Cloud Security AUDITOR-Zertifizierung (25)

Cloud Security AUDITOR-Zertifizierung (25)

08/2019

 

Nr. 21 – Auftragsverarbeitung des Cloud-Anbieters

Kapitel VII: Der Cloud-Anbieter als Verantwortlicher

 

Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher

 

Nr. 21 – Auftragsverarbeitung des Cloud-Anbieters

 

Erläuterung
Die Datenverarbeitung, die erforderlich ist, um den Auftrag mit dem Cloud-Nutzer über die Erbringung und Nutzung des Cloud-Dienstes zu erfüllen, muss vom Cloud-Anbieter nicht höchstpersönlich durchgeführt werden. Vielmehr kann der Cloud-Anbieter die Datenverarbeitung (wie Abrechnung der Dienstnutzung gegenüber dem Cloud-Nutzer) auch an Auftragsverarbeiter auslagern, sodass auch diese Auslagerung in die Zertifizierungsprüfung aufgenommen werden muss.


Nr. 21.1 – Dienstleistung aufgrund einer rechtsverbindlichen Vereinbarung (Art. 28 Abs. 3 UAbs. 1 Satz 2 DSGVO)

 

Kriterium

  1. Lagert der Cloud-Anbieter die Verarbeitung von Daten zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes an einen Auftragsverarbeiter aus, schließt er mit diesem eine rechtsverbindliche Vereinbarung zur Auftragsverarbeitung ab.
  2. Der Cloud-Anbieter stellt durch geeignete technische oder organisatorische Maßnahmen sicher, dass der Auftrag erst nach dem Abschluss einer rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung mit dem Auftragsverarbeiter erbracht wird.
  3. Die rechtsverbindliche Vereinbarung ist schriftlich oder in einem elektronischen Format abzufassen.
  4. Der Cloud-Anbieter stellt sicher, dass die rechtsverbindliche Vereinbarung zur Auftragsverarbeitung die Anforderungen der Kriterien Nr. 1.2 bis 1.6, 1.7 (1), (3)-(4) und 1.8 von Kapitel I erfüllt.
  5. Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung enthält die Angabe, ob von Seiten des Cloud-Anbieters oder des Auftragsverarbeiters Pseudonymisierungs-, Anonymisierungs- oder Verschlüsselungsverfahren zum Einsatz kommen.
  6. Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung enthält Angaben zur Unterstützung des Cloud-Anbieters bei der Erfüllung der Betroffenenrechte und der Meldepflicht bei Datenschutzverletzungen.

Erläuterung
Da der Cloud-Anbieter eine Zertifizierung seiner Datenverarbeitungsvorgänge anstrebt, hat er sicherzustellen, dass auch in Auftrag gegebene Auftragsverarbeitungen den Anforderungen der Datenschutz-Grundverordnung entsprechen. Dafür muss der Cloud-Anbieter zunächst eine rechtsverbindliche Vereinbarung mit dem Auftragsverarbeiter abschließen, die die Pflichtangaben aus Art. 28 Abs. 3 UAbs. 1 Satz 2 enthält.

 

Die Kriterien Nr. 1.2. bis 1.6, 1.7 (1), (3)-(4) und 1.8 aus Kapitel I sind so zu lesen, dass der Cloud-Anbieter in seiner Funktion als Verantwortlicher die Rolle des Cloud-Nutzers und der eingesetzte Auftragsverarbeiter die Rolle des Cloud-Anbieters einnimmt.

 

Nachweis
Der Cloud-Anbieter legt die rechtsverbindliche(n) Vereinbarung(en) zur Auftragsverarbeitung mit den entsprechenden Festlegungen vor, die er mit dem/den Auftragsverarbeiter(n) abgeschlossen hat.


Nr. 21.2 – Sicherstellung ordnungsgemäßer Auftragsverarbeitung

 

Kriterium

  1. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Cloud-Anbieters verarbeitet (Art. 28 Abs. 3 Satz 2 lit. a, 29 DSGVO).
  2. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter ihn informiert, wenn er der Ansicht ist, dass seine Weisungen gegen datenschutzrechtliche Pflichten verstoßen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).
  3. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter bei der ausgelagerten Verarbeitung Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Systeme, die Belastbarkeit der Systeme sowie die Verfügbarkeit der Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall gewährleistet. Die implementierten TOM müssen vom Auftragsverarbeiter regelmäßig überprüft und gegebenenfalls angepasst werden (Art. 24, 25, 28, 32, 35 i.V.m. Art. 5 Abs. 1 lit. f DSGVO).
  4. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter seine Mitarbeiter vor Beginn der Datenverarbeitung zur Vertraulichkeit verpflichtet, sofern sie nicht einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Satz 2 lit. b DSGVO).
  5. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter nur Mitarbeiter mit der Durchführung von Verarbeitungsvorgängen betraut, die die dafür erforderliche Fachkunde und Zuverlässigkeit aufweisen und die im Datenschutz und der Datensicherheit geschult sind (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).
  6. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter den Cloud-Anbieter in jenen Fällen informiert, in denen sich der Datenverarbeitungsort unvorhergesehen ändert (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
  7. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter nach Abschluss der Auftragsverarbeitung oder auf Weisung des Cloud-Anbieters überlassene Datenträger zurückgibt, Daten zurückführt und beim ihm gespeicherte Daten löscht (Art. 28 Abs. 3 lit. h DSGVO).
  8. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter dem Cloud-Anbieter die Erfüllung der Betroffenenrechte ermöglicht und alle Weisungen zur Umsetzung der Betroffenenrechte dokumentiert (Art. 28 Abs. 3 lit. e i.V.m. Kapitel III DSGVO).
  9. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter einen DSB benennt, sofern er hierzu gesetzlich verpflichtet ist (Art. 37-39 DSGVO, § 38 BDSG).
  10. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter ein Verarbeitungsverzeichnis führt, wenn er mehr als 250 Mitarbeiter beschäftigt oder wenn die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung für die betroffenen Personen mit Risiken für ihre Rechte und Freiheiten verbunden ist (Art. 30 Abs. 2 DSGVO).
  11. Der Cloud-Anbieter stellt sicher, dass ihm der Auftragsverarbeiter Datenschutzverletzungen und deren Ausmaß unverzüglich meldet (Art. 33 Abs. 2 und Art. 28 Abs. 3 lit. f).
  12. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter allen Anforderungen aus der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung nach Nr. 21.1 nachkommt und alle Anforderungen nach diesem Kriterium erfüllt (Art. 24 Abs. 1 DSGVO).
  13. Der Cloud-Anbieter stellt sicher, dass der Auftragsverarbeiter, wenn er seinerseits Subauftragsverarbeiter einsetzt, gewährleistet, dass diese die Anforderungen nach den Kriterien Nr. 10.1-10.5 aus Kapitel V einhalten.

Erläuterung
Setzt der Cloud-Anbieter für die Datenverarbeitung zur Erfüllung des Auftrags über die Erbringung des Cloud-Dienstes Auftragsverarbeiter ein, muss er nicht nur eine rechtsverbindliche Vereinbarung hierzu abschließen, die die Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 DSGVO erfüllt, sondern sich auch vergewissern, dass der Auftragsverarbeiter die in der rechtsverbindlichen Vereinbarung zugesicherten Maßnahmen durchführt und seinen sonstigen Pflichten nach der Datenschutz-Grundverordnung nachkommt.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumentationen, Prüfungsergebnisse oder ähnliche Nachweise des Auftragsverarbeiters vorlegt, die ihn überzeugt haben anzunehmen, dass der Auftragsverarbeiter allen für ihn geltenden Pflichten nach der Datenschutz-Grundverordnung nachkommt und daher über die geeigneten Garantien nach Art. 28 Abs. 1 DSGVO verfügt.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr