Inhalt
Nr. 1.2 – Gegenstand und Dauer der Verarbeitung
(Art. 28 Abs. 3 Satz 1 DSGVO)
Kriterium
(1) Der Gegenstand und die Dauer des Auftrags sind in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung so konkret wie möglich festzulegen.
(2) Die Vereinbarung muss die Dauer des Auftrages durch einen Start- und Endpunkt oder den Verweis auf eine unbestimmte Nutzungszeit festlegen.
Umsetzungshinweis
Für beide Parteien sollte anhand dieser Eingrenzung des Auftragsgegenstands klar hervorgehen, welche Verarbeitungsvorgänge oder Verarbeitungskategorien durch den Cloud-Anbieter für den Cloud-Nutzer durchgeführt werden. Insbesondere sollte in transparenter Form dargelegt werden, welche Einflussmöglichkeiten dem Cloud-Anbieter bei der Wahl der Verarbeitungsmittel zur Ausführung von Verarbeitungsvorgängen, in denen personenbezogene Daten verarbeitet werden, zukommen. Regelungen zum Auftragsgegenstand sollten auch die abgegrenzten Verantwortungsbereiche zwischen Cloud-Nutzer und Cloud-Anbieter abbilden.
Auf die Umsetzungshinweise zur transparenten Systembeschreibung im BSI C5 Anf. UP-01 sowie zur Verantwortungsverteilung in Anf. OIS-03 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 8.2 wird hingewiesen.
Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumentationen zur rechtsverbindlichen Vereinbarung mit diesen Angaben vorlegt (bspw. Vertragsmuster, -vorlagen oder -instanzen). Durch eine testweise Dienstnutzung (insb. Einsicht, ob Inhalte bei der Registrierung für die Dienstnutzung angezeigt werden) kann der Cloud-Anbieter nachweisen, dass er ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird.