Inhalt

    Nr. 10.1 – Weitere Auftragsverarbeiter des Cloud-Anbieters (Subauftragsverarbeitung)
    (Art. 28 Abs. 2 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt sicher, dass ein Cloud-Dienst unter Einbeziehung von Subauftragsverarbeitern nur dann erbracht wird, wenn und soweit der Cloud-Nutzer seine vorherige gesonderte oder allgemeine Genehmigung in die Subauftragsverarbeitung erteilt hat. Die Genehmigung bedarf der Schrift- oder Textform. Zustimmungsbedürftig sind nur solche Subaufträge, bei denen der weitere Auftragsverarbeiter eine Möglichkeit hat, die zu verarbeitenden personenbezogenen Daten zur Kenntnis zu nehmen.
    (2) Erfolgt eine vorherige gesonderte Genehmigung der Subauftragsverarbeitung, hat der Cloud-Anbieter sicherzustellen, dass alle Subauftragsverarbeiter namentlich und mit ladungsfähiger Anschrift benannt werden sowie die Verarbeitungen, für die sie eingesetzt werden sollen, festgelegt sind.
    (3) Der Cloud-Anbieter stellt sicher, dass auch der Subauftragsverarbeiter alle TOM im Rahmen seiner Auftragsverarbeitung gewährleistet und alle Pflichten erfüllt, die auch der Cloud-Anbieter als Hauptauftragsverarbeiter erfüllen muss, soweit er hiervon nicht gesetzlich befreit ist. Der Subauftragsverarbeiter muss dieselben Garantien nachweisen können wie der Hauptauftragsverarbeiter

    Erläuterung

    Nicht jeder eingesetzte Dienstleister ist zugleich ein Subauftragsverarbeiter. So liegt keine Subauftragsverarbeitung vor, wenn es beim Dienstleister an einer Verarbeitung personenbezogener Daten fehlt. Dies ist bspw. der Fall bei der Miete von Räumen in einem Rechenzentrum (Co-Location), wenn dem Dienstleister der Zugriff auf Datenverarbeitungsanlagen und personenbezogene Daten durch TOM verwehrt ist. Werden Subaufträge vergeben, hat der Cloud-Anbieter die Qualitätssicherung und die Einhaltung des Datenschutzes in der Leistungskette zu gewährleisten. Insbesondere darf der Subauftrag nicht dazu führen, dass die Wahrung der Betroffenenrechte erschwert wird.

    Umsetzungshinweis

    Nach Art. 28 Abs. 2 Satz 1 DSGVO bedarf es für die Einbindung von Subauftragsverarbeitern der Genehmigung des Cloud-Nutzers. Die Genehmigung kann gesondert oder allgemein erteilt werden. Die gesonderte Genehmigung bietet sich für solche Fälle an, in denen absehbar ist, dass Subauftragsverarbeiter nur ausnahmsweise eingesetzt werden sollen und keine Änderungen zu erwarten sind. Die allgemeine Genehmigung sollte genutzt werden, wenn bereits bei Abschluss der rechtsverbindlichen Vereinbarung über die Auftragsvereinbarung klar ist, dass zahlreiche Subauftragsverarbeiter eingesetzt werden sollen und der Cloud-Anbieter damit einverstanden ist. Bei standardisierten Massengeschäften können die Cloud-Nutzer bei Änderungen in den Subauftragsverarbeitungen automatisiert, z.B. über eine automatisch generierte E-Mail, informiert werden. In den AGB von Cloud-Anbietern im Massengeschäft kann z.B. auch vorab eine Generalzustimmung für etwaige Änderungen in der Subauftragsverarbeitung, die vorbehalten werden, eingeholt werden. Da im Massengeschäft ein Einspruch (i.S.d. Art. 28 Abs. 2 Satz 2 Hs. 2 DSGVO) von einem einzelnen Cloud-Nutzer die Beauftragung eines weiteren oder anderen Auftragsverarbeiters durch den Cloud-Anbieter nicht verhindern wird, sollten in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung (Nr. 1.7) die Voraussetzungen und Folgen eines Einspruchs geregelt werden, bspw. ob der Cloud-Nutzer bei Einspruch die Vereinbarung aufkündigen darf.
    Auf die Umsetzungshinweise im BSI C5 Anf. DLL-01 und DLL-02 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 15, ISO/IEC 27018 Ziff. A10.12 und ISO/IEC 27701 Ziff. 6.12, 8.5.6 und 8.5.7 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis über die rechtskonforme weitere Datenverarbeitung dadurch erbringen, dass er die erteilte Zustimmung der Cloud-Nutzer vorlegt. Die gesondert erteilte Genehmigung enthält die Identitäten der genehmigten Subauftragsverarbeiter, ihre Anschriften sowie die Beschreibungen der Verarbeitungen, die sie durchführen sollen. Weiterhin können Verträge zu den weiteren Auftragsverarbeitungen (Sub-Cloud-Verträge) mitsamt der für die Konformitätsprüfung erforderlichen Angaben (Dauer, Art und Zweck, Ort der weiteren Verarbeitung, Angaben über den weiteren Auftragsverarbeiter und dessen Dienstbeschreibung) vorgelegt werden.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.