Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Google Workspace ist Googles Cloud-Produktivitätssuite mit Gmail, Drive, Docs und Meet. Als Verantwortlicher müssen Sie einen Auftragsverarbeitungsvertrag abschließen und US-Datentransfers durch SCCs absichern.
Google Workspace ist die Cloud Produktivitätssuite von Google mit Gmail, Drive, Docs, Sheets, Slides, Calendar, Meet, Chat, Forms, Sites und Vault. Für EU Kunden ist Vertragspartner Google Ireland Limited, das sowohl als Verantwortlicher (für die administrative Kundenbeziehung) als auch als Auftragsverarbeiter (für die im Tenant gespeicherten Kundendaten) auftritt. Google LLC in den USA ist der wichtigste Unterauftragsverarbeiter.
Innerhalb der Suite werden für angemeldete Nutzer Google Sitzungs und Sicherheits Cookies auf google.com und der Workspace Domain gesetzt (SID, HSID, SSID, APISID, SAPISID, OSID, _GRECAPTCHA). Wenn der Publisher Google Inhalte auf einer öffentlichen Website einbettet (Forms, Sites, Maps Embed, YouTube, veröffentlichte Slides), werden dieselben Cookies bereits vor jeder Einwilligung im Browser des Besuchers gesetzt. Damit greift die Einwilligungspflicht aus §25 TTDSG (Umsetzung von ePrivacy Art. 5(3)) und die EDSB Entscheidung gegen das Europäische Parlament (10. Januar 2022) bestätigt, dass öffentliche Einbettungen von Google Inhalten erfasst sind.
Für die interne Nutzung durch Beschäftigte ist die Rechtsgrundlage der Arbeits oder Dienstvertrag bzw. das berechtigte Interesse des Verantwortlichen am IT Betrieb. Für Interaktionen mit Dritten (Formulare, Kalendereinladungen, Meet Sitzungen mit Gästen) stützt sich der Publisher je nach Kontext auf Einwilligung, vorvertragliche Notwendigkeit oder berechtigtes Interesse. Der Google Workspace AVV muss vom Kunden unterzeichnet werden; er enthält die EU Standardvertragsklauseln (Modul 3) und die nach Schrems II eingeführten Hinweise zu Zusatzmaßnahmen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google LLC ist seit dem 8. Juli 2023 unter dem EU US Data Privacy Framework zertifiziert, womit eine Angemessenheitsgrundlage für die Übermittlung in die USA besteht. Kunden können die EU als primäre Region für ruhende Daten wählen, transiente Verarbeitungen (Anti Spam, Anti Malware, Telemetrie) und Sicherungen können jedoch weiterhin durch die USA und andere Regionen geleitet werden. Der Publisher muss eine Datenübermittlungsfolgenabschätzung durchführen, Zusatzmaßnahmen dokumentieren (clientseitige Verschlüsselung Google Workspace CSE, Access Transparency Logs, Access Approvals) und diese jährlich überprüfen. Die bayerische Datenschutzbehörde verhängte 2024 ein Bußgeld gegen eine bayerische Gemeinde, weil die Zusatzmaßnahmen trotz DPF nicht bewertet worden waren.
Unterzeichnen Sie den Google Workspace AVV und akzeptieren Sie die SCC Modul 3. Aktivieren Sie die EU Datenregion und Client Side Encryption (CSE) für besonders sensible Inhalte. Konfigurieren Sie Access Transparency und Access Approvals, um Zugriffe des Google Supports nachvollziehbar zu machen. Deaktivieren Sie Workspace Labs und Zusatzdienste (Bard, KI Funktionen), die nicht vom selben AVV erfasst sind. Führen Sie Google Workspace und alle Unterauftragsverarbeiter in Ihrem Verarbeitungsverzeichnis (Art. 30 DSGVO) und in der Datenschutzerklärung auf. Führen Sie eine DSFA durch, wenn besondere Kategorien personenbezogener Daten (Gesundheit, HR, Recht) verarbeitet werden.
Souveräne oder EU basierte Alternativen sind Microsoft 365 mit EU Data Boundary, BlueMind, Tutanota, Proton Business und die französische Onlyoffice DocSpace. Für den öffentlichen Sektor in Frankreich bietet die Partnerschaft S3NS (Thales und Google) Workspace unter einem von einem französischen Akteur kontrollierten Vertrauensanker.
