Inhalt

    Nr. 10.3 – Information des Cloud-Nutzers
    (Art. 28 Abs. 2 Satz 2 DSGVO)

    Kriterium

    (1) Wird die Genehmigung zur Subauftragsverarbeitung in allgemeiner Form erteilt, informiert der Cloud-Anbieter den Cloud-Nutzer über die Identität aller von ihm eingeschalteten Subauftragsverarbeiter (einschließlich ladungsfähiger Anschrift) und über die Verarbeitungen, die diese vornehmen sollen.
    (2) Der Cloud-Anbieter informiert den Cloud-Nutzer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subauftragsverarbeiter und gewährleistet, dass der Cloud-Nutzer auf jeder Stufe der Auftragsverarbeitung Gebrauch von seinem Einspruchsrecht machen kann

    Erläuterung

    Auch bei allgemeiner Genehmigung von Subauftragsverarbeitern muss es für den Cloud-Nutzer zu jedem Zeitpunkt der Auftragsverarbeitung möglich sein zu erfahren, welcher Subauftragsverarbeiter sich in welchem Verarbeitungsschritt befindet und welche Verarbeitungen durch welchen Subauftragsverarbeiter auf welcher Stufe der Auftragsverarbeitung ausgeführt werden, weshalb dem Cloud-Anbieter eine Informationspflicht zukommt.

    Umsetzungshinweis

    Der Cloud-Anbieter als Hauptauftragsverarbeiter sollte für jede Verlängerung der Auftragsverarbeitungsleistungskette eine detaillierte Dokumentation über die involvierten Subauftragsverarbeiter unter Angabe von Identität inklusive ladungsfähiger Anschrift und der ausgeführten Verarbeitungen verfassen, sodass nachvollzogen werden kann, welcher (Sub-)Auftragsverarbeiter jeweils in den datenschutzkritischen Dienstteilen involviert ist und welche Verarbeitungsvorgänge jeweils von wem ausgeführt werden. Dies setzt voraus, dass der Subauftragsverarbeiter den Cloud-Anbieter über seine eingebundenen Subauftragsverarbeiter informiert und die notwendigen Informationen bereitstellt (kaskadierende Informationsbereitstellung).
    Zur Darstellung der involvierten Subauftragsverarbeiter eignen sich Informationsportale innerhalb oder außerhalb des angebotenen Cloud-Dienstes. Diese sollten fortlaufend gepflegt und aktualisiert werden.
    Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A7.1 und ISO/IEC 27701 Ziff. 8.5.2, 8.5.6 und 8.5.8 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumente (wie konkrete rechtsverbindliche Vereinbarungen oder Muster solcher Vereinbarungen) vorlegt, die den Cloud-Nutzer in Kenntnis darüber setzen wie er bei beabsichtigten Änderungen von Subauftragsverarbeitern informiert wird (z.B. per E-Mail oder in Informationsportalen). Zudem sollte der Cloud-Anbieter Dokumentationen darüber vorlegen, wie Einsprüche von Cloud-Nutzer entgegengenommen und bearbeitet werden. Weitere relevante Nachweisdokumente können bspw. Dokumentationen der Einwilligungen von Cloud-Nutzern sowie solche über die Ausübung des Widerspruchsrechts sein. Protokolle über mitgeteilte Änderungen der Einbindung von Subauftragsverarbeitern oder bearbeitete Einsprüche sollten vom Cloud-Anbieter, sofern vorhanden, vorgelegt werden.
    Außerdem kann der Cloud-Anbieter seine detaillierte Dokumentation über die involvierten Subauftragsverarbeiter unter Angabe von Identität, ladungsfähiger Anschrift und der ausgeführten Verarbeitungen vorlegen, mit deren Hilfe nachvollzogen werden kann, welcher (Sub-)Auftragsverarbeiter welche Verarbeitungsvorgänge ausführt.
    Durch eine Prüfung in Form einer Vorgangsüberwachung oder durch eine Beobachtung im Rahmen eines Audits kann nachgewiesen werden, ob dem Cloud-Nutzer alle notwendigen Informationen zur Einbindung von Subauftragsverarbeiter auf geeignete Weise kommuniziert werden. Hierzu kann testweise eine Information über die Änderung eines Subauftragsverarbeiters simuliert werden. Gleichermaßen kann die Bearbeitung eines Einspruchs durch einen Cloud-Nutzers nachgewiesen werden. Eine Befragung relevanter Mitarbeiter (z.B. zur Kenntnis über Richtlinien, Entgegennahme von Anfragen und Einsprüchen des Cloud-Nutzers etc.) kann als weiterer Nachweis dienen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.