Inhalt

    Nr. 14.1 – Datensicherheitskonzept
    (Art. 24, 25, 32 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter führt eine Risikoanalyse in Bezug auf die Datensicherheit durch und verfügt über ein Datensicherheitskonzept entsprechend seiner Schutzklasse, das den spezifischen Risiken seiner Datenverarbeitungsvorgänge zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen angemessen ist.
    (2) Die in Nr. 14 geforderten Angaben können außer im Datensicherheitskonzept auch in sonstigen Dokumenten getroffen werden, solange diese als rechtsverbindlich für die Auftragsverarbeitung zwischen Cloud-Anbieter und Cloud-Nutzer vereinbart worden sind. Die Anforderungen an das Datensicherheitskonzept gelten auch für diese sonstigen Dokumente.
    (3) Im Datensicherheitskonzept stellt der Cloud-Anbieter dar, welche Datensicherheitsmaßnahmen er ergriffen hat, um die bestehenden Risiken abzustellen oder einzudämmen. Der Cloud-Anbieter schildert auch die Abwägungen, die er vorgenommen hat, um zu diesen Maßnahmen zu gelangen.
    (4) Das Datensicherheitskonzept ist schriftlich oder in einem elektronischen Format zu dokumentieren.
    (5) Das Datensicherheitskonzept ist in regelmäßigen Abständen auf Aktualität und Angemessenheit zu überprüfen und bei Bedarf zu aktualisieren.
    (6) Sofern der Cloud-Anbieter Auftragsverarbeiter zur Durchführung des Auftrags mit dem Cloud-Nutzer einsetzt, beschreibt das Datensicherheitskonzept welche Datenverarbeitungsvorgänge ausgelagert sind und daher den TOM des Auftragsverarbeiters unterliegen.
    (7) Soweit das Datensicherheitskonzept Sicherheitsmaßnahmen des Cloud-Nutzers verlangt, sind diese dem Cloud-Nutzer in Schriftform oder in einem elektronischen Format mitzuteilen.

    Erläuterung

    Auch hinsichtlich der Datenverarbeitung zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen müssen Risiken insbesondere gegen unbeabsichtigte und unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten ausgeschlossen oder zumindest minimiert werden. Bei der Festlegung der konkreten Maßnahmen berücksichtigt der Cloud-Anbieter nicht nur die Modalitäten der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Schadens, sondern auch den Stand der Technik sowie die Implementierungskosten der Maßnahmen. Die dabei getroffenen Abwägungen müssen aus dem Datensicherheitskonzept ersichtlich werden.

    Umsetzungshinweis

    Auch für die Datenverarbeitungsvorgänge zur Durchführung des Auftrags mit dem Cloud-Nutzer und zur Erfüllung rechtlicher Verpflichtungen sollte eine Risikoanalyse durchgeführt werden, bei der der Risikobewertungsansatz und die Risikobewertungsmethodik dokumentiert werden. Jedem Risiko sollte durch eine oder mehrere Schutzmaßnahmen begegnet werden. Der Cloud-Anbieter kann auch für die Verarbeitung von Daten zur Durchführung des Auftrags mit dem Cloud-Nutzer und zur Erfüllung rechtlicher Verpflichtungen die Umsetzungshinweise unter Nr. 2.1 zur Erstellung und Pflege des Datensicherheitskonzepts anwenden.

    Nachweis

    Für den Nachweis eines angemessenen Datensicherheitskonzepts gelten die Ausführungen in Nr. 2.1 analog.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.