Rechtssicherheit bei der Verwendung eines Digital Ocean Servers

Hallo Sven,

sorry wegen der späten Antwort. Ich war ein paar Tage im Urlaub und lese gerade deine Anfrage. Vielleicht ist dein Anliegen ja immer noch unbeantwortet und hoffe Dir helfen zu können.
Ich bewerte dein Situation wie folgt:

DigitalOcean ist ein US-amerikanisches Unternehmen, das laut DPF-Liste zertifiziert ist.
Das bedeutet:
- Ein Datentransfer in die USA ist zulässig, sofern der Empfänger im DPF gelistet ist und der Zweck der Übermittlung   unter die Zertifizierung fällt.
- Du musst dennoch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen.
- Dieser AVV wird zwischen dem Verantwortlichen (also Deinem Kunden) und dem Auftragsverarbeiter (hier: DigitalOcean) geschlossen.

DigitalOcean bietet den AVV online an und findst diesen hier: https://www.digitalocean.com/legal/data-processing-agreement
Dort kann Dein Kunde:
- Den AVV einsehen und akzeptieren (teilweise als "Click-to-accept"),
- Prüfen, ob der Vertrag alle DSGVO-Anforderungen erfüllt (z. B. Subunternehmerregelung, TOMs, etc.),
Den AVV idealerweise auch lokal speichern oder archivieren

Diese AVV ist absolut wichtig und regelt:
- Welche Daten verarbeitet werden dürfen
- Welche Sicherheitsmaßnahmen (TOMs) gelten
- Welche Rechte und Pflichten die Parteien haben
- Ob Subunternehmen eingesetzt werden (und welche)
- Wie mit Datenpannen umzugehen wir.

Ohne diesen Vertrag ist die Nutzung von DigitalOcean nicht DSGVO-konform, selbst wenn die Daten in Frankfurt liegen und das DPF gilt.

Die Datenübermittlung muss außerdem transparent sein (z. B. in der Datenschutzerklärung dokumentiert).

Ich hoffe Dir mit der Auskunft geholfen zu haben.
Solltest du Fragen haben melde dich gerne bei mir.

Viele Grüße
Gerd M. Reunert
zert. Datenschutzbeauftragter