Teil III: Datenschutzrechtliche Besonderheiten
Hier darf auf die Ausführung zum Datenschutzrecht verwiesen werden. Zu beachten ist insbesondere der § 11 Abs. 5 des Bundesdatenschutzgesetzes. Folgender Hintergrund besteht: Wer auch immer personenbezogene Daten eines Dritten erhebt, speichert und verarbeitet, bedarf der Zustimmung der betroffenen Person. Der Betreiber des Rechenzentrums wird aber nur in den allerwenigsten Fällen die entsprechenden Zustimmungen haben, weil er sich mit den Personen in keinem vertraglichen Zustand befindet, deren Daten er speichert oder verarbeitet. Wenn ein Unternehmen z. B. die Personalbuchhaltung über ein Rechenzentrum vornehmen lässt, muß man sicherstellen, dass das Rechenzentrum auch selbst datenschutzrechtlich dazu in der Lage ist, die Daten der Angestellten zu speichern und zu verarbeiten. Die eigentlich nach dem Datenschutzrecht erforderliche Zustimmung kann entfallen, wenn dem Auftraggeber gegenüber dem Rechenzentrum die gleichen Rechte eingeräumt werden, die der Auftraggeber gegenüber einem Angestellten hätte. Dieser Vorgang wird allgemein mit dem Wort der Auftragsdatenverarbeitung beschrieben. Er ist rechtlich im § 11 des Bundesdatenschutzrechts normiert. Man muß zu diesem Thema eigentlich nur zwei Dinge wissen:
1: Die Anforderung, die das Rechenzentrum zu erfüllen hat, sind allesamt im § 9 mit samt seiner Anlagen normiert.
2: Eine Verlagerung der Auftragsdatenverarbeitung in das extraeuropäische Ausland ist nur in Ausnahmefällen möglich. Das Datenschutzrecht Europas geht davon aus, dass in den Ländern der Europäischen Union ein ausreichendes Datenschutzniveau geleistet wird. Außerhalb der Europäischen Union besteht eine solche Vermutungsregelung nicht, so daß die Übertragung von personenbezogenen Daten auf Rechenzentren, die sich außerhalb der Europäischen Union befinden, sehr problematisch sein kann.
