Cloud Security AUDITOR-Zertifizierung (19)

Cloud Security AUDITOR-Zertifizierung (19)

08/2019

 

Nr. 15 – Wahrung von Betroffenenrechten

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 15 – Wahrung von Betroffenenrechten

Nr. 15.1 – Informationspflicht (Art. 13 i.V.m. Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er den Cloud-Nutzer zum Zeitpunkt der Erhebung seiner personenbezogenen Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen über die Umstände der Verarbeitung und über seine Betroffenenrechte verständlich und in klarer und einfacher Sprache informiert. Er informiert den Cloud-Nutzer über alle in Art. 13 Abs. 1 und 2 DSGVO geforderten Angaben.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 13 DSGVO verpflichtet, die betroffene Person über die Umstände der Direkterhebung zu informieren. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Nachweis
Der Cloud-Anbieter legt das Muster seiner Datenschutzerklärung mit den Informationen nach Art. 13 Abs. 1 und 2 DSGVO vor, das der Cloud-Nutzer bei Vertragsschluss über die Erbringung des Cloud-Dienstes erhält. Findet der Vertragsschluss online statt, kann im Rahmen eines (Test-)Vertragsabschlusses getestet werden, ob der Cloud-Anbieter alle Informationen nach Art. 13 Abs. 1 und 2 DSGVO bereitstellt.


Nr. 15.2 – Auskunftserteilung (Art. 15 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er dem Cloud-Nutzer auf Antrag Auskunft über die Datenverarbeitung erteilt, die er als Verantwortlicher über ihn zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen durchführt.
Er stellt dem Cloud-Nutzer eine Kopie dieser Daten zur Verfügung.

 

Erläuterung
Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Umsetzungshinweise
Der Cloud-Anbieter hat der betroffenen Person nach Art. 12 Abs. 3 DSGVO die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen. Die Antragstellung sollte möglichst einfach sein, weshalb Kontaktformulare oder Customer-Self-Services via Webportal bereitgestellt werden sollten. Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person einen Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um dem Cloud-Nutzer zeitgerecht Auskunft zu erteilen. Auch können anhand einer Prozessdokumentation die tatsächlich durchgeführten Auskunftserteilungen nachgewiesen werden.


Nr. 15.3 – Berichtigung und Vervollständigung (Art. 16 i.V.m. Art. 5 Abs. 1 lit. d DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er dem Cloud-Nutzer die Möglichkeit einräumt, seine in Zusammenhang mit der Durchführung des Auftrags über die Erbringung des Cloud-Dienstes stehenden unvollständigen oder unrichtigen personenbezogenen Daten selbst zu korrigieren oder zu löschen. Alternativ führt der Cloud-Anbieter die (berechtigte) Korrektur oder Löschung durch.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 16 DSGVO verpflichtet, auf Antrag unrichtige personenbezogene Daten zu berichtigen und unvollständige personenbezogene Daten von betroffenen Personen zu vervollständigen. Die Berichtigung gemäß Art. 16 DSGVO fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweise
Auch unabhängig vom Antrag betroffener Personen ist der Cloud-Anbieter aus Art. 5 Abs. 1 lit. d DSGVO zur Datenrichtigkeit verantwortlich, weshalb er Fristen für die regelmäßige Überprüfung und Löschung von Daten festlegen sollte.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um Cloud-Nutzern die (direkte) Berichtigung und Vervollständigung von Daten zu ermöglichen oder um die Berichtigung und Vervollständigung selbst vorzunehmen.

 

Weiterhin können durch Prozessdokumentationen die tatsächlich durchgeführten Berichtigungen und Vervollständigungen nachgewiesen werden.


Nr. 15.4 – Löschung (Art. 17 Abs. 1 DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM sicher, dass er personenbezogene Daten des Cloud-Nutzers, die er zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes verarbeitet, auf Antrag des Cloud-Nutzers und von sich aus unverzüglich löscht, wenn die Voraussetzungen von Art. 17 Abs. 1 lit. a, d oder e DSGVO vorliegen.

 

Erläuterung
Das Kriterium fördert die Gewährleistungsziele der Intervenierbarkeit und Nichtverkettung. Keine Pflicht zur Löschung besteht insbesondere, wenn der Cloud-Anbieter zur Verarbeitung verpflichtet ist, um eine rechtliche Verpflichtung zu erfüllen (Art. 17 Abs. 3 lit. DSGVO).

 

Umsetzungshinweis
Um seinen Löschungspflichten nachzukommen zu können, sollte der Cloud-Anbieter ein Löschkonzept anfertigen, mit dem er seine Löschverpflichtungen laufend ermitteln und prüfen kann. Das Löschkonzept sollte Kriterien enthalten, anhand derer bestimmt werden kann, ob ein Datensatz gelöscht werden muss oder aufgrund von Aufbewahrungsfristen gespeichert werden muss. Zu jedem Datensatz sollten daher „Metadaten“ wie Zweck der Verarbeitung, Festlegung von Indikatoren für den Wegfall eines Erlaubnistatbestands, Aufbewahrungsfristen und die Rechtsgrundlage der Speicherung niedergelegt werden.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um das Löschbegehren des Cloud-Nutzers zu prüfen und durchzuführen. Auch können anhand von Prozessdokumentationen die tatsächlich durchgeführten Löschungen nachgewiesen werden.


Nr. 15.5 – Einschränkung der Verarbeitung (Art. 18 Abs. 1 und 3 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch TOM sicher, dass er die Verarbeitung von personenbezogenen Daten des Cloud-Nutzers, die er durchführt, um den Auftrag mit diesem über die Erbringung des Cloud-Dienstes zu erbringen oder eine rechtliche Verpflichtung zu erfüllen, auf Antrag einschränken kann.
  2. Der Cloud-Anbieter stellt durch TOM sicher, dass er den Cloud-Nutzer informiert, bevor er eine Einschränkung aufhebt.

Erläuterung
Der Cloud-Anbieter ist nach Art. 18 Abs. 1 DSGVO verpflichtet, die Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen einzuschränken, sodass Daten nicht weiterverarbeitet oder verändert werden können. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit.

 

Umsetzungshinweis
Eine Einschränkung der Verarbeitung kann beispielsweise durch eine vorübergehende Übertragung in ein anderes Verarbeitungssystem oder durch Sperrung erfolgen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um die Verarbeitung von Daten einzuschränken und den Cloud-Nutzer vor Aufhebung der Einschränkung zu informieren.


Nr. 15.6 – Mitteilungspflicht bei Berichtung, Löschung oder Einschränkung der Verarbeitung (Art. 19 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)

 

Kriterium
Soweit der Cloud-Anbieter Empfängern personenbezogene Daten des Cloud-Nutzers zur Durchführung des Auftrags mit diesem über die Erbringung des Cloud-Dienstes oder aufgrund einer rechtlichen Verpflichtung offengelegt hat, stellt er durch TOM sicher, dass er diesen Empfängern, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitteilt und den Cloud-Nutzer auf Verlangen über die Empfänger unterrichtet.

 

Erläuterung
Der Cloud-Anbieter ist nach Art. 19 DSGVO verpflichtet, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten. Das Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit.

 

Empfänger sind beispielsweise auch Auftragsverarbeiter, die eingesetzt werden, um den Auftrag über die Erbringung des Cloud-Dienstes durchzuführen.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um seiner Mitteilungspflicht nachzukommen und den Cloud-Nutzer auf Verlangen über die Empfänger der Offenlegung zu unterrichten.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung