31.01.2020
Viele Firmen, die für ihre Daten und Prozesse noch nicht die Cloud nutzen, zögern oftmals vor allem aus einem Grund: Sie haben Sicherheitsbedenken. Dabei ist es ein Trugschluss zu glauben, dass Daten auf dem eigenen Server bzw. der eigenen Festplatte sicherer sind. Sobald ein Gerät mit dem Internet verbunden ist, ist es angreifbar. Immer mehr Anwender werden sich dessen bewusst und erkennen, dass professionelle Anbieter wesentlich mehr Ressourcen als das eigene Unternehmen investieren können, um eine sichere IT-Infrastruktur zur Verfügung zu stellen. Google beschäftigt in seinem Sicherheitsteam weltweit mehr als 500 Techniker, darunter führende Experten aus den Bereichen Informations-, Anwendungs- und Netzwerksicherheit. Google gibt Milliarden an Dollar für hochmoderne und sichere Rechenzentren aus. Bleibt vor allem noch die Frage nach dem Datenschutz, der nachvollziehbarerweise ebenfalls ein wichtiges Kriterium für die Entscheidung „Cloud“ darstellt. Im Folgenden sollen einige der am häufigsten gestellten Fragestellungen für Unternehmen zum Thema Google Cloud und Datenschutz beantwortet werden.*

1. Wem gehören die Daten, die Unternehmen in der Google Cloud speichern?
Einfach gesagt: Daten, die von Unternehmen und Organisationen in Systeme von Google eingespeist werden, gehören weiterhin den Unternehmen. Google ist nicht (!) Eigentümer dieser Daten und gibt diese auch nicht in Dritte weiter. Kunden haben immer die Kontrolle und jederzeit die Möglichkeit auf ihre Daten zuzugreifen, diese zu exportieren oder vollständig zu entfernen.
2. Werden Unternehmensdaten für Werbezwecke verwendet?
Nein! Die kostenpflichtigen Dienste Google Workspace (ehemals G Suite) sowie die Google Cloud Platform sind werbefrei und Google versichert, dass das auch in Zukunft so bleiben wird. Das heißt, Inhalte beispielsweise in Gmail oder in Google Drive werden nicht für Werbezwecke gescannt.
Wichtig zu wissen: Für die Nutzung kostenloser Dienste und dem Speicherplatz für Privatnutzer gelten andere Nutzungsbedingungen als für die Nutzung kostenpflichtiger Dienste für Unternehmen und Organisationen.
3. Verwendet Google meine Daten? Und wenn ja, wofür?
Google verarbeitet die Daten, damit den vertraglichen Verpflichtungen zur Bereitstellung der Dienste nachgekommen werden kann – nicht darüber hinaus. Google bietet seinen Kunden einen ausführlichen Zusatz zur Datenverarbeitung, in dem die Verpflichtung zum Schutz von Daten beschrieben ist.
4. Können Kunden auf denselben Servern auf meine Daten zugreifen?
Nein. Die Daten sind logisch so geschützt, als lägen sie auf einem eigenen Server. So können unbefugte Dritte nicht auf Kundendaten zugreifen, selbst wenn Daten physikalisch auf derselben Hardware gespeichert werden. Das Prinzip ähnelt der Segmentierung von Kundendaten in anderen gemeinsamen Infrastrukturen, wie etwa Onlinebanking-Anwendungen
5. Verschlüsselt Google meine Daten?
Ja. Die Daten werden gleich auf mehreren Ebenen verschlüsselt. Google erzwingt HTTPS (Hypertext Transfer Protocol Secure) für alle Übertragungen zwischen Nutzern und Google Workspace Diensten und verwendet für alle Dienste Perfect Forward Secrecy (PFS). Nachrichtenübertragungen mit anderen Mailservern verschlüsselt Google über Transport Layer Security (TLS). So sind Informationen wie Gmail oder Drive-Daten bei der Übertragung von Ihrem Gerät zu Google und während der Übertragung zwischen Google-Rechenzentren geschützt.
Mit der Mobilgeräteverwaltung (Mobile Device Management, MDM) für Android und iOS können Nutzer außerdem von ihren eigenen Geräten auf Unternehmensdaten zugreifen. Dabei bestehen dieselben hohen Sicherheitsstandards wie beim Zugriff mit Unternehmensgeräten.
6. Können Google Mitarbeiter auf mein Konto zugreifen?
Google darf nur unter strenger Einhaltung seiner Datenschutzerklärung und Kundenvereinbarung auf ein Konto zugreifen. Zur technischen Unterstützung bei der Fehlerbehebung kann nach ausdrücklicher Genehmigung ein Administrator des Kunden dem Google-Supportteam die Genehmigung erteilen.

7. Ist die Google Cloud konform mit der europäischen DSGVO?
Ja. Die Datenschutz-Grundverordnung (DSGVO) legt fest, wie Unternehmen personenbezogene Daten erfassen, verwenden und speichern dürfen bzw. müssen. Google verpflichtet sich in seinen Verträgen zur Einhaltung der in der EU geltenden DSGVO und bietet zusätzliche Sicherheitsfunktionen, mit denen sich personenbezogene Daten schützen lassen. Weitere Infos dazu hier.
8. Wo werden meine Daten gespeichert? Muss dies innerhalb Europas geschehen?
Daten werden im Netzwerk der geografisch verteilten Rechenzentren von Google gespeichert. Kunden der Google Workspace Enterprise Plus Version können dabei wählen, in welcher Region die eigenen Daten abgelegt werden sollen – beispielsweise Europa. Kunden der Google Cloud Platform können bei der Einrichtung sogar explizit das Rechenzentrum bestimmen – z.B. Frankfurt. Aus rechtlicher Sicht ist das jedoch gar nicht unbedingt notwendig. Die DSGVO und die Richtlinie 95/46/EG legen bestimmte Bedingungen für die Übertragung und Verarbeitung personenbezogener Daten außerhalb der EU fest. Google verpflichtet sich zur Einhaltung dieser, sodass die Übertragung personenbezogener Daten außerhalb der EU nach den Vorgaben der DSGVO ermöglicht wird.
9. Kann ich Daten spurlos aus der Google Cloud löschen?
Google verpflichtet sich die Daten seiner Kunden innerhalb von 180 Tagen aus seinen Systemen zu löschen. Da die Anwendungs- und Netzwerkarchitektur von Google auf höchste Zuverlässigkeit und Verfügbarkeit ausgelegt ist, sind Daten über mehrere Server und Rechenzentren verteilt, um einen möglichen Ausfall zu kompensieren. Deshalb dauert es eine gewisse Zeit, um alle Kundendaten vollständig aus den Systemen zu entfernen. Verweise auf diese Daten werden jedoch unmittelbar gelöscht.
10. Wie geht Google mit dem Auskunftsersuchen von Behörden um?
Bei behördlichen Datenanfragen prüft Google zunächst, ob die rechtlichen Voraussetzung für eine Herausgabe gegeben sind und die Richtlinien von Google erfüllt werden. Falls dies der Fall ist, wird dem Ersuchen nachgekommen. Google informiert seine Kunden über rechtliche Anfragen, sofern dies nicht aufgrund einer richterlichen Anordnung untersagt wurde. Das Ersuchen wird abgelehnt, wenn der Kunde beim entsprechend zuständigen Gericht dagegen Widerspruch einlegt und diesem stattgegeben wird.
11. Welche Maßnahmen trifft Google, um den Datenschutz bei der Neueinführung von Produkten zu gewährleisten?
Google beschäftigt ein eigenes Datenschutz-Team, das getrennt von den Produktentwicklungs- und Sicherheitsteams arbeitet und trotzdem an jeder Markteinführung eines Google-Produkts beteiligt ist. Aufgabe dieses Teams ist es, die Entwicklungsdokumentation zu untersuchen und Codeprüfungen durchzuführen. Ziel ist neben der Einhaltung der Datenschutzbestimmungen ein jederzeit transparenter Umgang bei der Erfassung von Nutzerdaten.
12. Wie kann man sicher sein, dass Google den nach eigenen Angaben eingesetzten Sicherheitsstandards auch Folge leistet?
Google Workspace und Google Cloud Platform sind durch das American Institute of Certified Public Accountants (AICPA) und ISO /IEC 27001 für SOC1, SOC2 und die SOC3-Prüfung zertifiziert. Voraussetzung hierfür ist eine regelmäßige, durch unabhängige Prüfer durchgeführte Untersuchung der Kontrollmechanismen, mit denen Daten in Googles Systemen geschützt werden. So wird sichergestellt, dass Sicherheits-, Datenschutz- und Compliance-Standards eingesetzt werden und wirksam sind.
Mehr zum Thema Google Cloud und Datenschutz auch in diesen Whitepapern:

*Dieser Beitrag dient lediglich einem unverbindlichen Informationszweck, stellt jedoch keine Rechtsberatung dar.