186
Datensicherheitsmaßnahmen informieren. Wenn Kundendaten des Cloud‐
Nutzers mit in die Cloud ausgelagert werden, muss der Vertrag
festschreiben, dass der Cloud‐Anbieter die Daten nicht zu eigenen Zwecken
verwerten darf.
Rechtsverhältnis zwischen Cloud‐Nutzer und seinen Kunden: Der Cloud‐
Nutzer, der Daten von Dritten auslagert, muss sicherstellen, dass er diesen
gegenüber die datenschutzrechtlichen Erwartungen erfüllt.
Zur Verdeutlichung kann das folgende Schaubild eingeführt werden. Es zeigt,
dass der Cloud‐Nutzer seine vorangehenden Rechtsbeziehungen (zur
betroffenen Person, z.B. einem Mitarbeitenden oder Kunden) berücksich‐
tigen muss, wenn er auslagern will:
Abbildung 15: Auslagerung von Kundendaten
Grenzüberschreitende Auslagerung
Beauftragt ein Cloud‐Nutzer in der EU einen Cloud‐Anbieter innerhalb der
EU, ist dieser Vorgang wie eine Beauftragung innerhalb des Sitzstaats des
Cloud‐Nutzers zu behandeln. Die Beauftragung eines Cloud‐Anbieters
außerhalb der EU (sog. Drittstaat) durch einen Cloud‐Nutzer mit Sitz in der
EU erfordert weitere Gestaltungsmaßnahmen bis hin zum Erfordernis der
Genehmigung der Übertragung von Daten in einen Drittstaat durch die
nationale Datenschutzaufsichtsbehörde.
Bei Nicht‐EU‐Mitgliedstaaten ist eine Beauftragung außerhalb des eigenen
Landes typischerweise ebenso erschwert. In der Schweiz z.B. wird die