen im jeweiligen Bereich die anwendbaren Prinzipien und Kriterien für vertrauenswürdige Dienste einhält.

Im ISO 27001-Zertifikat wird der funktionelle Rahmen des ISO/IEC 27001:2013-Standards nachgewiesen. Die Zertifizierung ist auf die Angebote folgender Dienste und auf die über diese Dienste erfassten und gespeicherten Daten beschränkt: Google Workspace, einschließlich Google Workspace for Education, Google Cloud Platform, Google Plus, Google Now, Google Analytics und Analytics Premium.

Ein Exemplar dieser Complianceberichte erhalten Sie über die Übersicht über Complianceberichte. Melden Sie sich dazu in Ihrem Konto an. 

Google hat einen sehr großen Kundenstamm in Europa. Mehr als 50 % unserer Geschäftskunden haben ihren Sitz außerhalb der USA. Google bietet Funktionen und vertragliche Zusagen im Hinblick auf die Umsetzung der anwendbaren Datenschutzgesetze. Google stellt den Zusatz zur Verarbeitung von Cloud-Daten für Google Workspace und Google Cloud bereit.

• Google Workspace: Zustimmung zum Zusatz zur Verarbeitung von Cloud-Daten
• Google Cloud: Zustimmung zum Zusatz zur Verarbeitung von Cloud-Daten

Neben unabhängigen Prüfungen unserer Datenschutzpraktiken und unserer ISO 27001-Zertifizierung sowie der Bestätigung, dass unser Umgang mit dem Datenschutz und die vertraglichen Verpflichtungen dem ISO/IEC 27018:2014-Standard entsprechen, bieten wir unseren Kunden verschiedene Compliance-Optionen zur Einhaltung der EU-Datenschutzbestimmungen.

Die EU-Datenschutz-Grundverordnung (DSGVO) schützt die personenbezogenen Daten von Einwohnern des Europäischen Wirtschaftsraums (EWR) und gestattet die Übertragung ihrer personenbezogenen Daten in Länder außerhalb des EWR, die keinen „angemessenen Datenschutz“ gewährleisten, nur in Ausnahmefällen. Beim britischen DSGVO und dem Schweizer Datenschutzgesetz gelten ähnliche Einschränkungen. Die Verwendung genehmigter Standardvertragsklauseln ist eine Möglichkeit, für die Einhaltung dieser Einschränkungen zu sorgen.

Für Google Cloud sind entsprechende Standardvertragsklauseln im Zusatz zur Verarbeitung von Cloud-Daten und in den Datenverarbeitungsbedingungen und Sicherheitsbestimmungen enthalten. Gibt es keine alternative Übertragungslösung, werden die personenbezogenen Daten von Kunden in Europa, im Nahen Osten und in Afrika (EMEA) automatisch geschützt. Kunden außerhalb von EMEA müssen über die Admin-Konsole bestätigen, dass sie dem europäischen Datenschutzrecht unterliegen, damit die Standardvertragsklauseln für ihre Daten gelten (sofern es keine alternative Übertragungslösung gibt).

Ihre Daten sind nicht zwangsläufig vor dem Zugriff der Behörden geschützt, nur weil sie außerhalb eines bestimmten Landes gespeichert sind, da deren Behörden oft die Möglichkeit haben, die Offenlegung von Informationen außerhalb ihrer Grenzen zu erzwingen. Daher befürworten wir eine Reform der Überwachung durch staatliche Organe. Wir gewähren Behörden keinen Zugriff auf unsere Systeme oder untersagen die Installation von Techniken, mit denen sie Zugriff auf die Nutzerdaten haben. Weitere Informationen dazu, wie wir mit Behördenanfragen nach Daten umgehen, finden Sie in diesem Whitepaper und in unserem Transparenzbericht.

Ihre Daten werden im Netzwerk aus Google-Rechenzentren gespeichert. Google unterhält einige geografisch verteilte Rechenzentren. Die Rechencluster von Google wurden im Hinblick auf Stabilität und Redundanz entworfen, wobei Single Points of Failure eliminiert und die Auswirkungen häufiger Gerätefehler und Umweltrisiken minimiert wurden.

