Die Auslagerung von IT-Dienstleistungen an einen Service Provider im Rahmen von Cloud-Computing ändert nichts an der unternehmerischen Verantwortung des Auftraggebers für den Datenschutz.
Der Autraggeber behält die Hoheit und Entscheidungsbefugnis über seine Daten, genauso wie es im Fall des IT-Outsourcings oder Einsatz von Managed Services der Fall ist. Er ist somit für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten voll verantwortlich. Diese Verantwortung kann der Auftraggeber vertraglich nicht auf einen Dienstleister übertragen. Das Bundesdatenschutzgesetz (BDSG) und die Europäische Datenschutzgrundverordnung (DS-GVO) verpflichten die Unternehmen per se zur "sorgfältigen Auswahl" des Serviceproviders, sowie zur Überprüfung der von ihm durchgeführten Datenschutzmaßnahmen.
Auftraggeber, die Dienstleistungen der managedhosting.de GmbH in Anspruch nehmen, müssen ihre Daten selbst analysieren und den Schutzbedarf festlegen. Diese Anforderungen müssen sie mit den Gegebenheiten der bei managedhosting.de in Anspruch genommen Dienstleistung abgleichen. Ausgehend vom ausgewählten Service Modell (IaaS, PaaS, SaaS) variieren die Rechte und Pflichten des Auftraggebers. Der Auftraggeber ist somit selbst verantwortlich, im Bedarfsfalle bei der managedhosting.de GmbH den Abschluß einer Zusatzvereinbarung zur Auftragsverarbeitung nachzufragen bzw. abzuschließen.
Auftragsverarbeitung (kurz: AV), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. Kapitel 4 (§ 62 – 77) des BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.
Die managedhosting.de GmbH als Auftragnehmer erbringt gegenüber dem Auftraggeber die in der Leistungsvereinbarung festgelegten IT-Dienstleistungen. Der Auftragnehmer wird nicht damit beauftragt, personenbezogene Daten im Namen des Auftraggebers zu erheben, diese zu nutzen oder personenbezogene Daten im Namen des Auftraggebers zu verarbeiten.
Vielmehr wurde der Auftragnehmer mit der Erbringung von IT-Dienstleistungen beauftragt, mittels derer der Auftraggeber selbst personenbezogene Daten in eigener Verantwortung erhebt, nutzt und verarbeitet, ohne das der Auftragnehmer zwangsläufig davon Kenntnis erlangt. Demnach wird ein Auftrag regelmäßig nur vorsorglich im Sinne von § 62 BDSG und Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) erteilt.
Die der in der Leistungsvereinbarung beschriebene IT-Dienstleistung findet ausschließlich auf Gebiet der Bundesrepublik Deutschland statt.
Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 64 BDSG und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach ISO/IEC 27001 oder BSI-Grundschutz) erbracht werden.
Darüberhinausgehende Anforderungen des Auftraggebers an die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen, z. Bsp. die vor-Ort-Besichtigung der Datacenterstandorte werden vom Auftragnehmer nicht verpflichtend nur gegen eine Aufwandsentschädigung erbracht.