Grundsätzlich gilt für die Nutzung von Cloud-Services in rechtlicher und vertraglicher Hinsicht dasselbe wie für das IT-Outsourcing im Allgemeinen: Good Fences make good Neighbours. Entscheidend sind also die Verträge, die das "operationelle Risiko" betreffen; bei externen Cloud-Services ist es als "Vertragsrisiko" ausgeprägt. Wichtig ist die trennscharf beschriebene Dokumentation von Rechten und Pflichten diesseits und jenseits des Zauns.
Erste Voraussetzung ist, dass der Anbieter von Cloud-Services seine Pflichten beherrscht und sie gemäß Service-Level-Agreements (SLAs) liefert. Zweitens muss der Anwender die Services steuern und bewerten können. Kurz: Auf beiden Seiten sollte ein Service-Management vorhanden sein. Das Service-Management richtet sich zweckmäßigerweise an den Best Practices von Itil (IT Infrastructure Library) aus.
Beim Cloud Computing kauft die Anwenderorganisation bewusst die reine Dienstleistung ein - einschließlich der Itil-Prozesse, die auf Seiten des Providers stattfinden. Diese Prozessleistungen muss der Auftraggeber also nicht mehr selbst erbringen. Trotzdem bleiben auch nach dem Einkauf der Cloud-Services noch genügend prozessbezogene Aktivitäten zu leisten.
Die seit Jahren angewendeten und immer wieder verbesserten Regeln des IT-Outsourcings sollten auch für das Cloud Computing berücksichtigt werden. Itil hält alle notwendigen Prozesse für beide Seiten des Zauns bereit.