185
Kunden, kommt darauf italienisches Datenschutzrecht zur Anwendung
(
Sitzlandprinzip in Bezug auf EU‐Staaten). Für den Cloud‐Anbieter bedeutet
dies, dass er typischerweise verschiedene Rechtsordnungen berücksichtigen
muss. Denn er muss sein nationales Datenschutzrecht beachten, aber –
jedenfalls de facto – auch das Recht, das der Cloud‐Nutzer zu beachten hat,
um für diesen Nutzer als Anbieter in Betracht zu kommen.
Zulässigkeit der Nutzung eines Cloud‐Services
Mit der Bestimmung des anwendbaren Rechts ist noch nichts über die
datenschutzrechtliche Zulässigkeit der Beauftragung mit der
Datenverarbeitung ausgesagt. Die Zulässigkeitsbewertung zerfällt in drei
Teilfragen:
Ist der Service als solcher datenschutzkonform?
Ist die Ausgestaltung der Übertragung an den Cloud‐Anbieter
datenschutzkonform?
Ist die grenzüberschreitende Übertragung datenschutzkonform?
Datenschutzkonformität des Services und der Auslagerung
Der Nutzer darf mittels des Cloud‐Dienstes nur solche
datenschutzrelevanten Verarbeitungen vornehmen lassen, die er auch selbst
vornehmen dürfte. Anders gesagt: Eine Verarbeitung, die der Nutzer auf
seinen eigenen Systemen datenschutzrechtlich nicht vornehmen dürfte, darf
er auch in der Cloud nicht vornehmen.
Sofern der Cloud‐Nutzer auch personenbezogene Daten von Mitarbeitern,
Kunden, Lieferanten etc. im Rahmen eines Cloud‐Services verarbeitet, ist
weiterhin zu bedenken, dass er auch entsprechende Rechtsgrundlagen dafür
schaffen muss, damit er die Daten an den Cloud‐Anbieter überhaupt
rechtmäßig transferieren darf.
Rechtsverhältnis zwischen Cloud‐Anbieter und Cloud‐Nutzer: Der Cloud‐
Nutzer hat sicherzustellen, dass er mit dem Cloud‐Anbieter eine vertragliche
Regelung trifft, die neben den üblichen Vertragskonditionen auch die
besonderen datenschutzrechtlichen Verpflichtungen enthält. Üblicherweise
ist der Cloud‐Nutzer der Auftraggeber der Datenverarbeitung und somit der
„
Herr der Daten“. Dies führt dazu, dass er für die Einhaltung der ihn
treffenden gesetzlichen Verpflichtungen verantwortlich ist. Umgekehrt muss
der Cloud‐Anbieter den Cloud‐Nutzer angemessen über die Art und Weise
der Datenbearbeitung bzw. ‐verarbeitung und die zu treffenden