Google Workspace ermöglicht die Compliance unserer Kunden mit dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) von 1996. Kunden, die HIPAA unterliegen und Google Workspace in Verbindung mit geschützten Gesundheitsdaten (Protected Health Information, PHI) nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen. Administratoren von Organisationen mit Google Workspace, Google Workspace for Education und Google Workspace for Government können eine BAA beantragen, bevor sie Google-Dienste in Verbindung mit PHI nutzen. Eine Liste der HIPAA-konformen Google Workspace-Funktionen finden Sie hier.

Millionen Schüler und Studenten nutzen Google Workspace for Education. Google Workspace for Education entspricht den Bestimmungen des US-Gesetzes zur Weitergabe von Schülerdaten (Family Educational Rights and Privacy Act, FERPA). Diese Verpflichtung ist fester Bestandteil unserer geschäftlichen Vereinbarungen. Wir bestehen in unseren Verträgen darauf, dass Schulen, die Google Workspace for Education verwenden, die Einwilligung der Erziehungsberechtigten für die Nutzung unserer Dienste einholen. Dies entspricht den Bestimmungen des US-Gesetzes zum Schutz der Privatsphäre von Kindern im Internet (Children's Online Privacy Protection Act, COPPA). Unsere Dienste können somit gemäß COPPA verwendet werden.

Der Federal Information Security Management Act (FISMA) von 2002 ist ein US-Bundesgesetz zur Sicherheit der Informationssysteme bei Bundesbehörden. FISMA gilt für alle Informationssysteme, die von US-Bundesbehörden oder von den Vertragspartnern oder sonstigen Organisationen im Namen der Regierung genutzt oder betrieben werden. 

Das Gesetz wird mithilfe des US-Bundesprogramms zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program, FedRAMP) für US-Regierungsbehörden implementiert, die Cloud-Computing-Dienste verwenden. FedRAMP ist der erforderliche Compliancestandard für die Cloudsicherheit von US-Bundesbehörden.

Google Workspace, einschließlich Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits und Google Workspace for Government sowie Google App Engine, haben die FedRAMP Authorization to Operate (ATO) auf der Ebene „FIPS 199 Moderate impact“ der US-Bundesregierung erhalten. Dies ist der Compliancestandard für kontrollierte, nicht klassifizierte Informationen.

Der Payment Card Industry Data Security Standard (PCI DSS) umfasst Richtlinien und technische Anforderungen für Systeme, die Daten von Zahlungskarten enthalten oder verarbeiten. Die Google Cloud Platform wurde von einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) geprüft, der die Compliance mit den Payment Card Industry (PCI) Data Security Standards (DSS) bescheinigt hat. Mit dem Compliancebericht des QSA bestätigt Google, dass Anwendungsentwickler ihre eigenen sicheren und gesetzeskonformen Lösungen mithilfe dieser Plattform entwickeln und betreiben können. Mit Google Workspace sollen Kreditkartentransaktionen nicht verarbeitet oder gespeichert werden. Kunden können daher Kontrollmöglichkeiten konfigurieren, damit E-Mails mit Kreditkarteninformationen nicht über Google Workspace gesendet werden. So halten unsere Kunden die Compliance mit PCI DSS ein. 

Die Google Cloud Platform wird jährlich von einem unabhängigen Unternehmen geprüft, um einzelne Produkte gemäß dem PCI DSS zu zertifizieren. Dies bedeutet, dass durch die Dienste eine Infrastruktur geschaffen wird, auf der Kunden eigene Dienste oder Anwendungen einrichten oder erstellen können, um Daten von Karteninhabern zu speichern, zu verarbeiten oder zu übertragen. Dabei ist unbedingt zu beachten, dass die Kunden weiterhin selbst dafür verantwortlich sind, dass ihre Anwendungen PCI DSS-konform sind. Informationen zur Implementierung von PCI DSS in Ihrer Anwendung mit der Google Cloud Platform finden Sie im Hilfeartikel Compliance mit dem PCI-Datensicherheitsstandard.

