188
andere Einflüsse, namentlich Sitz des Unternehmens
Während damit für den Anbieter 2 in Bezug auf den Subunternehmer in der
Schweiz und in Indien diese zusätzlichen Hürden zu beachten sind, bestehen
diese nicht für die Anbieter 1 und 3. Im Fall des Anbieters 3 wäre dies
natürlich dann anders, wenn das Konzern‐Hauptquartier in den USA auch
auf die Kundendaten zugreifen könnte.
<P1><P2><P3><P4>Use Cases
Für alle Use Cases bedeutet das, dass zunächst für den
Umfang und die Art der gespeicherten Daten dieselben
Anforderungen gelten, wie wenn der Nutzer die Verwendung
auf eigenen Systemen durchführen würde. Im Fall von CRM
bedeutet dies insbesondere, dass für die Zulässigkeit der
Nutzung z.B. der Auswertungsfunktionalitäten nicht darauf
abgestellt werden darf, was der Cloud‐Service‐Anbieter an
seinem Standort (beispielsweise USA) vorsehen darf, sondern
was der Cloud‐Nutzer auch nach dem für ihn geltenden Recht
nutzen darf.
Zu beachten ist für alle Use Cases, dass die
Datenschutzbestimmungen bereits dann gelten, wenn
personenbezogene Daten im Erprobungszeitraum oder im
Rahmen von Sandboxes (z.B. im Zuge der Erprobung eines
CRM‐Systems) genutzt werden. Allein die Übertragung zur
Verwendung der Daten ist entscheidend.
Eine grenzüberschreitende Datenübertragung ist nicht immer
offensichtlich. Bereits die Anbindung und Übertragung
personenbezogener
Daten
in
Social‐Media‐
oder
Kommunikationsplattformen ausländischer Anbieter kann zu
einer grenzüberschreitenden Datenübertragung führen, für die
die zusätzlichen Datenschutzvorgaben zu beachten sind. Auch
allein der Betrieb eines „Notfall‐Rechenzentrums“ führt zur
Anwendung
des
Datenschutzrechts,
wenn
–
wie
typischerweise – personenbezogene Daten enthalten sind. Die
Bereithaltung von Sicherungskopien in einem anderen Land
führt dazu, dass die besonderen datenschutzrechtlichen
Vorgaben der grenzüberschreitenden Datenübermittlung zu
beachten sind. Auf eine operative Nutzung der Daten kommt
es dabei nicht an.