Seite 185 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

185 
Kunden, kommt darauf italienisches Datenschutzrecht zur Anwendung 
(
Sitzlandprinzip in Bezug auf EU‐Staaten). Für den Cloud‐Anbieter bedeutet 
dies, dass er typischerweise verschiedene Rechtsordnungen berücksichtigen 
muss. Denn er muss sein nationales Datenschutzrecht beachten, aber – 
jedenfalls de facto – auch das Recht, das der Cloud‐Nutzer zu beachten hat, 
um für diesen Nutzer als Anbieter in Betracht zu kommen. 
Zulässigkeit der Nutzung eines Cloud‐Services 
Mit der Bestimmung des anwendbaren Rechts ist noch nichts über die 
datenschutzrechtliche Zulässigkeit der Beauftragung mit der 
Datenverarbeitung ausgesagt. Die Zulässigkeitsbewertung zerfällt in drei 
Teilfragen:  
Ist der Service als solcher datenschutzkonform? 
Ist die Ausgestaltung der Übertragung an den Cloud‐Anbieter 
datenschutzkonform? 
Ist die grenzüberschreitende Übertragung datenschutzkonform? 
Datenschutzkonformität des Services und der Auslagerung 
Der Nutzer darf mittels des Cloud‐Dienstes nur solche 
datenschutzrelevanten Verarbeitungen vornehmen lassen, die er auch selbst 
vornehmen dürfte. Anders gesagt: Eine Verarbeitung, die der Nutzer auf 
seinen eigenen Systemen datenschutzrechtlich nicht vornehmen dürfte, darf 
er auch in der Cloud nicht vornehmen.  
Sofern der Cloud‐Nutzer auch personenbezogene Daten von Mitarbeitern, 
Kunden, Lieferanten etc. im Rahmen eines Cloud‐Services verarbeitet, ist 
weiterhin zu bedenken, dass er auch entsprechende Rechtsgrundlagen dafür 
schaffen muss, damit er die Daten an den Cloud‐Anbieter überhaupt 
rechtmäßig transferieren darf.  
Rechtsverhältnis zwischen Cloud‐Anbieter und Cloud‐Nutzer: Der Cloud‐
Nutzer hat sicherzustellen, dass er mit dem Cloud‐Anbieter eine vertragliche 
Regelung trifft, die neben den üblichen Vertragskonditionen auch die 
besonderen datenschutzrechtlichen Verpflichtungen enthält. Üblicherweise 
ist der Cloud‐Nutzer der Auftraggeber der Datenverarbeitung und somit der 
Herr der Daten“. Dies führt dazu, dass er für die Einhaltung der ihn 
treffenden gesetzlichen Verpflichtungen verantwortlich ist. Umgekehrt muss 
der Cloud‐Anbieter den Cloud‐Nutzer angemessen über die Art und Weise 
der Datenbearbeitung bzw. ‐verarbeitung und die zu treffenden