Websites using Google Workspace must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen für Google Workspace Bereitstellungen mit besonderen Datenkategorien (HR, Gesundheit), hohen Volumina oder bei Nutzung von KI Funktionen (Gemini). Dokumentieren Sie Datenflüsse, Speicherdauer, Subunternehmer und Schrems II Schutzmaßnahmen.
Sample consent text
Unsere Organisation nutzt Google Workspace (Gmail, Drive, Docs, Calendar, Meet), betrieben von Google Ireland Limited als Verantwortlicher und Auftragsverarbeiter für den EWR. Wir haben den Google Workspace Auftragsverarbeitungsvertrag (DPA) unterzeichnet und die EU Region für die ruhende Datenhaltung gewählt. Bestimmte Verarbeitungsschritte und Sicherungen können in den USA oder anderen Google Regionen erfolgen, abgesichert durch das EU US Data Privacy Framework und die EU Standardvertragsklauseln. Wenn Sie uns über ein geteiltes Formular, einen Kalender oder eine Videokonferenz kontaktieren, werden Ihre Daten unter diesen Garantien verarbeitet. Sie können Ihre Rechte auf Auskunft, Berichtigung und Löschung jederzeit ausüben.
Third-party domains contacted
accounts.google.comgoogle.comworkspace.google.comdocs.google.comgoogleusercontent.comdrive.google.comgstatic.comcalendar.google.comaccounts.google.commeet.google.comapis.google.comworkspace.google.commail.google.comchat.google.comadmin.google.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| NID | preferences | 6 months | Stores user preferences such as language and search result display settings across Google services. |
| NID | Third party (.google.com) | 6 months | Stores Google account preferences and security related signals; set whenever an embedded Google Workspace component loads. |
| _Secure-ENID | preferences | 13 months | Remembers user preferences and settings. Serves a similar function to NID with enhanced security attributes. |
| CONSENT | Third party (.google.com) | 13 years (rotation) | Records the user's consent state for Google services across products. |
| SIDCC | security | Session / 1 year | Security cookie used to verify login integrity and protect user authentication data from unauthorised access. |
| SOCS | Third party (.google.com) | 13 months | Stores the user's acknowledgement of Google consent state changes. |
| __Secure-1PSIDCC | security | 1 year | First party security cookie verifying the authenticity of the user session and protecting against CSRF attacks. |
| AEC | Third party (.google.com) | 6 months | Ensures requests within a browser session are made by the user, used as anti abuse signal. |
| ANID | Third party (.google.com) | 13 months | Used by Google to deliver and personalise services for signed in users. |
| SAPISID | authentication | 2 years | Enables Google to identify the signed in user and their associated Google account across Google services and embedded widgets. |
| 1P_JAR | analytics | 1 month | Collects website statistics and tracks conversion rates for Google services and advertising measurement. |
| CONSENT | functionality | 20 years | Stores the user's cookie consent state for Google services, recording whether the user has accepted or declined cookie usage. |
| HSID | security | 2 years | Security cookie used in combination with SID to verify Google account identity and prevent fraudulent use of login credentials. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Google Workspace setzt mehrere Cookies darunter NID und _Secure-ENID für die Speicherung von Nutzerpräferenzen (6 bis 13 Monate), SIDCC und __Secure-3PSIDCC für Sicherheit und Authentifizierung sowie HSID, SSID, APISID und SAPISID als Authentifizierungs-Tokens. Diese Cookies dienen dem sicheren Login und der Sitzungsverwaltung.
Das hängt vom Kontext ab. Für den internen organisatorischen Einsatz durch Mitarbeiter ist eine Einwilligung in der Regel nicht erforderlich, da Vertragserfüllung oder berechtigtes Interesse als Rechtsgrundlage dient. Für das eingebettete Google Workspace-Widget auf öffentlichen Websites können Cookies eine Einwilligung erfordern.
Die Rechtsgrundlage variiert je nach Anwendungsfall. Für Kernfunktionen bei Mitarbeitern gilt Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Für optionale Dienste oder Marketing-Funktionen kann eine Einwilligung nach Art. 6 Abs. 1 lit. a erforderlich sein.
