Nr. 4.2 – Änderungen des Datenverarbeitungsortes
(indirekt Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

Kriterium

Der Cloud-Anbieter informiert den Cloud-Nutzer unverzüglich in allen Fällen, in denen sich während des Geltungszeitraums der Vereinbarung der Ort der Datenverarbeitung gegenüber dem in der Vereinbarung festgelegten (Nr. 1.5) ändert.

Umsetzungshinweis

Bei Massengeschäften sollte ein Kommunikationsprozess, möglichst unterstützt durch ein automatisiertes Informationssystem innerhalb des Cloud-Dienstes, beispielsweise auf der Website des Cloud-Anbieters, eingerichtet werden, wodurch der Cloud-Nutzer bei Ortsänderungen die Möglichkeit der Kenntnisnahme vom Ort der Datenverarbeitung erhält.
Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A11.1 und ISO/IEC 27701 Ziff. 8.5 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumente zu Maßnahmen und Zuständigkeiten vorlegt, die er implementiert hat, um den Cloud-Nutzer bei Änderungen des Datenverarbeitungsortes zu informieren (z.B. Dokumentation der TOM, Verfahrensanweisungen, Richtlinien, dokumentierter Prozess zur Kommunikation an den Cloud-Nutzer, Dokumentation der relevanten Mechanismen und Meldewege). Ein Cloud-Anbieter kann zudem bereits erfolgte Informationen an Cloud-Nutzer zu Änderungen von Datenverarbeitungsorten vorlegen.
Durch eine testweise Ausführung der Prozesse im Rahmen eines Audits (bspw. Simulation einer geplanten Ortsänderung) kann nachgewiesen werden, dass dem Cloud-Nutzer alle notwendigen Informationen zur Ortsänderung auf geeignete Weise kommuniziert werden. Eine Befragung relevanter Mitarbeiter (z.B. zur Kenntnis über Richtlinien etc.) kann als weiterer Nachweis durchgeführt werden.