Inhalt
Nr. 12 – Sicherstellung der Datenschutzgrundsätze
(Art. 5 Abs. 1 und 2 i.V.m. Art. 24 DSGVO)
Kriterium
(1) Der Cloud-Anbieter stellt bei der Verarbeitung von personenbezogenen Daten, die für die Durchführung des Auftrags über die Erbringung des Cloud-Dienstes oder zur Erfüllung rechtlicher Verpflichtungen erforderlich sind, der betroffenen Person alle Informationen zur Verfügung, die diese benötigt, um die Rechtmäßigkeit der Verarbeitung überprüfen zu können (Grundsatz der Transparenz).
(2) Der Cloud-Anbieter legt für die Verarbeitung der Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen die Zwecke der jeweiligen Datenverarbeitungen eindeutig und präzise fest (Grundsätze der Zweckfestlegung und Zweckbindung).
(3) Der Cloud-Anbieter verarbeitet nur personenbezogene Daten, soweit diese zur Erreichung der festgelegten Verarbeitungszwecke erforderlich sind (Grundsatz der Datenminimierung).
(4) Der Cloud-Anbieter verfügt über TOM zur Prüfung, Korrektur und Löschung unzutreffender oder unvollständiger personenbezogener Daten, die er für die Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen verarbeitet (Grundsatz der Datenrichtigkeit).
(5) Der Cloud-Anbieter stellt bei der Datenverarbeitung den Personenbezug nur solange her, wie dies für die Erreichung der festgelegten Zwecke zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes oder zur Erfüllung rechtlicher Verpflichtungen unverzichtbar ist und löscht nicht erforderliche Daten frühestmöglich (Grundsatz der Speicherbegrenzung).
Erläuterung
Der Zweck stellt die zu steuernde Größe für die Datenauswahl und die Prozessschritte der Verarbeitung dar. Da eine weite Zweckfestlegung kaum steuernde Wirkung entfaltet, reicht es nicht aus, wenn lediglich die Vertragserfüllung aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO oder die Erfüllung rechtlicher Verpflichtungen aus Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO als Zweck der Datenverarbeitung festgelegt wird. Vielmehr muss bei der Zweckfestlegung der präzise und konkrete Geschäfts- oder Verarbeitungszweck festgelegt werden. Erst nach dieser Zweckfestlegung können die anderen Datenschutzgrundsätze ihre Wirkung entfalten.
Umsetzungshinweis
Der Transparenzgrundsatz wird erfüllt, wenn der Cloud-Anbieter seinen Informations- und Auskunftspflichten über die Datenverarbeitung (Nr. 15.1, Nr. 15.3, Nr. 15.3) nachkommt. Außerdem können die Grundsätze der Transparenz und der Datenminimierung durch datenschutzgerechte Systemgestaltung und datenschutzfreundliche Voreinstellungen (Nr. 19.1 und Nr. 19.2) erreicht werden. Der Cloud-Anbieter sollte bei der Datenverarbeitung zur Diensterbringung Überlegungen und Entscheidungen hinsichtlich der hierfür erforderlichen Daten vornehmen und dokumentieren.
Der Cloud-Anbieter sollte TOM zur Prüfung, Korrektur und Löschung unzutreffender oder unvollständiger personenbezogener Daten zur Erfüllung des Grundsatzes der Datenrichtigkeit etablieren und dokumentieren. Hierzu zählen bspw. Prüfverfahren und Löschkonzepte, die Einrichtung einer Kontaktstelle für Cloud-Nutzer zur Entgegennahme von Anfragen, die Festlegung von Verantwortlichkeiten und Verfahrensrichtlinien zur raschen Bearbeitung und die Spezifikation von Meldewegen. Die TOM können auch in die bestehenden Kundensupport-, Troubleshooting-, oder Incident-Management-Systeme eingebettet werden.
Zur Einhaltung der Speicherbegrenzung sollte der Cloud-Anbieter für alle Daten oder Datenkategorien Speicherfristen festlegen, die auf das erforderliche Mindestmaß beschränkt sind. Zudem sollten Fristen bestimmt werden, wann personenbezogene Daten gelöscht werden oder der Personenbezug beseitigt wird. Müssen Daten aufgrund gesetzlicher Vorschriften aufbewahrt werden, sollten sie pseudonym aufbewahrt werden und der Personenbezug erst bei Bedarf wiederhergestellt werden. Auf die Umsetzungshinweise unter Nr. 8.4 zur Datenlöschung wird hingewiesen.
