Compliance

Wir halten Vorschriften weltweit und in verschiedenen Branchen wie etwa dem Gesundheits- oder Bildungswesen ein. Sie können sich bei der Nutzung der Google-Dienste darauf verlassen, dass wir Tools und Schutzmaßnahmen implementieren, die zur Einhaltung Ihrer Compliancevorgaben nötig sind.

Bei uns gehen sehr viele Fragen ein, deshalb haben wir diese FAQ-Seite sowie eine Website zur Sicherheit der G Suite erstellt. Informationen zum Datenschutz für Nutzer erhalten Sie unter Datenschutzerklärung & Nutzungsbedingungen.

Wenn Sie einen Missbrauch melden möchten, finden Sie hier entsprechende Informationen

Wo finde ich Nachweise zur Sicherheit der G Suite und der Google Cloud Platform?

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancekontrollen. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Das bedeutet, dass die Kontrollen, die in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb zum Einsatz kommen, von unabhängigen Prüfern eingehend analysiert wurden. Die Lösungen von Google werden regelmäßig auf die Einhaltung der folgenden Standards geprüft:

  • SOC 1 (SSAE-18/ISAE-3402) – G Suite und Google Cloud Platform
  • SOC 2 – G Suite und Google Cloud Platform 
  • SOC 3 – G Suite und Google Cloud Platform
  • ISO 27001 – G Suite und Google Cloud Platform
  • ISO 27017 – G Suite und Google Cloud Platform
  • ISO 27018 – G Suite und Google Cloud Platform
  • HIPAA – G Suite und Google Cloud Platform
  • FedRAMP – G Suite und Google Cloud Platform
Kann ich ein Exemplar dieser Zertifikate und Prüfberichte erhalten? Wo kann ich SOC 3-Berichte herunterladen? Wo kann ich mir das ISO 27001-Zertifikat von Google ansehen?

Die SOC 3-Berichte weisen nach, dass unsere Kontrollen von einem unabhängigen Dritten geprüft wurden. In diesen Berichten bestätigt der Prüfer hinsichtlich der Zusagen des Managements, dass das Unternehmen im jeweiligen Bereich die anwendbaren Prinzipien und Kriterien für vertrauenswürdige Dienste einhält.

In den ISO 27001-Zertifikaten wird der funktionelle Rahmen des ISO/IEC 27001:2013-Standards nachgewiesen. Die Zertifizierung ist auf die Angebote folgender Dienste und auf die über diese Dienste erfassten und gespeicherten Daten beschränkt: G Suite, einschließlich G Suite for Education, Google Cloud Platform, Google+, Google Now, Google Analytics und Google Analytics Premium.

  • Die ISO 27001-Zertifikate sind auf dieser Seite verfügbar.
Wie hält Google sich an die europäischen Datenschutzanforderungen?

Google hat in Europa einen breiten Kundenstamm. Mehr als 50 % unserer Geschäftskunden haben ihren Sitz außerhalb der USA. Google bietet vertragliche Zusagen zur Umsetzung der Datenschutzempfehlungen der Artikel-29-Datenschutzgruppe und erklärt sich bereit, die EU-Mustervertragsklauseln sowie den Zusatz zur Datenverarbeitung für die G Suite und den Zusatz zur Datenverarbeitung für die Google Cloud Platform (jeweils in englischer Sprache abrufbar) zu unterzeichnen. 

So stimmen Sie dem Zusatz zur Datenverarbeitung zu:

Melden Sie sich in der Admin-Konsole an. Klicken Sie auf "Unternehmensprofil" > "Profil".

Klicken Sie im Abschnitt "Zusätzliche Bedingungen zu Sicherheit und Datenschutz" neben "Zusatz zur Datenverarbeitung" auf "Prüfen und akzeptieren" und dann auf "Ich stimme zu".

Klicken Sie neben "EU-Mustervertragsklauseln" auf "Prüfen und akzeptieren" und dann auf "Ich stimme zu".

Neben unabhängigen Prüfungen unseres Umgangs mit dem Datenschutz und unserer ISO 27001-Zertifizierung sowie der Bestätigung, dass unser Umgang mit dem Datenschutz und die vertraglichen Verpflichtungen dem ISO/IEC 27018:2014-Standard entsprechen, bieten wir unseren Kunden verschiedene Compliance-Optionen zur Einhaltung der EU-Datenschutzbestimmungen.

Schreiben die Datenschutzgesetze der EU nicht vor, dass personenbezogene Daten innerhalb der EU bzw. des EWR gespeichert werden müssen?

