Inhalt

    Nr. 1.4 – Festlegung von Weisungsbefugnissen
    (Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

    Kriterium

    (1) Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung sieht vor, dass die personenbezogenen Daten nur auf dokumentierte Weisung des Cloud-Nutzers – auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation – verarbeitet werden, sofern der Cloud-Anbieter nicht durch Unionsrecht oder mitgliedstaatliches Recht zur Datenverarbeitung verpflichtet ist.
    (2) Für den Fall, dass der Cloud-Anbieter durch Unionsrecht oder mitgliedstaatliches Recht zur Datenverarbeitung verpflichtet ist, sieht die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung die Pflicht des Cloud-Anbieters vor, dem Cloud-Nutzer die rechtlichen Anforderungen vor der Verarbeitung mitzuteilen, sofern das jeweilige Recht die Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
    (3) Für den Fall, dass die Auftragsverarbeitung weisungsgebundene Übermittlungen personenbezogener Daten an Drittländer oder internale Organisationen vorsieht, legt die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung fest, welche Instrumente nach Art. 45 DSGVO oder Art. 46 Abs. 2 und 3 DSGVO für die Übermittlungen genutzt werden sollen, um ein angemessenes Schutzniveau sicherzustellen.
    (4) Wird im Rahmen standardisierter Massengeschäfte keine individuelle rechtsverbindliche Vereinbarung geschlossen, hat der Cloud-Anbieter in seiner Dienstbeschreibung die durch ihn technisch aus-führbaren Dienstleistungen auf eine aus der Cloud-Nutzer-Perspektive nachvollziehbare Weise so präzise wie möglich zu benennen, um diesem eine Auswahl nach Art. 28 Abs. 1 DSGVO zu ermöglichen.

    Erläuterung

    Die Weisungsgebundenheit wird in der Datenschutz-Grundverordnung an mehreren Stellen genannt (Art. 28 Abs. 3 Satz 2 lit. a, 28 Abs. 3 Satz 3; indirekt in Art. 28 Abs. 10 und 29 und 32 Abs. 4 DSGVO) und stellt das Wesensmerkmal der Auftragsverarbeitung dar.
    Überschreitet der Cloud-Anbieter die Maßgaben des Cloud-Nutzers nach dessen Weisungen, so liegt ein Ver-stoß gegen Art. 28 Abs. 10 und 29 DSGVO vor und der Cloud-Anbieter hat mit haftungsrechtlichen Konsequenzen zu rechnen.
    Nach Art. 28 Abs. 3 S. 2 lit. a DSGVO kann die Weisungsbefolgung den Cloud-Anbieter jedoch nicht von der Gesetzestreue entbinden, sodass der Cloud-Anbieter nicht weisungsgedeckte Verarbeitungen durchführen darf, wenn er durch Unionsrecht oder mitgliedstaatliches Recht hierzu verpflichtet wird. Mit dieser Regelung soll Interessenkonflikten auf Seiten des Cloud-Anbieters vorgebeugt werden.

    Umsetzungshinweis

    Es sollte aus der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung hervorgehen, wer zur Erteilung von Weisungen befugt ist und wer auf Seiten des Cloud-Anbieters mit der Entgegennahme der Weisungen betraut ist. Die zu Weisungen befugten Abteilungs- und Funktionsebenen können in der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung benannt und ihre Authentifizierungsmittel festgelegt werden.
    In der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung des Cloud-Anbieters sollten die technisch ausführbaren Dienstleistungen und Weisungsbefugnisse des Cloud-Nutzers aufgeführt werden. Die rechtsverbindliche Vereinbarung sollte die Möglichkeiten darstellen, die dem Cloud-Nutzer zur Ausübung seiner Weisungsbefugnis eingeräumt werden. Diese können insbesondere auch in automatisierten Verfahren bestehen (bspw. API-Aufrufe oder Softwarebefehle). Anhand einer (im Massengeschäft einseitig vorgegebenen) Dienstbeschreibung des Cloud-Anbieters sollen die potentiellen Cloud-Nutzer eine Auskunft für ihre Auswahl nach Art. 28 Abs. 1 DSGVO erhalten. In diesem Fall weist der Cloud-Nutzer durch die Auswahl des Cloud-Dienstes den Cloud-Anbieter an, die beschriebene, standardisierte Dienstleistung auszuführen.
    Aus der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung sollte hervorgehen, ob weisungsgebundene Datenübermittlungen an Drittländer oder internationale Organisationen im Rahmen der Auftragsverarbeitung durchgeführt werden sollen und wie dort ein angemessenes Schutzniveau sichergestellt werden soll. Geeignete Garantien für die Datenübermittlung sind z.B. Standarddatenschutzklauseln der Kommission nach Art. 46 Abs. 2 lit. b DSGVO oder genehmigte Zertifizierungsverfahren nach Art. 46 Abs. 2 lit. f i.V.m. Art. 42 DSGVO.
    Auf die Umsetzungshinweise zur transparenten Systembeschreibung im BSI C5 Anf. UP-01 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A2.1 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 8.5.1 und 8.5.2 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis erbringen, indem er entsprechende Regelungen zur Weisungserteilung, zur nicht weisungsgebundenen Verarbeitung aufgrund rechtlicher Pflichten aus Unions- oder mitgliedstaatlichem Recht und zur Festlegung geeigneter Garantien für die Datenübermittlung in Drittländer oder internationale Organisationen in rechtsverbindlichen Vereinbarungen offenlegt (bspw. Bereitstellung von Vertragsmustern, -vorlagen oder -instanzen). Ggf. kann er vorhandene Dokumentationen von Einzelanweisungen vorzeigen. Durch eine testweise Dienstnutzung (insb. Einsicht, ob Inhalte bei der Registrierung für die Dienstnutzung angezeigt werden) kann er nachweisen, dass er ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.