Ja. Google betreibt eine globale Rechenzentrumsinfrastruktur und kann Daten in US-Einrichtungen verarbeiten. Google hat SCCs in den Auftragsverarbeitungsvertrag (CDPA) eingebettet und ist nach dem EU-US Data Privacy Framework zertifiziert. Für Enterprise-Kunden ist eine EU-Datenspeicherungsoption verfügbar.
Eine Datenschutz-Folgenabschätzung ist für die meisten Google Workspace-Deployments dringend empfohlen und nach Art. 35 DSGVO in der Regel vorgeschrieben. Verarbeitungen von Mitarbeiterdaten, Kundenkommunikation und vertraulichen Dokumenten in einem US-Cloud-Dienst erfüllen die DSFA-Auslösekriterien.
Akzeptieren Sie den Google Cloud Data Processing Addendum (CDPA) in der Admin-Konsole. Konfigurieren Sie die EU-Datenspeicherungsregion, führen Sie eine DSFA durch und erstellen Sie ein Verarbeitungsverzeichnis. Informieren Sie Mitarbeiter und externe Kontakte gemäß Art. 13 und 14 DSGVO über die Verarbeitung.
Für Organisationen, die internationale Datentransfers minimieren möchten, sind Nextcloud (selbst hostbar, Open Source), Collabora Online (EU-basiert), ProtonMail Business (Schweiz) und Open-Xchange (deutsches Unternehmen) mögliche Alternativen mit EU-Datenspeicherung.
Ihre Datenschutzerklärung sollte alle Cookies von eingebetteten Google Workspace-Widgets mit Namen, Zwecken und Laufzeiten auflisten. Nennen Sie Google Ireland Limited als EU-Auftragsverarbeiter, Google LLC (USA) als Unterauftragsverarbeiter und verweisen Sie auf den CDPA und die SCCs als geeignete Garantien.
Für interne Nutzung werden auf Ihrer Website keine Cookies gesetzt; die Anmeldung erfolgt über Google Konto Cookies auf accounts.google.com. Beim Einbetten von Workspace Komponenten (Forms, Docs, Calendar Termine) setzt Google NID, CONSENT, SOCS, ANID und AEC auf google.com und googleusercontent.com.
Keine Einwilligung erforderlich für die Bereitstellung an Mitarbeitende, gerechtfertigt durch den Arbeitsvertrag. Für eingebettete Workspace Komponenten auf öffentlichen Websites ist eine Einwilligung erforderlich, da Cookies gesetzt und Skripte geladen werden.
Für interne Nutzung Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Für eingebettete Komponenten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 TDDDG).
Ja. Kundendaten werden in mehreren Google Rechenzentren verarbeitet, auch in den USA. Die Übermittlungen sind durch die EU US Data Privacy Framework Angemessenheitsentscheidung (seit Juli 2023) und die EU SCCs abgedeckt. EU Data Regions erlaubt Enterprise Kunden, die meisten Daten in Europa zu speichern.
Empfohlen bei Bereitstellungen mit Mitarbeitenden Monitoring, besonderen Datenkategorien (HR, Gesundheit, Recht), hohen Volumina oder KI Funktionen wie Gemini. Dokumentieren Sie Datenflüsse, Speicherdauer, Unterauftragsverarbeiter und Schrems II Maßnahmen.
DPA akzeptieren, EU Data Regions aktivieren, Vault Speicherdauer konfigurieren, Drittanbieter Apps beschränken, Context Aware Access aktivieren, Admin Aktivitäten auditieren, Google im Verzeichnis nach Art. 30 DSGVO eintragen. Eingebettete Widgets hinter der CMP blockieren.
Microsoft 365 (USA, EU Data Boundary), Zoho Workplace (Indien/EU), Tutanota (Deutschland), Proton Mail/Drive (Schweiz), Nextcloud (Deutschland, Self Hosting), OnlyOffice (Lettland/EU), Infomaniak Workspace (Schweiz), Open Xchange (Deutschland).
Listen Sie Google als Drittanbieter für die betroffenen Cookies (NID, CONSENT, SOCS) wenn das Element eingebettet ist. Erläutern Sie den Status nach dem EU US Data Privacy Framework. Verweisen Sie auf die Datenschutzerklärung von Google.