Mobiles Arbeiten und die Nutzung von Cloud-Lösungen ist aus dem modernen Arbeitsalltag nicht mehr wegzudenken. Da aber die in einer Cloud gespeicherten Unternehmensdaten der unmittelbaren Kontrolle durch das Unternehmen entzogen sind, gehe damit auch ein höheres Sicherheitsrisiko für die ausgelagerten Daten einher. Die Auswahl des richtigen Dienstleisters richte sich zum einen nach der Art der auzulagendern Daten und zum anderen nach dem Standort des Cloud-Dienstleisters. Für öffentliche Daten, die auch externen Personen zugänglich sind, könne ein anderer Cloud-Dienstleister verwendet werden als für vertrauliche Unternehmensdaten. Geheime Daten (zB über M&A-Projekte) sollten überhaupt nicht in einer Cloud gespeichert werden. Der Standort des Cloud-Servers sei für die Frage wesentlich, welche datenschutzrechtlichen Bestimmungen einzuhalten sind. Während der Datentransfer innerhalb des EWR und in einige als sicher eingestufte Länder genehmigungsfrei sei, hänge der Datentransfer in Drittstaaten von der Genehmigung der Datenschutzbehörde ab. Bei ausländischen Cloud-Providern seien überdies die Regeln über den internationalen Datentransfer einzuhalten. Zuletzt sollten alle datenschutzrechtlichen Aspekte sowie auch weitere zivilrechtliche Aspekte in Bezug auf Haftung bei Datenverlusten, Insolvenz des Cloud-Dienstleisters oder Datenübertragbarkeit im Falle des Wechselns des Cloud-Dienstleiters sowie die Erfüllung technischer Sicherheitsstandards durch den Cloud-Dienstleister vertraglich festgehalten werden.