Google Vault ist ein Add-on für Google Workspace, mit dem Sie Daten in Einklang mit den Compliance- und E-Discovery-Anforderungen Ihrer Organisation aufbewahren, archivieren, suchen und exportieren können. Google Vault ist vollständig webbasiert, daher muss keinerlei Software installiert oder gewartet werden. Mit Vault ist Folgendes möglich:

• Daten so lange wie erforderlich speichern
• Nicht mehr benötigte Daten entfernen
• Relevante Daten suchen, speichern und exportieren

Weitere Informationen finden Sie im Hilfeartikel Was ist Google Vault?

ITAR beinhaltet Regelungen der US-Regierung, die den Export und Import von Verteidigungsgütern und -diensten auf der Waffenliste der USA (United States Munitions List, USML) kontrollieren. Die Verwendung der Dienste mit Daten, die ITAR unterliegen, wird von Google nicht unterstützt.

Die DSGVO ist ein komplexes Gesetzgebungswerk. Details zum Ansatz von Google Cloud in Bezug auf die DSGVO finden Sie in den Infomaterialien unter Google Cloud und die EU-Datenschutz-Grundverordnung (DSGVO). Für die Umsetzung der von der DSGVO verlangten Einschränkungen der Datenübertragung verwendet Google Cloud Standardvertragsklauseln (Standard Contractual Clauses, SCC) im Zusatz zur Verarbeitung von Cloud-Daten sowie in den Datenverarbeitungsbedingungen und Sicherheitsbestimmungen. Gibt es keine alternative Übertragungslösung, werden die personenbezogenen Daten von Kunden in Europa, im Nahen Osten und in Afrika (EMEA) damit automatisch geschützt. Das gilt auch für den Schutz der Daten von Kunden außerhalb von EMEA, wenn diese Kunden über die Admin-Konsole nachweisen, dass sie europäischem Datenschutzrecht unterliegen.

Die Google Workspace-Dienste für Organisationen unterliegen den Nutzungsbedingungen für Google Workspace sowie dem Zusatz zur Verarbeitung von Cloud-Daten. Für die von Google direkt angebotenen privaten App-Versionen gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google. Die Funktionen der beiden Versionen sind zum großen Teil identisch. Allerdings bieten die Google Workspace-Dienste Steuerelemente, mit denen Administratoren die Sicherheits- und Datenschutzeinstellungen für die Apps in ihrer Organisation verwalten können.

Nein. Unser Zusatz zur Google Cloud-Verarbeitung, einschließlich der Standardvertragsklauseln, ist nur für Kunden verfügbar, die Google Workspace nutzen. Für die privaten Versionen der Google Workspace-Apps gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google.

Wenn Sie sich nicht sicher sind, welches Modell für Ihre Datenschutzanforderungen das richtige ist, empfehlen wir Ihnen, sich an Ihre Rechtsberatung zu wenden.

Unser Ziel ist es, Produkte zu entwickeln, die standardmäßig sicher und auf Datenschutz ausgerichtet sind sowie Nutzern die Kontrolle geben. Kinder, die noch nicht das Mindestalter für Google-Konten erreicht haben, dürfen kein reguläres Google-Konto erstellen. Wir haben jedoch Produkte entwickelt, die speziell auf Kinder, Teenager und Familien zugeschnitten sind.  

Wir empfehlen Ihnen, sich mit Ihrem Rechtsbeistand zu beraten, um Verpflichtungen zur Einhaltung des altersgerechten Designcodes (Age Appropriate Design Code, AADC) und anderer Datenschutzbestimmungen für Kinder zu beurteilen. 

Bei Google Workspace Business- und Workspace Enterprise-Konten muss der Domainadministrator festlegen, ob AADC für Nutzer in der Domain gilt. Falls ja, empfehlen wir, alle zusätzlichen Dienste für Nutzer unter 18 Jahren zu deaktivieren. Das liegt daran, dass Google Workspace Business- und Enterprise-Abos Geschäftskonten sind. Zusätzliche Dienste, auf die über ein Geschäftskonto zugegriffen wird, haben derzeit keine auf Kinder ausgerichteten Datenschutzfunktionen. Das gilt nicht für Google Workspace for Education-Konten, bei denen für Google Workspace for Education-Domains altersabhängige Zugriffseinstellungen eingeführt wurden. Weitere Informationen