Google Cloud und die Datenschutz-Grundverordnung

Einleitung

Datenschutz-Grundverordnung

Am 25. Mai 2018 tritt das wichtigste europäische Datenschutzgesetz der letzten 20 Jahre in Kraft. Die EU General Data Protection Regulation (Datenschutz-Grundverordnung) ersetzt die 1995 EU Data Protection Directive. Die Datenschutz-Grundverordnung stärkt die Rechte von Personen bezüglich ihrer personenbezogenen Daten und dient dazu, die Datenschutzgesetze in ganz Europa unabhängig vom Ort der Datenverarbeitung zu vereinheitlichen.

Sie können sich darauf verlassen, dass Google die Datenschutz-Grundverordnung in allen Google-Cloud-Diensten einhält. Außerdem unterstützen wir unsere Kunden aktiv bei der Einhaltung der Datenschutz-Grundverordnung, indem wir bewährte Datenschutz- und Sicherheitsmaßnahmen zur Verfügung stellen, die im Laufe der Jahre in unsere Dienste und Verträge integriert wurden.

DAS TUN WIR

G Suite und Google Cloud Platform 
Verpflichtungen aufgrund der Datenschutz-Grundverordnung

Datenverantwortliche sind unter anderem verpflichtet, ausschließlich Datenverarbeiter einzusetzen, die angemessen gewährleisten, durch geeignete technische und organisatorische Maßnahmen die Anforderungen der Datenschutz-Grundverordnung bei der Datenverarbeitung zu erfüllen. Im Folgenden finden Sie einige Aspekte, die Sie bei der Bewertung der G Suite- und Google Cloud Platform-Dienste berücksichtigen sollten.

EXPERTENWISSEN, ZUVERLÄSSIGKEIT & RESSOURCEN

Expertise im Bereich Datenschutz

Google beschäftigt zahlreiche Fachleute für Sicherheit und Datenschutz, und einige von ihnen zählen zu den weltweit führenden Experten in den Bereichen Informations-, Anwendungs- und Netzwerksicherheit. Dieses Team ist mit der Aufgabe betraut, die Abwehrsysteme des Unternehmens zu warten, Prozesse zur Sicherheitsprüfung zu entwickeln, die Sicherheitsinfrastruktur laufend zu optimieren und die Sicherheitsrichtlinien von Google umzusetzen.

Google beschäftigt auch ein umfangreiches Team von Anwälten, Compliance-Experten und Spezialisten im Bereich öffentliche Ordnung, die sich um die Einhaltung von Datenschutz- und Sicherheitsauflagen bei Google kümmern.

Im Dialog mit Kunden, Interessenvertretern der Branche und Aufsichtsbehörden optimieren diese Teams unsere G Suite- und Google Cloud Platform-Dienste so, dass Kunden ihre Compliance-Anforderungen leichter erfüllen können.

VERPFLICHTUNGEN IM BEREICH DATENSCHUTZ

Datenverarbeitungsvereinbarungen

In unseren Datenverarbeitungsbedingungen für die G Suite und die Google Cloud Platform sind unsere Datenschutzverpflichtungen unseren Kunden gegenüber im Einzelnen dargelegt. Wir haben diese Bedingungen im Laufe der Jahre basierend auf dem Feedback unserer Kunden und der Behörden entwickelt.

Vor Kurzem haben wir diese Bedingungen speziell an die Datenschutz-Grundverordnung angepasst. Wir haben unseren Kunden die Bedingungen lange vor Inkrafttreten der Verordnung in aktualisierter Form zur Verfügung gestellt, damit sie bezüglich der Verwendung von Google-Cloud-Diensten ihre Compliance-Beurteilung leichter durchführen und sich besser auf die Bestimmungen der Datenschutz-Grundverordnung vorbereiten können.

Unsere Kunden können diese aktualisierten Datenverarbeitungsbedingungen ab sofort über das Zustimmungsverfahren annehmen, das hier für die G Suite-Zusatzbedingungen zur Datenverarbeitung und hier für die GCP-Bestimmungen zur Datenverarbeitung und ‑sicherheit beschrieben wird. Die aktualisierten Bedingungen gelten dann ab Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018.

Verarbeitung gemäß Anweisungen

Daten, die ein Kunde und seine Nutzer in unsere Systeme stellen, werden nur gemäß den Anweisungen des Kunden verarbeitet, wie in unseren derzeitigen und den an die Datenschutz-Grundverordnung angepassten Datenverarbeitungsvereinbarungen beschrieben.

Verpflichtung zur Vertraulichkeit auf Seite der Mitarbeiter

Alle Mitarbeiter von Google müssen eine Vertraulichkeitsvereinbarung unterschreiben und obligatorische Schulungen zu Vertraulichkeit und Datenschutz sowie unsere Verhaltenskodex-Schulung absolvieren. Der Verhaltenskodex von Google befasst sich insbesondere mit den Pflichten und dem erwarteten Verhalten von Mitarbeitern im Hinblick auf den Schutz von Daten.

Einsatz von externen Dienstleistern

Unternehmen der Google-Gruppe führen die Mehrzahl der Datenverarbeitungsaktivitäten direkt aus, die für die G Suite- und Google Cloud Platform-Dienste erforderlich sind. Wir beauftragen jedoch auch Drittanbieter, die uns bei der Erbringung dieser Dienste unterstützen. Jeder Anbieter durchläuft einen strikten Auswahlprozess, um sicherzustellen, dass er über das erforderliche technische Fachwissen verfügt und die entsprechenden Anforderungen an Sicherheit und Datenschutz erfüllt.

Wir machen Informationen über externe Dienstleister für die Datenverarbeitung der Google-Gruppe verfügbar, die G Suite- und Google Cloud Platform-Dienste unterstützen, sowie über externe Dienstleister für die Datenverarbeitung von Drittanbietern, die in diese Dienste involviert sind. Außerdem nehmen wir Verpflichtungen in Zusammenhang mit externen Dienstleistern in unsere aktuellen und aktualisierten Datenverarbeitungsvereinbarungen auf.

SICHERHEIT DER DIENSTE

Gemäß der Datenschutz-Grundverordnung müssen der Datenverantwortliche und der Datenverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Google betreibt eine weltweite Infrastruktur, die darauf ausgelegt ist, im gesamten Verlauf des Datenverarbeitungszyklus Sicherheit auf dem neuesten Stand der Technik zu bieten. Diese Infrastruktur ermöglicht eine sichere Bereitstellung von Diensten, eine sichere Speicherung von Daten mit Absicherung des Datenschutzes für Endnutzer, eine sichere Kommunikation zwischen Diensten, eine sichere und private Kommunikation mit Kunden über das Internet sowie einen sicheren Betrieb durch Administratoren. Die G Suite und die Google Cloud Platform werden innerhalb dieser Infrastruktur ausgeführt.

Wir haben die Sicherheit unserer Infrastruktur in Ebenen konzipiert, die aufeinander aufbauen: von der physischen Sicherheit der Rechenzentren über die Sicherheitsmaßnahmen für unsere Hardware und Software zu den Prozessen, die wir zur Unterstützung der Betriebssicherheit anwenden. Dieser Schutz auf mehreren Ebenen bildet ein starkes Sicherheitsfundament für all unsere Aktivitäten. Eine detaillierte Beschreibung unserer Infrastruktursicherheit finden Sie in unserem Whitepaper Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Verfügbarkeit, Integrität & Ausfallsicherheit

Die Plattform-Architektur zeichnet sich durch hohe Redundanz aus. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Dienste automatisch und unverzüglich von einer Einrichtung in eine andere verschoben, sodass die Dienste ohne Unterbrechung weiter bereitgestellt werden können. Unsere hochgradig redundante Infrastruktur erleichtert es Kunden, sich vor Datenverlusten zu schützen.

Tests

Google führt jährlich Tests zur Notfallwiederherstellung durch und bietet somit einen zentralen Treffpunkt für Infrastruktur- und Anwendungsteams zum Testen der Kommunikationspläne, der Failover-Szenarien, der Übertragung des Betriebs und anderer Notfallmaßnahmen. Alle Teams, die an der Übung zur Notfallwiederherstellung teilnehmen, entwickeln Testpläne und Störungsanalysen, in denen die Ergebnisse und Erkenntnisse aus den Tests dokumentiert werden.

Verschlüsselung

Zum Schutz von Daten während der Übertragung und während der Speicherung nutzt Google Verschlüsselung. Daten, die an die G Suite übertragen werden, sind durch HTTPS geschützt, das standardmäßig für alle Nutzer aktiviert ist. Die G  Suite und die Google Cloud Platform verschlüsseln inaktive Inhalte von Kunden mit einem oder mehreren Verschlüsselungsmechanismen ohne jegliche Kundenaktion. Eine detaillierte Beschreibung darüber, wie wir Daten verschlüsseln, finden Sie in unserem Whitepaper Verschlüsselung.

Zugriffskontrollen

Die Zugriffsrechte und -ebenen für Mitarbeiter von Google richten sich nach der Funktion des jeweiligen Nutzers. Grundsätzlich gilt das Prinzip der geringsten Berechtigung, d. h. nur absolut notwendige Personen erhalten die notwendigen Zugriffsrechte. Jegliche weitere Zugriffsanfragen folgen einem formalen Prozess, der eine Anfrage und die Genehmigung durch einen Daten- oder Systemeigentümer, einen Manager oder eine andere Führungskraft umfasst, wie in den Google-Sicherheitsrichtlinien festgelegt.

Schwachstellenverwaltung

Bei der Suche nach Schwachstellen in der Software greifen wir sowohl auf handelsübliche Tools als auch auf intern entwickelten Tools zurück. Zudem kommen intensive automatisierte und manuelle Durchdringungstests, Qualitätssicherungsprozesse sowie Softwaresicherheitsprüfungen und externe Audits zum Einsatz. Außerdem nutzen wir die Expertise der globalen Sicherheitsforscher- Community und schätzen ihre Hilfe bei der Identifizierung von Schwachstellen in der G Suite, der Google Cloud Platform und anderen Google-Produkten. Mit unserem Vulnerability Reward Program möchten wir Sicherheitsforscher dazu ermutigen, uns Probleme mit der Architektur oder der Implementierung zu melden, die zu einer Gefährdung von Kundendaten führen könnten.

Produktsicherheit: G Suite

Kunden der G Suite können Produktfunktionen und -konfigurationen dazu nutzen, personenbezogene Daten noch besser vor nicht autorisierter oder ungesetzlicher Verarbeitung zu schützen:

Weitere Informationen hierzu finden Sie unter https://gsuite.google.com/security

Produktsicherheit: GCP

Kunden der Google Cloud Plattform können Produktfunktionen und -konfigurationen dazu nutzen, personenbezogene Daten noch besser vor nicht autorisierter oder ungesetzlicher Verarbeitung zu schützen:

  • Die Bestätigung in zwei Schritten mindert das Risiko nicht autorisierter Zugriffe erheblich, indem Nutzer bei der Anmeldung zu einem zusätzlichen Identitätsnachweis aufgefordert werden. Die Erzwingung von Sicherheitsschlüsseln bietet eine weitere Sicherheitsebene für Nutzerkonten, indem ein physischer Schlüssel angefordert wird.
  • Google Cloud Identity and Access Management (Cloud IAM) ermöglicht es Ihnen, fein abgestimmte Zugriffs- und Änderungsberechtigungen für Google Cloud Platform-Ressourcen zu erstellen und verwalten.
  • Die Data Loss Prevention API erleichtert die Identifizierung und Überwachung der Verarbeitung bestimmter Kategorien personenbezogener Daten und damit die Umsetzung angemessener Kontrollmechanismen.
  • Stackdriver Logging und Stackdriver Monitoring integrieren Logging, Überwachung, Warnmeldungen und Anomalieerkennungssysteme in die Google Cloud Platform.
  • Der Cloud Identity-Aware Proxy (Cloud IAP) steuert den Zugriff auf Cloudanwendungen, die auf der Google Cloud Platform ausgeführt werden.
  • Cloud Security Scanner sucht nach häufig vorkommenden Schwachstellen in Google App Engine-Anwendungen und erkennt diese.

Weitere Informationen hierzu finden Sie unter https://cloud.google.com/security/

Rückgabe und Löschung von Daten

Administratoren können Kundendaten über die Funktionen der G Suite- oder der Google Cloud Platform-Dienste während der Laufzeit der Vereinbarung jederzeit exportieren. Wir haben bereits vor mehreren Jahren Datenexportleistungen in unsere Datenverarbeitungsbedingungen aufgenommen und werden diese auch weiterhin anbieten, nachdem die Datenschutz-Grundverordnung in Kraft getreten ist. Außerdem arbeiten wir laufend daran, den Datenexport der G Suite-Dienste und der einzelnen Google Cloud Platform-Dienste weiter zu optimieren. Informationen hierzu finden Sie in der Google Cloud Platform-Dokumentation.

Sie können Kundendaten über die Funktionen der G Suite- oder Google Cloud Platform-Dienste auch jederzeit löschen. Wenn Google eine Anweisung zum vollständigen Löschen von Ihnen erhält (z. B. wenn eine E-Mail, die Sie gelöscht haben, nicht mehr aus dem "Papierkorb" wiederhergestellt werden kann), löscht Google die entsprechenden Kundendaten innerhalb von maximal 180 Tagen, sofern keine Verpflichtung zur Aufbewahrung besteht.

Unterstützung für den Datenverantwortlichen

Rechte der Datensubjekte

Über die Verwaltungskonsolen der G Suite und der Google Cloud Platform können Datenverantwortliche auf sämtliche Daten zugreifen, die von ihnen oder ihren Nutzern in unsere Systeme gestellt werden. Außerdem können sie solche Daten löschen, korrigieren oder deren Verarbeitung einschränken. Mithilfe dieser Funktionen können sie leichter ihre Verpflichtungen im Zusammenhang mit Datensubjekten erfüllen, die ihre Rechte gemäß der Datenschutz-Grundverordnung wahrnehmen möchten.

Team für den Schutz von Daten

Unseren Kunden der G Suite und der Google Cloud Platform steht ein eigenes Team zur Verfügung, an das Anfragen zum Datenschutz gerichtet werden können.

Benachrichtigungen über Vorfälle

Wir haben uns bereits vor mehreren Jahren vertraglich dazu verpflichtet, Nutzer über Vorfälle im Zusammenhang mit ihren Daten in der G Suite und der Google Cloud Platform zu informieren. Gemäß den Bestimmungen zu Datenvorfällen in unseren aktuellen Vereinbarungen und den aktualisierten Bestimmungen, die ab Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 gelten, werden wir Sie auch weiterhin unverzüglich über Vorfälle im Zusammenhang mit Ihren Kundendaten informieren.

Internationale Datenübertragungen

Die Datenschutz-Grundverordnung bietet mehrere Mechanismen zur vereinfachten Übertragung personenbezogener Daten außerhalb der EU. Diese Mechanismen sollen ein ausreichendes Maß an Schutz gewährleisten und die Implementierung geeigneter Sicherheitsmaßnahmen bei der Übertragung personenbezogener Daten in ein Drittland sicherstellen.

Geeignete Sicherheitsmaßnahmen können durch Mustervertragsklauseln gewährleistet werden. Ein ausreichendes Maß an Schutz kann durch Entscheidungen der EU-Kommission zur Angemessenheit bestätigt werden, z. B. durch solche, die im Einklang mit dem EU-U.S. Privacy Shield Framework sind.

Wir verpflichten uns gemäß unseren derzeitigen Datenverarbeitungsvereinbarungen vertraglich dazu, einen Mechanismus aufrechtzuerhalten, der Übertragungen personenbezogener Daten außerhalb der EU vereinfacht, wie von der Datenschutzrichtlinie vorgeschrieben. Ab Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 werden wir ebenso eine entsprechende Verpflichtung einhalten.

