Inhalt

    Nr. 10.5 – Gewährleistung der Unterstützungsfunktionen
    (Art. 28 Abs. 4 Satz 1 i.V.m. Art. 28 Abs. 3 Satz 2 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt sicher, dass auch bei der Einschaltung von (mehreren) Subauftragsverarbeitern seine Unterstützungsfunktionen im vereinbarten Umfang sowie seine Pflichten als Hauptauftragsverarbeiter erfüllt werden.
    (2) Der Cloud-Anbieter stellt durch geeignete Verfahren und Vorkehrungen sicher, dass die Verlängerung der Leistungskette in der Auftragsverarbeitung nicht zur Minderung der Achtung von datenschutzrechtlichen Standards und Verpflichtungen führt.

    Umsetzungshinweis

    Der Cloud-Anbieter sollte wegen des gesteigerten Risikos bei weiteren Auftragsverarbeitungen interne Dokumentationen führen und die Verarbeitungsprozesse protokollieren. Dies dient auch der Selbstkontrolle des Cloud-Anbieters bei der Pflichtenerfüllung auf den weiteren Auftragsstufen. Abhängig von den jeweiligen ausgelagerten Verarbeitungsprozessen sollten in der rechtsverbindlichen Vereinbarung mit dem Subauftragsverarbeiter die entsprechenden Unterstützungsfunktionen festgehalten werden. Insbesondere sollten Kontaktstellen und die jeweiligen Verantwortlichkeiten bei Subauftragsverarbeitern protokolliert und fortlaufend aktualisiert werden. Es sollten Prozesse, Meldewege und Verfahrensrichtlinien definiert und dokumentiert werden.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 15.1.3, ISO/IEC 27018 Ziff. A10.12 und ISO/IEC 27701 Ziff. 8.5 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt Dokumente zu Verfahren und Vorkehrungen zur Einbindung von Subauftragsverarbeitern als Nachweis vor, darunter rechtsverbindliche Vereinbarungen mit Subauftragsverarbeitern, Prozessdokumentationen zur Einbindung, Datensicherheitskonzepte und Informationen über Ansprechpartner der Subauftragsverarbeiter, Risikoanalysen oder Dokumente zur Verantwortlichkeitstrennung für einzelne Verarbeitungsprozesse. Protokolle zur Pflichterfüllung infolge der Einschaltung von weiteren Auftragsverarbeitern können vorgelegt werden.
    Unterstützend kann eine Befragung der Mitarbeiter zur Einbindung von Subauftragsverarbeitern als Nachweis durchgeführt werden (bzgl. der Bekanntheit von Verfahrensschritten und Ansprechpartnern der Subauftragsverarbeiter).

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.