Grafik eines Schutzschildes hinter dem sich Dokumente und Personen befinden

Sicherheit & Datenschutz

Warum die Google Cloud und Google Workspace sicher sind

Daten sind heute das digitale Pendant zu Gold und eines unserer höchsten Güter. Daher sollten diese optimal geschützt werden. Besonders in der EU gelten daher zurecht hohe Ansprüche. Die teilweise etwas komplizierte Rechtslage macht es Unternehmen allerdings nicht gerade leicht festzustellen ob und welche Cloud-Lösungen den rechtlichen, aber auch eigenen Anforderungen zur Sicherheit und dem Schutz von Daten entsprechen. Nachfolgend findest du einen Überblick welche Sicherheitsmaßnahmen Google trifft um die Daten deines Unternehmens zu schützen. 

Datenschutz

Die Google Cloud und Google Workspace können DSGVO-konform eingesetzt werden. Google verpflichtet sich in den Verträgen zur Einhaltung der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten von Kunden in allen Diensten der Google Cloud und Google Workspace.

Datenresidenz

Das alle Daten innerhalb der EU gespeichert werden müssen ist ein hartnäckiges Märchen. Die Bedingungen für die Übertragung personenbezogener Daten außerhalb der EU können durch Standardvertragsklauseln erfüllt werden. Google bietet darüber hinaus dennoch die Möglichkeit den Speicherort von Daten festzulegen.

Compliance

Google unterzieht sich und seine Produkte regelmäßig unabhängigen Überprüfungen und erfüllt dabei alle wichtigen Richtlinien und Standards, wie SOC 1/2/3, die ISO/IEC 27001/27017/27018, HIPAA, TISAX und viele weitere.

Sicherheit

Als Kunde nutzt dein Unternehmen die gleiche Infrastruktur, die Google selbst als Unternehmen nutzt. Google hat daher von Haus aus ein hohes Interesse an der Sicherheit und Verfügbarkeit der Infrastruktur. Datenverschlüsselung wird auf allen Ebenen eingesetzt.

Datenschutz und DSGVO

Google hat seine Datenverarbeitungsverträge für die Google Cloud und Google Workspace im Laufe der Jahre auf der Grundlage des Feedbacks der Kunden und Aufsichtsbehörden weiterentwickelt. Die Vereinbarungen wurden so aktualisiert, dass diese die GDPR berücksichtigen und die Bewertung der Einhaltung der GDPR und die Vorbereitung auf die konforme Nutzung der Google Cloud-Dienste für Kunden erleichtern.

Grafik eines Gesetzesbuchs und Richter-Hammers

Googles Prinzipien

1. Kunden besitzen ihre Daten
Die Kunden besitzen ihre Daten und nicht Google. Google verarbeitet diese Daten nur im Rahmen der Vereinbarung(en).

2. Google verwendet niemals Kundendaten für das Anzeigen-Targeting
Google verarbeitet keinerlei Kundendaten, um Anzeigenprofile zu erstellen oder seine Google Ads-Produkte zu verbessern.

3. Google ist transparent in Bezug auf die Erfassung und Verwendung von Daten
Google verpflichtet sich zu Transparenz, zur Einhaltung von Vorschriften wie der GDPR und zu bewährten Datenschutzverfahren.

4. Google verkauft niemals Kunden- oder Servicedaten
Google verkauft niemals Kunden- oder Servicedaten an Dritte.

5. Sicherheit und Datenschutz sind primäre Designkriterien für alle Google-Produkte
Der Schutz von Kunden und deren Daten hat hat für Google höchste Priorität. Dafür baut Google die stärksten Sicherheitstechnologien in die Produkte ein.

Google Cloud Logo Schriftzug

Datenverarbeitungs- und Sicherheitsbedingungen

Google Cloud EU-Standardvertragsklauseln (SCCs)

Googke Workspace Logo

Google Workspace Datenverarbeitungsvereinbarung

Google Workspace EU-Standardvertragsklauseln (SCCs)

Internationale Datenübermittlung mit der Google Cloud & Google Workspace

Die Datenschutz-Grundverordnung sieht mehrere Mechanismen vor, um die Übermittlung personenbezogener Daten in Länder außerhalb der EU zu erleichtern. Diese Mechanismen zielen darauf ab, ein angemessenes Schutzniveau zu bestätigen oder die Umsetzung geeigneter Garantien zu gewährleisten, wenn personenbezogene Daten in ein Drittland übermittelt werden.

