| Geleitwort | 6 |
| Vorwort | 8 |
| Inhaltsverzeichnis | 9 |
| Abkürzungsverzeichnis | 18 |
| 1 Einleitung | 24 |
| 2 Cloud Computing | 30 |
| 2.1 Eigenschaften der Cloud | 31 |
| 2.2 Beteiligte | 33 |
| 2.3 Cloud-Dienste | 34 |
| 2.4 Organisationsmodelle | 37 |
| 2.5 Phasenmodell für rechtlich relevante Datenwege | 38 |
| 3 Cloud Computing für den Mittelstand | 40 |
| 4 Normative Grundlagen des Datenschutzrechts | 45 |
| 4.1 Vereinte Nationen und OECD | 45 |
| 4.2 Europarat | 46 |
| 4.3 Charta der Grundrechte der Europäischen Union | 48 |
| 4.4 Artikel 16 AEUV | 50 |
| 4.5 Datenschutzrichtlinie | 51 |
| 4.6 Deutscher Grundrechtsschutz | 52 |
| 4.6.1 Recht auf informationelle Selbstbestimmung | 52 |
| 4.6.2 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme | 58 |
| 4.7 Vorrang des unions-grundrechtlichen Datenschutzes? | 60 |
| 4.7.1 Vorrang Europäischer Grundrechte aus Sicht des Europäischen Gerichtshofs | 61 |
| 4.7.2 Eingeschränktes Vorrangverhältnis aus Sicht des Bundesverfassungsgerichts | 61 |
| 4.7.3 Grundrechtsvorrang im Umsetzungsspielraum von Richtlinien | 65 |
| 4.7.4 Umsetzungsspielräume in der Datenschutzrichtlinie | 67 |
| 4.7.5 Verbleibender Anwendungsbereich für das Recht auf informationelle Selbstbestimmung | 70 |
| 5 Anwendungsbereich des einfachgesetzlichen Datenschutzrechts | 73 |
| 5.1 Sachlicher Anwendungsbereich | 74 |
| 5.1.1 Einzelangaben | 75 |
| 5.1.2 Persönliche und sachliche Verhältnisse einer Person | 75 |
| 5.1.3 Natürliche Person | 77 |
| 5.1.4 Bestimmte und bestimmbare Person | 78 |
| 5.1.5 Folgen für die Cloud | 91 |
| 5.1.6 Anonymisierung | 93 |
| 5.1.7 Pseudonymisierung | 96 |
| 5.1.8 Kryptographische Verschlüsselung | 97 |
| 5.1.9 Verschlüsselung in der Cloud | 106 |
| 5.1.10 Unverschlüsselte Verarbeitung von Daten | 117 |
| 5.1.11 Datenversiegelung zum betreibersicheren Cloud Computing | 118 |
| 5.1.12 Unverschlüsselbare Metadaten | 131 |
| 5.2 Persönlicher Anwendungsbereich | 133 |
| 5.2.1 Verantwortliche Stelle im Internet | 133 |
| 5.2.2 Entscheidung über Zwecke und Mittel der Verarbeitung | 134 |
| 5.2.3 Verantwortung mehrerer Akteure | 135 |
| 5.2.4 Folgen für das Cloud Computing | 142 |
| 5.2.5 Auftragsdatenverarbeitung | 149 |
| 5.2.6 Auswirkungen auf verschiedene Betroffenenkonstellationen | 160 |
| 5.3 Räumlicher Anwendungsbereich | 162 |
| 5.3.1 Einordnung in das Kollisionsrecht | 162 |
| 5.3.2 Innereuropäische Kollisionsvermeidung | 166 |
| 5.3.3 Anwendungsbereich bei Drittlandbezug | 173 |
| 5.3.4 Durchsetzung | 188 |
| 5.4 Anwendbarkeit des Telekommunikations- und Telemediengesetzes | 190 |
| 5.4.1 Cloud Computing und Telekommunikationsgesetz | 191 |
| 5.4.2 Cloud Computing und Telemediengesetz | 193 |
| 5.4.3 Daten beim Cloud Computing | 194 |
| 5.4.4 Folgen für das Cloud Computing | 196 |
| 5.4.5 Keine Anwendbarkeit des Telekommunikations- und Telemediengesetzes auf den Datenumgang in der Cloud | 202 |
| 6 Datenschutzrechtliche Zulässigkeit | 205 |
| 6.1 Erfordernis einer Einwilligung oder einer gesetzlichen Erlaubnis | 205 |
| 6.2 Gesetzliche Erlaubnistatbestände | 206 |
| 6.3 Erhebung von Daten beim Betroffenen | 208 |
| 6.4 Eigene Geschäftszwecke in Abgrenzung zu geschäftsmäßigem Handeln | 212 |
| 6.4.1 Datenumgang durch den Cloud-Nutzer | 214 |
| 6.4.2 Datenumgang durch den Cloud-Anbieter | 216 |
| 6.4.3 Datenumgang in der Cloud für eigene Geschäftszwecke | 219 |
| 6.5 Zulässigkeit des Datenumgangs zur Erfüllung eigener Geschäftszwecke | 219 |
| 6.5.1 Erforderlichkeit für die Begründung, Durchführung oder Beendigung von Schuldverhältnissen | 221 |
| 6.5.2 Datenumgang aufgrund berechtigter Interessen | 230 |
| 6.5.3 Umgang mit allgemein zugänglichen Daten | 249 |
| 6.5.4 Zweckbindung und Zweckänderung | 251 |
| 6.5.5 Keine umfassende gesetzliche Grundlage zum Datenumgang in der Cloud | 260 |
| 6.6 Einwilligung | 261 |
| 6.6.1 Herleitung aus dem Recht auf informationelle Selbstbestimmung | 262 |
| 6.6.2 Rechtsnatur der Einwilligung | 263 |
| 6.6.3 Freiwilligkeit | 264 |
| 6.6.4 Informiertheit | 272 |
| 6.6.5 Formularmäßige Einwilligungen | 273 |
| 6.6.6 Bestimmtheit | 276 |
| 6.6.7 Formale Anforderungen | 278 |
| 6.6.8 Folgen für die Einwilligung beim Cloud Computing | 281 |
| 7 Datenweitergabe im Rahmen der Auftragsdatenverarbeitung | 284 |
| 7.1 Auswahl und Kontrolle des Auftragnehmers durch den Auftraggeber | 286 |
| 7.1.1 Sorgfältige Auswahl des Auftragnehmers | 286 |
| 7.1.2 Überprüfung des Auftragnehmers | 288 |
| 7.1.3 Auswahl und Kontrolle in der IT-basierten Auftragsdatenverarbeitung | 289 |
| 7.1.4 Selbstkontrolle durch den Auftragnehmer oder Fremdkontrolle | 296 |
| 7.2 Weitere Anforderungen an den Auftraggeber | 297 |
| 7.2.1 Dokumentation | 297 |
| 7.2.2 Schriftliche Auftragserteilung | 298 |
| 7.2.3 Zehn-Punkte-Katalog | 299 |
| 7.2.4 Weisungsbindung | 306 |
| 8 Entwicklung einer rechtssicheren Zertifizierung de lege ferenda | 308 |
| 8.1 Rechtsunsicherheit trotz Zertifizierung | 308 |
| 8.2 Reformen des Kontrollrechts als Reaktion auf die Rechtsunsicherheit | 309 |
| 8.2.1 Veränderung der Verantwortungsstruktur | 309 |
| 8.2.2 Rücknahme der Kontrollpflicht unter Einführung eines Haftungsregimes | 310 |
| 8.2.3 Reform der Kontrollpflichten nach § 11 Abs. 2 S. 4 BDSG | 310 |
| 8.3 Grundbedingungen eines zukünftigen Zertifizierungssystems | 311 |
| 8.3.1 Zertifizierung als Gegenstand gestufter Prüfsysteme | 311 |
| 8.3.2 Gesetzlich geregeltes Zertifikat statt privatwirtschaftlicher Standardisierung | 312 |
| 8.3.3 Konformitätsbestätigende statt rein marktfördernder Zertifizierung | 314 |
| 8.3.4 Prüfgegenstand und Prüfgruppen | 316 |
| 8.3.5 Konkretisierung der Prüfinhalte | 318 |
| 8.4 Möglichkeiten der Ausgestaltung auf Grundlage bestehender Systeme | 321 |
| 8.4.1 Ausgestaltung als privatrechtliches Testat in Anlehnung an die Wirtschaftsprüfung? | 321 |
| 8.4.2 Ausgestaltung als Verwaltungsakt in Anlehnung an die Kraftfahrzeug-Hauptuntersuchung? | 323 |
| 8.4.3 Ausgestaltung als Konformitätsbewertung mit Vermutungswirkung in Anlehnung an das Umwelt- oder Produktsicherheitsrecht? | 329 |
| 8.4.4 Ausgestaltung als „freiwillige öffentlich-rechtliche Zertifizierung“ in Anlehnung an das Signaturrecht? | 337 |
| 8.4.5 Gestaltungsoffenheit | 341 |
| 8.5 Qualitätssicherung durch Akkreditierung und Ermächtigung | 343 |
| 8.5.1 Akkreditierung am Beispiel des harmonisierten Produktsicherheitsrechts | 344 |
| 8.5.2 Akkreditierung am Beispiel des Signaturrechts | 345 |
| 8.5.3 Umsetzung der Akkreditierung für die Zertifizierung der Auftragsdatenverarbeitung | 346 |
| 8.6 Chancen und Risiken der Auftragsdatenverarbeitung für die Cloud | 348 |
| 9 Internationales Cloud Computing | 350 |
| 9.1 Datenumgang innerhalb der EU und des EWR | 351 |
| 9.2 Drittlandbezug | 352 |
| 9.2.1 Drittlandbezug bei Auseinanderfallen des Sitzes der datenverarbeitenden Stelle vom Ort des Datenumgangs | 352 |
| 9.2.2 Zulässigkeitsvoraussetzungen für den Datenexport in Drittländer | 354 |
| 9.2.3 Auswirkungen des Datenexports auf die allgemeinen Zulässigkeitstatbestände | 380 |
| 9.2.4 Unüberwindbare Hürden für das internationale Cloud Computing?Herkömmlicher Regelungen als „Cloud-Stopper“? | 401 |
| 9.2.5 Processor Binding Corporate Rules als Lösungsansatz für die Cloud? | 402 |
| 10 Cloud Computing und ausländische Behörden – Beispiel USA | 409 |
| 10.1 Erweiterte Zugriffsbefugnisse auf Daten nach dem „PATRIOT Act“ | 409 |
| 10.1.1 Strafverfolgung nach dem Electronic Communications Privacy Act (ECPA) | 409 |
| 10.1.2 Terrorismusbekämpfung und Geheimdiensttätigkeiten durch FISA-Anordnungen und National Security Letters (NSL) | 412 |
| 10.1.3 Zugriff auf Cloud-Server außerhalb der USA | 414 |
| 10.2 Electronic Discovery (E-Discovery) | 417 |
| 11 Betroffenenrechte | 422 |
| 11.1 Dispositionsverbot und Weiterleitungsgebot | 423 |
| 11.2 Transparenzrechte | 424 |
| 11.2.1 Benachrichtigung | 424 |
| 11.2.2 Auskunft | 428 |
| 11.2.3 Technische Umsetzung von Benachrichtigung und Auskunft in der Cloud | 430 |
| 11.3 Gestaltungsrechte | 431 |
| 11.3.1 Beschwerde | 431 |
| 11.3.2 Widerspruch bei rechtmäßigem Datenumgang | 432 |
| 11.3.3 Eingriffsrechte bei unrechtmäßigem Datenumgang | 433 |
| 12 Technische und organisatorische Maßnahmen | 440 |
| 12.1 Erforderlichkeit und Verhältnismäßigkeit | 441 |
| 12.2 Einzelne Maßnahmen nach der Anlage zu § 9 S. 1 BDSG | 443 |
| 12.2.1 Organisationskontrolle | 444 |
| 12.2.2 Zutrittskontrolle | 445 |
| 12.2.3 Zugangskontrolle | 446 |
| 12.2.4 Zugriffskontrolle | 447 |
| 12.2.5 Weitergabekontrolle | 448 |
| 12.2.6 Eingabekontrolle | 449 |
| 12.2.7 Auftragskontrolle | 450 |
| 12.2.8 Verfügbarkeitskontrolle | 451 |
| 12.2.9 Trennungsgebot | 451 |
| 12.2.10 Verschlüsselung | 452 |
| 13 Geheimnisschutz | 454 |
| 13.1 Strafbewehrter Berufsgeheimnisschutz | 454 |
| 13.1.1 Geheimnisschutz und Bundesdatenschutzgesetz | 455 |
| 13.1.2 Anvertrautes Geheimnis | 457 |
| 13.1.3 Offenbarung durch Nutzung der Cloud | 458 |
| 13.1.4 Gehilfe und Auftragsdatenverarbeitung | 463 |
| 13.1.5 Einwilligung als Befugnis zur Offenbarung? | 468 |
| 13.1.6 Schutz betroffener Dritter | 469 |
| 13.1.7 Verbleibende Risiken | 470 |
| 13.2 Geschäfts- und Betriebsgeheimnisse nach § 17 UWG | 472 |
| 14 Europäische Reformbemühungen im Datenschutz | 473 |
| 14.1 Wechsel zur Verordnung | 475 |
| 14.2 Anwendungsbereich | 479 |
| 14.2.1 Persönlicher Anwendungsbereich | 479 |
| 14.2.2 Sachlicher Anwendungsbereich | 480 |
| 14.2.3 Räumlicher Anwendungsbereich | 482 |
| 14.3 Zulässigkeit der Datenverarbeitung | 483 |
| 14.3.1 Einwilligung | 483 |
| 14.3.2 Erlaubnistatbestände | 484 |
| 14.4 Auftragsdatenverarbeitung | 484 |
| 14.5 Betroffenenrechte | 486 |
| 14.6 Internationale Datenverarbeitungen | 488 |
| 14.7 Technische und organisatorische Maßnahmen | 489 |
| 14.8 Datenschutzaufsicht | 490 |
| 15 Rechtsverträgliches Cloud Computing | 492 |
| 15.1 Regulative Begrenzung der Cloud | 492 |
| 15.2 Cloud-fördernde Funktion des Rechts | 494 |
| 15.3 Rechtliche Technikgestaltung | 496 |
| Literaturverzeichnis | 500 |
