Compliance

Wir halten Vorschriften weltweit und bei verschiedenen Branchen wie etwa dem Gesundheits- oder Bildungswesen ein. Sie können sich bei der Nutzung der Google-Dienste darauf verlassen, dass wir Tools und Schutzmaßnahmen bereitstellen, die zur Einhaltung Ihrer Compliancevorgaben nötig sind.

Bei uns gehen sehr viele Fragen ein, deshalb haben wir diese FAQ-Seite sowie eine Website zur Sicherheit der G Suite erstellt. Informationen zum Datenschutz für Nutzer erhalten Sie unter Datenschutzerklärung & Nutzungsbedingungen.

Wenn Sie einen Missbrauch melden möchten, finden Sie hier entsprechende Informationen

Wie kann ich die Sicherheit der G Suite und der Google Cloud Platform überprüfen?

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Das bedeutet, die Kontrollen, die in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb zum Einsatz kommen, wurden von unabhängigen Prüfern eingehend analysiert. Die Lösungen von Google werden regelmäßig auf die Einhaltung der folgenden Standards geprüft:

  • SOC1 (SSAE-16/ISAE-3402): G Suite, Google Compute Engine, Google Cloud Storage und Google App Engine
  • SOC2: G Suite, Google Compute Engine, Google Cloud Storage und Google App Engine
  • SOC3: G Suite, Google Compute Engine, Google Cloud Storage und Google App Engine
  • ISO 27001: G Suite und Google Cloud Platform
  • ISO 27017: G Suite und Google Cloud Platform
  • ISO 27018: G Suite und Google Cloud Platform
  • HIPAA: G Suite, Google Compute Engine, Google Cloud Storage, Google BigQuery und Google Cloud SQL
  • FISMA: Google App Engine und G Suite
  • FEDRAMP: Google App Engine und G Suite
Kann ich ein Exemplar dieser Zertifikate und Prüfberichte erhalten? Wo kann ich den SOC3-Prüfbericht herunterladen? Wo kann ich das ISO 27001-Zertifikat von Google ansehen?

Der SOC3-Bericht weist nach, dass unsere Kontrollen von einem unabhängigen Prüfer geprüft wurden. In diesem Bericht bestätigt der Prüfer hinsichtlich der Zusagen des Managements, dass das Unternehmen im jeweiligen Bereich die anwendbaren Prinzipien und Kriterien für vertrauenswürdige Dienste einhält. Der vollständige SOC3-Prüfbericht kann hier heruntergeladen werden. Das Zertifikat ISO 27001 weist den funktionellen Rahmen nach. Die Zertifizierung ist auf die Angebote folgender Dienste und auf die über diese Dienste erfassten und gespeicherten Daten beschränkt: G Suite, einschließlich G Suite for Education, Google Cloud Platform, Google+, Google Now, Google Analytics und Google Analytics Premium.

Wie hält Google sich an die europäischen Datenschutzanforderungen?

Google hat in Europa einen breiten Kundenstamm. Mehr als 50 % unserer Geschäftskunden haben ihren Sitz außerhalb der USA. Google bietet vertragliche Zusagen zur Umsetzung der Datenschutzempfehlungen der Artikel-29-Datenschutzgruppe. Google bietet die Unterzeichnung der EU-Standardvertragsklauseln und eines Zusatzes zur Datenverarbeitung an.

So stimmen Sie dem Zusatz zur Datenverarbeitung zu:

Melden Sie sich in der Admin-Konsole an. Klicken Sie auf "Unternehmensprofil" > "Profil".

Klicken Sie im Abschnitt "Zusätzliche Bedingungen zu Sicherheit und Datenschutz" neben "Zusatz zur Datenverarbeitung" auf "Prüfen und akzeptieren" und dann auf "Ich stimme zu".

Klicken Sie neben "EU-Standardvertragsklauseln" auf "Prüfen und akzeptieren" und dann auf "Ich stimme zu".

Neben unabhängigen Prüfungen unseres Umgangs mit dem Datenschutz und unserer ISO 27001-Zertifizierung sowie der Bestätigung, dass unser Umgang mit dem Datenschutz und die vertraglichen Verpflichtungen dem ISO/IEC 27018:2014-Standard entsprechen, bieten wir unseren Kunden verschiedene Compliance-Optionen zur Einhaltung der EU-Datenschutzbestimmungen.

Schreiben die Datenschutzgesetze der EU nicht vor, dass personenbezogene Daten innerhalb der EU bzw. des EWG gespeichert werden müssen?

