Cloud Security AUDITOR-Zertifizierung (23)

Cloud Security AUDITOR-Zertifizierung (23)

08/2019

 

Nr. 19 – Führen eines Verarbeitungsverzeichnisses

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 19 – Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 1 DSGVO)

 

Kriterium

  1. Cloud-Anbieter, die mehr als 250 Mitarbeiter beschäftigen, führen ein Verarbeitungsverzeichnis. Der Cloud-Anbieter führt unabhängig von der Beschäftigtenzahl ein Verarbeitungsverzeichnis, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
  2. Das Verarbeitungsverzeichnis bezieht sich auf die Verarbeitungstätigkeiten, die der Cloud-An-bieter durchführt, um den Auftrag über die Erbringung des Cloud-Dienstes zu erfüllen und auf Verarbeitungstätigkeiten zur Erfüllung rechtlicher Verpflichtungen. Das Verzeichnis enthält die in Art. 30 Abs. 1 DSGVO aufgelisteten Inhalte.
  3. Das Verarbeitungsverzeichnis ist schriftlich oder in einem elektronischen Format zu führen. Es ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Erläuterung

Das Kriterium fördert das Gewährleistungsziel der Transparenz.

 

Auch Cloud-Anbieter, die Daten zur Durchführung des Auftrags mit dem Cloud-Nutzer verarbeiten und weniger als 250 Mitarbeitern beschäftigten, werden im Regelfall ein Verarbeitungsverzeichnis führen müssen, da diese Verarbeitungen regelmäßig und nicht nur gelegentlich erfolgen, sodass die Ausnahme aus Art. 30 Abs. 5 DSGVO nicht anwendbar ist.

 

Risikobehaftet ist ein Verarbeitungsvorgang i.S.d. Art. 30 Abs. 2 DSGVO, wenn er Risiken für die Rechte und Freiheiten von betroffenen Personen birgt oder besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Art. 10 DSGVO zum Gegenstand hat.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er die (eine repräsentative Stichprobe der) Verarbeitungsverzeichnisse vorlegt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr