Cloud Security AUDITOR-Zertifizierung (10)

Cloud Security AUDITOR-Zertifizierung (10)

08/2019

 

Nr. 6 – Unterstützung des Cloud-Nutzers

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 6 – Unterstützung des Cloud-Nutzers bei der Wahrung der Betroffenenrechte

 

Erläuterung
Für die Erfüllung der Rechte der betroffenen Personen ist der Cloud-Nutzer als Verantwortlicher zuständig. Soweit ihm dies aber nicht selbst möglich ist, muss ihn der Cloud-Anbieter als Auftragsverarbeiter unterstützen. Für diesen Fall muss er eine Kontaktstelle für den Cloud-Nutzer vorhalten, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.


Nr. 6.1 – Auskunftserteilung (Art. 28 Abs. 3 lit. e i.V.m. Art. 15 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, betroffenen Personen Auskunft über die Datenverarbeitung zu erteilen und ihnen eine Kopie der personenbezogenen Daten zur Verfügung zu stellen oder dies durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Auskunftserteilung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 15 DSGVO verpflichtet, der betroffenen Person auf Antrag Auskunft über eine Datenverarbeitung und ihre Umstände zu erteilen. Der Cloud-Anbieter hat den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Auskunftserteilung gegenüber einer betroffenen Person zu ermöglichen oder die Auskunft durch den Cloud-Anbieter erteilen zu lassen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Auskunftserteilungen nachgewiesen werden.


Nr. 6.2 – Berichtigung und Vervollständigung (Art. 28 Abs. 3 lit. e i.V.m. Art. 16 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Berichtigung und Vervollständigung personenbezogener Daten selbst vorzunehmen oder durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Berichtigung und Vervollständigung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 16 DSGVO verpflichtet, auf Antrag unrichtige personenbezogene Daten zu berichtigen und unvollständige personenbezogene Daten zu vervollständigen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Die Berichtigung gemäß Art. 16 DSGVO fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Berichtigung und Vervollständigung von Daten zu ermöglichen oder diese durch den Cloud-Anbieter vornehmen zu lassen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Berichtigungen und Vervollständigungen nachgewiesen werden.


Nr. 6.3 – Löschung (Art. 28 Abs. 3 lit. e i.V.m. Art. 17 Abs. 1 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Löschung personenbezogener Daten selbst vorzunehmen oder durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Löschung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 17 Abs. 1 DSGVO verpflichtet, personenbezogene Daten zu löschen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert die Gewährleistungsziele der Intervenier-barkeit und Nichtverkettung.

 

Umsetzungshinweis
Die Umsetzungshinweise aus ISO/IEC 27040:2017-03 Ziff. 6.8.1 zur Datenlöschung sind anwendbar.

Die Erstellung eines Löschkonzepts, z.B. nach DIN 66398-2016, wird empfohlen. Dieses kann die Fest-legung von Löschverfahren beinhalten, mit denen es dem Cloud-Nutzer ermöglicht wird, seinen Löschungspflichten nachzukommen. Dies sollte auch Backup- und Ausfallsicherungssysteme, einschließlich aller Vorgängerversionen der Daten, temporäre Dateien, Metadaten und Dateifragmente umfassen. Die Maßnahmen aus DIN 66398 zur Erstellung eines Löschkonzepts sowie DIN 66993 zur Vernichtung von Datenträgern können hinzugezogen werden.

Alle Datenträger des Cloud-Anbieters sollten durch den Einsatz eines formalen Managementverfahrens sicher und geschützt entsorgt werden, wenn sie nicht mehr benötigt werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Löschung von Daten zu ermöglichen oder diese durch den Cloud-Anbieter vornehmen zu lassen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Löschungen nachgewiesen werden.


Nr. 6.4 – Einschränkung der Verarbeitung (Art. 28 Abs. 3 lit. e i.V.m. Art. 18 Abs. 1 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die Verarbeitung personenbezogener Daten selbst einzuschränken oder die Einschränkung durch den Cloud-Anbieter vornehmen zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Einschränkung der Verarbeitung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 18 Abs. 1 DSGVO verpflichtet, die Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen einzuschränken. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer die Einschränkung der Verarbeitung von Daten zu ermöglichen oder dies durch den Cloud-Anbieter vornehmen zu lassen.


