Cloud Security AUDITOR-Zertifizierung (24)

Cloud Security AUDITOR-Zertifizierung (24)

08/2019

 

Nr. 20 – Datenschutz durch Technikgestaltung

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 20 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Nr. 20.1 – Datenschutz durch Systemgestaltung (Art. 25 Abs. 1 i.V.m. Art. 5 Abs. 1 und 2 DSGVO)

 

Kriterium
Der Cloud-Anbieter stellt durch TOM im Rahmen der Dienstgestaltung sicher, dass im Cloud-Dienst nur personenbezogene Daten verarbeitet werden, die zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes erforderlich sind und dass die übrigen Grundsätze des Art. 5 DSGVO im Cloud-Dienst umgesetzt werden.

 

Erläuterung
Während der Cloud-Anbieter in seiner Rolle als Auftragsverarbeiter nur indirekt von Art. 25 DSGVO adressiert wird, ist er als Verantwortlicher direkter Adressat. Technik und Organisation des Cloud-Dienstes sind so zu gestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO bestmöglich unterstützen. Der Cloud-Anbieter muss im Rahmen der Dienstgestaltung sicherstellen, dass er nur personenbezogene Daten verarbeitet, die für die Diensterbringung gegenüber dem Cloud-Kunden erforderlich sind. Ebenfalls sind Umfang der Verarbeitung und Speicherfrist auf das zur Zweckerreichung erforderliche Maß zu begrenzen.

 

Umsetzungshinweise
Die Maßnahmen, um dieses Kriterium umzusetzen, sind sehr vielfältig. Sie reichen von der Implementierung eines datensparsamen Logins für den Zugang zum Cloud-Dienst, über Rollen- und Berechtigungskonzepte für die Administration der Daten des Cloud-Nutzers bis hin zu Löschkonzepten für die Löschung dieser Daten. Auch Maßnahmen, die es dem Cloud-Nutzer ermöglichen, seine Betroffenenrechte möglichst einfach auszuüben, zählen hierzu, da sie Transparenz und Kontrollmöglichkeiten für diesen erhöhen. Beispielhafte Maßnahmen sind die Antragstellung auf Auskunft nach Art. 15 Abs. 1 DSGVO auf Knopfdruck innerhalb des Dienstes oder der Onlineabruf von Daten, die zur betroffenen Person gespeichert sind. Der Cloud-Anbieter sollte die Abwägungsvorgänge dokumentieren, die ihn bei der Auswahl der TOM zur Gewährleistung der Datenschutzgrundsätze geleitet haben, da er bei dieser Auswahl den Stand der Technik, die Implementierungskosten, die Eintrittswahrscheinlichkeit und Schwere des Schadens für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigen darf.

 

Nachweis
Der Cloud-Anbieter legt Dokumentationen vor, aus denen hervorgeht, welche Maßnahmen er ergriffen hat, um die Datenschutzgrundsätze bei der Gestaltung des Cloud-Dienstes umzusetzen. Die Dokumentationen schildern auch die Abwägungen, die unternommen wurden, um die Maßnahmen festzulegen.


Nr. 20.2 – Datenschutz durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 i.V.m. Art. 5 Abs. 1 und 2 DSGVO)

 

Kriterium

  1. Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass er bei der Inbetriebnahme und Nutzung des Cloud-Dienstes nur personenbezogene Daten des Cloud-Nutzers verarbeitet, die erforderlich sind, um den Cloud-Dienst erbringen zu können.
  2. Der Cloud-Anbieter stellt durch Voreinstellungen sicher, dass personenbezogene Daten des Cloud-Nutzers nicht ohne dessen Eingreifen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Umsetzungshinweise
Die Maßnahmen, um dieses Kriterium umzusetzen, sind sehr vielfältig. Wie auch bei Nr. 20.1. spielt die datenschutzarme Protokollierung eine Rolle. Muss die Nutzung des Cloud-Dienstes protokolliert werden, um beispielsweise Missbrauch aufzudecken oder die Datensicherheit sicherzustellen, so sollte die Voreinstellung derart gewählt werden, dass die Daten anonymisiert erhoben und verarbeitet werden.

 

Nachweise
Der Cloud-Anbieter dokumentiert welche Voreinstellungen er implementiert hat, um dem Cloud-Nutzer eine datenschutzfreundliche Inbetriebnahme und Nutzung des Cloud-Dienstes zu ermöglichen.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung