Cloud Security AUDITOR-Zertifizierung (16)

Cloud Security AUDITOR-Zertifizierung (16)

08/2019

 

Nr. 12 – Sicherstellung der Datenschutzgrundsätze

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 12 – Sicherstellung der Datenschutzgrundsätze (Art. 5 Abs. 1 und 2 i.V.m. Art. 24 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt bei der Verarbeitung von personenbezogenen Daten, die für die Durchführung des Auftrags über die Erbringung des Cloud-Dienstes oder zur Erfüllung rechtlicher Verpflichtungen erforderlich sind, dem Cloud-Nutzer alle Informationen zur Verfügung, die dieser benötigt, um die Rechtmäßigkeit der Verarbeitung überprüfen zu können (Grundsatz der Transparenz).
  2. Der Cloud-Anbieter legt für die Verarbeitung der Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen die Zwecke der jeweiligen Datenverarbeitungen eindeutig und präzise fest (Grundsätze der Zweckfestlegung und Zweckbindung).
  3. (Der Cloud-Anbieter verarbeitet nur personenbezogene Daten des Cloud-Nutzers, soweit diese zur Erreichung der festgelegten Verarbeitungszwecke erforderlich sind (Grundsatz der Datenminimierung).
  4. Der Cloud-Anbieter verfügt über TOM zur Prüfung, Korrektur und Löschung unzutreffender oder unvollständiger personenbezogener Daten, die er für die Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen verarbeitet (Grundsatz der Datenrichtigkeit).
  5. Der Cloud-Anbieter stellt bei der Datenverarbeitung den Personenbezug nur solange her, wie dies für die Erreichung der festgelegten Zwecke zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes oder zur Erfüllung rechtlicher Verpflichtungen unverzichtbar ist und löscht nicht erforderliche Daten frühestmöglich (Grundsatz der Speicherbegrenzung).

Erläuterung
Der Zweck stellt die zu steuernde Größe für die Datenauswahl und die Prozessschritte der Verarbeitung dar. Da eine weite Zweckfestlegung kaum steuernde Wirkung entfaltet, reicht es nicht aus, wenn lediglich die Vertragserfüllung aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO oder die Erfüllung rechtlicher Verpflichtungen aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO als Zweck der Datenverarbeitung festgelegt wird. Vielmehr muss bei der Zweckfestlegung der präzise und konkrete Geschäfts- oder Verarbeitungszweck festgelegt werden. Erst nach dieser Zweckfestlegung können die anderen Datenschutzgrundsätze ihre Wirkung entfalten.

 

Umsetzungshinweis
Der Transparenzgrundsatz wird erfüllt, wenn der Cloud-Anbieter seinen Informations- und Auskunftspflichten über die Datenverarbeitung (Nr. 15.1 und Nr. 15.2) nachkommt. Außerdem kann Transparenz durch datenschutzgerechte Systemgestaltung und datenschutzfreundliche Voreinstellungen (Nr. 20.1 und Nr. 20.2) erreicht werden.

Zur Einhaltung der Speicherbegrenzung sollte der Cloud-Anbieter für alle Daten oder Datenkategorien Speicherfristen festlegen, die auf das erforderliche Mindestmaß beschränkt sind. Zudem sollten Fristen bestimmt werden, wann personenbezogene Daten gelöscht werden oder der Personenbezug beseitigt wird. Müssen Daten aufgrund gesetzlicher Vorschriften aufbewahrt werden, sollten sie pseudonym aufbewahrt werden und der Personenbezug erst bei Bedarf wiederhergestellt werden.

 

Nachweis
Der Cloud-Anbieter legt eine Dokumentation vor, aus der sich die TOM ergeben, die er ergriffen hat, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung