Insbesondere das IT-Outsourcing ist regelmäßig mit der Verarbeitung personenbezogener Daten durch den Dienstleister verbunden. Dies ist z.B. der Fall, wenn Anwendungen, die zur Verarbeitung von denen Mitarbeiter- oder Kundendaten dienen, von einem IT-Dienstleister im ASP-Betrieb bzw. als Cloud-Service zur Verfügung gestellt werden. Denn der Dienstleister hat durch das Hosting in aller Regel zumindest theoretisch die Möglichkeit des Zugriffs auf die Daten. Übersehen wird zudem oft, dass schon die Login-Daten der Benutzeraccounts der Mitarbeiter im Zweifel personenbezogen sind und schon deshalb die Regelungen des BDSG zu beachten sind.
Das Outsourcing von IT-Leistungen ist daher grundsätzlich eine Auftragsdatenverarbeitung, so dass eine entsprechende Vereinbarung nach § 11 BDSG erforderlich ist. Dies gilt auch für die Wartung und die Fernwartung der Unternehmens-IT durch Dritte, soweit dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (z.B. wenn der Wartungs-Dienstleister Zugriffsrechte auf Systemebene besitzt).
Verarbeitet der Dienstleister Daten außerhalb des Europäischen Wirtschaftsraums (oder kann er von dort aus darauf zugreifen), so ist zusätzlich sicherzustellen, dass er ein angemessenes Datenschutzniveau gewährleistet (§§ 4b, 4c BDSG). Hierzu bieten sich insbesondere die von der EU-Kommission veröffentlichten Musterverträge (EU Model Clauses) an.