Inhalt

    Nr. 14.5 – Übertragung von Daten und Transportverschlüsselung
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter setzt bei Datenübertragungsvorgängen eine Transportverschlüsselung nach dem Stand der Technik oder gleichermaßen angemessene Maßnahmen ein oder fordert dies durch entsprechende Konfiguration von Schnittstellen. Die eingesetzte Transportverschlüsselung gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Bei verschlüsselter Übertragung sind die Schlüssel sicher aufzubewahren.
    (2) Der Cloud-Anbieter schließt im Regelfall solche Handlungen Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter aus. Die TOM verhindern im Regelfall die fahrlässige Weitergabe von Daten an Unbefugte durch den Cloud-Anbieter und seine Mitarbeiter. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
    (3) Der Cloud-Anbieter protokolliert automatisiert die Metadaten aller Datenübertragungsvorgänge, einschließlich der Empfänger, auch solche vom und an den Cloud-Nutzer oder an Subauftragsverarbeiter.
    (4) Die Kriterien gelten auch für die Übertragung von Daten im eigenen Netzwerk des Cloud-Anbieters und seiner Auftragsverarbeiter und zwischen diesen.
    (5) Der Cloud-Anbieter verhindert beim Transport von Datenträgern durch TOM, dass personenbezogene Daten unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Cloud-Anbieter dokumentiert die Transporte.
    Schutzklasse 2
    (6) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (7) Der Cloud-Anbieter schützt personenbezogene Daten gegen vorsätzliches unbefugtes Lesen, Kopieren, Verändern oder Entfernen und schließt zu erwartende Versuche hinreichend sicher aus. Er schützt gegen bekannte Angriffsszenarien und stellt ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen im Regelfall (nachträglich) fest.

    Erläuterung

    Es wird auf die Erläuterungen in Nr. 2.5 verwiesen.

    Umsetzungshinweis

    Die Umsetzungshinweise unter Nr. 2.5 sind anwendbar, wobei statt auf Ziff. 8.4.3 der ISO/IEC 27701 auf Ziff. 7.4.9 hingewiesen wird.

    Nachweis

    Der Cloud-Anbieter kann den Schutz von Daten bei der Übertragung analog wie in Nr. 2.5 angegeben nachweisen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.