184
Nach dem von der Europäischen Datenschutzrichtlinie vorgegebenen
Rahmen, der zwischen Controllern (Verantwortlicher oder Auftraggeber)
und Processors (Verarbeiter oder Auftragnehmer) unterscheidet, wird das
anwendbare Datenschutzrecht nach den beiden folgenden Prinzipien
bestimmt. Im Überblick:
Sitzstaatprinzip: Grundsätzlich gilt das sogenannte „Sitzstaatprinzip“.
Es besagt, dass europäisches Datenschutzrecht dann anwendbar ist,
wenn der Auftraggeber in der EU niedergelassen ist. Dies ist der Fall,
wenn ein Unternehmen seinen Sitz oder eine (rechtlich
unselbstständige) Niederlassung in der EU bzw. im EWR hat und dort
Daten verarbeitet. Anknüpfungspunkt in persönlicher Hinsicht ist
daher grundsätzlich der Auftraggeber (Cloud‐Nutzer) und nicht der
Anbieter der Cloud‐Services. Dieses Resultat deckt sich mit dem
Grundsatz, dass der Nutzer von Cloud‐Services grundsätzlich die
Verantwortung für eine zulässige und rechtmäßige
Datenverwendung behält. Demnach soll auch das Recht seines
Hoheitsgebiets angewendet werden und nicht jenes des Anbieters.
Territorialitätsprinzip: Das Sitzstaatprinzip kommt jedoch nicht
uneingeschränkt zur Anwendung. Vielmehr gilt in einigen
Konstellationen das sogenannte „Territorialitätsprinzip“. Es besagt,
dass der Ort der Datenverwendung den Anknüpfungspunkt zur
Bestimmung des anwendbaren Rechts bildet. Das
Territorialitätsprinzip greift dann, wenn der Rechtsträger keinen Sitz
in einem EU‐Mitgliedstaat hat. Demzufolge kommt daher jenes
nationale Datenschutzrecht zur Anwendung, wo die Daten
tatsächlich verarbeitet werden. Das deutsche Datenschutzrecht
findet z.B. Anwendung, sofern ein Unternehmen mit Sitz außerhalb
der EU/des EWR einen SaaS‐Provider mit in Deutschland gelegenen
Ressourcen einsetzt.
Diese Regelungen führen dazu, dass in allen drei Anbieterkonstellationen
österreichisches Datenschutzrecht auf den Cloud‐Anbieter zur Anwendung
kommt. Für die Frage, welches Datenschutzrecht auf die in dieser Cloud
verarbeiteten Daten zur Anwendung kommt, ist der Sitz des Cloud‐Anbieters
jedoch nicht entscheidend. Dafür ist entscheidend, welches
Datenschutzrecht auf die Daten der Betroffenen – also derjenigen, deren
Daten in der Cloud verarbeitet werden – anzuwenden ist. Das bedeutet
beispielsweise: Verarbeitet ein deutscher Cloud‐Nutzer Daten deutscher
Kunden in dieser Cloud, kommt hierfür deutsches Datenschutzrecht zum
Tragen. Verarbeitet ein französischer Cloud‐Anbieter die Daten italienischer