Nr. 6.5 – Mitteilungspflicht bei Berichtung, Löschung oder Einschränkung der Verarbeitung (Art. 28 Abs. 3 lit. e i.V.m. Art. 19 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen oder die Mitteilung durch den Cloud-Anbieter vornehmen zu lassen, sowie die betroffene Person auf Verlangen über die Empfänger zu unterrichten.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Mitteilungspflicht in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 19 DSGVO verpflichtet, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten. Soweit der Cloud-Anbieter an der Offenlegung beteiligt war, ist er verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Umsetzungshinweis
Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er ergriffen hat, um es dem Cloud-Nutzer zu ermöglichen, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten oder dies durch den Cloud-Anbieter vornehmen zu lassen.


Nr. 6.6 – Datenübertragung (Art. 28 Abs. 3 lit. e i.V.m. Art. 20 Abs. 1 und 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die von einer betroffenen Person bereitgestellten personenbezogenen Daten dieser Person oder einem anderen Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln oder durch den Cloud-Anbieter übermitteln zu lassen.
  2. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  3. Der Cloud-Anbieter ist von der Datenübertragung in jenen Fällen entbunden, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der Cloud-Nutzer ist nach Art. 20 Abs. 1 und 2 DSGVO verpflichtet, auf Wunsch der betroffenen Person ihr oder einem anderen Verantwortlichen ihre bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Der Cloud-Anbieter sollte die ihm möglichen gängigen Formate in der rechtsverbindlichen Vereinbarung auflisten, um diesbezügliche Klarheit herzustellen.

 

Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte geeignete technische Funktionen innerhalb seines angebotenen Dienstes bereitstellen, die es ermöglichen, Daten in ein strukturiertes, gängiges und maschinenlesbares Format zu übertragen. Hierzu gehören z.B. Exportfunktionen in XML- oder JSON-Formate.

Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er implementiert hat, um es dem Cloud-Nutzer zu ermöglichen, der betroffenen Person oder einem anderen Verantwortlichen die von dieser betroffenen Person bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln oder durch den Cloud-Anbieter übermitteln zu lassen.


Nr. 6.7 – Widerspruch (Art. 28 Abs. 3 lit. e i.V.m. Art. 21 Abs. 1 und Art. 32 Abs. 1 lit. b DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass er dem Cloud-Nutzer alle Daten zur Verfügung stellt, die erforderlich sind, damit dieser beurteilen kann, ob das Widerspruchsrecht der betroffenen Person wirksam ausgeübt worden ist.
  2. Ist der Widerspruch gegen die Datenverarbeitung wirksam, stellt der Cloud-Anbieter im Rahmen seiner Möglichkeiten sicher, dass die Daten nicht mehr verarbeitet werden können.
  3. Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Betroffenenrechte.
  4. Ausgenommen sind die Fälle, in denen der Verantwortungsbereich beim Cloud-Nutzer liegt und dieser über Anwendungen und Dateien bestimmt.

 

Erläuterung
Der betroffenen Person steht entsprechend Art. 21 DSGVO das Recht zu, Widerspruch gegen eine Verarbeitung ihrer Daten einzulegen. Hat die betroffene Person das Widerspruchsrecht wirksam ausgeübt, ist der Cloud-Nutzer verpflichtet, die Verarbeitung der betroffenen personenbezogenen Daten für die Zukunft zu unterlassen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte über ein Konzept verfügen, aus dem hervorgeht, durch welche Maßnahmen er sicherstellt, dass er dem Cloud-Nutzer alle erforderlichen Daten zur Verfügung stellen und die künftige Verarbeitung der Daten unterbinden kann.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Maßnahmen er implementiert hat, um dem Cloud-Nutzer die erforderlichen Daten zur Verfügung zu stellen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr