Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Google Workspace ist Googles Cloud-Produktivitätssuite mit Gmail, Drive, Docs und Meet. Als Verantwortlicher müssen Sie einen Auftragsverarbeitungsvertrag abschließen und US-Datentransfers durch SCCs absichern.
Google Workspace (ehemals G Suite) ist Googles Cloud-basierte Produktivitätssuite für Unternehmen, die Gmail, Google Drive, Google Docs, Sheets, Slides, Meet und weitere Dienste umfasst. Organisationen nutzen Google Workspace als primäre Kommunikations- und Zusammenarbeitsplattform für ihre Mitarbeiter. Als US-amerikanischer Cloud-Dienst unterliegt Google Workspace besonderen DSGVO-Anforderungen hinsichtlich Auftragsverarbeitung und Drittlandübermittlungen.
Google Workspace verarbeitet E-Mail-Inhalte, Kalendereinträge, Dokumente, Chat-Nachrichten, Videoanrufdaten, IP-Adressen, Geräteinformationen und Nutzungsmetadaten der Mitarbeiter. Je nach Konfiguration können auch externe Kontaktdaten wie Kundennamen und E-Mail-Adressen in Google-Systemen gespeichert werden. Google setzt verschiedene Authentifizierungs-Cookies (SID, HSID, SSID, NID) und funktionale Cookies.
Als Verantwortlicher müssen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Google abschließen, bevor Sie Google Workspace für die Verarbeitung personenbezogener Daten einsetzen. Google stellt den Cloud Data Processing Addendum (CDPA) bereit, der in der Google Admin-Konsole unter Konto und rechtliche Informationen akzeptiert werden muss. Der AVV muss die Zwecke, Kategorien der Betroffenen, Art der Daten und Sicherheitsmaßnahmen beschreiben.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google betreibt eine globale Rechenzentrumsinfrastruktur und kann Daten in US-Einrichtungen verarbeiten. Google hat SCCs in den AVV aufgenommen. Für Workspace-Business-Plus- und Enterprise-Kunden bietet Google eine Datenspeicherungsoptionn an, mit der primäre Daten in der EU verbleiben. Google ist zudem nach dem EU-US Data Privacy Framework zertifiziert. Trotzdem können Supportzugriffe aus den USA erfolgen, was weiterhin im Transferverzeichnis zu dokumentieren ist.
Akzeptieren Sie den Google CDPA in der Admin-Konsole. Konfigurieren Sie die Datenspeicherungsregion auf EU, sofern Ihr Abonnement dies unterstützt. Erstellen Sie ein Verarbeitungsverzeichnis mit Google Workspace als Auftragsverarbeiter. Führen Sie eine Datenschutz-Folgenabschätzung durch. Informieren Sie Mitarbeiter über die Verarbeitung ihrer Daten gemäß Art. 13 und 14 DSGVO. Konfigurieren Sie Aufbewahrungsfristen und Löschungsautomatismen für Mitarbeiterkonten. Prüfen Sie regelmäßig Googles Transparenzberichte und Sicherheitsupdates.
Websites using Google Workspace must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für die meisten Google Workspace-Deployments dringend empfohlen, da große Mengen personenbezogener Daten in einem US-Cloud-Dienst verarbeitet werden.
Sample consent text
Die DSGVO-Compliance für Google Workspace basiert auf einem Auftragsverarbeitungsvertrag mit Google. Für externe Kontakte gelten separate Informationspflichten gemäß Art. 13 DSGVO.
Third-party domains contacted
accounts.google.comdocs.google.comdrive.google.comcalendar.google.commeet.google.comapis.google.comworkspace.google.commail.google.comchat.google.comadmin.google.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| NID | preferences | 6 months | Stores user preferences such as language and search result display settings across Google services. |
| _Secure-ENID | preferences | 13 months | Remembers user preferences and settings. Serves a similar function to NID with enhanced security attributes. |
| SIDCC | security | Session / 1 year | Security cookie used to verify login integrity and protect user authentication data from unauthorised access. |
| __Secure-1PSIDCC | security | 1 year | First party security cookie verifying the authenticity of the user session and protecting against CSRF attacks. |
| SAPISID | authentication | 2 years | Enables Google to identify the signed in user and their associated Google account across Google services and embedded widgets. |
| 1P_JAR | analytics | 1 month | Collects website statistics and tracks conversion rates for Google services and advertising measurement. |
| CONSENT | functionality | 20 years | Stores the user's cookie consent state for Google services, recording whether the user has accepted or declined cookie usage. |
| HSID | security | 2 years | Security cookie used in combination with SID to verify Google account identity and prevent fraudulent use of login credentials. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Google Workspace setzt mehrere Cookies darunter NID und _Secure-ENID für die Speicherung von Nutzerpräferenzen (6 bis 13 Monate), SIDCC und __Secure-3PSIDCC für Sicherheit und Authentifizierung sowie HSID, SSID, APISID und SAPISID als Authentifizierungs-Tokens. Diese Cookies dienen dem sicheren Login und der Sitzungsverwaltung.
Das hängt vom Kontext ab. Für den internen organisatorischen Einsatz durch Mitarbeiter ist eine Einwilligung in der Regel nicht erforderlich, da Vertragserfüllung oder berechtigtes Interesse als Rechtsgrundlage dient. Für das eingebettete Google Workspace-Widget auf öffentlichen Websites können Cookies eine Einwilligung erfordern.
Die Rechtsgrundlage variiert je nach Anwendungsfall. Für Kernfunktionen bei Mitarbeitern gilt Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Für optionale Dienste oder Marketing-Funktionen kann eine Einwilligung nach Art. 6 Abs. 1 lit. a erforderlich sein.
Ja. Google betreibt eine globale Rechenzentrumsinfrastruktur und kann Daten in US-Einrichtungen verarbeiten. Google hat SCCs in den Auftragsverarbeitungsvertrag (CDPA) eingebettet und ist nach dem EU-US Data Privacy Framework zertifiziert. Für Enterprise-Kunden ist eine EU-Datenspeicherungsoption verfügbar.
Eine Datenschutz-Folgenabschätzung ist für die meisten Google Workspace-Deployments dringend empfohlen und nach Art. 35 DSGVO in der Regel vorgeschrieben. Verarbeitungen von Mitarbeiterdaten, Kundenkommunikation und vertraulichen Dokumenten in einem US-Cloud-Dienst erfüllen die DSFA-Auslösekriterien.
Akzeptieren Sie den Google Cloud Data Processing Addendum (CDPA) in der Admin-Konsole. Konfigurieren Sie die EU-Datenspeicherungsregion, führen Sie eine DSFA durch und erstellen Sie ein Verarbeitungsverzeichnis. Informieren Sie Mitarbeiter und externe Kontakte gemäß Art. 13 und 14 DSGVO über die Verarbeitung.
Für Organisationen, die internationale Datentransfers minimieren möchten, sind Nextcloud (selbst hostbar, Open Source), Collabora Online (EU-basiert), ProtonMail Business (Schweiz) und Open-Xchange (deutsches Unternehmen) mögliche Alternativen mit EU-Datenspeicherung.
Ihre Datenschutzerklärung sollte alle Cookies von eingebetteten Google Workspace-Widgets mit Namen, Zwecken und Laufzeiten auflisten. Nennen Sie Google Ireland Limited als EU-Auftragsverarbeiter, Google LLC (USA) als Unterauftragsverarbeiter und verweisen Sie auf den CDPA und die SCCs als geeignete Garantien.