Google Workspace & Cloud: Sicher. Souverän. DSGVO-konform.

Kann ein US-Cloud-Anbieter wie Google die deutschen Anforderungen erfüllen? Die kurze Antwort ist Ja. Wir zeigen dir, wie du die Google-Tools richtig konfigurierst, um Sicherheit, Datenkontrolle und Compliance zu gewährleisten.

Wichtige VerträgeSprich mit unseren Experten
Illustrative Grafik zum Thema Cloud-Sicherheit, die das Google-Cloud-Logo im Zentrum zeigt, umgeben von Symbolen für Datenschutz und Sicherheit wie einem Schloss, einem Schutzschild, einem Fingerabdruck und einem Passwort-Feld.
Illustrative Grafik zum Thema Cloud-Sicherheit, die das Google-Cloud-Logo im Zentrum zeigt, umgeben von Symbolen für Datenschutz und Sicherheit wie einem Schloss, einem Schutzschild, einem Fingerabdruck und einem Passwort-Feld.

Digitale Souveränität mit Google Cloud: Strategische Chance statt unkalkulierbares Risiko

Die Wahl einer Cloud-Plattform ist eine strategische Weichenstellung für die Zukunftsfähigkeit deines Unternehmens.

Gleichzeitig stellen die rechtlichen Rahmenbedingungen durch DSGVO, das Schrems-II-Urteil und den US CLOUD Act signifikante unternehmerische Risiken dar. Diese Risiken sind jedoch beherrschbar.

Der Schlüssel liegt im präzise konfigurierten Zusammenspiel von Technologie und Expertise, basierend auf dem Modell der geteilten Verantwortung. Google stellt die zertifizierte Infrastruktur und die Werkzeuge bereit – wir als dein deutscher Partner liefern die Expertise, um diese für maximale Sicherheit, nachweisbare Compliance und volle Datensouveränität zu implementieren.

Zwei Personen blicken auf einen Laptop-Bildschirm, auf dem eine Präsentation die drei wichtigen Aktionsfelder in einem Transformationsprozess darstellt: Menschen, Technologie und Organisation.
Volle Datenhoheit für dein Unternehmen

Behalte die Kontrolle darüber, wo deine Daten gespeichert werden, wer darauf zugreift und wie sie verschlüsselt sind. Mit Werkzeugen wie Assured Workloads und Client-Side Encryption setzen wir dies technisch für dich um.

Mehr zu Souveränität erfahren
Auditierbare Rechtskonformität

Erfülle die Anforderungen von DSGVO, BSI C5 und spezifische Branchen-Regularien durch gezielte Konfigurationen der Google Cloud. Alle relevanten Zertifikate kannst du im Compliance Reports Manager einsehen.

Alle Zertifikate einsehen
Skalierbare Sicherheitsinfrastruktur

Profitiere von einer globalen Sicherheitsarchitektur, die dein eigenes Rechenzentrum an Resilienz und Abwehrkraft übertrifft – vom physischen Schutz mit eigens entwickelten Titan-Sicherheitschips bis zur Abwehr modernster Cyberangriffe.

Einblick in die Infrastruktur-Sicherheit

Verträge & DSGVO: Ein Fundament, auf das du bauen kannst

Bevor wir über Technik sprechen, schaffen wir eine klare rechtliche Grundlage. Google adressiert die strengen europäischen Anforderungen durch ein mehrschichtiges System aus Verträgen, Zertifizierungen und transparenten Richtlinien, das die Basis für einen DSGVO-konformen Einsatz bildet.

Eine Illustration, die beruflichen Erfolg und zertifizierte Qualität symbolisiert. Zu sehen sind eine Aktentasche, Dokumente mit Prüfsiegeln und weitere positive Symbole wie ein zufriedenes Gesicht und ein Daumen hoch.
1. Der Auftragsverarbeitungsvertrag (AVV): Googles Kernverpflichtungen

Das Fundament für eine DSGVO-konforme Nutzung der Google Cloud bzw. von Google Workspace ist ein gültiger Auftragsverarbeitungsvertrag (AVV). Google erfüllt diese Anforderung durch sein umfassendes Cloud Data Processing Addendum (CDPA), das für Google Workspace und Google Cloud gilt. Dieses Dokument sichert dir vertraglich zentrale, nach Artikel 28 DSGVO erforderliche Punkte zu:

  • Verarbeitung gemäß Weisung: Google verpflichtet sich, deine Daten ausschließlich nach deinen dokumentierten Weisungen zu verarbeiten.

  • Vertraulichkeit: Alle Google-Mitarbeiter unterliegen strengen Vertraulichkeitsvereinbarungen und absolvieren obligatorische Datenschutzschulungen.

  • Management von Unterauftragsverarbeitern: Google pflegt eine transparente, öffentliche Liste aller Unterauftragsverarbeiter und verpflichtet diese vertraglich auf die Einhaltung der Datenschutzstandards.

  • Meldung von Datenschutzvorfällen: Im Falle eines Vorfalls wirst du unverzüglich und ohne unangemessene Verzögerung benachrichtigt.

Cloud Data Processing AddendumListe der Unterauftragsverarbeiter
2. Internationale Datentransfers: Sicher in der Post-Schrems-II-Ära

Um die Unsicherheit nach dem “Schrems II”-Urteil zu adressieren, stützt sich Google auf eine robuste Zwei-Säulen-Strategie:

  • Säule 1: EU-U.S. Data Privacy Framework (DPF): Als primäre rechtliche Grundlage ist Google LLC unter dem DPF zertifiziert. Dieser Angemessenheitsbeschluss der EU-Kommission erlaubt Datentransfers an zertifizierte US-Unternehmen, als fänden sie innerhalb der EU statt.

  • Säule 2: Standardvertragsklauseln (SCCs): Um eine widerstandsfähige vertragliche Basis zu schaffen, integriert Google zusätzlich weiterhin die von der EU-Kommission genehmigten Standardvertragsklauseln in die Verträge.

Googles Transfer-Frameworks prüfen
3. Umgang mit Behördenanfragen: Transparenz statt "Backdoors"

Die Sorge vor dem Zugriff von US-Behörden ist zentral. Googles Politik hierzu ist unmissverständlich: Es gibt keine “Backdoors” oder direkten Zugriff für Regierungsbehörden auf deine Daten. Der etablierte Prozess ist klar definiert:

  • Anfragen an dich weiterleiten: Googles Richtlinie ist es, die anfragende Behörde an dich als Eigentümer der Daten zu verweisen.

  • Strenge rechtliche Prüfung: Jede Anfrage, die dennoch bei Google eingeht, wird vom Rechtsteam sorgfältig auf ihre rechtliche Zulässigkeit geprüft. Überzogene oder unzulässige Anfragen werden zurückgewiesen.

  • Regelmäßige Transparenzberichte: Google veröffentlicht halbjährlich detaillierte Statistiken über die Anzahl und Art der eingegangenen Behördenanfragen, um diesen Prozess nachvollziehbar zu machen.

Transparenzreport zu Behördenanfragen

Bereit für eine Cloud, die nach deinen Regeln spielt?

Schluss mit der Unsicherheit. Lass uns gemeinsam eine Cloud-Strategie entwickeln, die nicht nur technologisch brillant, sondern auch absolut souverän und rechtskonform ist.

Jetzt unverbindlich beraten lassen
Illustration, die Wachstum und Erfolg darstellt: Ein großer Pfeil nach oben mit der Ziffer 1 und einem Plus, das ein Level up darstellt sowie ein lachendes Emoji symbolisieren positive Entwicklung und höchste Zufriedenheit.

Technische Sicherheit by Design: Das Fundament deines Vertrauens

Vertragliche Zusicherungen müssen durch robuste technische und organisatorische Maßnahmen (TOMs) untermauert werden. Die gesamte Google-Infrastruktur wurde nach dem Prinzip “Security by Design” aufgebaut, wobei Sicherheit auf jeder Ebene integriert ist – von der physischen Hardware bis zur globalen Anwendungsarchitektur.

