Unter Cloud Computing versteht man die Bereitstellung von IT-Infrastruktur oder IT-Leistungen wie Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung über das Internet. Cloud Computing besteht somit aus zahlreichen unterschiedlichen, miteinander vernetzten und verbundenen Rechnern.
Die Nutzung des Cloud-Service erfolgt direkt über das Internet, indem sich der Nutzer einloggt und den Dienst nutzen kann, ohne dass dabei Kosten für Rechnerinfrastruktur oder Software auf ihn zukommen.
Wenn die in der Cloud gespeicherten Informationen personenbezogene Daten enthalten, ist der Anwendungsbereich der DSGVO eröffnet.
Wenn ein Verantwortlicher einen Cloud-Service in Anspruch nimmt, ist dieser im Verhältnis zum Verantwortlichen als Auftragsverarbeiter einzuordnen.
Art. 28 Abs. 1 DSGVO stellt im Hinblick auf die Auswahl der Auftragsverarbeiter klar, dass nur mit solchen Auftragsverarbeitern zusammengearbeitet werden darf,
| die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. |
Der Verantwortliche muss folglich in einem ersten Schritt das Risiko bestimmen, dass sich mit der Weitergabe der Daten in die Cloud für die Betroffenen ergibt.
Darüber hinaus muss sich der Verantwortlich im Fall des Datentransfers an einen Cloud-Anbieter ausserhalb der EU/EWRversichern, dass das erforderliche Datenschutzniveau eingehalten wird.