Entscheidungen der IT-Sicherheit besitzen, die für Controller negative Eigenschaft, dass diese nicht über eine ROI-Rechnung getroffen werden können.
(…und hoffentlich im nachhinein nicht verifiziert werden können)

Mit IT-Sicherheit kann man einfach Maßnahmen und deren Kosten begründen. Allerdings wird es die 100% Sicherheit nie geben. Sicherheitszertifiezierung sichern Unternehmen bis zu einem bestimmten Grad (z.B. awareness) ab. Ich denke aber, dass der weitaus höhere Beitrag durch ein gesundes Unternehmensklima und Mitarbeiterzufriedenheit erreicht werden kann.Diesen Aspekt decken die ISO27000-Standards wenig ab.

Grundsätzlich spricht nichts gegen ausgelagerte Datenhaltung, wenn die Kosten/Nutzen/Risiko-Analyse entsprechende ENtscheidungen unterstützt. Für solche Entscheidungen ist jedoch mit hohem Aufwand für Meinungsbildungsprozesse der von den Daten Betroffenen zu rechnen.

Die größte Herausforderung stellen aber die Verträge dar. Denn Verletzungen des Datenschutzes oder Vertragsverletzungen haben meist geringe Konsequenzen.
Inwieweit hier die Risikokosten dann den Nutzen die Waage halten, wäre bestimmt eine interessante Studie.

Natürlich tun sie das, alles andere sind Unterstellungen. Zur Datenhaltung in Clouds wird es wahrscheinlich trotzdem in vielen Organisationen noch lange ein klares Nein geben.
Auch wenn die Sicherheitsvorkehrungen u.U. besser sind, als man sie selbst machen könnte, taucht immer noch die Frage auf: Wer garantiert das, wem glauben wir?
Damit tauchen neben der technischen Komponente auch noch Vertrauen und Verantwortung in dieser Fragestellung auf, womit (scheinbar) technische Probleme erst wieder zu sozialen, ethischen, organisatorische Fragestellungen, wenn nicht gar zu Glaubensfragen werden.