Die Richtlinie zum Schutz von personenbezogenen Daten der Europäischen Kommission ist ein wichtiger Bestandteil der Gesetzgebung zum Datenschutz, die von der Europäischen Union 1995 verabschiedet wurde. Sie untersagt den Datenverkehr zwischen der EU und Ländern außerhalb der EU, die den angemessenen Standard der EU zum Datenschutz nicht erfüllen. Die Richtlinie kann also dadurch eingehalten werden, dass personenbezogene Daten nur innerhalb der EU verarbeitet werden. Es gibt jedoch auch andere Möglichkeiten zu ihrer Einhaltung, bei denen der Datenstandort nicht auf die EU beschränkt ist. Dazu zählen etwa die von der Europäischen Kommission genehmigten Mustervertragsklauseln.

Bedeutet die Datenspeicherung außerhalb der USA, dass die Daten nicht dem Ersuchen von US-Regierungsbehörden unterliegen?

Ihre Daten sind nicht zwangsläufig vor dem Zugriff einer ausländischen Behörde geschützt, nur weil sie in einem bestimmten Land gespeichert wurden. Der Aufbewahrungsort von Daten in einer Gerichtsbarkeit schließt nicht zwangsläufig aus, dass eine andere die Offenlegung erzwingen kann. Es gibt zudem Berichte, laut denen Regierungen direkt versucht haben, Kabelleitungen zwischen Rechenzentren an verschiedenen Standorten weltweit anzuzapfen. Daher befürworten wir eine Reform der Überwachung. Wir weigern uns, Regierungen Zugriff auf unsere Systeme oder die Installation von Ausrüstung zu gestatten, mit der sie Zugriff auf die Nutzerdaten haben. Weitere Informationen dazu, wie wir mit Behördenanfragen nach Daten umgehen, finden Sie in unserem Transparenzbericht.

Wo speichert Google meine Daten?

Ihre Daten werden im Netzwerk von Google-Rechenzentren gespeichert. Google unterhält eine Reihe geografisch verteilter Rechenzentren. Die Rechencluster von Google wurden im Hinblick auf Stabilität und Redundanz entworfen, wobei Single Points of Failure (d. h. Bestandteile, deren Ausfall zum Ausfall des gesamten Systems führen würde) eliminiert und die Auswirkungen häufiger Gerätefehler und Umweltrisiken minimiert wurden.

Kann ich Gesundheitsdaten in den Google-Systemen speichern?

Die G Suite entspricht den Bestimmungen des US-Gesetzes zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) von 1996. Kunden, die HIPAA unterliegen und die die G Suite in Verbindung mit geschützten Gesundheitsdaten (Protected Health Information, PHI) nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen. Administratoren von Organisationen mit der G Suite, G Suite for Education oder G Suite for Government können eine BAA beantragen, bevor sie Google-Dienste in Verbindung mit PHI einsetzen. Google bietet eine BAA, die die folgenden Dienste abdeckt: Gmail, Google Kalender, Google Drive und Google Vault. Kunden der Google Cloud Platform haben die Möglichkeit, eine BAA für Compute Engine, Cloud Storage, Cloud SQL und BigQuery zu beantragen.

Entsprechen die Google-Produkte den Datenschutzbestimmungen für die Verwendung durch Schüler und Kinder?

Mehr als 40 Millionen Schüler nutzen G Suite for Education. G Suite for Education entspricht den Bestimmungen des US-Gesetzes zur Weitergabe von Schülerdaten (Family Educational Rights and Privacy Act, FERPA). Diese Verpflichtung ist fester Bestandteil unserer geschäftlichen Vereinbarungen. Wir bestehen in unseren Verträgen darauf, dass Schulen, die G Suite for Education verwenden, die Einwilligung der Erziehungsberechtigten für die Nutzung unserer Dienste einholen. Dies entspricht den Bestimmungen des US-Gesetzes zum Schutz der Privatsphäre von Kindern im Internet (Children's Online Privacy Protection Act, COPPA). Unsere Dienste können somit gemäß COPPA verwendet werden.

Kann Google von US-Regierungsbehörden genutzt werden?

Der Federal Information Security Management Act (FISMA) von 2002 ist ein US-Bundesgesetz zur Sicherheit der Informationssysteme bei Bundesbehörden. FISMA gilt für alle Informationssysteme, die von US-Bundesbehörden oder von den Vertragspartnern oder sonstigen Organisationen im Namen der Regierung genutzt oder betrieben werden. 

Das Gesetz wird mithilfe des US-Bundesprogramms zur Risiko- und Autorisierungsverwaltung (Federal Risk and Authorization Management Program, FedRAMP) für US-Regierungsbehörden implementiert, die Cloud-Computing-Dienste verwenden. FedRAMP ist der erforderliche Compliancestandard für die Cloudsicherheit von US-Bundesbehörden.

Die G Suite, G Suite for Education, G Suite for Nonprofits, G Suite for Government und Google App Engine haben die FedRAMP Authorization to Operate (ATO) auf der Ebene "FIPS 199 Moderate impact" der US-Bundesregierung erhalten. Dies ist der Compliancestandard für kontrollierte, nicht klassifizierte Informationen.

