Google Cloud und die Datenschutz-Grundverordnung (DSGVO)

Vereinbarungen zur Datenverarbeitung

In unseren Datenverarbeitungsvereinbarungen für Google Workspace und Google Cloud ist unsere Datenschutzverpflichtung unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bedingungen im Laufe der Jahre auf Grundlage des Feedbacks von Kunden und Aufsichtsbehörden weiterentwickelt.

Die Bedingungen wurden entsprechend der DSGVO aktualisiert. Dies soll unseren Kunden die Vorbereitung auf die DSGVO und deren Einhaltung in Verbindung mit Google Cloud-Diensten erleichtern. Erfahren Sie mehr über den Zusatz zur Datenverarbeitung in Google Workspace, die EU-Standardvertragsklauseln für Google Workspace, die Google Cloud Datenverarbeitungs- und Sicherheitsbestimmungen und die Google Cloud-Standardvertragsklauseln.

Unsere Kunden können diese aktualisierten Datenverarbeitungsbedingungen im Rahmen des Zustimmungsverfahrens für den Zusatz zur Datenverarbeitung in Google Workspace und die Datenverarbeitungs- und Sicherheitsbestimmungen für Google Cloud zustimmen.

Verarbeitung gemäß Weisungen

Alle von Kunden und deren Nutzern in unsere Systeme eingegebenen Daten werden ausschließlich in Übereinstimmung mit den Weisungen des Kunden verarbeitet. Eine Erläuterung hierzu finden Sie in unseren gemäß der DSGVO aktualisierten Datenverarbeitungsvereinbarungen.

Verpflichtung zur Vertraulichkeit seitens der Mitarbeiter

Alle Mitarbeiter von Google müssen eine Vertraulichkeitsvereinbarung unterschreiben und obligatorische Schulungen zu Vertraulichkeit und Datenschutz sowie unser Training zum Verhaltenskodex absolvieren. Der Verhaltenskodex von Google befasst sich insbesondere mit den Pflichten und Erwartungen, die wir im Hinblick auf den Schutz von Daten an unsere Mitarbeiter stellen.

Die Unternehmen der Google-Gruppe führen die meisten Datenverarbeitungsaktivitäten direkt aus, die zur Bereitstellung der Dienste von Google Workspace und Google Cloud erforderlich sind. Wir beauftragen jedoch auch Drittanbieter, die uns bei der Erbringung dieser Dienste unterstützen. Jeder Anbieter durchläuft ein strenges Auswahlverfahren. Wir stellen damit das nötige technische Fachwissen sowie die Einhaltung des erforderlichen Maßes an Sicherheit und Datenschutz sicher.

Wir stellen Informationen zu den Unterauftragsverarbeitern der Google-Gruppe, die Google Workspace- und Google Cloud-Dienste unterstützen, sowie zu Unterauftragsverarbeitern von Dritten bereit, die an diesen Diensten beteiligt sind. Details zu den Unterauftragsverarbeitern von Google Workspace finden Sie hier. Details zu den Unterauftragsverarbeitern von Google Cloud finden Sie hier. In unseren Datenverarbeitungsvereinbarungen sind außerdem unsere Verpflichtungen gegenüber Unterauftragsverarbeitern aufgeführt.

Gemäß der DSGVO müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um ein dem Risiko entsprechendes Sicherheitsniveau umzusetzen.

Google betreibt eine weltweite Infrastruktur, die darauf ausgelegt ist, im gesamten Datenverarbeitungszyklus Sicherheit auf dem neuesten Stand der Technik zu bieten. Diese Infrastruktur ermöglicht eine sichere Bereitstellung von Diensten, eine sichere Speicherung von Daten mit Absicherung des Datenschutzes für Endnutzer, eine sichere Kommunikation zwischen Diensten, eine sichere und private Kommunikation mit Kunden über das Internet sowie einen sicheren Betrieb durch Administratoren. Google Workspace und Google Cloud werden in dieser Infrastruktur ausgeführt.

Wir haben die Sicherheit unserer Infrastruktur in Ebenen strukturiert, die aufeinander aufbauen – angefangen bei der physischen Sicherheit von Rechenzentren über die Sicherheitsmechanismen unserer Hardware und Software bis zu den Prozessen für die operative Sicherheit. Dieser Schutz auf mehreren Ebenen bildet ein starkes Sicherheitsfundament für all unsere Aktivitäten. Eine detaillierte Beschreibung unserer Infrastruktursicherheit finden Sie in dem Whitepaper „Google Infrastructure Security Design Overview“.

Verfügbarkeit, Integrität und Robustheit

Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Dienste automatisch und unverzüglich von einer Einrichtung in eine andere verlagert, sodass sie ohne Unterbrechung bereitgestellt werden. Außerdem schützt unsere hochredundante Infrastruktur unsere Kunden vor Datenverlusten.

Tests und Sicherheit von Geräten

Google verwendet Barcodes und Asset-Tags, um den Zustand und den Standort von Geräten des Rechenzentrums vom Erwerb über den Einbau und die Ausmusterung bis hin zur Zerstörung zu verfolgen. Wenn eine Komponente einen Leistungstest zu einer beliebigen Zeit in ihrem Lebenszyklus nicht besteht, wird sie aus dem Bestand genommen und ausgemustert. Auf Google-Festplatten werden Technologien wie die vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) und Laufwerksschlösser genutzt, um inaktive Daten zu schützen.

Tests zur Notfallwiederherstellung

Google führt jährlich Tests zur Notfallwiederherstellung durch. Diese bieten einen zentralen Ausgangspunkt für Infrastruktur- und Anwendungsteams, um Kommunikationspläne, Failover-Szenarien, die betriebliche Umstellung und weitere Notfallmaßnahmen zu testen. Alle Teams, die an diesen Tests teilnehmen, entwickeln Testpläne und Störungsanalysen, in denen die entsprechenden Ergebnisse und Erkenntnisse dokumentiert werden.

Verschlüsselung

Google schützt Daten während der Übertragung und im Ruhezustand durch Verschlüsselung. Google Workspace-Daten, die zwischen Regionen übertragen werden, werden durch das HTTPS-Protokoll geschützt, das standardmäßig für alle Nutzer aktiviert ist. In Google Workspace und Google Cloud werden inaktive Inhalte automatisch mit einem oder mehreren Mechanismen verschlüsselt. Eine ausführliche Erläuterung, wie Daten verschlüsselt werden, finden Sie in folgenden Ressourcen: Whitepaper zur Verschlüsselung von Workspace und Google Cloud Encryptionim Transit und im Ruhezustand.

Zugriffssteuerung

Bei Google werden Zugriffsrechte und -ebenen je nach Funktion und Rolle der einzelnen Mitarbeiter verwaltet. Es gilt das Prinzip der geringsten Berechtigung und der geringsten Personenzahl. Die Zugriffsrechte stimmen also mit den definierten Zuständigkeitsbereichen überein. Anfragen nach weiterem Zugriff folgen einem festgelegten Verfahren. Die Genehmigung muss durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft erfolgen, wie in den Google-Sicherheitsrichtlinien festgelegt. Rechenzentren mit Google Cloud-Systemen und Infrastrukturkomponenten unterliegen physischen Zugriffsbeschränkungen und nutzen rund um die Uhr Sicherheitspersonal, Sicherheitskräfte, Zugangsausweise, biometrische Identifikationsmechanismen, physische Schlösser und Videokameras vor Ort, um das Innen- und Außengelände der Einrichtung zu überwachen.

Vorfallmanagement

Das Google-Sicherheitsteam kümmert sich weltweit rund um die Uhr um die Sicherheit und den Schutz von Kundendaten. Teammitglieder erhalten Benachrichtigungen zu Vorfällen und sind für das Beheben von Notfällen rund um die Uhr verantwortlich. Es gibt Richtlinien zu Reaktionen auf Vorfälle sowie dokumentierte Verfahren zum Lösen kritischer Vorfälle. Informationen aus diesen Ereignissen werden zum Verhindern weiterer Vorfälle und gegebenenfalls auch als Beispiele für Informationssicherheitsschulungen verwendet. Die Verfahren für das Vorfallmanagement und für Reaktionsworkflows von Google sind dokumentiert. Die Vorfallmanagementverfahren von Google werden im Rahmen unserer Programme für ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS¹, SOC 2 und FedRAMP regelmäßig getestet. Damit liefern wir unseren Kunden und den Aufsichtsbehörden einen Nachweis über die unabhängige Überprüfung unserer Kontrollen für Sicherheit, Datenschutz und Compliance. Weitere Informationen zu unseren Vorfallsreaktionsverfahren finden Sie in unserem Whitepaper zur Reaktion auf Datenvorfälle.

Handhabung von Sicherheitslücken

Für die Suche nach Sicherheitslücken in unserer Software nutzen wir eine Kombination aus kommerziell verfügbaren und speziell zu diesem Zweck entwickelten internen Tools. Darüber hinaus führen wir intensive automatische und manuelle Penetrationstests, Qualitätssicherungsprozesse, Softwaresicherheitsüberprüfungen und externe Audits durch. Außerdem nutzen wir die Expertise der globalen Sicherheitsforscher-Community und schätzen ihre Hilfe bei der Identifizierung von Schwachstellen in Google Workspace, Google Cloud und anderen Google-Produkten. Im Rahmen unseres Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) ermutigen wir Forscher dazu, Design- und Implementierungsschwächen zu melden, die ein Risiko für Kundendaten darstellen können.

Produktsicherheit: Google Workspace

Mit Google Workspace können unsere Kunden personenbezogene Daten noch besser vor einer nicht autorisierten oder unrechtmäßigen Verarbeitung schützen. Hierzu sind die folgenden Features eingebunden:

