La protección de datos en la nube implica riesgos debidos a los proveedores de servicios y centros de datos externos. Por lo tanto, son necesarios requisitos legales especiales. Especialmente si el proveedor se encuentra en un país no europeo, como Estados Unidos.
La externalización de datos a un proveedor tiene algunas ventajas. Sin embargo, hay que tener en cuenta una serie de aspectos legales. En lo que respecta a la protección de datos, algunos de estos requisitos ya pueden cumplirse si el proveedor presta atención a los componentes adecuados. Entre ellas se encuentran el uso de determinados equipos y programas informáticos, así como técnicas de cifrado de datos y de acceso (VPN), métodos especiales de autenticación o componentes de cortafuegos. Además, está la seguridad organizativa, que regula el acceso físico a los distintos componentes del centro de datos.
Además, está la cuestión del almacenamiento conforme a la ley. Estos difieren de un país a otro. En Alemania, está regulada por la Ley Federal de Protección de Datos y la normativa de la UE. La empresa subcontratada es responsable de la seguridad de los datos en su relación externa con terceros. Si los datos se almacenan y procesan fuera de la UE, la situación legal se complica.
Ley Patriótica
Esto es especialmente importante porque muchos grandes proveedores de la nube operan sus centros de datos en Estados Unidos. El almacenamiento de datos de terceros en Estados Unidos puede suponer una infracción de la ley de protección de datos en este país. Esto se debe a que los proveedores de la nube en EE.UU. están legalmente obligados, en virtud de la Ley Patriótica, a proporcionar datos a las autoridades estadounidenses si lo solicitan. En estos casos, la celebración de un contrato de tratamiento de datos por encargo ya no es suficiente para cumplir los requisitos de la ley de protección de datos. Hay que llegar a acuerdos adicionales con el proveedor. Debe garantizarse que se cumplen los requisitos del Escudo de la privacidad UE-EE.UU.
Contrato de tipo mixto
Un contrato de encargo de tratamiento de datos regula los detalles entre el proveedor y la empresa usuaria. El usuario tiene un deber de control y puede asegurarse del cumplimiento de determinados requisitos, por ejemplo, mediante certificados. Además, el usuario debe tener derecho a cambiar de proveedor, incluida la portabilidad de datos. Sigue siendo el propietario de los datos. Al final del contrato, los datos son eliminados por el proveedor de la nube.
Un contrato en la nube suele ser un contrato de tipo mixto y, por tanto, no puede asignarse claramente a un único tipo de contrato del BGB, como un contrato de arrendamiento o de servicios. En cambio, los servicios individuales que debe prestar el proveedor pueden tener una naturaleza contractual diferente. Por ejemplo, el almacenamiento será normalmente de naturaleza de alquiler (§ 535 BGB), la implementación será de naturaleza de trabajo (§ 631 BGB), los servicios informáticos y el soporte serán de naturaleza de servicio (§ 611 BGB). La naturaleza del contrato es relevante para la determinación de la prestación debida, el criterio de revisión del CCC (§ 305 y siguientes del BGB) y los derechos derivados de los defectos.