Ist Google Meet 2026 DSGVO-konform? Was EU-Teams wissen müssen
Google Meet verarbeitet Meeting-Daten auf US-Infrastruktur, die dem CLOUD Act unterliegt. Was das für europäische Organisationen bedeutet, was Google tatsächlich zusagt — und welche Alternativen es gibt.
Die kurze Antwort: technisch ja, praktisch kompliziert. Google liefert das vertragliche Gerüst, das die DSGVO verlangt — ein Data Processing Amendment, Standardvertragsklauseln, eine Datenresidenz-Option für gespeicherte Inhalte. Aber der US CLOUD Act, die laufenden Schrems-II-Verfahren und Googles KI-Verarbeitungspipeline schaffen ein reales Compliance-Risiko, das sich von Rechtsabteilungen und Datenschutzbeauftragten nicht einfach wegunterschreiben lässt.
Dieser Artikel zeigt, wozu sich Google tatsächlich verpflichtet, wo die Lücken liegen und was europäische Organisationen daraus machen sollten.
Was Google zusagt
Google bietet Workspace-Kunden mehrere DSGVO-Mechanismen:
- Data Processing Amendment (DPA). Googles DPA regelt, wie Google personenbezogene Daten im Auftrag von Workspace-Kunden verarbeitet. Es deckt Rechtsgrundlage, Subprozessoren-Liste, Unterstützung bei Betroffenenrechten und Breach-Benachrichtigung ab.
- Standardvertragsklauseln (SCCs). Für Transfers personenbezogener EU-Daten auf Googles US-Infrastruktur stützt sich Google auf die EU-SCCs von 2021. Sie liefern einen rechtlichen Mechanismus für den Transfer — ihre Angemessenheit bleibt jedoch umstritten.
- EU-Datenresidenz für Drive. Workspace-Admins können Drive-Speicher (inklusive Meet-Aufnahmen) auf EU-Rechenzentren festlegen. Das deckt Daten at rest ab, nicht die gesamte Verarbeitung.
- Keine Werbenutzung von Workspace-Daten. Google verpflichtet sich ausdrücklich, Workspace-Kundendaten nicht für Werbung zu nutzen. Das unterscheidet sich substanziell von Googles Consumer-Produkten.
Diese Zusagen zählen. Ein Workspace-Vertrag mit vollem DPA, SCCs und EU-Datenresidenz ist deutlich besser, als Meetings über ein kostenloses Google-Konto zu führen.
Wo es nicht reicht
Das CLOUD-Act-Problem
Google hat seinen Hauptsitz in den USA. Nach dem Clarifying Lawful Overseas Use of Data Act (2018) können US-Strafverfolgungsbehörden Google per inländischem Gerichtsbeschluss zur Herausgabe von Daten zwingen, die irgendwo auf der Welt gespeichert sind — auch in EU-Rechenzentren. Google kann vertraglich nicht zusagen, solche Anordnungen zu verweigern. Der Transparenzbericht zeigt, dass Google regelmäßig Daten auf US-Rechtsersuchen herausgibt.
SCCs können US-Recht nicht außer Kraft setzen. Erlässt eine US-Behörde eine gültige CLOUD-Act-Anordnung, verhindern Googles vertragliche Zusagen gegenüber EU-Kunden die Befolgung nicht. Das ist das strukturelle Problem, das weder das Trans-Atlantic Data Privacy Framework noch aktualisierte SCCs vollständig lösen.
KI-Verarbeitung und Subprozessoren
Die KI-Funktionen von Google Meet — Live-Transkription (Gemini), Rauschunterdrückung, Smart Framing — beinhalten Verarbeitung, die von EU-Datenresidenz-Einstellungen nicht unbedingt abgedeckt ist. Sind diese Funktionen aktiv, laufen Audio- und Videodaten durch Googles KI-Infrastruktur. Die Subprozessoren-Liste dieser Funktionen umfasst Einheiten in den USA.
