Rechtliche Sicherheit und Schutz der Privatsphäre
Bei der Nutzung von OVHcloud Diensten bieten wir an, dass Ihre personenbezogenen Daten ausschließlich innerhalb der Europäischen Union (EU) gehostet werden. So sind Sie vor der Anwendung extraterritorialer Gesetze aus Drittländern geschützt.
Unsere Kunden können sich aber auch dafür entscheiden, personenbezogene Daten auf Infrastrukturen von OVHcloud außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) zu verarbeiten, z. B. in Indien, Australien oder Singapur.
OVHcloud stellt sicher, dass seine IT-Systeme, juristischen Personen und internen Richtlinien den Gesetzen der Länder entsprechen, in denen die Daten seiner Kunden gehostet werden.
Zusätzlich zu dieser Verpflichtung hat OVHcloud mit jeder Tochtergesellschaft Standardvertragsklauseln geschlossen, um seinen Kunden zu garantieren, dass die Verarbeitung personenbezogener Daten außerhalb des EWR durch technische und operative Maßnahmen abgedeckt ist, die einen Schutz bieten, der dem der DSGVO gleichwertig ist.
OVHcloud erinnert seine Kunden jedoch daran, dass es in ihrer Verantwortung liegt, vor jeder Übermittlung personenbezogener Daten außerhalb der EU oder des EWR die notwendigen rechtlichen Analysen durchzuführen, um die Rechtmäßigkeit der Datenübertragung zu gewährleisten.
Nachstehend finden Sie eine nicht umfassende Liste der wichtigsten geltenden Texte zum Schutz personenbezogener Daten in der EU und den Drittländern, in denen OVHcloud über eine Datenhosting-Infrastruktur verfügt.
Europäische Union
| Rechtstext |
Australien
| Rechtstext |
| (Gesetz von 2021 zur Änderung des Telekommunikationsgesetzes (Internationale Produktionsanordnungen)) |
| (Datenschutzgesetz 1988 (in der geänderten Fassung)) |
| (Australische Datenschutzprinzipien) |
| (Spam-Gesetz von 2003) |
| (Telekommunikationsgesetz 1997) |
| (Gesetz von 2018 zur Änderung des Telekommunikationsgesetzes und anderer Gesetze (Hilfe und Zugang)) |
| (Gesetz zur Sicherheit kritischer Infrastruktur von 2018) |
| Privacy Protection Act 2014 (Gesetz zum Schutz der Privatsphäre 2014) |
| Information Protection Act 2002 (Informationsschutzgesetz 2002) |
| Privacy and Personal Information Protection Act 1998 (Gesetz zum Schutz der Privatsphäre und personenbezogener Daten von 1998) |
| Data and Privacy Protection Act 2014 (Gesetz zum Schutz von Daten und Privatsphäre 2014) |
Kanada
| Rechtstext |
| (Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA)) |
| (Gesetz zur Informationsfreiheit und zum Datenschutz) |
| (Ontario MFIPPA) (Kommunales Gesetz zur Informationsfreiheit und zum Datenschutz) |
| (Gesetz zur Modernisierung der rechtlichen Bestimmungen zum Schutz personenbezogener Daten [Gesetz 25]) |
| (Gesetz zur Schaffung eines Rechtsrahmens für die Informationstechnologie (Artikel 1 bis 46)) |
| (Gesetz zum Schutz personenbezogener Daten [SBC 2003]) |
Elfenbeinküste
| Rechtstext |
| Law No. 2013-450 of 19 June 2013 on the protection of personal data (Gesetz Nr. 2013-450 vom 19. Juni 2013 zum Schutz personenbezogener Daten) |
| Law No. 2013-451 of 19 June 2013 on cybercrime (Gesetz Nr. 2013-451 vom 19. Juni 2013 zur Cyberkriminalität) |
| Law No. 2024-352 of 6 June 2024 on electronic communications (Gesetz Nr. 2024-352 vom 06. Juni 2024 über elektronische Kommunikation) |
| Law No. 2013-546 of 30 July 2013 on electronic transactions (Gesetz Nr. 2013-546 vom 30. Juli 2013 über elektronische Transaktionen) |
| Additional Act A/SA 1/01/10 on the protection of personal data (Zusatzgesetz A/SA 1/01/10 zum Schutz personenbezogener Daten) |
| African Union Convention on Cybersecurity and Personal Data Protection (Übereinkommen der Afrikanischen Union über die Cybersicherheit und den Schutz personenbezogener Daten) |
| Decree No. 2015-79 of 4 February 2015 laying down the procedures for filing declarations, submitting applications, granting and withdrawing authorisations for personal data processing (Dekret Nr. 2015-79 vom 04. Februar 2015 zur Regelung der Verfahren für die Abgabe von Erklärungen, die Einreichung von Anträgen, die Erteilung und Entziehung von Genehmigungen zur Verarbeitung personenbezogener Daten) |
| Order No. 511/MPTICI/CAB of 11 November 2014 defining the profile and conditions of employment of the Data Protection Correspondent (Erlass Nr. 511/MPTICI/CAB vom 11. November 2014 zur Festlegung des Anstellungsprofils und der Beschäftigungsbedingungen des/der Datenschutzbeauftragten) |
Dubaï
| Rechtstext |
| Federal Data Protection Law (Law No. 45/2021 – PDPL) (Bundesdatenschutzgesetz (Gesetz Nr. 45/2021 – PDPL)) |
| Law on Cybercrimes and Data Breach (No. 34/2021) (Gesetz über Cyberkriminalität und Datenschutzverletzungen (Nr. 34/2021)) |
| Dubai International Financial Centre Data Protection Law (Nr. 5/2020) (Datenschutzgesetz des Dubai International Financial Centre (Nr. 5/2020)) |
| 2013 Health Data Protection Regulation (DHCC Data Protection Regulation) (Gesundheitsdatenschutzverordnung von 2013 (DHCC Datenschutzverordnung)) |
Indien
| Rechtstext |
| Information Technology Act (2000) (“IT Act”) (Gesetz über Informationstechnologie (2000) („IT-Act“)) |
| Information Technology Rules 2011 (Reasonable Security Practices and Procedures and Sensitive Personal Data ) (Regeln zur Informationstechnologie 2011 (sinnvolle Sicherheitspraktiken und ‑verfahren und sensible personenbezogene Daten) |
| Direction No. 20(3)/2022-CERT-In (‘the Direction’) (Richtlinie Nr. 20(3)/2022-CERT-In gemäß Abschnitt 70B des IT-Gesetzes 2000 („IT Act 2000“) über Informationssicherheitspraktiken und die Meldung von Cybervorfällen („die Richtlinie“)) |
| Information Technology Rule 2013 (Indian Computer Emergency Response Team and Manner of Performing Functions and Duties) (Regel zur Informationstechnologie 2013 (das indische Team für die Reaktion auf Computer-Notfälle und Methoden zur Erfüllung von Funktionen und Pflichten)) |
| Digital Personal Data Protection Act of 11 August 2023 (Gesetz zum Schutz digitaler personenbezogener Daten vom 11. August 2023) |
Marokko
| Rechtstext |
| (Artikel 24 und 27 der Verfassung von 2011) |
| Dahir n° 1-09-15 of 18 February 2009 promulgating Law No. 09-08 on the protection of natural persons with regard to the processing of personal data (Königliches Dekret Nr. 1-09-15 vom 18. Februar 2009 zur Verkündung des Gesetzes Nr. 09-08 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten) |
| Decree 2-09-165 of 21 May 2009 implementing Law No. 09-08 relative to the protection of individuals with regard to the processing of personal data (Dekret 2-09-165 vom 21. Mai 2009 zur Anwendung des Gesetzes Nr. 09-08 zum Schutz von Einzelpersonen bei der Verarbeitung personenbezogener Daten) |
Norwegen
| Rechtstext |
| Regulation (EU) 2016/679 (General Data Protection Regulation) (Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)) |
| Norwegian Personal Data Act of 15 June 2018 (transposing the GDPR into national law) (Norwegisches Gesetz zum Schutz personenbezogener Daten (Umsetzung der DSGVO in nationales Recht)) |
| National Security Act (Gesetz zur nationalen Sicherheit) |
| Electronic Communications Act (Gesetz über elektronische Kommunikation) |
Neuseeland
| Rechtstext |
| Unsolicited Electronic Messages Act 2007 (Gesetz über unerwünschte elektronische Nachrichten 2007) |
| Privacy Act 2020 (the Act) (Datenschutzgesetz 2020 (das Gesetz)) |
Derzeit gibt es sechs Verhaltenskodizes:
| Rechtstext |
| Civil Defence National Emergencies (Information Sharing) Code 2020 (Kodex für den Katastrophenschutz bei nationalen Notfällen (Informationsaustausch) von 2020) |
| Credit Reporting Privacy Code 2020 (Datenschutzkodex für Kreditauskünfte 2020) |
| Health Information Privacy Code 2020 (Datenschutzkodex für Gesundheitsinformationen 2020) |
| Justice Sector Unique Identifier Code 2020 (Kodex für eindeutige Kennzeichen im Justizsektor 2020) |
| Superannuation Schemes Unique Identifier Code 2020 (Kodex für eindeutige Kennzeichen in Pensionsplänen 2020) |
| Telecommunications Information Privacy Code 2020 (Datenschutzkodex für Telekommunikationsdaten 2020) |
Vereinigtes Königreich
| Rechtstext |
| UK General Data Protection Regulation (Regulation EU 2016/679 – UK GDPR) (Datenschutz-Grundverordnung des Vereinigten Königreichs (Verordnung EU 2016/679 – UK DSGVO)) |
| The Data Protection Act 2018 . Reformed by the Data Use and Acces Act 2025 (Das Datenschutzgesetz von 2018. Reformiert durch das Datenschutzgesetz 2025) |
| Reformed by the Data (Use and Access) Act 2025 effective 19 June 2025 with progressive implementation until 2026 (Reform durch das Datenschutzgesetz 2025 (Nutzung und Zugriff) mit Wirkung vom 19. Juni 2025 und schrittweiser Umsetzung bis 2026) |
| Network and Information Systems Security Regulations 2018 (UK NIS) (Sicherheitsbestimmungen für Netzwerke und Informationssysteme 2018 (UK NIS)) |
| Privacy and Electronic Communications Regulations (Bestimmungen zum Datenschutz und zur elektronischen Kommunikation) |
Senegal
| Rechtstext |
| Law No 2008-12 of 25 January 2008 Concerning Personal Data Protection ('the Law') (Gesetz Nr. 2008-12 vom 25. Januar 2008 über den Schutz personenbezogener Daten („das Gesetz“)) |
| Decree No. 2008-721 of 30 June 2008 implementing Law No. 2008-12 of 25 January 2008 on the protection of personal data (Dekret Nr. 2008-721 vom 30. Juni 2008 zur Umsetzung des Gesetzes Nr. 2008-12 vom 25. Januar 2008 zum Schutz personenbezogener Daten) |
| Law No. 2008-08 of 25 January 2008 on electronic transactions (Gesetz Nr. 2008-08 vom 25. Januar 2008 über elektronische Transaktionen) |
Singapur
| Rechtstext |
| Personal Data Protection Act 2012 (Gesetz von 2012 zum Schutz personenbezogener Daten) |
| Personal Data Protection (Amendment) Act 2020 (Gesetz von 2020 zum Schutz personenbezogener Daten (Änderung)) |
| Personal Data Protection Regulations 2021 (Verordnungen von 2021 über den Schutz personenbezogener Daten) |
Cybersecurity Act 2018 (Cybersicherheitsgesetz 2018) |
Schweiz
| Rechtstext |
| Federal Act on Data Protection of 25 September 2023 (FADP) (Bundesdatenschutzgesetz vom 25. September 2023 (BDSG)) |
| Federal Information Security Act (Bundesgesetz zur Informationssicherheit) |
| Information Security Act (ISA) and NCSC (National Cybersecurity Centre) (Informationssicherheitsgesetz (ISA) und NCSC (Nationales Cybersicherheitszentrum)) |
| Ordinance on Data Protection of 31 August 2022 (Datenschutzverordnung vom 31. August 2022) |