Ein angemessenes Schutzniveau kann durch Angemessenheitsbeschlüsse bestätigt werden, wie z. B. diejenigen, die das japanische Gesetz zum Schutz personenbezogener Daten (APPI) und das schweizerische Datenschutzgesetz unterstützen.

Für den Fall, dass personenbezogene Daten außerhalb der EU in Drittländer übermittelt werden, die nicht unter Angemessenheitsbeschlüsse fallen, verpflichtet sich Google im Rahmen der Datenverarbeitungsverträge, einen Mechanismus zu unterhalten, der diese Übermittlungen gemäß den Anforderungen der DSGVO erleichtert. Im Jahr 2017 hat Google von den europäischen Datenschutzbehörden die Bestätigung erhalten, dass ihre Standardvertragsklauseln den Anforderungen entsprechen und die vertraglichen Verpflichtungen für Google Workspace und Google Cloud Platform die Übermittlung personenbezogener Daten aus der EU in Drittländer, die keinen angemessenen Schutz bieten, rechtlich einrahmen.

Weitere Informationen in den Whitepapern:

Sicherheitsvorkehrungen für internationale Datenübertragungen mit Google Cloud

Sicherheitsvorkehrungen für internationale Datenübertragungen mit Google Workspace

 

So kannst du den Zusatz zur Datenverarbeitung und sowie die Standardvertragsklauseln von Google annehmen:
  1. In der Google Admin-Konsole anmelden.
  2. Auf „Unternehmensprofil“ klicken und „Rechtliches und Compliance“ auswählen.
  3. Klicke im Abschnitt „Zusätzliche Bedingungen zu Sicherheit und Datenschutz“ neben „Zusatz zur Datenverarbeitung“ auf Prüfen und Akzeptieren.
  4. Klicke auf „Ich stimme zu“.
  5. Klicke neben „Standardvertragsklauseln für die EU“ auf „Prüfen und Akzeptieren“.
  6. Klicke auf „Ich stimme zu“.

Datenresidenz

Google Cloud Logo Schriftzug

Viele der Google-Cloud-Dienste bieten Funktionen zur Speicherung bestimmter personenbezogener Kundendaten in der EU bzw. im EWR an. Eine genaue Auflistung der Dienste nach Standort z.B. Frankfurt findest du hier:

Google Cloud Standorte

Googke Workspace Logo

Für Google Workspace besteht die Möglichkeit den Speicherort von Daten auf Europa einzugrenzen. Der Enterprise Tarif bietet zusätzlich die Verwendung verschiedener Standorte für unterschiedliche Organisationseinheiten und weitere Richtlinien.

Speicherort in Google Workspace festlegen

Daten die auf den Ort begrenzt werden

Compliance

Google lässt seine Dienste regelmäßig von unabhängigen Dritten auf Sicherheit, Datenschutz und Compliance überprüfen und ist nach einer ganzen Reihe weltweit anerkannten Standards zertifiziert.

Einige der Zertifizierungen sind:

  • ISO/IEC 27018, 27110, 27701
  • ISO 22301:2019, 50001:2018, 9001:2015
  • SOC 1, 2, 3
  • EU Cloud Code of Conduct

Vollständige Übersicht der Zertifizierungen

iso
soc
fedramp
EU Cloud Code of Conduct Icon
eu
hipaa
Zertifizierungen

Sicherheit und Verschlüsselung

Google Cloud Logo Schriftzug

Google Cloud verschlüsselt alle gespeicherten Kundeninhalte mit einem oder mehreren Verschlüsselungsverfahren, ohne dass der Kunde selbst etwas tun muss.

Zu speichernde Daten werden in Blöcke unterteilt, wobei jeder Block mit einem einmaligen Schlüssel verschlüsselt wird. Diese Data Encryption Keys (DEKs) werden zusammen mit den Daten gespeichert und wiederum mit Key Encryption Keys (KEKs) verschlüsselt („verpackt“). KEKs werden ausschließlich im zentralen Key Management Service von Google gespeichert und verwendet. Der Key Management Service von Google ist redundant und global verteilt.