Die Zertifizierung von Google unter dem EU-U.S. und dem Swiss-U.S. Privacy Shield Framework umfasst die G Suite und die Google Cloud Platform. Außerdem haben die europäischen Datenschutzbehörden uns die Compliance unserer Mustervertragsklauseln bestätigt und bekräftigt, dass unsere aktuellen vertraglichen Verpflichtungen für die G Suite und die Google Cloud Platform den Anforderungen gemäß der Datenschutzrichtlinie für ein rechtliches Rahmenwerk zur Übertragung personenbezogener Daten aus der EU in ein anderes Land vollständig entsprechen.

Standards & Zertifizierungen

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Um diesen Erwartungen gerecht zu werden, unterziehen sich die G Suite und die Google Cloud Platform regelmäßig Prüfungen durch verschiedene unabhängige Dritte.

  • ISO 27001 (Informationssicherheits-Management)

    ISO 27001 gehört zu den am weitesten verbreiteten und anerkannten unabhängigen Sicherheitsstandards. Google hat eine ISO 27001-Zertifizierung für das System, die Anwendungen, die Mitarbeiter, die Technologie, die Prozesse und die Rechenzentren erhalten, aus denen unsere gemeinsame Common Infrastructure besteht, sowie für G Suite- und Google Cloud Platform-Produkte.

  • ISO 27017 (Absicherung von Cloud-Diensten)

    ISO 27017 ist ein internationaler Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002, insbesondere für Cloud-Dienste. Google hat eine Zertifizierung gemäß ISO 27017 für die G Suite und die Google Cloud Platform.

  • ISO 27018 (Datenschutz für Cloud-Dienste)

    ISO 27018 ist eine internationale Anwendungsregel für den Schutz von personenbezogenen Daten (PII) in Public Clouds. Google hat eine Zertifizierung gemäß ISO 27018 für die G Suite und die Google Cloud Platform.

  • SSAE16 / ISAE 3402 (SOC 2/3)

    Der Prüfungsrahmen von American Institute of Certified Public Accountants (AICPA) SOC 2 (Service Organization Controls) und SOC 3 definiert Vertrauensgrundsätze und Kriterien für Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit. Google hat SOC 2- und SOC 3-Berichte für die Google Cloud Platform und die G Suite.

Das können Sie tun

Was sind Ihre Pflichten als Kunde?

G Suite1- und Google Cloud Platform-Kunden sind in der Regel Datenverantwortliche für personenbezogene Daten, die sie Google zur Verfügung stellen, während sie Google-Dienste nutzen. Der Datenverantwortliche bestimmt die Zwecke und Methoden der Verarbeitung personenbezogener Daten, während der Datenverarbeiter Daten im Namen des Datenverantwortlichen verarbeitet. Google ist ein Datenverarbeiter und verarbeitet personenbezogene Daten im Namen des Datenverantwortlichen, wenn dieser die G Suite oder die Google Cloud Platform verwendet.

Datenverantwortliche sind für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen verantwortlich, mit denen auf nachvollziehbare Weise sichergestellt wird, dass die Datenverarbeitung den Vorgaben der Datenschutz-Grundverordnung entspricht. Die Verpflichtungen eines Datenverantwortlichen betreffen Aspekte wie die Einhaltung von Gesetzen, Fairness und Transparenz, Zweckbindung, Datensparsamkeit und Datengenauigkeit sowie den Schutz der Rechte von Datensubjekten in Bezug auf ihre Daten.

Wenn Sie Datenverantwortlicher sind, sollten Sie regelmäßig die Website Ihrer zuständigen nationalen Datenschutzbehörde prüfen. Dort finden Sie in der Regel Informationen zu Ihren Pflichten gemäß der Datenschutz-Grundverordnung.2 Für Datenverantwortliche außerdem von Interesse sind die Veröffentlichungen von Datenschutzverbänden wie der International Association of Privacy Professionals (IAPP).

Daneben sollten Sie eine Rechtsberatung bezüglich Ihres Status und Ihrer Verpflichtungen im Rahmen der Datenschutz-Verordnung in Anspruch nehmen. Nur ein Anwalt kann Ihnen speziell auf Ihre Situation zugeschnittene rechtliche Ratschläge erteilen. Denken Sie daran, dass diese Website in keinerlei Hinsicht dafür vorgesehen ist, Ihnen rechtliche Beratung zu leisten oder diese zu ersetzen.

Wie sollten Sie anfangen?

Als aktueller oder zukünftiger Kunde von Google Cloud sollten Sie möglichst frühzeitig mit der Vorbereitung auf die Datenschutz-Grundverordnung beginnen. Hierzu einige Tipps:

  • Machen Sie sich mit den Bestimmungen der Datenschutz-Grundverordnung vertraut, insbesondere damit, wie sie sich von Ihren aktuellen Datenschutzverpflichtungen unterscheiden.
  • Ziehen Sie in Betracht, eine aktuelle Bestandsaufnahme der personenbezogenen Daten durchzuführen, die Sie verarbeiten. Zur Identifizierung und Klassifizierung der Daten können Sie unsere Tools verwenden.
  • Prüfen Sie Ihre derzeitigen Kontrollmechanismen, Richtlinien und Prozesse dahingehend, ob sie den Anforderungen der Datenschutz-Grundverordnung entsprechen. Erstellen Sie einen Plan, wie Sie mögliche Defizite korrigieren können.
  • Prüfen Sie, inwieweit Sie die vorhandenen Datenschutzfunktionen von Google Cloud im Rahmen Ihrer eigenen Infrastruktur zur Einhaltung behördlicher Auflagen nutzen können. Prüfen Sie die Materialien zu externen Audits und zur Zertifizierung der G Suite oder der Google Cloud Platform, um zu erfahren, wie sie Ihnen bei den entsprechenden Maßnahmen helfen können.
  • Behalten Sie aktuelle behördliche Vorgaben im Auge, sobald diese veröffentlicht werden, und wenden Sie sich an einen Anwalt, wenn Sie eine Rechtsberatung zu Ihrer konkreten Geschäftssituation benötigen.

1 Die G Suite umfasst G Suite for Business und G Suite for Education.

2 Bitte wenden Sie sich an einen Anwalt, um zu erfahren, welche Behörde in Ihrem Land für Datenschutzbelange zuständig ist.

Häufig gestellte Fragen

Was ist die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung ist ein neues EU-Datenschutzgesetz, das die Richtlinie 95/46/EG (Datenschutzrichtlinie) vom 24. Oktober 1995 ersetzen wird.
Wann tritt die Datenschutz-Grundverordnung in Kraft?
Die Datenschutz-Grundverordnung wird ab 25. Mai 2018 unmittelbar in allen Mitgliedsstaaten der Europäischen Union gelten.
Ist es aufgrund der Datenschutz-Grundverordnung erforderlich, dass personenbezogene Daten innerhalb der EU gespeichert werden?
Nein. Ebenso wie die Richtlinie 95/46/EG (Datenschutzrichtlinie) legt die Datenschutz-Grundverordnung bestimmte Bedingungen für die Übertragung persönlicher Daten außerhalb der EU fest. Diese Bedingungen können durch Mechanismen wie Modellvertragsklauseln erfüllt werden.
Gibt die Datenschutz-Grundverordnung den Kunden das Recht, ein Audit der Google Cloud durchzuführen?
Im Rahmen der Datenschutz-Grundverordnung müssen Datenverantwortlichen in ihren Verträgen mit Datenverarbeitern Audit-Rechte eingeräumt werden. Die aktualisierten Datenverarbeitungsvereinbarungen, die wir ab Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 zur Verfügung stellen, werden daher im Sinne unserer Kunden auch Audit-Rechte enthalten.
Welche Rolle spielen ISO 27001, ISO 27017, ISO 27018 und SOC 2/3-Berichte bei der Einhaltung der Datenschutz-Grundverordnung?
Unsere ISO-Zertifizierungen und SOC 2/3-Auditberichte unterstützen Kunden bei der Risikobewertung und helfen bei der Entscheidung, ob die vorhandenen technischen und organisatorischen Maßnahmen den Anforderungen entsprechen.
Welche weiteren Informationen stellt Google über die Datenschutz-Grundverordnung zur Verfügung?