Cloud Computing ist im Unternehmensumfeld weit verbreitet (z.B. Office-Lösungen wie Google Apps for Work oder Microsoft Office 365; CRM-Lösungen wie Salesforce; Infrastruktur-Lösungen wie Amazon S3 und E2C; diverse ERP-Systeme). Da die Nutzdaten nicht lokal, sondern in der IT des Anbieters gespeichert und verarbeitet werden, sind datenschutzrechtlich dieselben Anforderungen zu beachten wie bei jeder anderen Art von Auftragsdatenverarbeitung. Eine Vereinbarung nach § 11 BDSG (und ggf. ergänzende Vereinbarungen für Datentransfers außerhalb des EWR) ist damit Grundvoraussetzung für eine datenschutzrechtliche zulässige Nutzung von Cloud-Diensten in Deutschland.

Problematisch ist in der Praxis jedoch, dass viele Anbieter auf das deutsche Datenschutzrecht nur unzureichend eingestellt sind. Die erforderlichen Vereinbarungen müssen dann ggf. erst mühsam individuell verhandelt werden. Cloudtypische Datenschutzprobleme ergeben sich ferner daraus, dass Anbieter mit weltweit verteilten Rechenzentren und Subdienstleistern teilweise gar keine Auskunft geben können, wo Daten überaupt verarbeitet werden – eine effektive Kontrolle über die Daten scheint dann ausgeschlossen. Die deutschen Aufsichtsbehörden äußern zudem häufig die Sorge, dass insbesondere US-amerikanische Anbieter den Zugriff von Sicherheitsbehörden auf die Cloud-Daten nicht verhindern können.