Cloud Privacy Check (CPC)

Requirements under Data Protection Law that a Cloud Service Customer must ensure when moving into a cloud environment.

"Complexity is your enemy. Any fool can make something complicated. It is hard to make something simple."

Richard Branson

Interact with the infographic and get more informations by clicking on each icon.

Change the language by clicking on your country flag.

Interact with the infographic and get more informations by clicking on each icon.

CPC CONFERENCE - VIENNA, 28-30 OCTOBER 2016

Step 1:In the first stage of the CPC, we check whether the given fact pattern includes any personally identifiable information.

If the answer is NO then no data protection related measures are required. The only instrument in place is the service contract between the cloud service provider and the cloud service customer.

If the answer is YES, the second test of the Cloud Privacy Check must be performed.

Landesspezifische Informationen:

Austria

Das DSG-AT schützt auch juristische Personen in Bezug auf die sie beschreibende Information. Für die Frage, ob in pseudonymisierten Daten oder verschlüsselten Daten ein Personenbezug erkennbar bleibt, kommt es auf den Horizont des Empfängers an.

Landesspezifische Informationen wurden bereitgestellt von:

Belgium

Bulgaria

Switzerland

Das DSG-CH schützt auch juristische Personen in Bezug auf die sie beschreibende Information.
Das DSG-CH kennt die Kategorie der Persönlichkeitsprofile. Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Persönlichkeitsprofile sind den besonders schützenswerten Informationen (Sensiblen Personendaten) gleichgestellt. Der DBS-CH behandelt pseudonymisierte Daten als Personendaten. Die Rechtsfolgen richten sich nach einem "risikobasierten Ansatz". Der DSB-CH hat sich gegen die Beurteilung allein aus Empfängersicht ausgesprochen.

Landesspezifische Informationen wurden bereitgestellt von:

Czech Republic

Germany

Das DSG-DE schützt nur natürliche Personen in Bezug auf die sie beschreibende Information. Juristische Personen sind grundsätzlich nicht geschützt. Eine Ausnahme enthalten die Datenschutzbestimmungen den deutschen Telekommunikationsgesetzes (TKG). Die Datenschutzbestimmungen des TKG gelten auch für juristische Personen, soweit es um Verkehrsdaten geht.
Das Datenschutzrecht findet auch auf pseudonymisierte Daten anwendbar. Allein auf anyonimiserte Daten findet das Datenschutzrecht nicht mehr Anwendung. Die deutschen Datenschutzaufsichtsbehörden haben den Standpunkt eingenommen, dass das Datenschutzrecht auch dann bei der Nutzung eines Cloud Services zu beachten ist, wenn die in die Cloud ausgelagerten Daten, so verschlüsselt sind, dass der CSP sie nicht der jeweiligen Person zuordnen kann. Dieser Ansatz ist aufgrund seiner Begründung jedoch umstritten.
Für sog. besondere personenbezogene Daten gilt eine Spezialregelung. Nach dieser scheidet eine Verarbeitung solcher Daten in der Cloud außerhalb einer Auftragsdatenverarbeitung in der EU bzw. des EWR aus (zulässig selbstverständlich bei Vorliegen einer Einwilligung des CDS). Solche besondere personenbezogene Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Landesspezifische Informationen wurden bereitgestellt von:

Denmark

Estonia

Spain

Finland

France

Greece

Croatia

Hungary

Ireland

Italy

Lithuania

Luxembourg

Latvia

Monaco

Malta

Macedonia

Netherlands

Norway

Poland

Portugal

Romania

Serbia

Sweden

Slovakia

Turkey

United Kingdom

Step 2:In the second stage of the CPC, we check whether a third party, involved within the cloud setup, processes personal data or has access to personal data.

The technical design of the service, as provided, is crucial. Therefore, a lawyer must analyse and understand the technical setup, i.e. the service design. Within the service design, a point of change can be defined.

If the point of change is not exceeded the setup has no specific data protection relevance. Then, the analysis under the CPC can be stopped. The sole instrument in place will be the service agreement between the cloud service customer and the cloud service provider.

If the delineation marked by the point of change has been exceeded further controls will need to be implemented. In particular, a data processing agreement must be entered into.This is in addition to the service agreement.

After the second stage, the third and the fourth tests must be performed.

Landesspezifische Informationen:

Austria

Das DSG-AT schützt auch juristische Personen in Bezug auf die sie beschreibende Information. Für die Frage, ob in pseudonymisierten Daten oder verschlüsselten Daten ein Personenbezug erkennbar bleibt, kommt es auf den Horizont des Empfängers an.

Landesspezifische Informationen wurden bereitgestellt von:

Belgium

Bulgaria

Switzerland

Das DSG-CH schützt auch juristische Personen in Bezug auf die sie beschreibende Information.
Das DSG-CH kennt die Kategorie der Persönlichkeitsprofile. Ein Persönlichkeitsprofil ist eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Persönlichkeitsprofile sind den besonders schützenswerten Informationen (Sensiblen Personendaten) gleichgestellt. Der DBS-CH behandelt pseudonymisierte Daten als Personendaten. Die Rechtsfolgen richten sich nach einem "risikobasierten Ansatz". Der DSB-CH hat sich gegen die Beurteilung allein aus Empfängersicht ausgesprochen.

Landesspezifische Informationen wurden bereitgestellt von:

Czech Republic

Einbindung von Dritten

Ein Dienstleister, der vom CSC als Auftragsdatenverarbeiter im Sinne des DSG-DE beauftragt wird, gilt nicht als Dritter im Sinne des DSG-DE. Das DSG-DE setzt für die Privilegierungswirkung jedoch – vereinfacht – die folgenden Eckpunkte voraus:
- Sorgfältige Auswahl des CSP durch den CSC
- Regelmäßige Prüfung des CSP durch den CSC in Bezug auf IT-Sicherheit
- Weisungsgebundenheit des CSP gegenüber dem CSC
- Vertrag über die Auftragsdatenverarbeitung nach den Vorgaben des DSG-DE
- Schriftform des Vertrags über die Auftragsdatenverarbeitung

Für alle Länder, die nicht zur EU oder dem EWR gehören, gilt die Privilegierung nicht. Dabei bleibt es selbst dann, wenn für diese Länder durch die EU-Kommission ein angemessenes Datenschutzniveau anerkannt worden ist. Das hat folgende praktische Konsequenz für die Zulässigkeitsbewertung der Einbeziehung eines Dritten:
- innerhalb der EU/des EWR: eine inhaltlich und formell korrekt aufgesetzte Vereinbarung über die Auftragsdatenverarbeitung macht den Einbezug des Dritten zulässig.
- außerhalb der EU/des EWR: Die datenschutzrechtliche Zulässigkeit ist anhand einer Interessenabwägung zu bewerten. Die Existenz der formell und inhaltlich korrekt zu Stande gekommenen Vereinbarung über die Auftragsdatenverarbeitung wirkt sich positiv aus auf die Interessenabwägung und damit auf die Zulässigkeit der Einbeziehung des Dritten.

Bei grenzüberschreitendem Datentransfer sind weitere Anforderungen zu beachten (hierzu nachfolgend Ziffer 4). Jedenfalls auf Nachfrage muss der CSC dem CDS den Namen des Dienstleisters und auch den Ort der Datenverarbeitung bekannt geben.
Es ist durch den CSC gegenüber dem CSP vertraglich die Herausgabe- oder physische Löschungsverpflichtung des CSP für die im Auftrag des CSC verarbeiteten Daten nach Beendigung des Auftragsdatenverhältnisses zu regeln.

Landesspezifische Informationen wurden bereitgestellt von:

Denmark

Estonia

Spain

Finland

France

Greece

Croatia

Hungary

Ireland

Italy

Lithuania

Luxembourg

Latvia

Monaco

Malta

Macedonia

Netherlands

Norway

Poland

Portugal

Romania

Serbia

Sweden

Slovakia

Turkey

United Kingdom

Step 3:In stage three of the CPC, we check whether data leaves the home jurisdiction of the cloud service customer.

If the answer is NO, then no data protection instrument is required under this test and the analysis can proceed to the fourth test.

If the answer is YES then the crossborder „package“ must be activated. This package involves some paperwork (the EU model agreement with the cloud service provider, activation of the Safe Harbor regime and respective notifications to authorities, if required). Afterwards the fourth step is to be performed.

Landesspezifische Informationen:

Grenzüberschreitender Datentransfer

Im Cross-Border Transfer über IT-Schengen hinaus ist der CSP unabhängig vom CSC befugt, eine Genehmigung bei der DSB-AT zu beantragen, wenn er einen bestimmten weiteren Subdienstleister aus dem Ausland heranziehen will.