Die Datenschutzrichtlinie der Europäischen Kommission ist ein wichtiger Bestandteil der Gesetzgebung zum Datenschutz, die von der Europäischen Union 1995 verabschiedet wurde. Sie untersagt den Datenverkehr zwischen der EU und Ländern außerhalb der EU, die den angemessenen Standard der EU zum Datenschutz nicht erfüllen. Die Richtlinie kann also dadurch eingehalten werden, dass personenbezogene Daten nur innerhalb der EU verarbeitet werden. Es gibt jedoch auch andere Möglichkeiten zu ihrer Einhaltung, bei denen der Datenstandort nicht auf die EU beschränkt ist. Dazu zählen etwa die von der Europäischen Kommission genehmigten Standardvertragsklauseln.

Wie sieht es in Bezug auf die US-Regierung aus? Bedeutet die Datenspeicherung außerhalb der USA, dass die Daten nicht dem behördlichen Ersuchen der US-Regierung unterliegen?

Ihre Daten sind nicht zwangsläufig vor dem Zugriff einer ausländischen Behörde geschützt, nur weil sie in einem bestimmten Land gespeichert wurden. Der Aufbewahrungsort von Daten in einer Gerichtsbarkeit schließt nicht zwangsläufig aus, dass eine andere die Offenlegung erzwingen kann. Es gibt zudem Berichte, laut denen Regierungen direkt versucht haben, Kabellinien zwischen Rechenzentren an verschiedenen Standorten weltweit anzuzapfen. Daher befürworten wir eine Reform der Überwachung. Wir weigern uns, Regierungen Zugriff auf unsere Systeme oder die Installation von Ausrüstung zu gewähren, mit der sie Zugriff auf die Nutzerdaten haben. Weitere Informationen dazu, wie wir mit Behördenanfragen nach Daten umgehen, finden Sie in unserem Transparenzbericht.

Wo speichert Google meine Daten?

Ihre Daten werden im Netzwerk von Google-Rechenzentren gespeichert. Google unterhält eine Reihe geografisch verteilter Rechenzentren. Die Rechencluster von Google wurden im Hinblick auf Stabilität und Redundanz entworfen, wobei Single Points of Failure (d. h. Bestandteile, deren Ausfall zum Ausfall des gesamten Systems führen würde) eliminiert und die Auswirkungen häufiger Gerätefehler und Umweltrisiken minimiert wurden.

Kann ich Gesundheitsdaten in den Google-Systemen speichern?

Die G Suite entspricht den Bestimmungen des US-Gesetzes "Health Insurance Portability and Accountability Act" (HIPAA) von 1996. Kunden, die HIPAA unterliegen und die die G Suite in Verbindung mit geschützten Gesundheitsdaten (Protected Health Information, PHI) nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen. Administratoren von Domains, die bei der G Suite, bei G Suite for Education oder bei G Suite for Government registriert sind, können eine BAA beantragen, bevor sie Google-Dienste in Verbindung mit PHI einsetzen. Google bietet eine BAA, die folgende Dienste abdeckt: Gmail, Google Kalender, Google Drive und Google Vault. Kunden der Google Cloud Platform können eine BAA für Compute Engine, Cloud Storage, Cloud SQL und BigQuery erhalten.

Entsprechen die Google-Produkte den Datenschutzbestimmungen für die Verwendung durch Schüler und Kinder?

Mehr als 40 Millionen Schüler nutzen G Suite for Education. G Suite for Education entspricht den Bestimmungen des US-Gesetzes zur Weitergabe von Schülerdaten (Family Educational Rights and Privacy Act, FERPA). Diese Verpflichtung ist fester Bestandteil unserer geschäftlichen Vereinbarungen. Wir bestehen in unseren Verträgen darauf, dass Schulen, die G Suite for Education verwenden, die Einwilligung der Erziehungsberechtigten für die Nutzung unserer Dienste einholen. Dies entspricht den Bestimmungen des US-Gesetzes zum Schutz der Privatsphäre von Kindern im Internet (Children's Online Privacy Protection Act, COPPA). Unsere Dienste können somit gemäß COPPA verwendet werden.

Kann Google von US-Regierungsbehörden genutzt werden?

Der Federal Information Security Management Act von 2002 (FISMA) ist ein US-Bundesgesetz zur Sicherheit der Informationssysteme bei Bundesbehörden. FISMA gilt für alle Informationssysteme, die von US-Bundesbehörden oder von Vertragspartnern oder anderen Organisationen im Namen der Regierung genutzt oder betrieben werden. 

Das Federal Risk and Authorization Management Program (FedRAMP) zur Risiko- und Autorisierungsverwaltung implementiert FISMA für US-Regierungsbehörden, die Cloud-Computing-Dienste verwenden. FedRAMP ist der erforderliche Compliancestandard für die Cloudsicherheit von US-Bundesbehörden.

Die G Suite, G Suite for Education, G Suite für Non-Profits, G Suite for Government und Google App Engine haben die FedRAMP Authorization to Operate (ATO) auf der Ebene "FIPS 199 Moderate impact" der US-Bundesregierung erhalten. Dies ist der Compliancestandard für kontrollierte, nicht klassifizierte Informationen.

Meine Organisation verarbeitet Daten von Zahlungskarten und unterliegt PCI DSS. Welche Tools sind verfügbar, um Compliance zu gewährleisten?

Der Payment Card Industry Data Security Standard (PCI DSS) umfasst Richtlinien und technische Anforderungen für Systeme, die Daten von Zahlungskarten enthalten oder verarbeiten. Google Cloud Platform wurde von einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) geprüft, der die Compliance mit den Payment Card Industry (PCI) Data Security Standards (DSS) bescheinigt hat. Mit dem Compliancebericht des QSA bestätigt Google, dass Anwendungsentwickler ihre eigenen sicheren und gesetzeskonformen Lösungen mithilfe dieser Plattform entwickeln und betreiben können. Die G Suite ist nicht dafür gedacht, Kreditkartentransaktionen zu verarbeiten oder zu speichern. Kunden können daher Regeln für die Inhaltscompliance einrichten, damit E-Mails mit Kreditkartendaten nicht über die G Suite gesendet werden. So halten unsere Kunden die Compliance mit PCI DSS ein. Vault kann für Google Drive so konfiguriert werden, dass Prüfungen durchgeführt werden und sichergestellt wird, dass keine Kreditkartendaten gespeichert werden.

Welche E-Discovery-Tools stehen für meine Organisation zur Verfügung, damit ich rechtliche und Compliance-Anforderungen erfüllen kann?

Google Vault ist ein Add-on für die G Suite, mit dem Sie Daten in Einklang mit den Compliance- und E-Discovery-Anforderungen Ihrer Organisation aufbewahren, archivieren, suchen und exportieren können. Google Vault ist vollständig webbasiert, daher muss keinerlei Software installiert oder gewartet werden. Mit Vault können Sie:

Kann ich die Google-Dienste mit Daten verwenden, die unter die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations; ITAR) fallen?

ITAR beinhaltet Regelungen der US-Regierung, die den Export und Import von Verteidigungsgütern und -diensten auf der Waffenliste der USA (United States Munitions List; USML) kontrollieren. Die Verwendung der Dienste mit Daten, die ITAR unterliegen, wird von Google nicht unterstützt.

Wie halten Google Cloud-Dienste die EU-Datenschutz-Grundverordnung (DSGVO) ein?

Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die EU-Datenschutzrichtlinie von 1995. Die DSGVO stärkt die Rechte von Personen bezüglich ihrer personenbezogenen Daten und dient dazu, die Datenschutzgesetze in ganz Europa unabhängig vom Ort der Datenverarbeitung zu vereinheitlichen.

Sie können sich darauf verlassen, dass Google die Datenschutz-Grundverordnung in allen G Suite- und Google Cloud Platform-Diensten einhält. Außerdem unterstützen wir unsere Kunden aktiv bei der Einhaltung der Datenschutz-Grundverordnung, indem wir ihnen bewährte Datenschutz- und Sicherheitsmaßnahmen bereitstellen, die wir im Lauf der Jahre in unsere Dienste und Verträge integriert haben.

Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der Datenschutz-Grundverordnung bei der Datenverarbeitung zu erfüllen.

In den Bestimmungen zur Datenverarbeitung für die G Suite und die Google Cloud Platform sind unsere Datenschutzverpflichtungen unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Nutzungsbedingungen im Lauf der Jahre auf der Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt und unter Berücksichtigung der Änderungen der Datenschutz-Grundverordnung überarbeitet.

Weitere Informationen hierzu finden Sie auf unserer Website zur Datenschutz-Grundverordnung.

Was ist der Unterschied zwischen den G Suite- und den privaten Versionen der G Suite-Apps?

Die G Suite-Dienste für Organisationen unterliegen den Nutzungsbedingungen für die G Suite sowie dem Zusatz zur Datenverarbeitung. Für die von Google direkt angebotenen privaten App-Versionen gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google. Die Funktionen der beiden Versionen sind zu einem großen Teil identisch. Allerdings bieten die G Suite-Dienste Steuerelemente, mit denen Domainadministratoren die Sicherheits- und Datenschutzeinstellungen für die Apps in ihrer Domain verwalten können.

Bietet Google den Zusatz zur Datenverarbeitung für die G Suite auch für die privaten Versionen der G Suite-Apps an?

Nein. Unsere Bestimmungen zur Datenverarbeitung, einschließlich des Zusatzes zur Datenverarbeitung und der Standardvertragsklauseln, sind nur für G Suite-Kunden verfügbar. Für die privaten Versionen der G Suite-Apps gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google.

Wenn Sie sich nicht sicher sind, welches Modell für Ihre Datenschutzanforderungen das Richtige ist, empfehlen wir Ihnen, sich an Ihren Rechtsbeistand zu wenden.

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?