Auf die Umsetzungshinweise im SDM D1.1 bis D1.8 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 6.5.2.1, 6.5.2.2, 7.2.1, 7.2.2 und 7.4 wird hingewiesen.
Nachweis
Grundsätzlich kann ein Cloud-Anbieter als Nachweis der Datenschutzgrundsätze Einblick in TOMs und das Datensicherheitskonzept gewähren.
Für die Erfüllung des Transparenzgrundsatzes wird auf die Nachweise in den Kriterien zu den Informations- und Auskunftspflichten über die Datenverarbeitung (Nr. 15.1 und Nr. 15.3) und zur datenschutzgerechten Systemgestaltung und zu datenschutzfreundlichen Voreinstellungen (Nr. 19.1 und Nr. 19.2) verwiesen.
Zum Nachweis der Einhaltung der Grundsätze der Zweckfestlegung und Zweckbindung sollte ein Cloud-Anbieter eine Datenschutzerklärung vorlegen, um nachzuweisen, dass er die Zwecke für die Datenverarbeitung in eigener Verantwortlichkeit festgelegt, eindeutig und präzise beschrieben und der betroffenen Person kommuniziert hat. Darüber hinaus sollte der Cloud-Anbieter Dokumentationen zu TOM vorlegen, in denen darlegt wird, wie er Daten logisch oder physisch getrennt nach den jeweiligen Verarbeitungszwecken verarbeitet.
Mittels einer testweisen Dienstnutzung (bspw. Registrierung des Cloud-Nutzers) oder Assetprüfung (bspw. Quellcodeanalyse) kann nachgewiesen werden, dass nur die in der Dokumentation angegebenen und erforderlichen Daten zur Zweckerreichung verarbeitet werden. Darüber hinaus können Befragungen der Mitarbeiter und des DSB im Hinblick auf Verfahrensschritte und Richtlinien zur Datenminimierung als Nachweise durchgeführt werden. Unterstützend kann im Rahmen einer Entwicklungs- und Designprüfung nachgewiesen werden, dass während der Anwendung von Entwicklungs- oder Designmethoden bereits die Grundsätze der Datenminimierung, Zweckfestlegung und Zweckbindung einbezogen werden, sodass nur die für die Verarbeitung erforderlichen Daten verarbeitet und bspw. entsprechende Datenfelder in Datenbanken datensparsam designed werden.
Ein Cloud-Anbieter legt Dokumente vor, um die Einhaltung des Grundsatzes der Datenrichtigkeit nachzuweisen. Hierzu zählen insbesondere Prozessdokumentationen zur Prüfung, Korrektur und Löschung unzutreffender oder unvollständiger personenbezogener Daten sowie Dokumentationen über entsprechende (technische) Verfahren (bspw. Einstellungen von Datenbanksystemen). Unterstützend kann eine testweise Korrektur oder Löschung der Daten durchgeführt werden. Eine Befragung oder Beobachtung von Mitarbeitern in Bezug auf die Prüfung, Korrektur und Löschung unzutreffender oder unvollständiger personenbezogener Daten kann zum Nachweis durchgeführt werden (bspw. Bekanntheit der Verfahrensschritte und Richtlinien, klare Verteilung der Verantwortlichkeiten).
Zur Ermittlung des Grundsatzes der Speicherbegrenzung legt der Cloud-Anbieter entsprechende Dokumente vor, bspw. Löschkonzepte (bspw. Fristen und Art der Löschung), Dokumentationen zu Pseudonymisierungsverfahren zur Umsetzung des Speicherbegrenzungsgrundsatzes oder Protokolle über durchgeführte Löschungen und Pseudonymisierungen. Im Rahmen eines Audits sollte eine Befragung der Mitarbeiter zur Speicherbegrenzung durchgeführt werden (bspw. Kenntnis über Speicherfristen, Richtlinien und Verfahrensschritte).