Seite 187 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

187 
Auslagerung ins nichteuropäische Ausland dem Eidgenössischen 
Datenschutzbeauftragten im Normalfall zu melden sein (aber keine 
Genehmigungspflicht). Im Rahmen der Meldung ist zu beantworten, ob der 
Cloud‐Anbieter zur Einhaltung eines angemessenen Datenschutzniveaus 
verpflichtet ist. 
Als datenschutzrechtliche Besonderheit ist zu beachten, dass die Prüfung 
der Auswirkung der grenzüberschreitenden Beauftragung nicht nur auf der 
Ebene des Cloud‐Nutzers zum Cloud‐Anbieter erfolgen kann, sondern auch 
auf der zweiten Ebene des Cloud‐Anbieters zu Subunternehmern. Die nach‐
stehende Grafik zeigt, dass der Cloud‐Nutzer nicht immer damit rechnen 
kann, dass der Cloud‐Anbieter die Leistung vollkommen ohne Beiziehung 
weiterer Dritter erbringt: 
Abbildung 16: Cloud‐Service‐Provider und Subakkordanten 
Beispielsweise kommt es sehr häufig vor, dass Cloud‐Anbieter sich in ein 
Rechenzentrum einmieten. Ein Rechenzentrum ist zwar nur als bauliche 
Einrichtung zu verstehen, in dem die für den Cloud‐Dienst benutzten Server 
stehen. Trotzdem unterscheidet sich der Rechenzentrumsbetreiber z.B. vom 
Vermieter des Cloud‐Nutzers: Die Beziehung des Rechenzentrums zur 
Kommunikation zwischen Cloud‐Nutzer und Cloud‐Anbieter ist enger. Für 
die rechtliche Würdigung ist entscheidend, inwiefern und von wo aus 
Datenzugriffe tatsächlich möglich sind. Die Beurteilung orientiert sich an den 
folgenden Eckpunkten: 
Ort der Datenhaltung 
Ort, von wo aus während des Betriebs Zugriffe möglich sind