Proteção de dados na nuvem envolve riscos devidos a provedores de serviços externos e centros de dados. Portanto, são necessários requisitos legais especiais. Especialmente se o provedor estiver localizado em um país não europeu, como os EUA.
O outsourcing de dados para um provedor tem algumas vantagens. No entanto, vários aspectos legais devem ser levados em conta. No que diz respeito à protecção de dados, alguns destes requisitos já podem ser cumpridos se o fornecedor prestar atenção aos componentes apropriados. Estes incluem o uso de certo hardware e software, bem como técnicas de criptografia de dados e acesso (VPN), métodos especiais de autenticação ou componentes de firewall. Além disso, há a segurança organizacional, que regula o acesso físico às diversas componentes do centro de dados.
Além disso, há a questão do armazenamento conforme a lei. Estes diferem de país para país. Na Alemanha, é regulado pela Lei Federal de Protecção de Dados e pelos regulamentos da UE. A empresa de outsourcing é responsável pela segurança dos dados na sua relação externa com terceiros. Se os dados são armazenados e processados fora da UE, a situação legal torna-se mais difícil.
Patriot Act
Isto é particularmente importante porque muitos grandes provedores de nuvens operam seus centros de dados nos EUA. O armazenamento de dados de terceiros nos EUA pode resultar em uma violação da lei de proteção de dados aqui. Isto porque os fornecedores de nuvens nos EUA são legalmente obrigados, nos termos do Patriot Act, a fornecer dados às autoridades americanas, mediante solicitação. Nestes casos, a celebração de um contrato de processamento de dados encomendado já não é suficiente para o cumprimento dos requisitos da lei de protecção de dados. Acordos adicionais devem ser feitos com o fornecedor. Deve-se assegurar que os requisitos do Privacy Shield UE-EUA sejam cumpridos.
Contrato do tipo misto
Um contrato de processamento de dados comissionados regula os detalhes entre o provedor e a empresa usuária. O utilizador tem um dever de controlo e pode ter a garantia do cumprimento de determinados requisitos, por exemplo, através de certificados. Além disso, o usuário deve ter o direito de mudar de provedor, incluindo a portabilidade dos dados. Ele continua a ser o dono dos dados. No final do contrato, os dados são apagados pelo fornecedor da nuvem.
Um contrato de nuvem é normalmente um contrato de tipo misto e, portanto, não pode ser claramente atribuído a um único tipo de contrato BGB, tal como um contrato de arrendamento ou de prestação de serviços. Em vez disso, os serviços individuais a serem prestados pelo prestador podem ter uma natureza contratual diferente. Por exemplo, o armazenamento será normalmente de natureza de aluguer (§ 535 BGB), a implementação será de natureza de trabalho (§ 631 BGB), os serviços e suporte informático serão de natureza de serviço (§ 611 BGB). A natureza do contrato é relevante para a determinação do desempenho devido, do padrão de revisão dos TCG (§ 305 e seguintes do BGB) e dos direitos decorrentes de defeitos.