Kontrollpflichten des Kunden

Auch bei einer Auftragsdatenverarbeitung bleibt der Kunde für die inhaltliche Verarbeitung personenbezogener Daten verantwortlich. Sein betrieblicher Datenschutzbeauftragter zeichnet für die Verarbeitung in der Cloud zuständig - und benötigt entsprechende Informations- und Prüfungsrechte.

Darüber hinaus muss der Kunde die Datenschutzmaßnahmen des Cloud-Anbieters überprüfen. Er bleibt Ansprechpartner des Betroffenen für dessen Rechte - von der Auskunft über Datensperrung und -löschung bis zu Schadensersatzansprüchen. Von daher benötigt der Kunde effektiv umsetzbare Möglichkeiten, mit denen er Daten verändern und löschen kann.

Auch für die seit 2009 geforderte aktive Information des Betroffenen bei bestimmten Datenschutzverstößen (Paragraf 42a BDSG) ist der Auftraggeber zuständig. Der Kunde muss sich dabei auf die Informationspflichten des Anbieters verlassen können, sowie auf dessen Verpflichtung, etwaige Datenschutzverstöße umgehend abzustellen. Hat der Kunde Kenntnis von Datenschutzverstößen oder unzureichendem Datenschutz beim Empfänger übermittelter Daten, muss er sein Vorgehen daran orientieren.

Für den Kunden notwendige Rechte müssen auch dann umgesetzt werden, wenn der Cloud-Anbieter seine Leistungen durch Subunternehmer erbringen lässt. Über solche Regelungen in den Subunternehmerverträgen sollte sich der Kunde unbedingt informieren.