Inhalt

    Nr. 6.7 – Datenübertragung
    (Art. 28 Abs. 3 lit. e i.V.m. Art. 20 Abs. 1 und 2 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, die von einer betroffenen Person bereitgestellten personenbezogenen Daten dieser Person oder einem anderen Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln oder durch den Cloud-Anbieter übermitteln zu lassen.
    (2) Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung des Rechts auf Datenübertragbarkeit.

    Erläuterung

    Der Cloud-Nutzer ist nach Art. 20 Abs. 1 und 2 DSGVO verpflichtet, auf Wunsch der betroffenen Person ihr oder einem anderen Verantwortlichen ihre bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Der Cloud-Anbieter sollte die ihm möglichen gängigen Formate in der rechtsverbindlichen Vereinbarung auflisten, um diesbezüglich Klarheit herzustellen.
    Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit (SDM C1.7).

    Umsetzungshinweis

    Der Cloud-Anbieter sollte geeignete technische Funktionen innerhalb seines angebotenen Dienstes bereitstellen, die es ermöglichen, Daten in ein strukturiertes, gängiges und maschinenlesbares Format zu übertragen. Hierzu gehören z.B. Exportfunktionen in XML- oder JSON-Formate.
    Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann. Mit Hilfe eines Ticketsystems können die Weisungen des Cloud-Nutzers dokumentiert werden.
    Auf die Umsetzungshinweise im BSI C5 Anf. PI-01 bis PI-04 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A1.1, A9.3 und ISO/IEC 27701 Ziff. 6.5.3.3, 8.3 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 19941 zur Portabilität wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt Dokumentationen über Maßnahmen zur Datenübertragung vor (z.B. Dokumentation der relevanten Mechanismen, Exportformate, Dienstbeschreibungen. Er kann Protokolle zu getätigten Weisungen und darauffolgenden Datenübertragungen vorlegen.
    Im Rahmen einer Prüfung kann eine testweise Datenübertragung mit Testdaten durchgeführt werden, um nachzuweisen, dass diese möglich ist (bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support). Im Rahmen eines Audits kann auch anhand von Befragungen (z.B. zur Kenntnis über Verfahrensschritte etc.) und Beobachtungen nachgewiesen werden, ob eine Datenübertragung durchgeführt werden kann.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.