Meine Organisation verarbeitet Daten von Zahlungskarten und unterliegt PCI DSS. Welche Tools sind verfügbar, um Compliance zu gewährleisten?

Der Payment Card Industry Data Security Standard (PCI DSS) umfasst Richtlinien und technische Anforderungen für Systeme, die Daten von Zahlungskarten enthalten oder verarbeiten. Google Cloud Platform wurde von einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) geprüft, der die Compliance mit den Payment Card Industry (PCI) Data Security Standards (DSS) bescheinigt hat. Mit dem Compliancebericht des QSA bestätigt Google, dass Anwendungsentwickler ihre eigenen sicheren und gesetzeskonformen Lösungen mithilfe dieser Plattform entwickeln und betreiben können. Die G Suite ist nicht dafür gedacht, Kreditkartentransaktionen zu verarbeiten oder zu speichern. Kunden können daher Regeln für die Inhaltscompliance einrichten, damit E-Mails mit Kreditkartendaten nicht über die G Suite gesendet werden. So sorgen unsere Kunden für die Einhaltung der PCI DSS. 

Welche E-Discovery-Tools stehen für meine Organisation zur Verfügung, damit ich rechtliche und Complianceanforderungen erfüllen kann?

Google Vault ist ein Add-on für die G Suite, mit dem Sie Daten in Einklang mit den Compliance- und E-Discovery-Anforderungen Ihrer Organisation aufbewahren, archivieren, suchen und exportieren können. Google Vault ist vollständig webbasiert, daher muss keinerlei Software installiert oder gewartet werden. Mit Vault können Sie:

Kann ich die Google-Dienste mit Daten verwenden, die unter die Regelungen des internationalen Waffenhandels (International Traffic in Arms Regulations, ITAR) fallen?

ITAR beinhaltet Regelungen der US-Regierung, die den Export und Import von Verteidigungsgütern und -diensten auf der Waffenliste der USA (United States Munitions List, USML) kontrollieren. Die Verwendung der Dienste mit Daten, die ITAR unterliegen, wird von Google nicht unterstützt.

Wie halten Google Cloud-Dienste die EU-Datenschutz-Grundverordnung (DSGVO) ein?

Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt die EU-Datenschutzrichtlinie von 1995. Die DSGVO stärkt die Rechte von Personen bezüglich ihrer personenbezogenen Daten und dient dazu, die Datenschutzgesetze in ganz Europa unabhängig vom Ort der Datenverarbeitung zu vereinheitlichen.

Sie können sich darauf verlassen, dass Google die Datenschutz-Grundverordnung in allen G Suite- und Google Cloud Platform-Diensten einhält. Außerdem unterstützen wir unsere Kunden aktiv bei der Einhaltung der Datenschutz-Grundverordnung, indem wir ihnen bewährte Datenschutz- und Sicherheitsmaßnahmen bereitstellen, die wir im Lauf der Jahre in unsere Dienste und Verträge integriert haben.

Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenauftragsverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der Datenschutz-Grundverordnung bei der Datenverarbeitung zu erfüllen.

In den Datenverarbeitungsbedingungen für die G Suite und die Google Cloud Platform sind unsere Datenschutzverpflichtungen unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bedingungen im Lauf der Jahre auf der Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt und unter Berücksichtigung der Änderungen der Datenschutz-Grundverordnung überarbeitet.

Weitere Informationen hierzu finden Sie auf unserer Website zur DSGVO.

Was ist der Unterschied zwischen den G Suite- und den privaten Versionen der G Suite-Apps?

Die G Suite-Dienste für Organisationen unterliegen den Nutzungsbedingungen für die G Suite sowie dem Zusatz zur Datenverarbeitung. Für die von Google direkt angebotenen privaten App-Versionen gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google. Die Funktionen der beiden Versionen sind zu einem großen Teil identisch. Allerdings bieten die G Suite-Dienste Steuerelemente, mit denen Administratoren die Sicherheits- und Datenschutzeinstellungen für die Apps in ihrer Organisation verwalten können.

Bietet Google den Zusatz zur Datenverarbeitung für die G Suite auch für die privaten Versionen der G Suite-Apps an?

Nein. Unsere Bestimmungen zur Datenverarbeitung, einschließlich des Zusatzes zur Datenverarbeitung und der Mustervertragsklauseln (in englischer Sprache abrufbar), sind nur für G Suite-Kunden verfügbar. Für die privaten Versionen der G Suite-Apps gelten die Nutzungsbedingungen und die Datenschutzerklärung von Google.

Wenn Sie sich nicht sicher sind, welches Modell für Ihre Datenschutzanforderungen das richtige ist, empfehlen wir Ihnen, sich an Ihre Rechtsberatung zu wenden.

War das hilfreich?
Wie können wir die Seite verbessern?