Inhalt

    Nr. 7 – Unterstützung bei der Datenschutz-Folgenabschätzung
    (Art. 28 Abs. 3 lit. f i.V.m. Art. 35 und 36 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter unterstützt den Cloud-Nutzer bei der Durchführung seiner Datenschutz-Folgenabschätzung.
    (2) Ist dem Cloud-Anbieter durch eine vorher beim Cloud-Nutzer durchgeführte Datenschutz-Folgenabschätzung das hohe Risiko der Verarbeitung bekannt, hat der Cloud-Anbieter risikoangemessene Vorkehrungen bereitzuhalten.
    (3) Der Cloud-Anbieter stellt dem Cloud-Nutzer alle Informationen zur Verfügung, die in seinen Verantwortungsbereich fallen und die der Cloud-Nutzer für seine Datenschutz-Folgenabschätzung benötigt.
    (4) Der Cloud-Anbieter unterstützt den Cloud-Nutzer bei der Bewältigung der Risiken der durch den Cloud-Nutzer geplanten Abhilfemaßnahmen, die z.B. Sicherheitsvorkehrungen und sonstige Verfahren enthalten und der Sicherstellung des Schutzes von personenbezogenen Daten dienen.

    Erläuterung

    Soweit der Cloud-Nutzer zu einer Datenschutz-Folgenabschätzung verpflichtet ist, hat ihn der Cloud-Anbieter durch Informationen, Analysen und Schutzmaßnahmen zu unterstützen.

    Umsetzungshinweis

    Die Unterstützungspflichten bei der Datenschutz-Folgenabschätzung sollten am Einflussbereich des Cloud-Anbieters ausgerichtet werden, etwa im Bereich der TOM zur Gewährleistung der Datensicherheit. Zur Einschätzung, ob ein oder welches Risiko bei den jeweiligen Datenverarbeitungsvorgängen des Cloud-Dienstes gegeben ist, können Datenflussmodelle und -analysen erstellt werden, wenn diese nicht bereits aus der Dienstbeschreibung des Cloud-Anbieters hervorgehen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 18.1 und 27701 Ziff. 8.2.5 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 29134 zur Datenschutzfolgeabschätzung wird hingewiesen.

    Nachweis

    Ein Cloud-Anbieter sollte insbesondere die Dokumentation zu Informationspflichten vorlegen, darunter Dokumente zur Hilfestellung für Cloud-Nutzer (bspw. Dienstbeschreibungen, TOM, Datenflussmodelle und -analysen), durchgeführte Datenschutz-Folgenabschätzungen und entsprechende Gesprächsprotokolle, Dokumentation der getroffenen Vorkehrungen, Verfahrensverzeichnisse, Verfahrensanweisungen und Richtlinien. Insbesondere muss der Cloud-Anbieter nachweisen, dass notwendige Informationen vorliegen oder vom Cloud-Anbieter in kurzer Zeit generiert werden können.
    Eine Befragung relevanter Mitarbeiter im Rahmen eines Audits (z.B. zur Kenntnis über Richtlinien etc.) kann als Nachweis angeführt werden. Durch eine Beobachtung kann nachgewiesen werden, ob und wie Mitarbeiter eine testweise Anfrage eines Cloud-Nutzers zur Datenschutz-Folgenabschätzung bearbeiten.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.