Google Workspace-Hauptdienste einschließlich Gmail, Google Admin-Konsole, Kalender, Drive, Docs, Notizen, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search und Google Groups bieten konfigurierbare Einstellungen, damit die Daten Ihres Unternehmens gemäß Ihren speziellen Anforderungen gesichert, verwendet und aufgerufen werden. Die Bestätigung in zwei Schritten reduziert das Risiko nicht autorisierter Zugriffe durch Anforderung eines zusätzlichen Identitätsnachweises des Nutzers bei der Anmeldung.Die Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten. Dabei wird ein physischer Schlüssel angefordert.Das erweiterte Sicherheitsprogramm ist unser stärkster Schutz für Nutzer vor gezielten Onlineangriffen. Auf maschinellem Lernen basierende leistungsstarke Systeme überwachen die Anmeldeaktivitäten und erkennen verdächtige Anmeldeversuche. Die erhöhte E-Mail-Sicherheit verlangt, dass E-Mail-Nachrichten mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signiert und verschlüsselt werden. Verschlüsselung: Die Daten von Google Workspace-Kunden werden verschlüsselt, wenn sie auf einem Laufwerk oder Sicherungsmedien gespeichert sind oder im Internet oder zwischen Rechenzentren übertragen werden. Der Schutz vor Datenverlust in Gmail und Drive schützt vertrauliche Informationen vor unbefugter Freigabe. Erweiterter Schutz vor Phishing und Malware schützt vor verdächtigen Anhängen und Skripts von nicht vertrauenswürdigen Absendern sowie vor schädlichen Links und Bildern. Die Verwaltung von Informationsrechten in Drive ermöglicht es Ihnen, über das erweiterte Freigabemenü das Herunterladen, Drucken und Kopieren von Dateien zu deaktivieren. Außerdem können Sie ein Ablaufdatum für den Dateizugriff festlegen. Die Endpunktverwaltung bietet eine kontinuierliche Systemüberwachung und Warnmeldungen im Fall von verdächtigen Geräteaktivitäten. In der Benachrichtigungszentrale können Sie wichtige Benachrichtigungen, Warnungen und Aktionen sehen, die sich auf Google Workspace beziehen. Mithilfe übersichtlicher Statistiken lässt sich die Anfälligkeit einer Organisation für Sicherheitsprobleme prüfen. Das Sicherheitscenter vereint Sicherheitsanalysen, Best Practice-Empfehlungen und eine integrierte Problembehebung, damit die Daten, Geräte und Nutzer Ihrer Organisation geschützt werden. Es bietet umfassende Informationen zur externen Dateifreigabe, zu Spam und Malware, von denen Nutzer in Ihrer Organisation betroffen sind, sowie integrierte Problembehebung durch das Prüftool. Kontextsensitiver Zugriff kann anhand der Identität des Nutzers und des Kontexts der Anfrage detaillierte Zugriffskontrollen für Google Workspace-Anwendungen durchsetzen. Mit Google Vault können Sie die E-Mails und öffentlichen Chats Ihres Unternehmens sowie den Inhalt von Google Drive-Dateien gemäß Ihren E-Discovery- und Compliance-Anforderungen aufbewahren, archivieren, durchsuchen und exportieren. In der App-Zugriffssteuerung wird festgelegt, wie der Zugriff auf Google Workspace-Dienste über OAuth 2.0 erfolgt. Organisationen können steuern, welche Drittanbieter- und internen Anwendungen auf Google Workspace-Daten zugreifen dürfen. Außerdem erhalten sie weitere Informationen zu den bereits verwendeten Drittanbieter-Apps. Über Speicherorte für Daten können Sie Ihre abgedeckten Daten mithilfe einer Richtlinie für Speicherorte an einem bestimmten Standort speichern. Mit Access Transparency können Sie Logs von Aktionen einsehen, die von Google-Mitarbeitern beim Zugriff auf Nutzerinhalte durchgeführt werden.

Weitere Informationen finden Sie unter https://workspace.google.com/security.

Produktsicherheit: Google Cloud

Google Cloud-Kunden können Produktfunktionen und -konfigurationen nutzen, um personenbezogene Daten weiter vor unbefugter oder rechtswidriger Verarbeitung zu schützen:

Die Verschlüsselung während der Übertragung zwischen Regionen wird standardmäßig in der Google Cloud zum Verschlüsseln von Anfragen vor der Übertragung und zum Schutz der Rohdaten mit dem TLS-Protokoll (Transport Layer Security) verwendet. Sobald Daten zum Speichern an Google Cloud übertragen wurden, nutzt Google Cloud standardmäßig die Verschlüsselung ruhender Daten. Die Bestätigung in zwei Schritten senkt das Risiko nicht autorisierter Zugriffe, da Nutzer bei der Anmeldung um einen zusätzlichen Identitätsnachweis gebeten werden.Die Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten, bei der ein physischer Schlüssel erforderlich ist. Cloud Identity and Access Management (Cloud IAM) ermöglicht Ihnen, detaillierte Zugriffs- und Änderungsberechtigungen für Google Cloud-Ressourcen zu erstellen und zu verwalten. Die Data Loss Prevention API hilft bei der Identifizierung und Überwachung der Verarbeitung besonderer Kategorien personenbezogener Daten, um angemessene Kontrollmechanismen zu implementieren. Cloud Logging und Cloud Monitoring binden Logging-, Monitoring-, Benachrichtigungs- und Anomalieerkennungssysteme in Google Cloud ein. Das Cloud Identity-Aware Proxy (Cloud IAP) steuert den Zugriff auf Anwendungen, die auf Google Cloud ausgeführt werden. Der Cloud Security Scanner sucht nach gängigen Sicherheitslücken in Google App Engine-Anwendungen und erkennt diese. VPC Service Controls stellt Perimeterschutz für Dienste bereit, die hochsensible Daten speichern, um eine Datensegmentierung auf Dienstebene zu ermöglichen. Cloud KMS und HSM ermöglichen die Verwaltung von Verschlüsselungsschlüsseln und kryptografischen Vorgängen innerhalb eines Clusters aus FIPS 140-2 Level 3-zertifizierten Hardware Security Modules (HSMs). Mit KMS können Kunden nach Bedarf von Google oder vom Kunden verwaltete Verschlüsselungsschlüssel nutzen, um Compliance-Anforderungen zu erfüllen. Mit dem Cloud Security Command Center können Kunden über ein einziges, zentrales Dashboard ein Inventar ihrer Cloud-Assets abrufen und überwachen, in Speichersystemen nach sensiblen Daten suchen, gängige Websicherheitslücken erkennen und die Zugriffsrechte für wichtige Ressourcen prüfen. Für die Zugriffsgenehmigung müssen Google-Administratoren eine ausdrückliche Kundengenehmigung einholen, bevor Google auf Daten zugreifen kann. Hierbei erhalten Kunden eine E-Mail und/oder Cloud Pub/Sub-Nachricht mit einer Zugriffsanfrage, die der Kunde genehmigen kann. Anhand der Informationen in der Nachricht können Kunden die Google Cloud Console oder die Access Approval API verwenden, um den Zugriff zu genehmigen.

Weitere Informationen erhalten Sie unter https://cloud.google.com/security/.

¹ Nur für Google Cloud.

Administratoren können Kundendaten über die Funktionen der Google Workspace- oder der Google Cloud-Dienste jederzeit während der Laufzeit der Vereinbarung exportieren. Weitere Informationen zu den Diensten erhalten Sie in der Dokumentation zur Google Cloud. Wir haben schon vor mehreren Jahren Datenexportverpflichtungen in unsere Datenverarbeitungsbedingungen aufgenommen und werden weiter daran arbeiten, unsere Datenexportfunktionen zu verbessern. Damit machen wir es Ihnen noch einfacher, Kopien Ihrer Kundendaten aus Google Workspace- und Google Cloud-Diensten herunterzuladen.

Sie können Kundendaten auch jederzeit über die entsprechenden Funktionen der Google Workspace- oder Google Cloud-Dienste löschen. Wenn Google von Ihnen die Weisung zum vollständigen Löschen erhält, damit also beispielsweise eine von Ihnen gelöschte E-Mail nicht mehr aus dem „Papierkorb“ wiederhergestellt werden kann, löscht Google die entsprechenden Kundendaten innerhalb von maximal 180 Tagen von allen Systemen, sofern keine Verpflichtung zur Aufbewahrung besteht.

Rechte betroffener Personen

Datenverantwortliche können die Verwaltungskonsolen und -dienste von Google Workspace und Google Cloud nutzen, um den Zugriff auf, die Berichtigung, die Einschränkung der Verarbeitung sowie das Löschen der Daten, die sie und ihre Nutzer in unsere Systeme eingeben, zu vereinfachen. Diese Funktion erleichtert es ihnen, ihren Verpflichtungen im Hinblick auf Anträge von betroffenen Personen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen.

Datenschutzteam

Google hat einen Datenschutzbeauftragten für Google LLC und seine Tochtergesellschaften für die Bereiche der Datenverarbeitung ernannt, die der DSGVO unterliegen, einschließlich der Cloud-Produkte und -Dienste. Kristie Chon Flynn ist der Datenschutzbeauftragte von Google. Kristie Chon Flynn ist in Sunnyvale in den USA wohnhaft.

Dort, wo es erforderlich ist, wurden für die Google Cloud-Produkte spezielle Teams zur Beantwortung von Kundenanfragen zum Thema Datenschutz eingerichtet. Wie Sie mit diesen Teams Kontakt aufnehmen, ist in der jeweiligen Vereinbarung angegeben. Das für Google Workspace zuständige Cloud-Datenschutzteam kann von den Administratoren des Kunden unter https://support.google.com/a/contact/googlecloud_dpr kontaktiert werden. Hierzu ist eine Anmeldung im Administratorkonto erforderlich. Es kann auch eine entsprechende Mitteilung an Google gesendet werden. Dies wird in der zugehörigen Vereinbarung beschrieben. Für Google Cloud können Sie sich unter https://support.google.com/cloud/contact/dpo an das Team wenden.

Benachrichtigungen über Vorfälle

Google Workspace und Google Cloud haben bereits seit vielen Jahren vertragliche Verpflichtungen im Zusammenhang mit der Benachrichtigung über Vorfälle geschlossen. Wir werden Sie auch weiterhin gemäß den Bestimmungen zu Datenvorfällen in unseren aktuellen Vereinbarungen unverzüglich über Vorfälle im Zusammenhang mit Ihren Kundendaten informieren.

Die DSGVO sieht verschiedene Verfahren zur Übertragung personenbezogener Daten außerhalb der EU vor. Diese Verfahren sollen ein ausreichendes Maß an Schutz bzw. die Implementierung geeigneter Absicherungen bei der Übertragung personenbezogener Daten in Drittländer bedingen.

Ein ausreichendes Maß an Schutz lässt sich durch Angemessenheitsbeschlüsse erreichen, z. B. durch das Japanische Gesetz zum Schutz personenbezogener Daten (Japanese Act on the Protection of Personal Information, APPI) und das Schweizer Datenschutzgesetz.

Wenn personenbezogene Daten außerhalb der EU an Drittländer übertragen werden, die nicht durch Angemessenheitsbeschlüsse erfasst sind, verpflichten wir uns gemäß den Datenschutzvereinbarungen, einen Mechanismus zu verwenden, der diese Übertragungen gemäß der DSGVO unterstützt. 2017 wurde die Compliance unserer Standardvertragsklauseln von den europäischen Datenschutzaufsichtsbehörden bestätigt. Dies bedeutet, dass unsere vertraglichen Verpflichtungen für Google Workspace und Google Cloud den Anforderungen an die legale Übermittlung personenbezogener Daten aus der EU in Drittländer genügen, die keinen angemessenen Schutz bieten.

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Prüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Aus Sicherheitsgründen werden Google Workspace und Google Cloud regelmäßig von unabhängigen Dritten geprüft.

ISO/IEC 27001 (Managementsysteme für die Informationssicherheit)

ISO/IEC 27001 gehört zu den am weitesten verbreiteten und international anerkannten unabhängigen Sicherheitsstandards. Die Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren, die zur Bereitstellung unserer gemeinsam genutzten Common Infrastructure sowie für Google Workspace- und Google Cloud-Produkte eingesetzt werden, sind nach ISO/IEC 27001 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

ISO/IEC 27017 (Informationssicherheit in der Cloud)

ISO/IEC 27017 ist ein internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit, der auf ISO/IEC 27002 basiert und sich speziell auf Cloud-Dienste bezieht. Google Workspace und Google Cloud von Google sind nach ISO/IEC 27017 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

ISO/IEC 27018 (Datenschutz in der Cloud)

ISO/IEC 27018 ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen in öffentlichen Cloud-Diensten. Google Workspace und Google Cloud wurden nach ISO/IEC 27018 zertifiziert. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

ISO/IEC 27701 (Privacy Information Management)

