Seite 184 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

184 
Nach dem von der Europäischen Datenschutzrichtlinie vorgegebenen 
Rahmen, der zwischen Controllern (Verantwortlicher oder Auftraggeber) 
und Processors (Verarbeiter oder Auftragnehmer) unterscheidet, wird das 
anwendbare Datenschutzrecht nach den beiden folgenden Prinzipien 
bestimmt. Im Überblick:  
Sitzstaatprinzip: Grundsätzlich gilt das sogenannte „Sitzstaatprinzip“. 
Es besagt, dass europäisches Datenschutzrecht dann anwendbar ist, 
wenn der Auftraggeber in der EU niedergelassen ist. Dies ist der Fall, 
wenn ein Unternehmen seinen Sitz oder eine (rechtlich 
unselbstständige) Niederlassung in der EU bzw. im EWR hat und dort 
Daten verarbeitet. Anknüpfungspunkt in persönlicher Hinsicht ist 
daher grundsätzlich der Auftraggeber (Cloud‐Nutzer) und nicht der 
Anbieter der Cloud‐Services. Dieses Resultat deckt sich mit dem 
Grundsatz, dass der Nutzer von Cloud‐Services grundsätzlich die 
Verantwortung für eine zulässige und rechtmäßige 
Datenverwendung behält. Demnach soll auch das Recht seines 
Hoheitsgebiets angewendet werden und nicht jenes des Anbieters.  
Territorialitätsprinzip: Das Sitzstaatprinzip kommt jedoch nicht 
uneingeschränkt zur Anwendung. Vielmehr gilt in einigen 
Konstellationen das sogenannte „Territorialitätsprinzip“. Es besagt, 
dass der Ort der Datenverwendung den Anknüpfungspunkt zur 
Bestimmung des anwendbaren Rechts bildet. Das 
Territorialitätsprinzip greift dann, wenn der Rechtsträger keinen Sitz 
in einem EU‐Mitgliedstaat hat. Demzufolge kommt daher jenes 
nationale Datenschutzrecht zur Anwendung, wo die Daten 
tatsächlich verarbeitet werden. Das deutsche Datenschutzrecht 
findet z.B. Anwendung, sofern ein Unternehmen mit Sitz außerhalb 
der EU/des EWR einen SaaS‐Provider mit in Deutschland gelegenen 
Ressourcen einsetzt.  
Diese Regelungen führen dazu, dass in allen drei Anbieterkonstellationen 
österreichisches Datenschutzrecht auf den Cloud‐Anbieter zur Anwendung 
kommt. Für die Frage, welches Datenschutzrecht auf die in dieser Cloud 
verarbeiteten Daten zur Anwendung kommt, ist der Sitz des Cloud‐Anbieters 
jedoch nicht entscheidend. Dafür ist entscheidend, welches 
Datenschutzrecht auf die Daten der Betroffenen – also derjenigen, deren 
Daten in der Cloud verarbeitet werden – anzuwenden ist. Das bedeutet 
beispielsweise: Verarbeitet ein deutscher Cloud‐Nutzer Daten deutscher 
Kunden in dieser Cloud, kommt hierfür deutsches Datenschutzrecht zum 
Tragen. Verarbeitet ein französischer Cloud‐Anbieter die Daten italienischer