Auch wenn die Daten und Dienste aus der Wolke kommen, gelten immer noch die Regeln des staatlichen Territoriums, in dem der Service-Nutzer verortet ist. Die Vielfalt der nationalen Gesetze macht daher Compliance für Cloud-Anbieter schwierig. Umgekehrt sollten Anwender genaue Auskunft darüber fordern, in welchen Rechenzentren und an welchen Standorten der Anbieter ihre Daten speichert. Je nach Land sind sie aufgrund der dortigen Regelungen mehr oder weniger sicher.

Problematisch sind vor allem solche Gesetze, die staatlichen Organen weitgehende Freiheiten einräumen. So vergewissern sich europäische Unternehmen häufig, dass ihre Daten nicht in den USA abgelegt werden, weil der Patriot Act staatliche Stellen zu Maßnahmen befugt, die in den Heimatländern als Verstöße gegen den Datenschutz gelten können. Forrester Research hat eine Weltkarte erstellt, die Länder nach der Strenge beim Datenschutz kategorisiert. Deutschland rangiert dabei unter jenen mit den striktesten Auflagen.

Eingelullt von der SaaS-Bequemlichkeit

In einem allgemein anerkannten Vorzug des Cloud-Computings sieht Burton-Analyst Guy Creese einen versteckten Nachteil. Im Gegensatz zum herkömmlichen Betrieb einer Software auf eigenen Servern muss sich der Anwender bei SaaS nicht um Updates kümmern. Der Anbieter des Service entwickelt seinen Dienst kontinuierlich weiter und im günstigsten Fall bemerkt der Nutzer nur die Verbesserungen.

Dagegen sind die in mehrjährigen Intervallen fälligen Updates bei internen Installationen diskontinuierlich und meist mit großem Aufwand verbunden. Sie böten aber einen Anlass, bestimmte Lösungen oder etablierte Prozesse grundsätzlich in Frage zu stellen. Unternehmen, die SaaS einsetzen, sollten Creese zufolge einen Ersatz für herkömmliche Update-Szenarien etablieren, damit sie bestimmte Dienste in regelmäßigen Intervallen auf ihren Nutzen überprüfen können.