Wenn Ihre Meetings personenbezogene Daten enthalten (das tun alle Business-Meetings) und KI-Funktionen aktiv sind, liegt ein grenzüberschreitender Transfer biometrischer Daten vor (Stimme, womöglich Gesicht). Nach Auslegung mancher Aufsichtsbehörden greift dann das erhöhte Schutzregime von Artikel 9 DSGVO.
Aufbewahrung und Zugriffsprotokolle
Google behält diverse Metadaten von Meet-Sitzungen — Teilnehmerlisten, Join/Leave-Ereignisse, Netzwerkdiagnosen, Missbrauchserkennungssignale — auch wenn Aufnahmen deaktiviert sind. Das DPA regelt, wie Google diese Daten als Auftragsverarbeiter behandelt, aber die Aufbewahrungsfenster und internen Zugriffsrichtlinien sind Googles, nicht Ihre.
Was EU-Aufsichtsbehörden gesagt haben
Mehrere europäische Datenschutzbehörden haben sich konkret zu US-Cloud-Anbietern geäußert:
- Österreichische DSB (2022): urteilte, dass die Nutzung von Google Analytics — ein harmloseres Produkt als Meet — die DSGVO verletzt, weil US-Transfers keine angemessenen Garantien gegen CLOUD-Act-Zugriffe hatten.
- Französische CNIL: veröffentlichte Leitlinien, wonach US-Anbieter unter Geheimdienstgesetzen auch mit SCCs ein „nicht vernachlässigbares“ Risiko darstellen.
- Hamburger Datenschutzbehörde: warnte, dass deutsche Behörden Microsoft Teams oder ähnliche Tools nicht ohne zusätzliche Garantien für sensible Verarbeitung nutzen sollten.
Keine dieser Stellen hat Google Meet ausdrücklich verboten. Aber die kumulierte Leitlinie ist konsistent: Für sensible Verarbeitung sind EU-gehostete Alternativen ohne US-Verantwortlichen im Datenpfad vorzuziehen.
Die praktische Checkliste für Google Meet im EU-Kontext
Wenn Sie Google Meet einsetzen wollen, sollte Ihr Datenschutzbeauftragter Folgendes bestätigen:
- Workspace-DPA unterzeichnet und in Kraft
- EU-Datenresidenz für Drive konfiguriert (Speicherort der Meet-Aufnahmen)
- KI-Funktionen (Transkription, Gemini) deaktiviert oder auf eine angemessene Rechtsgrundlage gestützt
- Teilnehmer über Aufnahme und möglichen US-Transfer per Datenschutzhinweis informiert
- DSFA für Verarbeitung sensibler Kategorien abgeschlossen (Gesundheit, Recht, HR, Finanzen)
- Aufbewahrungsrichtlinie festgelegt — Aufnahmen nach Ihrem Zeitplan gelöscht
- Drittanbieter-Integrationen geprüft (Slack, Notion, CRMs, die Meeting-Daten erhalten)
Wann eine EU-Alternative sinnvoll ist
Google Meet ist für viele Meetings in Ordnung. Problematisch wird es, wenn:
- Ihre Meetings sensible Kategorien nach Artikel 9 DSGVO berühren (Gesundheit, Biometrie, Rechtsstatus)
- Sie in einer regulierten Branche arbeiten, für die Aufsichtsbehörden konkrete Leitlinien erlassen haben (Gesundheit, Finanzen, öffentlicher Sektor)
- Ihr Datenschutzbeauftragter Vereinbarungen mit Einschränkungen für US-Cloud-Anbieter unterzeichnet hat oder erwägt
- Sie sich auf öffentliche Ausschreibungen bewerben, die EU-souveräne Tools verlangen
- Sie KI-Transkription mit echter null Audio-Aufbewahrung wollen (Google Meet hält Audio während der Verarbeitung vor)
In diesen Fällen ist der sauberste Ansatz, den Videoanruf (Google Meet, falls nötig) von der Meeting-Intelligenz-Ebene zu trennen — mit einem EU-gehosteten Tool für Transkription und KI-Zusammenfassungen, das nie Audio an US-Infrastruktur sendet und es direkt nach der Verarbeitung löscht.
