AVV Auftragsverarbeitung DSGVO
AVV Auftragsverarbeitung – Muster, Inhalt und typische Fehler
AVV nach DSGVO Art. 28 richtig erstellen: Pflichtinhalte, häufige Fehler und Praxistipps für Hamburger KMU – mit Muster-Übersicht.
Weiterlesen Google Workspace DSGVO Cloud AVV KMU
Google Workspace DSGVO – Was KMU bei der Nutzung beachten müssen
Von Jens Hagel Co-Founder
Inhalt in Kürze
- Google Workspace lässt sich DSGVO-konform betreiben – aber nicht mit den Standardeinstellungen. Sie müssen den AVV aktivieren, Datenregionen festlegen und Dienste gezielt konfigurieren.
- Seit Juli 2023 gilt der EU-US Data Privacy Framework. Google ist zertifiziert, der Angemessenheitsbeschluss wurde im September 2025 vom EuG bestätigt. Das erleichtert den Drittstaaten-Transfer erheblich.
- Ohne aktiven AVV (Cloud Data Processing Addendum) verstößt jede Nutzung gegen Art. 28 DSGVO – egal welche Edition Sie nutzen.
- Die Admin Console ist der Schlüssel: Dort steuern Sie Speicherorte, Freigaben, Drittanbieter-Apps und Protokollierung.
Gmail, Google Drive, Google Meet, Google Kalender – viele kleine und mittlere Unternehmen arbeiten täglich mit Google Workspace. Die Produktivität stimmt. Aber stimmt auch der Datenschutz?
Die kurze Antwort: Google Workspace kann DSGVO-konform betrieben werden. Die längere Antwort: Es erfordert konkrete Einstellungen, einen aktiven Auftragsverarbeitungsvertrag und ein Grundverständnis dafür, wo Ihre Daten liegen und wer darauf zugreift.
Dieser Artikel zeigt Ihnen Schritt für Schritt, was Sie als KMU beachten müssen – von der Admin Console bis zum Drittstaaten-Transfer.
3+ Mio.
Unternehmen nutzen Google Workspace weltweit
Art. 28
DSGVO-Grundlage für den AVV mit Google
2023
EU-US Data Privacy Framework in Kraft
Der AVV mit Google: Cloud Data Processing Addendum (CDPA)
Die Grundlage jeder DSGVO-konformen Nutzung von Google Workspace ist ein gültiger Auftragsverarbeitungsvertrag (AVV). Google nennt diesen Vertrag Cloud Data Processing Addendum (CDPA). Er erfüllt die Anforderungen aus Art. 28 DSGVO und enthält die EU-Standardvertragsklauseln (SCCs).
So aktivieren Sie den AVV:
- Melden Sie sich als Administrator in der Google Admin Console an.
- Gehen Sie zu Konto → Kontovereinbarungen.
- Prüfen Sie, ob das Cloud Data Processing Addendum bereits akzeptiert ist.
- Falls nicht: Lesen und akzeptieren Sie die Vereinbarung. Tragen Sie Ihre Organisation als Verantwortlichen ein.
Ohne diesen Schritt verarbeitet Google Daten nicht als Auftragsverarbeiter im Sinne der DSGVO. Das bedeutet: Sie haben keinen AVV – und verstoßen gegen Art. 28 DSGVO. Details zu AVV-Pflichtinhalten finden Sie in unserem AVV-Leitfaden.
Google Workspace Editionen im Datenschutz-Vergleich
Nicht jede Edition bietet dieselben Datenschutz-Funktionen. Die folgende Tabelle zeigt die relevanten Unterschiede:
| Funktion | Business Starter | Business Standard | Business Plus | Enterprise |
|---|---|---|---|---|
| AVV (CDPA) verfügbar | Ja | Ja | Ja | Ja |
| Datenregionen wählbar | Nein | Ja | Ja | Ja |
| DLP (Data Loss Prevention) | Nein | Nein | Ja | Ja |
| Vault (Aufbewahrung & E-Discovery) | Nein | Nein | Ja | Ja |
| Erweiterte Sicherheitsberichte | Nein | Nein | Ja | Ja |
| Client-seitige Verschlüsselung | Nein | Nein | Nein | Ja |
| Zugriffssteuerung nach Kontext | Nein | Nein | Nein | Ja |
Für KMU mit erhöhtem Schutzbedarf – etwa bei Gesundheitsdaten oder Finanzdaten – ist mindestens Business Plus sinnvoll. Die Datenregionen-Funktion ab Business Standard stellt sicher, dass primäre Daten auf Servern innerhalb der EU gespeichert werden.
Drittstaaten-Transfer: EU-US Data Privacy Framework
Drittstaaten-Transfer beachten
Google verarbeitet Daten auch in den USA. Ohne gültige Rechtsgrundlage für den Transfer verstößt die Nutzung gegen Art. 44 ff. DSGVO. Prüfen Sie regelmäßig, ob der Angemessenheitsbeschluss noch Bestand hat.
Seit Juli 2023 gilt der EU-US Data Privacy Framework. Google LLC und seine US-Tochtergesellschaften sind unter diesem Framework zertifiziert. Das bedeutet: Die Übermittlung personenbezogener Daten an Google in den USA hat eine anerkannte Rechtsgrundlage.
Im September 2025 hat das Gericht der Europäischen Union (EuG) eine Klage gegen den Angemessenheitsbeschluss abgewiesen und seine Gültigkeit bestätigt. Damit steht der Rahmen aktuell auf solidem Boden.
Trotzdem bleibt ein Restrisiko. Der Beschluss kann politisch oder gerichtlich kippen – wie es bei den Vorgängern Safe Harbor (2015) und Privacy Shield (2020) geschehen ist. Google sichert sich zusätzlich über die EU-Standardvertragsklauseln (SCCs) ab, die im CDPA enthalten sind.
Empfehlung: Setzen Sie nicht allein auf das Data Privacy Framework. Aktivieren Sie in der Admin Console die Datenregionen-Funktion (ab Business Standard), um primäre Daten in der EU zu halten. So reduzieren Sie die Abhängigkeit vom Transfermechanismus.
Checkliste: DSGVO-Einstellungen in der Google Admin Console
Diese Einstellungen sollten Sie als Administrator prüfen und konfigurieren:
- AVV (CDPA) akzeptiert – unter Konto → Kontovereinbarungen
- Datenregion auf Europa gesetzt – unter Konto → Kontoeinstellungen → Datenregionen (ab Business Standard)
- 2-Faktor-Authentifizierung (2FA) erzwungen – unter Sicherheit → Authentifizierung → Bestätigung in zwei Schritten
- Drittanbieter-Apps eingeschränkt – unter Sicherheit → API-Steuerung → App-Zugriff. Nur geprüfte Apps zulassen
- Externe Freigaben begrenzt – unter Apps → Google Workspace → Drive → Freigabeeinstellungen. Externe Freigabe auf Whitelist-Domains beschränken
- Gemini-/KI-Funktionen geprüft – unter Apps → Zusätzliche Google-Dienste. KI-Features bewusst aktivieren oder deaktivieren
- Audit-Protokollierung aktiv – unter Berichte → Audit-Protokolle. Anmelde- und Admin-Aktivitäten überwachen
- Löschrichtlinien definiert – Aufbewahrungsfristen für E-Mails und Dateien festlegen (Vault ab Business Plus)
- Mobile Geräte verwaltet – unter Geräte → Mobilgeräte-Verwaltung. Remote-Löschung ermöglichen
- Passwortrichtlinien konfiguriert – Mindestlänge, Komplexität und Ablauf unter Sicherheit → Passwort festlegen
Nicht sicher, ob Ihre Einstellungen passen? Unser kostenloser Datenschutz-Check zeigt Ihnen in wenigen Minuten, wo Handlungsbedarf besteht.
Gemini und KI-Funktionen: Was gilt datenschutzrechtlich?
Seit 2024 integriert Google KI-Funktionen (Gemini) in alle Workspace-Apps. Für die DSGVO-Bewertung gilt: Gemini in Workspace unterliegt denselben Datenschutzgrundsätzen wie die übrigen Workspace-Dienste. Das bedeutet:
- Daten aus Workspace werden nicht zum Trainieren der KI-Modelle verwendet.
- Der AVV (CDPA) gilt auch für die Gemini-Verarbeitung.
- Administratoren können Gemini-Funktionen über die Admin Console deaktivieren.
Prüfen Sie trotzdem, ob Ihre Mitarbeitenden Gemini-Funktionen nutzen und ob das mit Ihren internen Datenschutzrichtlinien vereinbar ist. Dokumentieren Sie die Entscheidung in Ihrem Verarbeitungsverzeichnis.
Aus der Praxis: Google Workspace richtig konfigurieren
Ein Hamburger Dienstleistungsunternehmen mit 25 Mitarbeitenden nutzte Google Workspace Business Standard seit zwei Jahren – ohne den AVV aktiviert zu haben. Die Datenregionen waren nicht eingestellt, externe Freigaben für Google Drive waren uneingeschränkt möglich, und fünf ehemalige Mitarbeitende hatten noch aktive Konten.
In einem halben Tag haben wir den AVV aktiviert, die Admin Console konfiguriert, verwaiste Konten deaktiviert und die Drive-Freigaben auf interne Domains beschränkt. Das Unternehmen arbeitet weiter mit Google Workspace – jetzt DSGVO-konform.
Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.
Nils OehmichenDatenschutzberater bei frag.hugo
Unterauftragsverarbeiter: Wer hat Zugriff auf Ihre Daten?
Google setzt Unterauftragsverarbeiter ein – etwa für Rechenzentren und Support. Die vollständige Liste finden Sie unter Google Cloud Subprocessors. Sie werden per E-Mail über Änderungen informiert und können innerhalb von 30 Tagen widersprechen.
Prüfen Sie die Liste regelmäßig. Neue Unterauftragsverarbeiter in Drittstaaten ohne Angemessenheitsbeschluss sind ein Risiko, das Sie dokumentieren und bewerten müssen.
Das Wichtigste auf einen Blick
- Google Workspace ist DSGVO-konform nutzbar – aber nur mit aktiver Konfiguration.
- Der AVV (CDPA) muss in der Admin Console akzeptiert werden. Ohne AVV liegt ein Verstoß gegen Art. 28 DSGVO vor.
- Ab Business Standard können Sie Datenregionen auf Europa beschränken.
- Der EU-US Data Privacy Framework deckt den Drittstaaten-Transfer ab, doch ein Restrisiko bleibt.
- Gemini-Funktionen unterliegen dem AVV, sollten aber bewusst aktiviert oder deaktiviert werden.
Fazit: Google Workspace und DSGVO passen zusammen – mit der richtigen Konfiguration
Google Workspace ist kein Datenschutzproblem. Aber es wird eins, wenn Sie die Standardeinstellungen nicht anpassen. AVV aktivieren, Datenregionen setzen, Freigaben einschränken, 2FA erzwingen – diese Schritte kosten wenig Zeit und schützen Sie vor DSGVO-Bußgeldern.
Wenn Sie unsicher sind, ob Ihre Google-Workspace-Konfiguration den Anforderungen entspricht, lassen Sie sie prüfen. Ein externer Datenschutzbeauftragter erkennt offene Punkte in der Regel innerhalb eines halben Tages.
Google Workspace DSGVO-Check
Wir prüfen Ihre Google-Workspace-Einstellungen und sorgen für DSGVO-Konformität.
Jetzt Check anfragen →Google Workspace DSGVO-konform nutzen — in Hamburg
Hamburger Startups und Agenturen setzen besonders häufig auf Google Workspace. Die Digitalszene rund um den Digital Hub Hamburg wächst — und damit die Zahl der Unternehmen, die Gmail, Drive und Meet ohne korrekte DSGVO-Konfiguration nutzen. In der Praxis sehen wir: Der AVV fehlt, Datenregionen sind nicht gesetzt, ehemalige Mitarbeiter haben noch Zugriff. Unsere Datenschutzberatung in Hamburg bringt Ihre Google-Workspace-Einstellungen in einem halben Tag auf DSGVO-Niveau.
Häufige Fragen zu Google Workspace und DSGVO
Ist Google Workspace automatisch DSGVO-konform?
Nein. Google stellt die Werkzeuge bereit, aber Sie müssen sie konfigurieren. Ohne aktiven AVV, korrekte Datenregionen und angepasste Freigabeeinstellungen ist die Nutzung nicht DSGVO-konform.
Brauche ich für Google Workspace einen eigenen AVV?
Ja. Google bietet das Cloud Data Processing Addendum (CDPA) als integrierten AVV an. Sie müssen ihn in der Admin Console aktiv akzeptieren. Ohne diesen Schritt fehlt die vertragliche Grundlage nach Art. 28 DSGVO.
Was passiert, wenn der EU-US Data Privacy Framework kippt?
Google hat als Absicherung die EU-Standardvertragsklauseln (SCCs) im CDPA verankert. Ein Wegfall des Frameworks wäre ein Rückschritt, aber kein sofortiger Rechtsverstoß – sofern die SCCs greifen und Sie ergänzende Maßnahmen dokumentiert haben.
Inhaltsverzeichnis
Weiterlesen
Ähnliche Artikel
Microsoft Teams DSGVO Microsoft 365
Microsoft Teams DSGVO-konform nutzen – Einstellungen und AVV
Microsoft Teams DSGVO-konform nutzen: Die wichtigsten Einstellungen, AVV-Pflicht und Datenschutz-Checkliste für Hamburger Unternehmen.
Weiterlesen
Datenschutz Handwerk KMU
Datenschutz Handwerksbetrieb – Welche Pflichten gelten für kleine Firmen?
Datenschutz im Handwerk: Welche DSGVO-Pflichten für Hamburger Handwerksbetriebe gelten – und was Sie sich sparen können. Mit Checkliste.
Weiterlesen Über den Autor
Jens Hagel
Co-Founder
Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.
Nächster Schritt
Haben Sie Fragen?
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