Google Cloud Logo
Physische Sicherheit & Hardware

Googles Rechenzentren sind durch ein mehrschichtiges Verteidigungsmodell geschützt, das Zäune, 24/7-Wachpersonal und biometrische Scans umfasst. Im Inneren läuft alles auf von Google selbst entwickelter Hardware , in der jeder Server durch den Titan-Sicherheitschip eine Hardware-Vertrauensbasis (“Root of Trust”) etabliert und seine Integrität bei jedem Startvorgang überprüft.
Google Cloud Logo
Verschlüsselung by Default

Google verfolgt eine “Encryption by Default”-Strategie. Alle deine Daten werden standardmäßig verschlüsselt, bevor sie auf die Festplatte geschrieben werden (at Rest). Jegliche Kommunikation zwischen dir und den Google-Diensten sowie der gesamte Datenverkehr innerhalb des privaten, globalen Google-Netzwerks wird ebenfalls standardmäßig verschlüsselt (in Transit).
Google Cloud Logo
Zero-Trust-Architektur

Innerhalb der Google-Infrastruktur wird keinem Zugriff implizit vertraut, auch nicht dem von Google-Mitarbeitern. Nach dem Grundsatz “never trust, always verify” wird jeder einzelne Zugriff authentifiziert und autorisiert. Dies minimiert Risiken wie Datenexfiltration und Insider-Bedrohungen drastisch, da die Sicherheit nicht von einem traditionellen Netzwerkperimeter abhängt.
Google Cloud Logo
Unabhängig verifiziert (u.a. BSI C5)

Um die Wirksamkeit der Sicherheitsmaßnahmen objektiv nachzuweisen, unterzieht sich Google regelmäßig Audits. Für den deutschen Markt ist das BSI C5:2020 Testat entscheidend. Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Katalog stellt hohe Anforderungen an die Transparenz und Sicherheit. Sowohl Google Cloud als auch Google Workspace besitzen das auf den deutschen Markt zugeschnittene Testat.

Deine Datenkontrolle: Werkzeuge für echte digitale Souveränität

Google sichert die Infrastruktur. Aber wahre Souveränität entsteht erst, wenn du selbst die entscheidenden Hebel in der Hand hältst. Google stellt dir hierfür eine branchenführende Suite an Werkzeugen zur Verfügung, mit denen du die Kontrolle über deine Daten präzise steuern und technisch erzwingen kannst.

Kontrolle über den Speicherort

Eine der grundlegendsten Anforderungen ist die Kontrolle über den physischen Speicherort der Daten.

  • Workspace Data Regions: Lege für deine Organisation fest, dass primäre Daten im Ruhezustand für Kerndienste wie Gmail, Calendar oder Drive ausschließlich in der EU gespeichert und verarbeitet werden.

  • Assured Workloads (EU Data Boundary): Erstelle auf Google Cloud kontrollierte Umgebungen (sog. "Folder"), in denen die Einhaltung von EU-Datenresidenz und anderen Souveränitätskontrollen standardmäßig erzwungen wird. Das vereinfacht die Einhaltung strenger regulatorischer Vorgaben erheblich

Mehr zu Data Boundaries
Illustration zum Thema Datenhosting in Deutschland, dargestellt durch eine Deutschlandkarte mit einem Standort-Pin und einem Symbol für Cloud-Datenbanken.

Kontrolle über den Zugriff

Google implementiert ein Zero-Trust-Sicherheitsmodell, das dem Grundsatz "never trust, always verify" folgt. Um dir die Überprüfung und Kontrolle dieses Prinzips zu ermöglichen, gibt es zwei entscheidende Dienste:

  • Access Transparency: Erhalte nahezu in Echtzeit lückenlose Protokolle über jeden administrativen Zugriff von Google-Personal auf deine Kundendaten. Die Protokolle enthalten den genauen Zeitpunkt, den Grund (z. B. ein Support-Ticket) und Informationen über den zugreifenden Mitarbeiter.

  • Access Approval: Verwandle nachträgliche Transparenz in proaktive Kontrolle. Lege fest, dass jeder administrative Zugriff durch Google-Personal vorab explizit von dir genehmigt werden muss. Du bist der Gatekeeper.

Mehr zu Access Controls
Illustration zum Schutz von Nutzerdaten und Identität. Ein Nutzerprofil wird durch Symbole für Passwort, Fingerabdruck und ein Schutzschild gesichert.

Kontrolle über die Verschlüsselung

Für Unternehmen mit höchsten Souveränitäts- und Compliance-Anforderungen bietet Google ein Spektrum an Verschlüsselungsoptionen, die dir schrittweise mehr Kontrolle geben:

  • Customer-Managed Encryption Keys (CMEK): Verwalte deine eigenen Verschlüsselungsschlüssel über den Google Cloud Key Management Service (KMS). Google kann deine Daten ohne Zugriff auf den von dir verwalteten Schlüssel nicht entschlüsseln.

  • Client-Side Encryption (CSE): Dies ist die höchste Stufe der Kontrolle. Deine Daten werden direkt auf dem Endgerät verschlüsselt, bevor sie in die Google Cloud hochgeladen werden. Da die Schlüssel extern bei dir liegen, hat Google zu keinem Zeitpunkt Zugriff auf die unverschlüsselten Daten. Eine mathematisch verifizierbare Garantie gegen unbefugten Zugriff.

Mehr zu Client-Side Encryption
Illustration zur Datensicherheit und Verschlüsselung. Ein digitales Dokument wird durch ein Vorhängeschloss geschützt, während ein Schutzschild die Integrität bestätigt.

Kontrolle über den Speicherort

Eine der grundlegendsten Anforderungen ist die Kontrolle über den physischen Speicherort der Daten.

  • Workspace Data Regions: Lege für deine Organisation fest, dass primäre Daten im Ruhezustand für Kerndienste wie Gmail, Calendar oder Drive ausschließlich in der EU gespeichert und verarbeitet werden.

  • Assured Workloads (EU Data Boundary): Erstelle auf Google Cloud kontrollierte Umgebungen (sog. "Folder"), in denen die Einhaltung von EU-Datenresidenz und anderen Souveränitätskontrollen standardmäßig erzwungen wird. Das vereinfacht die Einhaltung strenger regulatorischer Vorgaben erheblich

Mehr zu Data Boundaries
Illustration zum Thema Datenhosting in Deutschland, dargestellt durch eine Deutschlandkarte mit einem Standort-Pin und einem Symbol für Cloud-Datenbanken.

Kontrolle über den Zugriff

Google implementiert ein Zero-Trust-Sicherheitsmodell, das dem Grundsatz "never trust, always verify" folgt. Um dir die Überprüfung und Kontrolle dieses Prinzips zu ermöglichen, gibt es zwei entscheidende Dienste:

  • Access Transparency: Erhalte nahezu in Echtzeit lückenlose Protokolle über jeden administrativen Zugriff von Google-Personal auf deine Kundendaten. Die Protokolle enthalten den genauen Zeitpunkt, den Grund (z. B. ein Support-Ticket) und Informationen über den zugreifenden Mitarbeiter.

  • Access Approval: Verwandle nachträgliche Transparenz in proaktive Kontrolle. Lege fest, dass jeder administrative Zugriff durch Google-Personal vorab explizit von dir genehmigt werden muss. Du bist der Gatekeeper.

Mehr zu Access Controls
Illustration zum Schutz von Nutzerdaten und Identität. Ein Nutzerprofil wird durch Symbole für Passwort, Fingerabdruck und ein Schutzschild gesichert.

Kontrolle über die Verschlüsselung

Für Unternehmen mit höchsten Souveränitäts- und Compliance-Anforderungen bietet Google ein Spektrum an Verschlüsselungsoptionen, die dir schrittweise mehr Kontrolle geben:

  • Customer-Managed Encryption Keys (CMEK): Verwalte deine eigenen Verschlüsselungsschlüssel über den Google Cloud Key Management Service (KMS). Google kann deine Daten ohne Zugriff auf den von dir verwalteten Schlüssel nicht entschlüsseln.

  • Client-Side Encryption (CSE): Dies ist die höchste Stufe der Kontrolle. Deine Daten werden direkt auf dem Endgerät verschlüsselt, bevor sie in die Google Cloud hochgeladen werden. Da die Schlüssel extern bei dir liegen, hat Google zu keinem Zeitpunkt Zugriff auf die unverschlüsselten Daten. Eine mathematisch verifizierbare Garantie gegen unbefugten Zugriff.

Mehr zu Client-Side Encryption
Illustration zur Datensicherheit und Verschlüsselung. Ein digitales Dokument wird durch ein Vorhängeschloss geschützt, während ein Schutzschild die Integrität bestätigt.

Der gemeinsame Weg zu deiner souveränen Cloud

Die besten Werkzeuge sind nur so gut wie die Experten, die sie einsetzen. Nach unserem bewährten 4-Phasen-Modell machen wir aus den Möglichkeiten von Google Cloud deine maßgeschneiderte, sichere und rechtskonforme Realität. Wir übersetzen Technologie in Vertrauen.

Illustration der ersten Phase unseres Servicemodells: dem Verstehen. Ein Gehirn, das wissbegierig in ein Buch blickt, symbolisiert den Prozess der Analyse und Wissensaneignung.
1. Verstehen

Gemeinsam analysieren wir deine Compliance-Anforderungen (DSGVO, BSI etc.) und identifizieren deine schützenswertesten Daten und Prozesse.

Illustration der zweiten Phase unseres Servicemodells: dem Definieren. Eine Checkliste mit abgehakten Punkten, ein Kalender und ein Zahnrad symbolisieren den Prozess der Planung und Festlegung von Zielen.
2. Definieren

Wir entwerfen deine Cloud-Architektur und definieren die optimale Kombination aus Data Regions, Access Controls und Verschlüsselung.

Illustration der dritten Phase unseres Servicemodells: dem Umsetzen. Ineinandergreifende Puzzleteile und sich drehende Zahnräder symbolisieren die praktische Ausführung und Integration der definierten Maßnahmen.
3. Umsetzen

Gemeinsam implementieren wir die definierten Kontrollen, konfigurieren deine Umgebung nach Security Best Practices und schulen dein Team.

Illustration der vierten Phase unseres Servicemodells: dem Verbessern. Bausteine, die zu einer bestehenden Struktur hinzugefügt werden, symbolisieren den Prozess der kontinuierlichen Optimierung und Weiterentwicklung.
4. Verbessern

Nach der Umsetzung unterstützen wir dich kontinuierlich beim Monitoring, bei Audits und der Anpassung an neue regulatorische Anforderungen.

Frequently Asked Questions

Was ist die konkrete Antwort von Google auf das "Schrems II"-Urteil?

Google begegnet den Anforderungen mit einer robusten Zwei-Säulen-Strategie. Die primäre Rechtsgrundlage ist die Zertifizierung unter dem EU-U.S. Data Privacy Framework (DPF) , einem Angemessenheitsbeschluss der EU-Kommission. Um zusätzlich eine widerstandsfähige vertragliche Sicherheit zu schaffen, sind die von der EU genehmigten Standardvertragsklauseln (SCCs) weiterhin fest in den Verträgen integriert.

Kann ich wirklich verhindern, dass US-Behörden auf meine Daten zugreifen?

Ja, durch eine Kombination aus rechtlichen Richtlinien und technischen Kontrollen. Googles Richtlinie ist es, Behörden an dich als Dateneigentümer zu verweisen. Technisch ist der stärkste Schutz die Client-Side Encryption (CSE). Da deine Daten bereits auf deinem Endgerät verschlüsselt werden und du die Schlüssel kontrollierst, kann Google selbst dann keine lesbaren Daten herausgeben, wenn sie rechtlich dazu gezwungen wären.

