Cloud Security AUDITOR-Zertifizierung (12)

Cloud Security AUDITOR-Zertifizierung (12)

08/2019

 

Nr. 8 – Datenschutz-Managementsystem des Cloud-Anbieters

Kapitel III: Datenschutz-Managementsystem des Cloud-Anbieters

 

Rechte und Pflichten des Cloud-Anbieters

 

Erläuterung
Der Cloud-Anbieter muss seine Datenschutzmaßnahmen in einem Datenschutz-Managementsystem organisieren. Die Einrichtung eines Datenschutz-Managementsystems indizieren die Art. 24 und 25, 32, 33, 34 sowie 37 bis 39 DSGVO. Die Sicherstellung eines Datenschutz-Managementsystems sollte der fortwährenden Sicherstellung des Datenschutzniveaus des zertifizierten Cloud-Dienstes dienen.


Nr. 8 – Datenschutz-Managementsystem

Nr. 8.1 – Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten (Art. 37-39 DSGVO)

 

Kriterium

  1. Ist der Cloud-Anbieter zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet, benennt er diesen auf Grund seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.
  2. Der Cloud-Anbieter stellt sicher, dass der DSB unmittelbar der höchsten Managementebene berichtet.
  3. Der Cloud-Anbieter stellt sicher, dass der DSB bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
  4. Der Cloud-Anbieter stellt sicher, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  5. Der Cloud-Anbieter stellt die Anerkennung der Person und Funktion des DSB im Organisationsgefüge sicher und unterstützt ihn bei seinen Aufgaben, insbesondere mit angemessenen Ressourcen.
  6. Der Cloud-Anbieter stellt sicher, dass der DSB seinen Aufgaben nach Art. 39 Abs. 1 DSGVO im angemessenen Umfang nachkommt.
  7. Ist ein Beauftragter für Informationssicherheit benannt, stellt dieser die Einhaltung der datenschutzrechtlich gebotenen TOM sicher. Der Cloud-Anbieter stellt sicher, dass der DSB und der Beauftragte für Informationssicherheit in angemessener Weise kooperieren (gegenseitige Information und Unterstützung).

 

Erläuterung
Sofern Cloud-Anbieter die Pflicht haben, einen DSB zu benennen, müssen sie ihn sorgfältig auswählen, ausstatten, schützen und ihm in der Betriebsorganisation einen gebührenden Platz zuweisen.

 

Die Benennung eines Beauftragten für Informationssicherheit wird durch die Datenschutz-Grundverordnung nicht verlangt. Der Cloud-Anbieter kann jedoch aufgrund anderweitiger Verpflichtungen zur Benennung verpflichtet sein oder die Benennung freiwillig vornehmen.

 

Erfolgt die Benennung eines DSB, so muss dieser seinen gesetzlichen Pflichten in Bezug auf alle durchgeführten Datenverarbeitungsvorgänge nachkommen, unabhängig davon, ob der Cloud-Anbieter als Auftragsverarbeiter oder Verantwortlicher der Datenverarbeitung agiert.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte eine schriftliche Dokumentation der für den jeweiligen Cloud-Dienst eingesetzten Systeme, Verfahren und Prozesse (Software, Hardware, beteiligte Organisationseinheiten, Rollen und Dienstleister) und eine möglichst exakte Beschreibung der Gesamtheit der getroffenen TOM führen (z.B. in einem Datensicherheitskonzept) und dem DSB sowie (auf Anfrage) der Aufsichtsbehörde zugänglich machen.

Ist der DSB bei einem anderen Unternehmen beschäftigt (externer DSB des Cloud-Anbieters) oder gleichzeitig DSB anderer Unternehmen, gilt seine Weisungsfreiheit auch gegenüber seinem Arbeitgeber und seinen anderen Auftraggebern. Die Anforderung der Abwesenheit von Interessenskonflikten ist primär eine Benennungsvoraussetzung und in sekundärer Hinsicht eine Organisationspflicht des Cloud-Anbieters. Der Cloud-Anbieter weist dem DSB keine zusätzlichen Aufgaben zu, die ihn in einen Interessenskonflikt bringen könnten. Interessenskonflikte sind im Rahmen folgender Tätigkeiten anzunehmen: Tätigkeiten, im Rahmen derer der DSB sich selbst kontrollieren müsste, z.B. Stellung als Geschäftsführer, IT- oder Personalabteilungsleiter, Informationssicherheitsbeauftragter, wirtschaftliche Interessen des DSB am Unternehmenserfolg, zu große Nähe zur benennenden Stelle.

Die Verschwiegenheitspflicht des DSB umfasst insbesondere die Identität des Beschwerdeführers oder der betroffenen Person(en), alle datenschutzrechtlich relevanten Informationen sowie alles, was zur Identifizierung eines Hinweisgebers führen könnte. Auch gegenüber der ihn benennenden Stelle ist der DSB zur umfassenden Verschwiegenheit verpflichtet. Das Kriterium fördert das Gewährleistungsziel der Vertraulichkeit.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er einen DSB benannt hat und durch Einträge auf seiner Webseite seine direkte Ansprechbarkeit der Öffentlichkeit vorstellt. Zur Beurteilung der fachlichen und persönlichen Eignung kann er einschlägige Zeugnisse und Beurteilungen vorlegen. Mit den regelmäßig durchzuführenden internen Audits des DSB kann der Nachweis über seine Tätigkeiten, seine Unabhängigkeit sowie seine Einbindung und Wirksamkeit im Organisationsgefüge des Cloud-Anbieters nachgewiesen werden.


Nr. 8.2 – Meldung von Datenschutzverletzungen (Art. 33 Abs. 2 und Art. 28 Abs. 3 lit. f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass er dem Cloud-Nutzer Datenschutzverletzungen und deren Ausmaß unverzüglich meldet.
  2. Der Cloud-Anbieter bestimmt, wer zuständig ist, über die Mitteilung an den Cloud-Nutzer zu entscheiden und diese vorzunehmen. Die zuständigen Stellen sind für Mitarbeiter und Subauftragsverarbeiter in einer Weise erreichbar, dass Mitteilungen über etwaige Verstöße zeitnah entgegengenommen und bearbeitet werden können.
  3. Die zuständigen Stellen verfügen über ausreichend Ressourcen, um eine rasche Bearbeitung von Meldungen sicher zu stellen. Die Mitarbeiter in den zuständigen Stellen sind ausreichend geschult, um Verstöße beurteilen und eine Folgeabschätzung durchführen zu können.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 33 Abs. 2 DSGVO zur unverzüglichen Meldung von Datenschutzverstößen an den Cloud-Nutzer verpflichtet, damit dieser seiner Meldepflicht gegenüber der Aufsichtsbehörde aus Art. 33 Abs. 1 DSGVO und seiner Unterrichtungspflicht gegenüber den betroffenen Personen aus Art. 34 Abs. 1 DSGVO nachkommen kann. Diese Pflicht bezieht sich auch auf Verstöße von Subauftragnehmern in der gesamten Subauftragsverarbeiterkette. Das Kriterium fördert das Gewährleistungsziel der Integrität und Transparenz.

 

Umsetzungshinweis
Die Meldung von Datenschutzverletzungen kann über geeignete Informationssysteme innerhalb des Dienstes wie über Nachrichtensysteme oder Newsmeldungen geschehen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er in seinem Datensicherheitskonzept dokumentiert, wie er die Meldung von Datenschutzverletzungen gewährleistet.


Nr. 8.3 – Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 2 DSGVO)

 

Kriterium

  1. Cloud-Anbieter, die mehr als 250 Mitarbeiter beschäftigen, führen ein Verarbeitungsverzeichnis. Der Cloud-Anbieter führt unabhängig von der Beschäftigtenzahl ein Verarbeitungsverzeichnis, wenn die Verarbeitung für die betroffenen Personen mit Risiken für ihre Rechte und Freiheiten verbunden ist.
  2. Im Verzeichnis führt der Cloud-Anbieter alle Kategorien von Verarbeitungsvorgänge auf, die er im Auftrag eines Verantwortlichen durchführt. Das Verzeichnis enthält außerdem die in Art. 30 Abs. 2 DSGVO aufgelisteten Inhalte.
  3. Für jeden einzelnen Cloud-Nutzer ist jeweils ein eigenes Verarbeitungsverzeichnis zu führen.
  4. Das Verarbeitungsverzeichnis ist schriftlich oder in einem elektronischen Format zu führen. Es ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

 

Erläuterung
Das Kriterium fördert das Gewährleistungsziel der Transparenz.

 

Risikobehaftet ist ein Verarbeitungsvorgang i.S.d. Art. 30 Abs. 5 DSGVO, wenn er Risiken für die Rechte und Freiheiten von betroffenen Personen birgt oder besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Art. 10 DSGVO zum Gegenstand hat. Auch Cloud-Anbieter mit weniger als 250 Mitarbeitern werden in der Regel ein Verarbeitungsverzeichnis führen müssen, da sich bereits aus der Menge der verarbeiteten Daten Risiken ergeben und die Datenverarbeitung nicht nur gelegentlich erfolgt, sodass die Ausnahme aus Art. 30 Abs. 5 DSGVO im Regelfall nicht anwendbar ist.

 

Umsetzungshinweis
Das für jeden Cloud-Nutzer jeweils zu führende Verarbeitungsverzeichnis sollte auch die für jeden Cloud-Nutzer jeweils eingesetzten TOM zur Gewährleistung der Datensicherheit bei der Datenverarbeitung dokumentieren. Bei standardisierten Massengeschäften sollte das Verarbeitungsverzeichnis automatisiert erstellt werden.

Das Verfahrensverzeichnis kann für alle Dokumentationspflichten als Nachweis oder Nachweisbekräftigung herangezogen werden. Dieses Verzeichnis ist jedoch nicht öffentlich und richtet sich nicht an betroffene Personen, sondern ist ausschließlich nach innen und auf das Verhältnis zur Aufsichtsbehörde gerichtet. Der Cloud-Nutzer sollte jedoch – etwa zur Auftragskontrolle nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO – einen Einblick in das seinen Auftrag betreffende Verzeichnis erhalten.

Die Umsetzungshinweise aus ISO/IEC 27018 Ziff. A5.2 sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er die (eine repräsentative Stichprobe der) Verarbeitungsverzeichnisse vorlegt.


Nr. 8.4 – Rückgabe von Datenträgern und Löschung von Daten (Art. 28 Abs. 3 lit. h DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass die Rückgabe überlassener Datenträger, die Rückführung von Daten und die Löschung der beim Cloud-Anbieter gespeicherten Daten nach Abschluss der Auftragsverarbeitung oder nach Weisung des Cloud-Nutzers erfolgen.

 

Umsetzungshinweis
Auf ISO/ IEC 27018 Ziff. A 9.3. wird hingewiesen.

Die Umsetzungshinweise aus ISO/IEC 27040:2017-03 Ziff. 6.8.1 zur Datenlöschung sind anwendbar.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welches Verfahren er vorgesehen hat, nach dem er die Herausgabe der Datenträger, die Rückführung von Daten und die Löschung von Daten nach Beendigung des Auftrags durchführt. Auch kann er die Quittierung von Rückgaben oder die automatisierte Benachrichtigung über tatsächliche Löschungen der für die Auftragsverarbeitung nicht mehr benötigten personenbezogenen Daten vorlegen.


Nr. 8.5 – Einrichtung eines internen Kontrollsystems (Art. 24 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter überprüft die Umsetzung aller in diesem Katalog geprüften Kriterien regelmäßig in einem internen Revisionsverfahren. Hierfür legt der Cloud-Anbieter Kontrollverfahren und Zuständigkeiten fest.
  2. Der Cloud-Anbieter stellt durch geeignete TOM sicher, dass bei der (Weiter-)Entwicklung oder Änderung des Cloud-Dienstes die in diesem Katalog geprüften Kriterien weiterhin eingehalten werden.

 

Erläuterungen
Der Cloud-Anbieter hat sicherzustellen, dass die Maßnahmen zur Erfüllung der datenschutzrechtlichen Pflichten nach diesem Katalog nicht nur einmalig implementiert werden, sondern während der Gültigkeit eines Zertifikats aufrechterhalten werden.

 

Umsetzungshinweis
Der Cloud-Anbieter sollte vor allem die internen Audits des DSB zu Datenschutzfragen heranziehen. Des Weiteren wird auf die Umsetzungshinweise zur regelmäßigen Überprüfung durch die oberste Leitung beim Cloud-Anbieter nach ISO/IEC 27002:2017-06, Ziff. 18.2. hingewiesen.

Der Cloud-Anbieter sollte die Wirksamkeit der internen Kontrollaktivitäten regelmäßig überprüfen. Dazu gilt es zunächst zu definieren, wie die Wirksamkeit der internen Kontrollaktivitäten gemessen werden kann. Es ist empfohlen ein standardisiertes Vorgehensmodell (z. B. ITIL oder COBIT) für die IT-Prozesse des angebotenen Cloud-Dienstes zu definieren und einzuhalten. Wird ein interner Prüfer/Auditor eingesetzt, sollte er über eine geeignete Qualifikation verfügen, objektiv und unparteiisch und nicht an der Erstellung der Prüfobjekte beteiligt sein.

Bei der Bereitstellung eines Cloud-Dienstes sollten Prozesse für ein sicheres Änderungs- und Release-Management etabliert werden. Im Rahmen dieser Prozesse sollte ein Cloud-Anbieter u.a. eine dokumentierte Eignungsprüfung und einen Abnahmeprozess bei der (Weiter-)Entwicklung und Änderung (insb. Patches und System-Updates) an seinem Dienst durchführen, um nachteilige Auswirkungen aufgrund der Änderungen zu vermeiden und die Konformität zur Datenschutz-Grundverordnung fortlaufend sicherzustellen. Die Geltungsbereiche, Rollen und Verbindlichkeiten im Rahmen des Änderungs- und Release-Managements sollten zwischen Cloud-Anbieter und -Nutzer klar definiert und aufeinander ab-gestimmt sein.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welches interne Kontrollsystem er eingerichtet hat.


Nr. 8.6 – Auswahl und Einsatz geeigneter Personen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter betraut nur Mitarbeiter mit der Durchführung von Verarbeitungsvorgängen, die fachlich für die Erfüllung ihrer jeweiligen Aufgaben befähigt sind, die nötige Zuverlässigkeit aufweisen und sowohl im Datenschutz als auch in der Datensicherheit sensibilisiert und geschult sind.
  2. Der Cloud-Anbieter stellt sicher, dass bei den Mitarbeitern keine Interessenkonflikte hinsichtlich der Ausübung ihrer jeweiligen Aufgaben bestehen.

 

Erläuterungen
Der Einsatz geeigneter Mitarbeiter ist die Voraussetzungen dafür, dass der Cloud-Anbieter seinen zahlreichen Pflichten überhaupt nachkommen kann. Das Kriterium steht zudem in enger Verbindung mit dem Kriterium Nr. 8.1, da der DSB für die Sensibilisierung und Schulung von an Verarbeitungsvorgängen beteiligten Mitarbeitern zuständig ist und die diesbezüglichen Überprüfungen vornimmt.

 

Umsetzungshinweis
Um die fachliche Kompetenz der Mitarbeiter zu erhalten, sollte der Cloud-Anbieter regelmäßige Mitarbeiterschulungen (ca. 1 Mal pro Jahr) zu datenschutzrechtlichen und informationssicherheitstechnischen Themen durchführen – auch zur konkreten Technik des Cloud-Dienstes.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis der erforderlichen Fachkunde seiner Mitarbeiter durch einschlägige Qualifikationsnachweise erbringen. Sensibilisierungs- und Schulungsmaßnahmen von Mitarbeitern kann er durch die Dokumentation erfolgter Schulungen nachweisen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung