Inhalt

    Nr. 10.2 – Rechtsverbindliche Vereinbarung als Grundlage der Subauftragsverarbeitung
    (Art. 28 Abs. 4 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt sicher, dass seine Subauftragsverarbeiter nur auf Grundlage einer rechtsverbindlichen Vereinbarung zur Subauftragsverarbeitung tätig werden, die mit der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung zwischen dem Cloud-Anbieter und Cloud-Nutzer in Einklang steht.
    (2) Der Cloud-Anbieter verpflichtet seine Subauftragsverarbeiter sicherzustellen, dass ihre Subauftragsverarbeiter ebenfalls auf Grundlage einer rechtsverbindlichen Vereinbarung zur Subauftragsverarbeitung tätig werden und auf ihre Sub-Subauftragsverarbeiter dieselbe Verpflichtung übertragen.

    Umsetzungshinweis/h6>
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 15.1.2, 15.1.3, ISO/IEC 27018 Ziff. A10.12 und ISO/IEC 27701 Ziff. 6.12, 8.5.6 und 8.5.7 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis über die rechtskonforme weitere Datenverarbeitung dadurch erbringen, dass er die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung und die rechtsverbindliche Vereinbarung über die Sub-Auftragsverarbeitung mitsamt der für die Konformitätsprüfung erforderlichen Angaben (Dauer, Art und Zweck, Ort der weiteren Verarbeitung, Angaben über den weiteren Auftragsverarbeiter und dessen Dienstbeschreibung) vorlegt.
    Der Cloud-Anbieter kann das Verzeichnis eingesetzter Subauftragsverarbeiter vorlegen, um eine stichprobenartige Prüfung geschlossener Vereinbarungen zu ermöglichen. Für die jeweiligen Subauftragsverarbeiter sollte der Cloud-Anbieter Dokumente der TOM, das Datensicherheitskonzept oder Zertifikate vorlegen. Weitere relevante Dokumente können als Nachweis herangezogen werden, darunter der Mustervertrag zur Auftragsverarbeitung mit Subauftragsverarbeitern, Richtlinien und Anweisungen, weitere Garantien der Subauftragsverarbeiter, interne Kontrollbereiche des Cloud-Anbieters über Subauftragsverarbeiterkontrollen, das Datenschutzkonzept oder die Risikoabschätzung bei der Unterbeauftragung.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.