Alle in Google Cloud gespeicherten Daten werden mit AES256 auf Speicherebene verschlüsselt.

Google nutzt die verbreitete kryptografische Bibliothek Tink, die das gemäß FIPS 140-2 validierte Modul der Stufe 1 „BoringCrypto“ beinhaltet, um die Verschlüsselung in nahezu allen Google Cloud-Produkten einheitlich zu implementieren. Dank der konsistenten Nutzung einer allgemeinen Bibliothek muss dieser streng kontrollierte und geprüfte Code nur von einem kleinen Team von Kryptografen implementiert und gepflegt werden.

Mehr Infos zur Sicherheit und Verschlüsselung

Googke Workspace Logo

Verschlüsselung von Haus aus

Google Workspace verschlüsselt Kundendaten und schützt diese auch bei der Übertragung. Google erzwingt HTTPS (HyperText Transfer Protocol Secure) für alle Übertragungen zwischen Nutzern und Google Workspace-Diensten und verwenden für alle Dienste Perfect Forward Secrecy (PFS). Auch Nachrichtenübertragungen mit anderen Mailservern werden über Transport Layer Security (TLS) mit 256 Bit verschlüsselt. Während der Validierung und  Austauschphasen wird ein 2048-Bit-RSA-Schlüssel verwendet.

Whitepaper zur Verschlüsselung

Clientseitige Verschlüsselung

Zusätzlich zur Standardverschlüsselung in Google Workspace kann dein Unternehmen auch eigene Schlüssel verwenden. Mit der clientseitigen Verschlüsselung (Client-side encryption, CSE) in Google Workspace erfolgt die Verschlüsselung im Client-Browser, bevor Daten übertragen oder im cloudbasierten Speicher von Google Drive abgelegt werden. So können die Google-Server nicht auf eure Schlüssel zugreifen.

Mehr zur clientseitigen Verschlüsselung

Key Management Service der Google Cloud

Google verschlüsselt Daten im Standard automatisch, bietet mit dem Key Management Service seinen Kunden jedoch weitere Optionen, wie die Daten verschlüsselt und die Keys verwaltet werden sollen.

Standard

Googles standardmäßige Data-at-Rest-Verschlüsselung. Der Kunde hat keinen Zugriff auf die Schlüssel oder Kontrolle über die Schlüsselrotation.

Cloud KMS

Der Kunde kann von Google generierte und gespeicherte Schlüssel verwalten.

Cloud HSM

Der Kunde kann von Google generierte Schlüssel verwalten, die in einem von Google betriebenen HSM gespeichert sind.

Schlüssel-Import

Kunden können Schlüssel importieren, die außerhalb von Google verwendet und verwaltet werden, und Schlüsselmaterial in ein Google HSM einbringen.

Schlüssel vom Kunde

Schlüssel, die dem Kunden gehören und bei jedem API-Aufruf bereitgestellt werden, um flüchtig für den Zugriff auf Daten verwendet zu werden.

Externer Key Manager

Schlüssel werden in einem Verwaltungssystem nach Wahl des Kunden gespeichert, auch außerhalb der Google Cloud.

Mehr Infos

Beratung und Hilfe

Wenn du und dein Unternehmen den Einsatz der Google Cloud oder von Google Workspace prüft, helfen wir gerne eure Fragen rund um das Thema zu beantworten. Auch können wir euch aktiv bei der DSGVO-konformen Einrichtung helfen oder eure IT in einer Schulung dazu befähigen.

Eine Rechtsberatung dürfen wir allerdings nicht geben. Hierfür legen wir euch den Rechtsanwalt Wikey Chada ans Herz, der euch gerne weitere Fragen rund um den Datenschutz beantwortet.

Portraitbild Wikey Chada

Wikey Chada
Rechtsanwalt / Inhaber

CHADA LAW

Homburger Str. 29
65197 Wiesbaden

info@chada-law.de
0176 24 9 34 777

Hinweis

Die von Seibert Media GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Media GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Media GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus Ihrer Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teilen Sie uns dies bitte mit.