Cloud Security AUDITOR-Zertifizierung (13)

Cloud Security AUDITOR-Zertifizierung (13)

08/2019

 

Nr. 9 – Datenschutz durch Technikgestaltung

Kapitel IV: Datenschutz durch Systemgestaltung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 9 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Nr. 9.1 – Datenschutz durch Systemgestaltung (Art. 25 Abs. 1 DSGVO i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter setzt im Rahmen des angebotenen Dienstes die Grundsätze des Art. 5 DSGVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckfestlegung und Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Systemdatenschutz und Verantwortlichkeit) praktikabel und zielführend um.
  2. Der Cloud-Anbieter verfügt über Prozesse zur Transparenz und zur aktiven Verfolgung des Stands der Technik auf den Ebenen der konzeptionellen Zielsetzung, der Architektur, der Systemgestaltung und der Implementierung.
  3. Der Cloud-Anbieter stellt sicher, dass zu jedem Zeitpunkt durch seine Systemgestaltung in den angebotenen Anwendungen und durch die Konzeption der Dienstleistung die Nachvollziehbarkeit und Transparenz der Datenverarbeitungen, auch in den verlängerten Leistungsketten durch etwaige Subauftragsverhältnisse, gewährleistet ist.

 

Erläuterung
Der Cloud-Nutzer muss als Verantwortlicher die Gestaltungspflicht aus Art. 25 Abs. 1 DSGVO erfüllen. Sobald er einen Cloud-Dienst nutzt, muss er einen Cloud-Anbieter auswählen, der diese Pflicht erfüllt. Technik und Organisation des Cloud-Dienstes sind daher so zu gestalten, dass sie die Datenschutz-grundsätze des Art. 5 DSGVO bestmöglich unterstützen.

 

Nachweis
Der Cloud-Anbieter legt Dokumentationen vor, aus denen hervorgeht, welche Maßnahmen er ergriffen hat, um die Datenschutzgrundsätze bei der Gestaltung des Cloud-Dienstes umzusetzen. Die Dokumentationen schildern auch die Abwägungen, die unternommen wurden, um die Maßnahmen festzulegen.



Nr. 9.2 – Datenschutz durch Voreinstellungen (Art. 25 Abs. 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch seine Voreinstellungen im jeweiligen Dienst sicher, dass der Zugang zu den personenbezogenen Daten auf das Maß beschränkt wird, das erforderlich ist, um den Verarbeitungszweck des Cloud-Nutzers zu erfüllen.
  2. Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass personenbezogene Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und hierbei keine Risiken für die betroffenen Personen durch eine zu umfassende Zugänglichmachung von personenbezogenen Daten entstehen.

 

Erläuterung
Der Verantwortliche muss die Pflichten aus Art. 25 Abs. 2 DSGVO erfüllen. Sobald er eine Datenverarbeitung im Auftrag ausführen lässt, muss der Cloud-Nutzer einen Cloud-Anbieter auswählen, der diese Pflichten erfüllt. Die Voreinstellungen des Cloud-Dienstes sind daher so zu wählen, dass sie die Pflicht des Art. 25 Abs. 2 Satz 1 DSGVO erfüllen.

 

Umsetzungshinweis
Die Voreinstellungen sollten so konzipiert sein, dass nach diesen nur personenbezogene Daten erhoben, gespeichert und zugänglich gemacht werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Soweit der Cloud-Anbieter eine Datenschutz-Folgenabschätzung durchgeführt hat, können sich Anforderungen an die Voreinstellungen aus der Pflicht ergeben, die festgestellten Risiken zu minimieren.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er dokumentiert, welche Voreinstellungen er aus welchen Erwägungen gewählt hat.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung