La protezione dei dati nel cloud comporta rischi dovuti a fornitori di servizi esterni e centri dati. Pertanto, sono necessari speciali requisiti legali. Soprattutto se il fornitore si trova in un paese non europeo, come gli USA.
L'esternalizzazione dei dati a un fornitore ha alcuni vantaggi. Tuttavia, è necessario prendere in considerazione una serie di aspetti legali. Per quanto riguarda la protezione dei dati, alcuni di questi requisiti possono già essere soddisfatti se il fornitore presta attenzione alle componenti appropriate. Questi includono l'uso di certi hardware e software così come tecniche di crittografia per i dati e l'accesso (VPN), metodi di autenticazione speciali o componenti firewall. Inoltre, c'è la sicurezza organizzativa, che regola l'accesso fisico ai vari componenti del centro dati.
Inoltre, c'è la questione dello stoccaggio conforme alla legge. Questi differiscono da paese a paese. In Germania, è regolata dalla legge federale sulla protezione dei dati e dai regolamenti dell'UE. La società di outsourcing è responsabile della sicurezza dei dati nella sua relazione esterna con terzi. Se i dati sono immagazzinati ed elaborati al di fuori dell'UE, la situazione legale diventa più difficile.
Patriot Act
Questo è particolarmente importante perché molti grandi fornitori di cloud operano i loro data center negli Stati Uniti. Conservare i dati di terzi negli Stati Uniti può comportare una violazione della legge sulla protezione dei dati qui. Questo perché i fornitori di cloud negli Stati Uniti sono legalmente obbligati dal Patriot Act a fornire dati alle autorità americane su richiesta. In questi casi, la conclusione di un contratto di trattamento dei dati commissionato non è più sufficiente per il rispetto dei requisiti della legge sulla protezione dei dati. Ulteriori accordi devono essere presi con il fornitore. Bisogna assicurarsi che i requisiti dello scudo UE-USA per la privacy siano soddisfatti.
Contratto di tipo misto
Un contratto per il trattamento dei dati commissionato regola i dettagli tra il fornitore e l'azienda utente. L'utente ha l'obbligo di controllo e può essere assicurato del rispetto di certi requisiti, per esempio, per mezzo di certificati. Inoltre, all'utente devono essere concessi i diritti per cambiare fornitore, compresa la portabilità dei dati. Egli rimane il proprietario dei dati. Alla fine del contratto, i dati vengono cancellati dal fornitore di cloud.
Un contratto cloud è di solito un contratto di tipo misto e quindi non può essere chiaramente assegnato a un singolo tipo di contratto BGB, come un contratto di locazione o di servizio. Invece, i singoli servizi che il fornitore deve fornire possono avere una diversa natura contrattuale. Per esempio, lo stoccaggio sarà di solito di natura locativa (§ 535 BGB), l'implementazione sarà di natura lavorativa (§ 631 BGB), i servizi informatici e il supporto saranno di natura di servizio (§ 611 BGB). La natura del contratto è rilevante per la determinazione della prestazione dovuta, lo standard di revisione delle GTC (§ 305 e seguenti BGB) e i diritti derivanti dai difetti.