ISO/IEC 27701 ist ein weltweiter Datenschutzstandard, der sich mit der Erhebung und Verarbeitung personenidentifizierbarer Informationen befasst. Dieser Standard ergänzt die Anforderungen von ISO/IEC 27001 und ISO/IEC 27002 um das Thema Datenschutz. Wir haben eine akkreditierte Zertifizierung gemäß ISO/IEC 27701 als Auftragsverarbeiter personenidentifizierbarer Informationen sowohl für Google Workspace als auch für Google Cloud erhalten. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

SSAE16/ISAE 3402 (SOC 2/3)

Das US-Institut amtlich zugelassener Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) hat mit SOC 2 und SOC 3 sogenannte Service Organization Controls geschaffen. Dies sind Auditrahmen für Vertrauensgrundsätze und Kriterien in Bezug auf Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Google verfügt über SOC 2- und SOC 3-Berichte für Google Workspace und Google Cloud. Sie können auf diese Zertifikate über die Übersicht über Complianceberichte zugreifen.

Google Cloud – Datenverarbeitungs- und Sicherheitsbestimmungen (DPST)

Vollständige Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Vollständige Datenverarbeitungsbedingungen

Google Cloud – Datenverarbeitungs- und Sicherheitsbestimmungen (DPST)

Datenverarbeitung | Abschnitt 5.2

Google Cloud – EU-Standardvertragsklauseln

Standardvertragsklauseln

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Abschnitt 5.2 | Datenverarbeitung

GOOGLE WORKSPACE – EU-Standardvertragsklauseln

Klausel 5 (a) und (b) | Verpflichtungen des Datenimporteurs

Google Cloud – Nutzungsbedingungen von Google Cloud

Vertrauliche Informationen |Abschnitt 7

Datenverarbeitungsbedingungen und Sicherheitsbestimmungen für Google Cloud (DPST)

Datensicherheit | Abschnitt 7.1.2

Datensicherheit | Abschnitt 7.5.3

Mitarbeitersicherheit | Anhang 2.4

Google Cloud – EU-Standardvertragsklauseln

Pflichten des Datenimporteurs | Klausel 5

GOOGLE WORKSPACE – Google Workspace-Vereinbarung

Vertrauliche Informationen | Abschnitt 6

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Datensicherheit | Abschnitt 7.1.2

Datensicherheit | Abschnitt 7.5.3

Mitarbeitersicherheit | Anhang 2.4

GOOGLE WORKSPACE – EU-Standardvertragsklauseln

Standardvertragsklauseln

Google Cloud – Datenverarbeitungs- und Sicherheitsbestimmungen (DPST)

Datensicherheit | Abschnitt 7

Sicherheitsmaßnahmen | Anhang 2

Google Cloud – EU-Standardvertragsklauseln

Standardvertragsklauseln

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Datensicherheit | Abschnitt 7

Sicherheitsmaßnahmen | Anhang 2

GOOGLE WORKSPACE – EU-Standardvertragsklauseln

Standardvertragsklauseln

Weitere InformationenWhitepaper zur Sicherheit und Compliance von Google Cloud

Google Cloud – Datenverarbeitungs- und Sicherheitsbestimmungen (DPST)

Folgenabschätzung und Konsultation | Abschnitt 8

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Folgenabschätzung und Konsultation | Abschnitt 8

Google Cloud – Datenverarbeitungs- und Sicherheitsbestimmungen (DPST)

Daten löschen | Abschnitt 6

Rechte betroffener Personen; Datenexport | Abschnitt 9.1

Google Cloud – EU-Standardvertragsklauseln

Standardvertragsklauseln

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Daten löschen |Abschnitt 6

Rechte betroffener Personen; Datenexport | Abschnitt 9.1

GOOGLE WORKSPACE – EU-Standardvertragsklauseln

Standardvertragsklauseln

Google Cloud – Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen

Datensicherheit | Abschnitt 7.4

Weitere Informationen: Google Cloud Compliance

GOOGLE WORKSPACE – Datenverarbeitungsbedingungen

Datensicherheit | Abschnitt 7.4

Weitere Informationen: Google Cloud Compliance