Wenn Externe ins Spiel kommen
Unter Umständen werden auch Dritte in die Verarbeitung personenbezogener Daten eingeschaltet. Das ist legal, wenn die Anforderungen einer Auftragsdatenverarbeitung nach Paragraf 11 BDSG erfüllt sind. Diese Anforderungen wurden im Jahr 2009 um Kontrollen des Auftraggebers für Datenschutzmaßnahmen des Anbieters ergänzt. Der Auftrag muss schriftlich vereinbart werden und Regelungen "im Einzelnen" für insgesamt zehn notwendige Themen enthalten.
Eine Auftragsdatenverarbeitung ist grundsätzlich nur in der EU und im Europäischen Wirtschaftsraum (EWR) möglich. Findet sie in der Cloud statt, muss dem Auftraggeber bekannt sein, in welchen Staaten die Server betrieben werden. Das ist gerade bei Public Clouds nicht immer gewährleistet. Zudem lassen sich die für eine Vereinbarung zur Auftragsdatenverarbeitung notwendigen Inhalte nicht mit jedem Cloud-Anbieter zufriedenstellend umsetzen.
Der Cloud-Anbieter ist verpflichtet, alle notwendigen technischen und organisatorischen Maßnahmen für den Datenschutz zu treffen, die sonst dem Kunden oblägen. Der Auftraggeber auf der anderen Seite muss deren Einhaltung kontrollieren - schon vor einer Nutzung der Cloud-Lösung und später regelmäßig. Allerdings braucht er das nicht vor Ort zu tun. Vielmehr darf die Prüfung anhand der Konzepte des Cloud-Anbieters und der dokumentierten Maßnahmen erfolgen. Das Prüfungsergebnis stellt ein gesetzliches Kriterium für die Auswahl des Cloud-Anbieters dar und ist vom Auftraggeber zu dokumentieren.
Sind die Anforderungen erfüllt, darf der Cloud-Anbieter im Rahmen des Auftrags mit den personenbezogenen Daten so umgehen wie der Auftraggeber. Eine weitergehende Nutzung oder Verarbeitung ist ihm grundsätzlich untersagt.