Punkto ist eine DSGVO-native Meeting-Plattform, gehostet in der EU. Die Transkription läuft im Speicher über EU-gehostete KI — Audio wird nie gespeichert, nirgendwo. Transkripte sind at rest mit AES-256-GCM verschlüsselt. Kostenlos für 3 Transkripte pro Monat.
Häufige Fragen
Ist Google Meet DSGVO-konform?
Google Meet kann von EU-Verantwortlichen DSGVO-konform eingesetzt werden, aber nur mit sorgfältiger Konfiguration. Google bietet ein Data Processing Amendment und Standardvertragsklauseln. Als US-Unternehmen unter dem CLOUD Act kann Google jedoch keine Immunität gegen US-Behördenzugriff auf EU-Daten in allen Szenarien garantieren. Die Angemessenheit der Schrems-II/III-Garantien bleibt von mehreren EU-Aufsichtsbehörden bestritten.
Speichert Google Meeting-Aufnahmen in der EU?
Google-Workspace-Kunden in der EU können Datenresidenz für Drive konfigurieren (wo Aufnahmen gespeichert werden), aber die Verarbeitung — einschließlich KI-Transkription und Live-Übersetzung — kann weiterhin über US-Infrastruktur laufen. Drive-Datenresidenz deckt gespeicherte Inhalte ab, nicht die gesamte Verarbeitung.
Was ist der CLOUD Act und warum ist er für EU-Meetings relevant?
Der US Clarifying Lawful Overseas Use of Data Act (2018) erlaubt US-Strafverfolgungsbehörden, Cloud-Anbieter mit US-Hauptsitz zur Herausgabe von Daten zu zwingen — egal, wo auf der Welt sie gespeichert sind. Google ist ein US-Unternehmen und unterliegt damit dem CLOUD Act. Eine EU-Datenresidenz-Einstellung verhindert keine gültige CLOUD-Act-Anordnung.
Brauche ich eine DSFA für Google Meet?
Wenn Sie über Google Meet sensible personenbezogene Daten verarbeiten — Gesundheitsthemen, HR-Entscheidungen, Rechtsfragen, Finanzberatung — ist eine Datenschutz-Folgenabschätzung dringend zu empfehlen. Mehrere EU-Aufsichtsbehörden verlangen DSFAs für Transfers zu US-Anbietern. Das Ergebnis kann zusätzliche Garantien erfordern oder für eine EU-Alternative sprechen.
Was sind die größten DSGVO-Risiken bei Google Meet?
Die Hauptrisiken: (1) Transfer personenbezogener Daten (Stimmen, Gesichter, Transkripte) in ein Land ohne EU-Angemessenheitsbeschluss, der US-Sicherheitszugriffe abdeckt, (2) unklare Subprozessoren-Kette bei KI-Funktionen, (3) Googles Möglichkeit, Daten je nach Workspace-Konfiguration für KI-Training zu nutzen, (4) breite Aufbewahrungsfenster je nach Admin-Einstellungen.
Welche EU-Alternativen gibt es für Videomeetings und Transkription?
Für Videoanrufe: Jitsi Meet (selbst hostbar, Open Source), Whereby (norwegisch), Wire (schweizerisch). Für KI-Transkription und Meeting-Notizen mit EU-Hosting und null Audio-Aufbewahrung: Punkto (in der EU gehostet, null Audio-Aufbewahrung, AES-256-GCM-verschlüsselte Transkripte, DSGVO-AVV verfügbar). Der entscheidende Unterschied: Datenresidenz plus null Audio-Speicherung — die Kombination, die den Großteil der DSGVO-Exposition eliminiert.