Besondere datenschutzrechtliche Risiken
In der Orientierungshilfe werden den Vorteilen von Cloud-Computing entsprechend die datenschutzrechtlichen Schwerpunkte gelegt. Diese "cloud-spezifischen" Risiken stehen freilich neben den klassischen, zum Beispiel durch Schadsoftware oder Angriffe Dritter.
Der datenschutzrechtliche Ausgangspunkt ist, dass Cloud-Anwender verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind und damit die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu gewährleisten haben.
Gemäß § 3 Abs. 7 BDSG ist eine verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt und allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nimmt ein Cloud-Anwender von einem entsprechenden Anbieter nun Cloud-Services in Anspruch, so wird Letzterer als Auftragnehmer nach § 11 Abs. 2 BDSG tätig. Die Verantwortung für die Rechtmäßigkeit bleibt gemäß § 11 Abs. 1 BDSG beim Anwender.
Die datenschutzrechtlichen Schwerpunkte knüpfen bei dem möglichen Kontrollverlust des Anwenders über die Daten an, wenn sich die Datenverarbeitung nicht mehr vor Ort, sondern ausgelagert in der Cloud vollzieht und der Anwender selbst keinen konkreten Zugriff mehr auf die Daten hat. Ab dann kann es nur noch schwer nachvollziehbar sein, wo und auf welchen Systemen die Speicherung, Ausführung und Verarbeitung von Daten erfolgt. Die Unsicherheiten erhöhen sich, wenn der Cloud-Anbieter seine Dienstleistungen und Services selbst bei anderen Anbietern einkauft und damit die Transparenz verloren geht.