Ist das BSI C5-Testat für mein Unternehmen relevant?

Ja, sehr. Das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist in Deutschland der De-facto-Standard für Vertrauen in Cloud-Dienste. Es geht über internationale Normen wie ISO 27001 hinaus und fordert explizit Transparenz bezüglich Datenspeicherort, Gerichtsstand und Offenlegungspflichten. Dass Google Cloud und Workspace dieses Testat besitzen, belegt die Erfüllung dieser spezifisch deutschen Anforderungen.

Was bedeutet das "Modell der geteilten Verantwortung" in der Praxis für mich

Ganz einfach:

  • Google ist für die Sicherheit der Cloud verantwortlich – also für die Rechenzentren, die Hardware und das globale Netzwerk.

  • Dein Unternehmen ist für die Sicherheit in der Cloud verantwortlich – also für die Konfiguration von Zugriffsrechten, den Schutz eurer Daten und die Verwaltung eurer Nutzer.

Unsere Aufgabe als Partner ist es, dir zu helfen, deine Verantwortung optimal wahrzunehmen und die sichersten Konfigurationen für dich umzusetzen.

Wie verhalten sich die Kosten für die Sicherheits- und Souveränitätsfunktionen?

Hier müssen wir zwischen Google Workspace und Google Cloud unterscheiden:

  • Bei Google Workspace sind erweiterte Souveränitäts-Features wie Client-Side Encryption (CSE), erweiterte Data Regions für die Verarbeitung oder erweiterte DLP-Regeln in den höheren Plänen (z.B. Enterprise Editionen) enthalten. Viele grundlegende Sicherheitsfunktionen sind aber bereits in den Business Plänen verfügbar.

  • Bei Google Cloud (GCP) gibt es keine festen Pläne. Du zahlst für die Dienste, die du nutzt (Pay-as-you-go). Grundlegende Sicherheitsfunktionen sind Teil der Plattform. Spezifische Souveränitäts-Dienste wie Assured Workloads oder der Cloud External Key Manager haben ihre eigene, nutzungsabhängige Preisgestaltung.

Unser Ansatz: Wir beraten dich, welche Lizenz- und Service-Kombination für deine Anforderungen das optimale Verhältnis aus Kosten, Sicherheit und Kontrolle bietet.

Rechtlicher Hinweis

Die von Seibert Group GmbH aufgeführten rechtlichen Inhalte, z.B. Urteile, Tipps und Beiträge, sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen dienen lediglich zu Informationszwecken und ersetzen keine individuelle juristische Beratung. Sie sind unverbindlich und nicht Gegenstand einer Rechtsberatung. Seibert Group GmbH übernimmt keine Gewähr dafür, dass im Streitfall den hier dargelegten Urteilen und Ansichten gefolgt wird. Eine Haftung für die von Seibert Group GmbH veröffentlichten Inhalte wird daher nicht übernommen.

Die veröffentlichten Inhalte enthalten Verweise und Links zu anderen Websites. Hierfür können wir keine Gewähr für die fortwährende Aktualität, Richtigkeit und Vollständigkeit der verlinkten Inhalte übernehmen, da diese Inhalte außerhalb unseres Verantwortungsbereichs liegen und wir auf die zukünftige Gestaltung keinen Einfluss haben. Sollten aus deiner Sicht Inhalte gegen geltendes Recht verstoßen oder unangemessen sein, teile uns dies bitte mit.

Sprich mit unseren Experten über Cloud-Sicherheit & Compliance

Wir nehmen deine Bedenken ernst. Fülle einfach das Formular aus oder buche direkt einen Termin, um deine spezifischen Fragen unverbindlich zu klären.

Das Seibert Google Team

Seibert Group GmbH

Luisenstraße 37-39, 65185 Wiesbaden

+49-611-205 70 180

google@seibert.group

Termin buchen