Bei der Auswahl des Anbieters sollte man den Wert auf Zertifizierungen im Bereich der Informationssicherheit, ISO 27001, legen. Im Idealfall soll der Anbieter aber auch eine Konformität nach ISO 27017 und ISO 27018 vorweisen können. Bei der ISO 27017 handelt es sich um eine Norm, speziell zur Absicherung von Cloud-Services. Der Standard gehört zur Normfamilie der ISO 27001. Aus diesem zusätzlichen Standard gehen für jeden Bereich der übergeordneten IOS 27001 Besonderheiten der Cloud-Sicherheit hervor. Die ISO 27018 baut ebenfalls auf der übergeordneten Norm ISO 27001 auf, regelt aber im Detail die Anforderungen an die Verarbeitung von personenbezogenen Daten im Cloud-Computing.
Kann der Anbieter möglichst viele Nachweise zur Einhaltung der internationalen Normen liefern, kann der Betroffene davon ausgehen, einen sicheren und datenschutzkonformen Anbieter ausgewählt zu haben.
Große Probleme bereitet die Auswahl des Anbieters insofern, als die Übermittlung von Daten in die USA nach dem Schrems II-Urteil des EuGH datenschutzrechtlich nicht mehr auf das EU-US Privacy-Shield gestützt werden kann. Es muss unbedingt auf den Standort der Server des Cloud-Anbieters geachtet. Nur innerhalb des EWR oder in Drittländern, für die ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt, darf man Daten verarbeiten.
Da dies auch der Politik bewusst ist, gibt es vermehrt Initiativen, die sich für Clouds innerhalb des EWR aussprechen und in Kooperation mit Unternehmen nach Lösungen suchen. So ist es auch Ziel der EU-Kommission laut Datenschutz-Strategie vom Februar 2020 höhere europäische Cloud-Kapazitäten zu schaffen.