• Wenn Cloudserver außerhalb der EU stehen, müssen geeignete Garantien für ein angemessenes Sicherheitsniveau vorliegen (z.B. Angemessenheitsbeschluss der EU-Kommission).

Unabhängig vom Standort der Server sollten folgende Punkte berücksichtigt werden:

• Vertrauenswürdigkeit des Anbieters
• geeignete Informationssicherheitszertifizierung (z.B. ISO270xx)
• Verschlüsselung der Daten (insbesondere beim Transport und beim Speichern)
• Daten bei Vertragsbeendigung: Daten sollen an den Dateneigentümer zurückgegeben und auf Anbieterseite vernichtet werden. Dabei ist zu beachten, dass die Daten in einem gängigen Format zurückgegeben werden um diese in einem etwaigen neuen System weiterverwenden zu können. In diesem Zusammenhang muss auch geklärt werden, ob diese Formatvorgaben im Fall einer Kündigung Zusatzkosten verursachen.