Inhalt

    Nr. 1.1 – Dienstleistung aufgrund einer rechtsverbindlichen Vereinbarung und Form der Vereinbarung 
    (Art. 28 Abs. 3 Satz 1 und Abs. 9 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt durch TOM sicher, dass der Dienst erst nach dem Abschluss einer rechtsver-bindlichen Vereinbarung zur Auftragsverarbeitung mit dem Cloud-Nutzer erbracht wird.
    (2) Die rechtsverbindliche Vereinbarung ist schriftlich oder in einem elektronischen Format abzufassen.
    (3) Diese Vereinbarung muss die Kriterien dieses Kapitels (1.2 bis 1.8) erfüllen, wobei die in diesen Kriterien geforderten Festlegungen auch in sonstigen Dokumenten getroffen werden können, wenn diese als Bestandteile der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung einbezogen worden sind.

    Erläuterung

    Die rechtsverbindliche Vereinbarung zur Datenverarbeitung im Auftrag ist wesentlich, da mit dieser die Rolle des Cloud-Anbieters als Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO gegenüber der Rolle des Cloud-Nutzers als Verantwortlichem ausdrücklich klargestellt wird. Oft liegt dieser Vereinbarung eine weitere Vereinbarung über die Leistungserbringung zugrunde; beide Vereinbarungen sind zu unterscheiden.

    Umsetzungshinweis

    Der Cloud-Anbieter trifft TOM, die einen automatischen Vereinbarungsschluss vor der eigentlichen Dienstnutzung sicherstellen. Hierzu kann dem potentiellen Cloud-Nutzer während der (elektronischen) Registrierung eine entsprechende Vereinbarung angezeigt werden, die dieser vor der Dienstnutzung bestätigen muss.
    Bei standardisierten Massengeschäften werden in der Regel, auch zwischen Unternehmern, vorformulierte Vertragsklauseln (Allgemeine Geschäftsbedingungen – AGB) eingesetzt, die wirksam im Sinne des jeweiligen AGB-Rechts zu sein haben.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 8.2 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann im Rahmen der Zertifizierung die Muster-Vereinbarung sowie alle oder eine repräsentative Stichprobe von rechtsverbindlichen Vereinbarungen vorlegen, die er mit den Cloud-Nutzern schließt. Außerdem kann er anhand einer geeigneten Dokumentation (z.B. Prozessdokumentation, Funktionsdokumentation, Protokolldateien oder Logs) nachweisen, dass TOM getroffen wurden, die eine Dienstnutzung erst nach Abschluss der Vereinbarung sicherstellen (bspw. in Bezug auf einen Vereinbarungs- oder Registrierungsprozess mit potenziellen Cloud-Nutzern). Der Cloud-Anbieter kann durch eine testweise Durchführung eines ent-sprechenden Vereinbarungs- oder Registrierungsprozesses nachweisen, dass die in der Dokumentation an-gegebenen Konzepte auch im Cloud-Dienst realisiert wurden.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.