Annahme: Der Anbieter eines Cloud-Services (im Folgenden ANBIETER) schließt mit seinem Kunden, einem Internetshop-Betreiber, einen Vertrag über die Nutzung seiner Cloud-Services. Der Kunde bindet diese in seinen Internetshop ein.
Der Internetshop (= Kunde) bietet nun seinerseits dem Shop-Besucher eine Web-Seite an, die dieser ausfüllt. Die Daten werden an den Shop übertragen. Während der Dateneingabe auf dem Endgerät des Shop-Besuchers werden die Cloud-Services von eben diesem Endgerät des Besuchers direkt beim ANBIETER aufgerufen. Ein AVV wurde natürlich nur zwischen Shop und ANBIETER geschlossen.
Defacto werden hier also Daten vom Shop-Besucher direkt an den ANBIETER geschickt. Sie hätten natürlich auch an den Shop zurückgesandt werden können und der Cloud-Service wäre dann von Shop aufgerufen worden. Der direkte Weg vom Endgerät des Shop-Besuchers zum ANBIETER wird aus Gründen der Performance gewählt.
Wer nutzt nun – im datenschutzrechtlichen Sinne – den Cloud-Services? Der Shop-Betreiber oder der Shop-Besucher auf seinem Endgerät? Ist diese Datenverarbeitung vom AVV erfasst? Was passiert hier im Einzelnen juristisch betrachtet? Sehe ich den Wald vor lauter Bäumen nicht?
Aus meiner Sicht ein klassischer Fall von Auftragsverarbeitung: Der Shop-Betreiber beauftragt einen Anbieter mit der Verarbeitung der Daten. Es ist ja nicht notwendig, dass die Daten vom Auftraggeber zum Auftragnehmer fliessen. Ausschlaggebend ist, dass der Auftraggeber den Auftragnehmer mit der Datenverarbeitung beauftragt hat.
Für den Shop-Nutzer ist es egal, was dahinter steckt - er hat einen Vertrag mit dem Shop und dieser ist auch verantwortlich für die Datenverarbeitung.
Danke. Mir geht es um die Rechtskonstruktion. Der Besucher hat eine Seite aus dem Shop aufgerufen, die salopp gesagt auch ein Programm (HTML, Java Scripte) enthält, das gewisse Dinge ausführt, u.a. eben auch diesen Cloud Service aufruft. Was passiert da im einzelnen aus juristischer Sicht? Man könnte vielleicht sagen, der Besucher stellt dem Shop seinen Rechner (unentgeltlich) zur Verfügung, auf ihm diese “Programme” auszuführen. Dann wäre es der Shop selbst, der den Cloud-Service ausführt…
es ist so wie die User harderner und bdsb bereits beschrieben haben.
Der Cloudbetreiber ist ein Webhoster, der dem Internetshopbetreiber Webspace zur Verfügung stellt.
Viele Webhoster stellen zusätze Services zur Verfügung wie z.B. ein CMS oder eben einen Webshop.
Das ist eine Auftragsverarbeitung AG und Verantwortlicher ist der Shopbetreiber und AN ist der Webhoster.
Danke. Bei Deinen Beispielen mit dem Webhoster bleibt es aber bei einer Kommunikation zwischen Besucher und demselben Webhoster. Bei mir wird aber eben mit dem Service eines weiteren Dienstleisters kommuniziert. Die Erklärung ist wohl, dass dieser weitere Service aufgrund des bestehenden AV-Vertrags dem Shop zugerechnet werden kann. Korrekt?