Inhalt

    Nr. 5 – Sicherstellung der Vertraulichkeit beim Personal
    (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter richtet ein organisatorisches Verfahren ein, um sicherzustellen, dass die zur Verarbeitung von personenbezogenen Daten befugten Personen vor Aufnahme der datenverarbeitenden Tätigkeit zur Vertraulichkeit gemäß der Vereinbarung zur Auftragsverarbeitung (Nr. 1.6) verpflichtet werden, sofern sie nicht bereits einer angemessenen vergleichbaren gesetzlichen Verschwiegenheitspflicht unterliegen.
    (2) Das organisatorische Verfahren umfasst auch die Dokumentation der Verpflichtungserklärungen sowie ihre Anpassungen, wenn sich Zugriffs- und Verarbeitungsbefugnisse ändern.

    Erläuterung

    Die Verpflichtung zur Vertraulichkeit und die Belehrung zur Verschwiegenheit fördern das Gewährleistungsziel der Vertraulichkeit (SDM C1.4) (s. auch Nr. 1.6).
    Die Verpflichtung zur Vertraulichkeit erfolgt bei allen Mitarbeitern, die personenbezogene Daten verarbeiten, unabhängig davon, ob sie Anwendungsdaten oder Bestands- und Nutzungsdaten verarbeiten.

    Umsetzungshinweis

    Den Mitarbeitern des Cloud-Anbieters sollte der Cloud-Anbieter eine Ausfertigung des Verpflichtungstextes mitsamt den Hinweisen auf mögliche Folgen von Verschwiegenheitspflichtverletzungen aushändigen. Er sollte die Belehrung in angemessenen Abständen wiederholen, etwa im Zusammenhang mit Schulungen oder insbesondere bei Änderung der Zugriffs- und Verarbeitungskompetenz des jeweiligen Mitarbeiters. Außerdem sollte der Cloud-Anbieter die betroffenen Personen zu Fragen des Datenschutzes und der Datensicherheit in Bezug auf ihre Tätigkeit regelmäßig sensibilisieren.
    In der Dokumentation des Verfahrens sollte er Festlegungen treffen, wer für die Vornahme der Belehrung und Verpflichtung verantwortlich ist, wer sie wann und in welcher Weise durchführt, welche Personen zu welchem Zeitpunkt verpflichtet und belehrt werden müssen und welcher Nachweis über die Verpflichtung und Belehrung wo und wie lange aufbewahrt wird.
    Auf die Umsetzungshinweise im BSI C5 Anf. KOS-08 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 7.1.2 wird hingewiesen.

    Nachweis

    Ein Cloud-Anbieter legt ein Musterdokuments zur Verpflichtungserklärung und die Prozessdokumentationen zur Verpflichtung auf Vertraulichkeit sowie zur Anpassung von Verpflichtungserklärungen vor (bspw., wenn sich Aufgaben und Verarbeitungsbefugnisse von Mitarbeitern ändern).
    Im Rahmen eines Audits kann die Einhaltung dieser Vorgaben in allen Prozesskonstellationen durch Interviews mit Mitarbeitern nachgewiesen werden (bspw. Befragung, ob Mitarbeiter zur Vertraulichkeit verpflichtet wurden und ihnen bekannt ist, welche Vertraulichkeitspflichten damit einhergehen). Auch kann eine Beobachtung bei einer testweisen Änderung von Verarbeitungsbefugnissen durchgeführt werden, um die Anpassungen von Verpflichtungserklärungen zu simulieren.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.