Zum Inhalt springen

DSGVO-Konformität und Datenschutz mit Google Workspace

Wie Sie Workspace rechtskonform in Europa betreiben — und welche Themen wirklich Aufmerksamkeit brauchen
4. Mai 2023 durch
DSGVO-Konformität und Datenschutz mit Google Workspace
Helpdesk Bot

Kann man Google Workspace in Europa DSGVO-konform einsetzen? Kurz gesagt: Ja — mit den richtigen vertraglichen, technischen und organisatorischen Maßnahmen. Diese Frage taucht in fast jedem Kick-off-Gespräch auf, das wir bei Cloudunify führen. Hier eine ehrliche Bestandsaufnahme.

Die vertragliche Grundlage: Der AV-Vertrag

Google bietet mit der Data Processing Amendment (DPA) eine EU-standardkonforme Auftragsverarbeitungsvereinbarung an. Sie ist digital abschließbar und regelt alle DSGVO-relevanten Aspekte: Zweckbindung, technische Sicherheitsmaßnahmen, Meldepflichten, Unterauftragsverarbeitung. Ohne aktiven Abschluss dieser DPA sollte kein Unternehmen produktiv mit Workspace arbeiten.

Datenlokation und Datenübermittlung in Drittländer

Das war lange das Diskussions-Thema. Seit dem EU-US Data Privacy Framework (Juli 2023) gibt es wieder eine tragfähige rechtliche Basis für Datenverkehr in die USA. Google Ireland Limited ist unter diesem Framework zertifiziert.

Für Unternehmen mit besonders hohen Anforderungen (öffentliche Stellen, Gesundheitswesen, KRITIS) bietet Google die Option, Kundendaten ausschließlich in EU-Rechenzentren zu speichern und zu verarbeiten. Diese Option muss aktiv konfiguriert werden — sie ist nicht der Default.

Technische Konfiguration in der Admin Console

Ein sauberer Workspace-Betrieb aus DSGVO-Sicht braucht mindestens diese Grundlagen: Zwei-Faktor-Authentifizierung oder Passkeys für alle Nutzer, klare Zugriffsrechte pro Nutzer und Gruppe, DLP-Regeln (Data Loss Prevention) für sensible Daten in Gmail und Drive, aktivierte Audit-Logs, und eine dokumentierte Aufbewahrungsrichtlinie über die Vault-Funktion.

Google Vault ist besonders wichtig: Es erlaubt sowohl die revisionssichere Archivierung als auch das systematische Löschen nach definierten Fristen — ein Kernrequirement der DSGVO.

Organisatorische Themen — oft übersehen

Die meisten Probleme, die wir bei DSGVO-Audits sehen, sind nicht technisch, sondern organisatorisch. Typische Themenfelder:

  • Wer darf welche Daten sehen? Häufig fehlt eine dokumentierte Berechtigungsstruktur.
  • Wie werden Ausscheidungen von Mitarbeitern gehandhabt? Löschung, Übertragung, Archivierung?
  • Gibt es Vorgaben, welche Daten überhaupt in Workspace verarbeitet werden dürfen und welche nicht?
  • Werden Auskunftsanfragen von Betroffenen strukturiert bearbeitet?

Der Google-Cloud-Adoption-Framework-Ansatz

Für größere Rollouts empfehlen wir, den Google-Cloud-Adoption-Framework-Ansatz auf Workspace zu übertragen: technische Konfiguration, Prozesse, Menschen und Governance werden parallel betrachtet. Nur so entsteht ein Setup, das langfristig prüfsicher ist.

Fazit

DSGVO-Konformität mit Google Workspace ist erreichbar — aber sie ist Ergebnis von bewusster Konfiguration und dokumentierten Prozessen, nicht von Werkseinstellungen. Wer Workspace ernsthaft einsetzt, sollte ein einmaliges Setup-Projekt investieren, das diese Punkte sauber adressiert.

DSGVO-Check durchführen