Inhalt

    Nr. 6.8 – Widerspruch
    (Art. 28 Abs. 3 lit. e i.V.m. Art. 21 Abs. 1 und Art. 32 Abs. 1 lit. b DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt sicher, dass er dem Cloud-Nutzer alle Daten zur Verfügung stellt, die erforderlich sind, damit dieser beurteilen kann, ob das Widerspruchsrecht der betroffenen Person wirksam ausgeübt worden ist.
    (2) Ist der Widerspruch gegen die Datenverarbeitung wirksam, stellt der Cloud-Anbieter im Rahmen seiner Möglichkeiten sicher, dass die Daten nicht mehr verarbeitet werden können.
    (3) Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung des Widerspruchsrechts.

    Erläuterung

    Der betroffenen Person steht entsprechend Art. 21 DSGVO das Recht zu, Widerspruch gegen eine Verarbeitung ihrer Daten einzulegen. Hat die betroffene Person das Widerspruchsrecht wirksam ausgeübt, ist der Cloud-Nutzer verpflichtet, die Verarbeitung der betroffenen personenbezogenen Daten für die Zukunft zu unterlassen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit (SDM C1.7).

    Umsetzungshinweis

    Der Cloud-Anbieter sollte über ein Konzept verfügen, aus dem hervorgeht, durch welche Maßnahmen er sicherstellt, dass er dem Cloud-Nutzer alle erforderlichen Daten zur Verfügung stellen und die künftige Verarbeitung der Daten unterbinden kann.
    Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A1.1 und 27701 Ziff. 8.3 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt Dokumentationen über Maßnahmen zur Entgegennahme von Widersprüchen sowie Beendigung der Verarbeitung (z.B. Dokumentation der relevanten Mechanismen und Meldewege, Dienstbeschreibungen). Ein Cloud-Anbieter kann Protokolle zu getätigten Weisungen und ggf. darauffolgender Beendigung der Verarbeitung vorlegen.
    Im Rahmen einer Prüfung kann ein testweiser Widerspruch durchgeführt werden, um nachzuweisen, dass der Cloud-Anbieter dem Cloud-Nutzer alle Daten zur Entscheidungsfindung bereitstellen kann und ggf. eine Beendigung der Verarbeitung möglich ist (bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support). Im Rahmen eines Audits kann auch anhand von Befragungen (z.B. zur Kenntnis über Verfahrensschritte etc.) und Beobachtungen nachgewiesen werden, ob und wie eine Widerspruchsweisung durchgeführt werden kann.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.