Inhalt
Nr. 3 – Sicherstellung der Weisungsbefolgung
(Art. 28 Abs. 3 Satz 2 lit. a; 29 DSGVO)
Kriterium
(1) Der Cloud-Anbieter führt die Datenverarbeitung im Auftrag ausschließlich auf dokumentierte Weisung des Cloud-Nutzers aus.
(2) Der Cloud-Anbieter gewährleistet durch TOM, dass die Verarbeitung der Daten des Cloud-Nutzers nur nach Maßgabe der Weisungen des Cloud-Nutzers erfolgt, es sei denn der Auftragsverarbeiter wird durch Unionsrecht oder mitgliedstaatliches Recht zur Datenverarbeitung verpflichtet.
(3) Für den Fall, dass der Auftragsverarbeiter durch Unionsrecht oder mitgliedstaatliches Recht zur Datenverarbeitung verpflichtet ist, worunter auch die Datenübermittlung an ein Drittland oder eine internationale Organisation fällt, stellt der Cloud-Anbieter durch TOM sicher, dass er dem Cloud-Nutzer die rechtlichen Anforderungen vor der Datenverarbeitung mitteilt, sofern das jeweilige Recht die Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(4) Im Rahmen von standardisierten Massengeschäften gewährleistet der Cloud-Anbieter die Einhaltung einer konkreten und nachvollziehbaren Dienstbeschreibung zu den von ihm technisch ausführbaren Dienstleistungen, sodass der Cloud-Nutzer den Cloud-Anbieter durch seine Auswahl für eine Auftragsverarbeitung anweisen kann. Zudem ermöglicht er dem Cloud-Nutzer, Weisungen mittels Softwarebefehlen zu erteilen, die automatisiert ausgeführt und dokumentiert werden.
Umsetzungshinweis
Durch Art. 29 DSGVO wird der Cloud-Anbieter zur Unterweisung aller Mitarbeiter in die vertraglich dokumentierten Weisungen verpflichtet, deren Tätigkeiten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen. Der Cloud-Anbieter sollte die Weisungsbefolgung auch in einer etwaigen Datenverarbeitungskette sicherstellen. Darüber hinaus sollte der Cloud-Anbieter regelmäßig kontrollieren, ob die Weisungen des Cloud-Nutzers eingehalten werden.
Da die Weisungsbefolgung essentiell für die Auftragsverarbeitung ist, sollte der Cloud-Anbieter diese durch TOM sicherstellen. Die Maßnahmen sollten auch gegen technische und organisatorische Fehler und Manipulationsversuche bei der Erteilung von Weisungen absichern. Maßnahmen der Datensicherheit wie beispielsweise die Zugangs- und Zugriffskontrolle (Nr. 2.3 und Nr. 2.4) und die Gewährleistung der Nachvollziehbarkeit der Datenverarbeitung (Nr. 2.6) tragen zur Sicherstellung der Weisungsbefolgung bei, sodass die hierzu angegebenen Umsetzungshinweise ebenfalls berücksichtigt werden sollten.
In der Praxis werden Weisungen des Cloud-Nutzers insbesondere mittels Softwarebefehlen automatisiert ausgeführt (z.B. durch Interaktion mit einer graphischen Benutzeroberfläche oder über Kommandozeileneingabe), weshalb diese Nutzerinteraktionen auch automatisiert protokolliert oder dokumentiert werden sollten.
Der Cloud-Anbieter sollte durch TOM sicherstellen, dass er den Cloud-Nutzer über die rechtlichen Anforderungen einer nicht weisungsgedeckten Verarbeitung zur Erfüllung von Pflichten aus dem Unionsrecht oder aus mitgliedstaatlichem Recht vor deren Durchführung informiert. Auf diese Weise wird sichergestellt, dass auch diese Verarbeitung dem Cloud-Nutzer transparent gemacht wird, sodass er ggf. betroffene Personen informieren kann. Ausnahmen von der Informationspflicht bestehen nach Art. 28 Abs. 3 Satz 2 lit. a DSGVO nur, sofern das betreffende Recht eine solche Mitteilung im wichtigen öffentlichen Interesse verbietet. Beispiele hierfür sind Übermittlungen des Cloud-Anbieters an Ermittlungsbehörden in Strafsachen, Steuerangelegenheiten oder staatsschutz- und geheimdienstrelevante Sachverhalte.
Auf die Umsetzungshinweise zum Schutz des Cloud-Dienstes vor internen und externen Angriffen und Manipulationen im BSI C5 Anf. OIS-04, RB-05, RB-17 bis RB-22, und KOS-01, KOS-03, KOS-04, MDM-01 und SIM-01 bis SIM-07 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 12.2, 12.4, 12.6, 16 und der ISO/IEC 27018 Ziff. A 2.1 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 8.5.4 wird hingewiesen.
Nachweis
Der Cloud-Anbieter legt als Nachweis Dokumentationen zur Weisungsgebundenheit vor, darunter bspw. Dokumentation der TOM, Verfahrensanweisungen (insb. für Administratoren), Richtlinien, Protokollierung der Weisungen und dokumentierte Maßnahmen zum Schutz und zur Manipulationsverhinderung vor.
Bei Einzelvereinbarungen mit Cloud-Nutzern legt der Cloud-Anbieter eine Stichprobe der rechtsverbindlichen Vereinbarungen vor, um die Umsetzung und Befolgung der dokumentierten Weisungen mit dem tatsächlichen Verhalten der Mitarbeiter und des Cloud-Dienstes nachweisen zu können. Hierzu können eine testweise Weisung als Funktion im Cloud-Dienst aufgerufen werden oder entsprechende Mitarbeiter testweise im Rahmen eines Audits zur Durchführung einer Weisung angewiesen werden.
Bei Massengeschäften legt der Cloud-Anbieter eine Dienstbeschreibung zu den technisch ausführbaren Dienstleistungen und Weisungen durch Softwarebefehle vor, sodass diese mit der tatsächlich möglichen Interaktion im Cloud-Dienst verglichen werden können (bspw. im Rahmen einer testweisen Dienstnutzung). Der Cloud-Anbieter sollte Protokolle über die fortlaufende Dokumentierung von erteilten Weisungen und/oder Softwarebefehlen von Cloud-Nutzern (bspw. Logeinträge, Zeitstempel, Versionierung von Logdateien) als Nachweise vorlegen. Im Rahmen eines Audits kann eine Befragung oder Beobachtung relevanter Mitarbeiter (z.B. zur Kenntnis über Weisungen von Cloud-Nutzern und Richtlinien zur Befolgung dieser etc.) als Nachweis durchgeführt werden.
Der Cloud-Anbieter legt als Nachweis erfolgte Mitteilungen an den Cloud-Nutzer über rechtliche Anforderungen zu nicht weisungsgedeckten Verarbeitungen zur Erfüllung rechtlicher Pflichten aus dem Unionsrecht oder dem mitgliedstaatlichen Recht vor, soweit er über solche verfügt. Als Nachweis können auch Dokumentationen dienen, darunter bspw. Dokumentation der TOM oder Verfahrensanweisungen, z.B., wie mit Anfragen von Ermittlungsbehörden umzugehen ist, die eine Herausgabe von Daten zum Inhalt haben oder wie der Cloud-Nutzer über diese rechtlichen Anforderungen zu informieren ist.