Nr. 10.4 – Auswahl und Kontrolle der Subauftragsverarbeiter
(Art. 28 Abs. 4 Satz 1 DSGVO)

Kriterium

(1) Der Cloud-Anbieter stellt sicher, dass nur solche Subauftragsverarbeiter in die Auftragsverarbeitung einbezogen werden, die die Gewähr für die Einhaltung der datenschutzrechtlichen Anforderungen an die von ihnen zu erbringende Leistung bieten.
(2) Der Cloud-Anbieter überzeugt sich davon, dass seine Subauftragsverarbeiter die datenschutzrechtlichen Anforderungen an die von ihnen zu erbringende Leistung erfüllen.

Umsetzungshinweis

Soweit der Cloud-Anbieter nicht auf Zertifikate seiner Subauftragsverarbeiter vertrauen kann, sollte er sich selbst von der Einhaltung der datenschutzrechtlichen Anforderungen durch die Subauftragsverarbeiter überzeugen.
Auf die Umsetzungshinweise im BSI C5 Anf. DLL-01 und DLL-02 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 15.2.1, ISO/IEC 27018 Ziff. A10.12 und ISO/IEC 27701 Ziff. 8.5.6 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er Zertifikate der Subauftragnehmer oder sonstige Unterlagen vorlegt (bspw. befolgte Verhaltensregeln, rechtsverbindliche Vereinbarungen, Datensicherheitskonzepte, sonstige Garantien), aus denen sich die Gewähr zur Einhaltung der Datenschutz-Grundverordnung ergibt. Hierbei kann eine transparente Dienstbeschreibung des jeweiligen Subauftragsverarbeiters hilfreich sein. Darüber hinaus können Dokumente über die Auswahl (bspw. Protokolle über Auswahlüberlegungen und -entscheidungen) und die Durchführung von eigenen Kontrollen (bspw. Protokolle der Subauftragsverarbeiterkontrollen) als Nachweise dienlich sein.
Unterstützend können im Rahmen eines Audits Befragungen der Mitarbeiter durchgeführt werden, um in Erfahrung zu bringen, wie die Einhaltung datenschutzrechtlicher Anforderungen von Subauftragsverarbeitern überprüft wird (bspw. Bekanntheit von Verfahrensschritten und Garantien der Subauftragsverarbeiter).