187
Auslagerung ins nichteuropäische Ausland dem Eidgenössischen
Datenschutzbeauftragten im Normalfall zu melden sein (aber keine
Genehmigungspflicht). Im Rahmen der Meldung ist zu beantworten, ob der
Cloud‐Anbieter zur Einhaltung eines angemessenen Datenschutzniveaus
verpflichtet ist.
Als datenschutzrechtliche Besonderheit ist zu beachten, dass die Prüfung
der Auswirkung der grenzüberschreitenden Beauftragung nicht nur auf der
Ebene des Cloud‐Nutzers zum Cloud‐Anbieter erfolgen kann, sondern auch
auf der zweiten Ebene des Cloud‐Anbieters zu Subunternehmern. Die nach‐
stehende Grafik zeigt, dass der Cloud‐Nutzer nicht immer damit rechnen
kann, dass der Cloud‐Anbieter die Leistung vollkommen ohne Beiziehung
weiterer Dritter erbringt:
Abbildung 16: Cloud‐Service‐Provider und Subakkordanten
Beispielsweise kommt es sehr häufig vor, dass Cloud‐Anbieter sich in ein
Rechenzentrum einmieten. Ein Rechenzentrum ist zwar nur als bauliche
Einrichtung zu verstehen, in dem die für den Cloud‐Dienst benutzten Server
stehen. Trotzdem unterscheidet sich der Rechenzentrumsbetreiber z.B. vom
Vermieter des Cloud‐Nutzers: Die Beziehung des Rechenzentrums zur
Kommunikation zwischen Cloud‐Nutzer und Cloud‐Anbieter ist enger. Für
die rechtliche Würdigung ist entscheidend, inwiefern und von wo aus
Datenzugriffe tatsächlich möglich sind. Die Beurteilung orientiert sich an den
folgenden Eckpunkten:
Ort der Datenhaltung
Ort, von wo aus während des Betriebs Zugriffe möglich sind
