Grundregeln für die Cloud
Die Anforderungen des Datenschutzes richten sich zunächst an die verantwortliche Stelle, die personenbezogene Daten für sich erhebt, verarbeitet oder nutzt - oder Dritte damit beauftragt. Dieser "Herr der Daten" ist verantwortlich für die Einhaltung des Datenschutzes.
Die erste Grundregel für personenbezogene Daten in der Cloud ist einfach: Es ist alles verboten, was nicht durch gesetzliche Vorschrift oder Einwilligung des Betroffenen erlaubt ist (Paragraf 4 Absatz 1 BDSG). Das gilt auch für den Umgang mit personenbezogenen Daten durch verschiedene Unternehmen in einem Konzern. Ein "Konzernprivileg" kennt der deutsche Datenschutz nicht, konzerneigene Unternehmen werden wie Dritte behandelt.
Eine Einwilligung zur Verarbeitung ihrer Daten in einer Public oder Hybrid Cloud muss von allen Betroffenen vorab eingeholt werden. Stehen die Cloud-Server außerhalb der EU (oder Staaten mit einem aus Sicht der EU angemessenem Datenschutzniveau), muss die Einwilligung ausdrücklich die Verarbeitung in diesen Staaten umfassen. Es ist praktisch nahezu unmöglich, alle diese erforderlichen Einwilligungen zu erhalten.
Eine gesetzliche Erlaubnis orientiert sich daran, für welchen Zweck welcher Umgang mit personenbezogenen Daten für den "Herrn der Daten" erforderlich ist - und inwiefern damit berechtigte Interessen des Betroffenen beeinträchtigt werden. Die Zulässigkeit ist für jede einzelne Maßnahme mit den jeweiligen Daten zu klären. Dazu ein Beispiel: Soweit es ein Vertrag mit dem Betroffenen erfordert, kann die Nutzung oder Übertragung seiner personenbezogenen Daten gestattet sein, möglicherweise sogar in "unsichere" Drittstaaten, aber nur in diesem begrenzten Umfang.