Cloud Computing nach der Datenschutz-Grundverordnung

Amazon Web Services, Google, Microsoft & Clouds anderer Anbieter in der Praxis

Thorsten Hennrich

Diese Publikation zitieren

Thorsten Hennrich, Cloud Computing nach der Datenschutz-Grundverordnung (2022), O'Reilly Verlag, Heidelberg, ISBN: 9783960103158

2921
Accesses
130
Quotes

Beschreibung / Abstract

Rechtliche Fragen und typische Probleme verständlich erklärt

liefert konkrete Datenschutz-Empfehlungen und Checklisten
fokussiert sich auf die beliebten und in der Praxis wichtigen Cloud-Services von AWS, Google oder Microsoft
gibt Expertenwissen – verständlich und praxisnah aufbereitet

Unternehmen, die Cloud-Computing-Angebote von Hyperscalern wie Amazon Web Services (AWS), Google und Microsoft nutzen, sehen sich durch die Anforderungen der Datenschutz-Grundverordnung (DSGVO) mit vielen Fragen konfrontiert. Dieser verständliche Praxisleitfaden erläutert die wichtigsten Rechtsgrundlagen und führt in die relevanten rechtlichen Aspekte ein.
Unterstützt durch verständliche Erläuterungen, FAQs, Checklisten, Infografiken und zahlreiche Hinweisboxen erwerben Entscheider:innen sowie Datenschutzbeauftragte das erforderliche Problembewusstsein und Wissen. Die erläuterten Aspekte lassen sich auch auf Clouds zahlreicher anderer Anbieter übertragen.
Themen dieses Buchs sind u.a.:

Cloud Computing und Datenschutz: Zentrale Begriffe und Zusammenhänge kompakt erklärt 
Auftragsverarbeitungsvertrag (AV-Vertrag) und relevante Rechtsgrundlagen: Die wichtigsten Rechtsgrundlagen mit Hinweisen für die praktische Umsetzung
Datensicherheit und Zertifizierungen: Technische und organisatorische Maßnahmen (TOMs) für Ihren IT-Stack und gängige Zertifizierungen
Internationale Datentransfers: Wissenswertes zu Datentransfers in Drittländer – mit Hinweisen zu Angemessenheitsbeschlüssen, Standardvertragsklauseln und Transfer Impact Assessment (TIA)
U.S. CLOUD Act: Hintergründe und Umgang mit diesem US-Gesetz im Rahmen einer Risikobewertung
Lifecycle einer Cloud-Nutzung: Alle Phasen der Laufzeit im Überblick – von der Auswahl eines Cloud-Anbieters bis zu Fragen des Exits und der Migration


Der Praxisleitfaden beschreibt die rechtlichen Fragen und typischen Probleme im Zusammenhang mit der Nutzung der von Cloud-Providern bereitgestellten Anwendungen im Allgemeinen wie beispielsweise Auswahl, Vorbereitung und konkrete rechtliche Umsetzung einer Auslagerung von Daten und Prozessen in eine Cloud, aber auch Fragen eines Exits, wie eine Datenmigration. Er geht aber auch ganz konkret auf einzelne Anwendungen ein und unterstützt hierzu mit konkreten Empfehlungen und Checklisten. Es werden keine Vorkenntnisse im Datenschutz oder in Bezug auf Cloud-Anwendungen vorausgesetzt.

Beschreibung

Dr. Thorsten Hennrich ist Rechtsanwalt mit den Schwerpunkten Informationstechnologie- und Datenschutzrecht. Er ist ein technikaffiner Jurist, der »beide Welten« bestens kennt: als Rechtsanwalt im IT- und Datenschutzrecht, als Leiter der Rechtsabteilung eines Cloud-Anbieters sowie als langjähriger Geschäftsführer eines Cloud- und IT-Infrastruktur-Anbieters mit Rechenzentren in Frankfurt am Main und Amsterdam. Er blickt auf über 20 Jahre umfassende Praxiserfahrung zurück.

Inhaltsverzeichnis

  • BEGINN
  • Titel
  • Inhalt
  • Vorwort
  • Kapitel 1: Einleitung
  • 1.1 Cloud Computing und Datenschutz im Spannungsfeld
  • 1.2 Cloud Computing: flexible Nutzung von IT
  • 1.3 Datenschutz, Datensicherheit und Compliance
  • Kapitel 2: Cloud Computing: Einführung, Basics und wichtigste Begriffe
  • 2.1 Cumulus oder Stratus: Was ist Cloud Computing?
  • 2.2 Begriffsklärung und begriffliche Entwicklung
  • 2.3 Technische Grundlagen »in a Nutshell«
  • 2.4 Cloud-Service-Modelle
  • 2.5 Cloud-Bereitstellungsformen
  • 2.6 Begriffsvielfalt und weitere Unterscheidungen
  • 2.7 AWS, Google und Microsoft – Kurzporträts und Standorte der jeweiligen Cloud-Infrastrukturen
  • Kapitel 3: Datenschutz nach der DSGVO: Einführung und wichtigste Basics für die Cloud-Computing-Praxis
  • 3.1 Datenschutz und informationelle Selbstbestimmung
  • 3.2 Datenschutzreform
  • 3.3 Cloud Computing und die Datenschutzreform
  • 3.4 Warum ist der Datenschutz im Cloud Computing und in einer digitalen Welt so wichtig?
  • 3.5 DSGVO-Basics im Cloud Computing: zentrale Begriffe und Grundprinzipien des »Daten-Schutz-Rechts«
  • Kapitel 4: Wann ist die DSGVO im Cloud Computing überhaupt anzuwenden?
  • 4.1 Sachlicher Anwendungsbereich: Werden personenbezogene Daten verarbeitet?
  • 4.2 Räumlicher Anwendungsbereich: Wo und durch wen werden die Daten verarbeitet?
  • 4.3 Andere Rechtsgebiete
  • 4.4 FAQs
  • 4.5 Checkliste zum Anwendungsbereich der DSGVO
  • Kapitel 5: Wann ist die Datenverarbeitung erlaubt? – Zulässigkeit (1. Stufe): Erlaubnistatbestände als Rechtsgrundlage
  • 5.1 Datenverarbeitung auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
  • 5.2 Datenverarbeitung zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
  • 5.3 Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
  • 5.4 Datenverarbeitung zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)
  • 5.5 Datenverarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe und zur Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO)
  • 5.6 Datenverarbeitung zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
  • 5.7 Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO; »besonders sensible Daten«)
  • 5.8 Bereichsspezifischer Datenschutz
  • 5.9 FAQs
  • 5.10 Checkliste
  • Kapitel 6: Auftragsverarbeitung
  • 6.1 Hohe Praxisrelevanz im Cloud Computing
  • 6.2 Definition der Auftragsverarbeitung und kennzeichnendes Privileg
  • 6.3 Verarbeitung »im Auftrag« – Beispiele und Erscheinungsformen der Auftragsverarbeitung in der Praxis
  • 6.4 Beteiligte der Auftragsverarbeitung
  • 6.5 Voraussetzungen der Auftragsverarbeitung
  • 6.6 Einsatz von Unterauftragsverarbeitern (den sogenannten Subunternehmern)
  • 6.7 Auftragsverarbeitung im Ausland
  • 6.8 Besonderheiten in regulierten Märkten
  • 6.9 FAQs
  • 6.10 Checkliste: Auftragsverarbeitung/AV-Vertrag
  • Kapitel 7: Gemeinsame Verantwortlichkeit (Joint Control)
  • 7.1 Gemeinsame Verantwortlichkeit zwischen den an der Datenverarbeitung Beteiligten
  • 7.2 Gemeinsame Verantwortlichkeit am Beispiel von Microsoft 365 und Google Analytics
  • 7.3 FAQs
  • 7.4 Checkliste
  • Kapitel 8: Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
  • 8.1 Rechtmäßigkeit
  • 8.2 Verarbeitung nach Treu und Glauben
  • 8.3 Transparenz
  • 8.4 Zweckbindung
  • 8.5 Datenminimierung
  • 8.6 Richtigkeit
  • 8.7 Speicherbegrenzung
  • 8.8 Integrität und Vertraulichkeit
  • 8.9 Rechenschaftspflicht
  • 8.10 FAQs
  • 8.11 Checkliste
  • Kapitel 9: Verarbeitungsverzeichnis
  • 9.1 Pflicht zur Verzeichniserstellung
  • 9.2 Verarbeitungstätigkeiten
  • 9.3 Führung des Verarbeitungsverzeichnisses
  • 9.4 FAQs
  • 9.5 Checkliste
  • Kapitel 10: Datensicherheit
  • 10.1 Klassische Schutzziele der Datensicherheit
  • 10.2 Rechtsgrundlagen der Datensicherheit
  • 10.3 Typische Gefährdungslage im Cloud Computing und Leitfaden für Datensicherheitsaspekte
  • 10.4 Implementierung technischer und organisatorischer Maßnahmen in der IT-Sicherheitsarchitektur
  • 10.5 Cloud-Zertifizierungen
  • 10.6 Notfallmanagement: Vorbereitung auf den Ernstfall
  • 10.7 FAQs
  • 10.8 Checkliste für einen IT-Sicherheitsvorfall
  • Kapitel 11: Datenschutz-Folgenabschätzung
  • 11.1 Wann ist eine DSFA verpflichtend durchzuführen?
  • 11.2 Wie ist eine DSFA durchzuführen, und was sind deren Inhalte?
  • 11.3 Praxisbeispiel: Microsoft 365
  • 11.4 FAQs
  • 11.5 Checkliste
  • Kapitel 12: Wann dürfen Daten in Länder außerhalb der EU übermittelt werden? – Zulässigkeit (2. Stufe): Internationale Datentransfers
  • 12.1 Übermittlung in Drittländer
  • 12.2 Voraussetzungen für internationale Datentransfers in ein Drittland
  • 12.3 Das angemessene Datenschutzniveau
  • 12.4 Angemessenheitsbeschlüsse der EU-Kommission
  • 12.5 Sonderregelungen für transatlantische Datentransfers in die USA
  • 12.6 Datenübermittlungen auf Grundlage geeigneter Garantien
  • 12.7 FAQs
  • 12.8 Checkliste
  • Kapitel 13: Datenzugriff durch Behörden nach dem Recht der USA
  • 13.1 Nachrichtendienstliche Überwachung
  • 13.2 Herausgabe von Daten als Beweismittel im Rahmen strafrechtlicher Ermittlungen: der CLOUD Act
  • 13.3 Typische Praxiskonstellationen und Handlungsempfehlungen für Unternehmen in der EU
  • 13.4 FAQs
  • 13.5 Checklisten
  • Kapitel 14: Rechte der Betroffenen
  • 14.1 Recht auf Information
  • 14.2 Recht auf Auskunft
  • Kapitel 15: Aufsichtsbehörden
  • 15.1 Datenschutzaufsicht in Deutschland
  • 15.2 Aufsichtsbehörden in anderen EU-Mitgliedstaaten
  • 15.3 Europäische Ebene
  • Kapitel 16: Datenschutzbeauftragter
  • 16.1 Pflicht zur Bestellung
  • 16.2 Interner oder externer Datenschutzbeauftragter?
  • 16.3 Datenschutzkoordinator
  • 16.4 FAQs
  • 16.5 Checkliste zur Bestellung eines Datenschutzbeauftragten
  • Kapitel 17: Umgang mit Datenschutzverletzungen
  • 17.1 Dokumentations-, Melde- und Benachrichtigungspflichten im Fall einer Datenschutzverletzung
  • 17.2 Notfallmanagement: Vorbereitung auf den Ernstfall und Erstellung von Notfallplänen
  • 17.3 FAQs
  • 17.4 Checkliste bei einer Datenschutzverletzung
  • Kapitel 18: Bußgelder, Sanktionen und Haftung: Welche Strafen drohen bei einem Verstoß gegen die DSGVO?
  • 18.1 Bußgelder
  • 18.2 Sanktionen
  • 18.3 Schadensersatz und Haftung
  • Kapitel 19: Besonderheiten regulierter Märkte
  • 19.1 Cloud Computing in der öffentlichen Verwaltung
  • 19.2 Berufsgeheimnisträger (wie Rechtsanwälte, Steuerberater, Ärzte)
  • 19.3 Finanzsektor (Kredit- und Finanzdienstleister, Zahlungsinstitute)
  • 19.4 Versicherungen
  • Kapitel 20: Handlungsempfehlungen für ein datenschutzkonformes Cloud Computing (im Lifecycle einer Cloud-Nutzung)
  • 20.1 Marktanalyse
  • 20.2 Auswahlentscheidung
  • 20.3 Vertragsabschluss mit dem Cloud-Anbieter
  • 20.4 Vertragsabschluss mit einem Reseller
  • 20.5 Betriebsphase – was ist während der Cloud-Nutzung zu beachten?
  • 20.6 Ende der Cloud-Nutzung (Exit bzw. Migration)
  • Kapitel 21: Bekannte Cloud-Anbieter im Check – worauf ist zu achten?
  • 21.1 Amazon Web Services (AWS)
  • 21.2 Google Cloud Platform (GCP)
  • 21.3 Microsoft
  • ANHANG A: Glossar
  • ANHANG B: Literaturverzeichnis
  • Index

Mehr von dieser Serie

    Ähnliche Titel

      Mehr von diesem Autor