Gegevensbescherming in de cloud brengt risico’s met zich mee vanwege externe dienstverleners en datacenters. Daarom zijn speciale wettelijke voorschriften nodig. Vooral als de provider in een niet-Europees land is gevestigd, zoals de VS.
Het uitbesteden van gegevens aan een provider heeft enkele voordelen. Er moet echter rekening worden gehouden met een aantal juridische aspecten. Wat gegevensbescherming betreft, kan aan sommige van deze eisen reeds worden voldaan indien de aanbieder aandacht besteedt aan de juiste onderdelen. Deze omvatten het gebruik van bepaalde hardware en software, alsmede versleutelingstechnieken voor gegevens en toegang (VPN), speciale authenticatiemethoden of firewall-componenten. Daarnaast is er de organisatorische beveiliging, die de fysieke toegang tot de verschillende onderdelen van het datacentrum regelt.
Bovendien is er de kwestie van opslag die aan de wettelijke voorschriften voldoet. Deze verschillen van land tot land. In Duitsland wordt dit geregeld door de federale wet op de gegevensbescherming en EU-voorschriften. Het uitbestedende bedrijf is verantwoordelijk voor de beveiliging van de gegevens in zijn externe relatie met derden. Indien gegevens buiten de EU worden opgeslagen en verwerkt, wordt de juridische situatie moeilijker.
Patriot Act
Dit is met name van belang omdat veel grote cloudaanbieders hun datacenters in de VS hebben. Het opslaan van gegevens van derden in de VS kan hier leiden tot een inbreuk op de wetgeving inzake gegevensbescherming. Dit komt omdat cloud providers in de VS op grond van de Patriot Act wettelijk verplicht zijn om op verzoek gegevens te verstrekken aan Amerikaanse autoriteiten. In deze gevallen is het sluiten van een contract voor gegevensverwerking in opdracht niet langer voldoende om te voldoen aan de wettelijke vereisten inzake gegevensbescherming. Er moeten aanvullende afspraken worden gemaakt met de provider. Er moet voor worden gezorgd dat aan de vereisten van het EU-VS-privacyschild wordt voldaan.
Gemengd contract
Een contract voor gegevensverwerking in opdracht regelt de details tussen de aanbieder en het gebruikende bedrijf. De gebruiker heeft een controleplicht en kan er zeker van zijn dat aan bepaalde eisen wordt voldaan, bijvoorbeeld door middel van certificaten. Bovendien moet de gebruiker het recht krijgen om van aanbieder te veranderen, met inbegrip van het overdragen van gegevens. Hij blijft de eigenaar van de gegevens. Aan het einde van het contract worden de gegevens door de cloudaanbieder gewist.
Een cloud-contract is meestal een contract van gemengd type en kan daarom niet duidelijk worden toegewezen aan één BGB-contracttype, zoals een huurovereenkomst of een dienstencontract. In plaats daarvan kunnen de afzonderlijke diensten die door de dienstverrichter moeten worden verricht, een ander contractueel karakter hebben. Zo zal opslag gewoonlijk een huurkarakter hebben (§ 535 BGB), uitvoering een werkkarakter (§ 631 BGB), computerdiensten en ondersteuning een dienstkarakter (§ 611 BGB). De aard van de overeenkomst is van belang voor de vaststelling van de verschuldigde prestatie, de toetsingsmaatstaf van de AV (§ 305 e.v. BGB) en de uit gebreken voortvloeiende rechten.