Inhalt

    Nr. 4.1 – Weisungen entgegen datenschutzrechtlicher Vorschriften
    (Art. 28 Abs. 3 Satz 3 i.V.m Art. 29 DSGVO)

    Kriterium

    Der Cloud-Anbieter informiert den Cloud-Nutzer unverzüglich, wenn er der Ansicht ist, dass eine Weisung des Cloud-Nutzers gegen datenschutzrechtliche Vorschriften verstößt.

    Erläuterung

    Die Verantwortung für die Konformität einer Weisung mit dem geltenden Datenschutzrecht liegt beim Cloud-Nutzer. Dennoch darf der Cloud-Anbieter eine Weisung, deren Rechtmäßigkeit er bezweifelt, nicht unbesehen ausführen. Vielmehr muss er den Cloud-Nutzer warnen, wenn er Zweifel an der Vereinbarkeit einer Weisung mit dem geltenden Datenschutzrecht hat, und die Entscheidung des Cloud-Nutzers abwarten.

    Umsetzungshinweis

    Bei der Aufnahme von Weisungen in die rechtsverbindliche Vereinbarung zur Auftragsverarbeitung und bei jeder nach deren Abschluss ergangenen Weisung sollte der Cloud-Anbieter seinen Datenschutzbeauftragten konsultieren, wenn sich die Datenschutzwidrigkeit der Weisung einem datenschutzrechtlich geschulten Mitarbeiter des Cloud-Dienstes aufdrängt. Der Cloud-Anbieter hat keine Pflicht, eine Weisung ohne Anlass zu überprüfen.
    Bei Massengeschäften, in denen der Cloud-Nutzer durch die Auswahl des Cloud-Dienstes aufgrund einer Dienstbeschreibung des Cloud-Anbieters die Weisung erteilt, sollte der Cloud-Anbieter TOM vorsehen, die den Cloud-Nutzer darauf hinweisen, wenn er den Dienst datenschutzwidrig entgegen der Dienstbeschreibung nutzt. Dazu zählt beispielsweise ein Informationstext, der den Cloud-Nutzer warnt, wenn die vom Cloud-Anbieter zur Verfügung gestellten Datensicherungsmaßnahmen wie Verschlüsselung und Pseudonymisierung nicht genutzt werden.
    Der Cloud-Anbieter sollte organisatorische Prozesse spezifizieren und dokumentieren, welche die Ansprechpartner, deren Verantwortlichkeiten, Vorgehensweisen und Meldewege im Falle einer Feststellung einer datenschutzwidrigen Weisung regeln. Diese Prozesse können bspw. in bestehende Incident- und Troubleshooting-Management-Prozesse verankert werden.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 8.2.4 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er dokumentiert, wie er Weisungen prüft, Zweifel an deren datenschutzrechtlicher Zulässigkeit erkennt und den Cloud-Nutzer vor Ausführung der Weisung darauf hinweist. Dazu können die Dokumentation der TOM, Verfahrensanweisungen, Richtlinien, Protokollierung der Weisungen, Dokumentation der relevanten Mechanismen und Meldewege, und dokumentierte Prozesse zur Weisungsüberprüfung zählen. Ein Cloud-Anbieter kann auch stattgefundene und dokumentierte Kommunikationen an Cloud-Nutzer im Falle der Abweichungsvermutung vorlegen.
    Eine Befragung relevanter Mitarbeiter (z.B. zur Kenntnis über Richtlinien und Verfahrensschritte im Falle von Zweifeln etc.) im Rahmen eines Audits kann als zusätzlicher Nachweis durchgeführt werden. Darüber hinaus kann mittels einer Beobachtung, bei der testweise eine rechtswidrige Weisung gegeben wird, nachgewiesen werden, dass die Prozesse zur Aufnahme und Bearbeitung der Weisung durchgeführt werden.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.