Der Cloud-Provider (bei der Speicherung von Daten auf der vom IT-Provider betriebenen Cloud) gilt lediglich als Auftragsbearbeiter gemäss revDSG, die Vorsorgeeinrichtung jedoch ist Verantwortliche. Sie hat sämtliche verwaltungs- und IT-technischen Abläufe vertraglich zu regeln (Auftragsbearbeitungsvertrag oder « Data Processing Agreement»). Es muss die ganze Kette von der Vorsorgeeinrichtung über den/die Software-Anbieter und Cloud-Provider vertraglich abgesichert sein. Im Weiteren darf der Auftragsbearbeiter die Bearbeitung nur mit vorgängiger Genehmigung der Vorsorgeeinrichtung einem Dritten übertragen.
Wer beispielsweise Personendaten aus der Schweiz seiner eigenen Zweigniederlassung im Ausland zugänglich macht, muss sich an Art. 16f. revDSG und Art. 8-12 revDSV halten. Dies analog auch, wenn eine Vorsorgeeinrichtung Personendaten ihrem sich im Ausland befindenden Cloud-Provider zukommen lässt. Die Vorsorgeeinrichtung hat den betroffenen Personen, d.h. den Versicherten und Rentnern/Rentnerinnen den Staat, in welchem sich der Cloud-Provider befindet, in der Datenschutzerklärung mitzuteilen (Art. 19 Abs. 4 revDSG).
Siehe David Rosenthal, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, in: Jusletter 17. Juni 2019, Rz. 66.