Landesspezifische Informationen wurden bereitgestellt von:

Belgium

Bulgaria

Grenzüberschreitender Datentransfer

Grenzüberschreitender Datentransfer, der über genehmigte Mustervertragsklauseln oder über Binding Corporate Rules gerechtfertigt wird, ist zu melden.

Landesspezifische Informationen wurden bereitgestellt von:

Czech Republic

Grenzüberschreitender Datentransfer

Bei Nutzung eines Cloud-Services in einem Drittstaat bzw. einem Zugriff auf personenbezogene Daten aus einem Drittstaat sind weitere Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Dies sind die Instrumente (z.B. EU-Standardvertrag, durch die Aufsichtsbehörden genehmigter Individualvertrag), die auch in den anderen EU-Mitgliedsstaaten vorgesehen sind. Als deutsche Besonderheit kommen zwei Aspekte hinzu:
Bei der Verwendung EU-Standardverträgen besteht keine Anzeigepflicht und kein Genehmigungserfordernis. Allein individuell gestaltete Verträge müssen den Aufsichtsbehörden zur Genehmigung vorgelegt werden, damit sie datenschutzrechtlich rechtfertigende Wirkung haben. Für Binding Corporate Rules bestehen Sonderregelungen.
Nach Ansicht der deutschen Datenschutzaufsichtsbehörden in der Orientierungshilfe müssen in jedem Fall ergänzend zu den vorstehenden Gestaltungen Vereinbarungen nach den inhaltlichen Maßgaben der Vereinbarung über die Auftragsdatenverarbeitung getroffen werden.

Landesspezifische Informationen wurden bereitgestellt von:

Denmark

Estonia

Spain

Finland

France

Greece

Croatia

Hungary

Ireland

Italy

Lithuania

Luxembourg

Latvia

Monaco

Malta

Macedonia

Netherlands

Norway

Poland

Portugal

Romania

Serbia

Sweden

Slovakia

Turkey

United Kingdom

Step 4:In the fourth test, we consider whether the cloud provider uses subcontractors.

If the answer is NO, then the cloud privacy check can be completed and no additional instrument needs to be deployed.

If the answer is YES the set of measures we refer to as the „subcontractor package“ must be implemented.

This package requires the cloud service provider to impose the obligations it has, in regards to the cloud service customer, onto the subcontractor. In addition, the cloud service customer should be informed of the fact that subcontractors are involved and where they operate. The action item in question here is „Notification to the Cloud Service Customer”. The purpose of this measure is to increase transparency.

Landesspezifische Informationen:

Einbindung von Subunternehmern

Der CSP darf Subdienstleister nur mit Billigung des CSC einsetzen. Dies bedingt, dass der CSP den CSC vor dem Beizug von Subdienstleistern informiert haben muss. Auf Anfrage muss der CSC dem CDS den Namen von beigezogenen Subunternehmern bekannt geben. Der CSC hat ein Vetorecht gegen den Beizug von Subdienstleistern.

Landesspezifische Informationen wurden bereitgestellt von:

Belgium

Bulgaria

Einbindung von Subunternehmern

Es gibt keine ausdrückliche Pflicht, beigezogene Subunternehmer namentlich zu nennen. Allerdings kann sich eine solche Pflicht im Einzelfall aus den Umständen ergeben (Angemessenheitsprüfung).

Landesspezifische Informationen wurden bereitgestellt von:

Czech Republic

Einbindung von Subunternehmern

Der Subunternehmer muss in jedem Fall vertraglich durch den CSP eingebunden werden und gegenüber dem CSC transparent gemacht werden. Der CSC muss auch eine Möglichkeit haben, die Einbindung von weiteren Subunternehmern zu „steuern“; er muss zumindest die Möglichkeit haben, der Einbeziehung von Subunternehmen zu widersprechen. Hierzu müssen ihm die Subunternehmer so rechtzeitig benannt werden, dass er deren Einbindung effektiv widersprechen kann. Die Vereinbarung muss auch dem CSC die Rechte gegenüber dem Subunternehmer einräumen, welche der CSC gegenüber dem CSP hat.

Landesspezifische Informationen wurden bereitgestellt von:

Denmark

Estonia

Spain

Finland

France

Greece

Croatia

Hungary

Ireland

Italy

Lithuania

Luxembourg

Latvia

Monaco

Malta

Macedonia

Netherlands

Norway

Poland

Portugal

Romania

Serbia

Sweden

Slovakia

Turkey

United Kingdom