Inhalt

    Nr. 14.8 – Getrennte Verarbeitung
    (Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter verarbeitet personenbezogene Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Pflichten verarbeitet werden, logisch oder physisch getrennt nach den jeweiligen Verarbeitungszwecken.
    (2) Die Datentrennung muss im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern, des Cloud-Anbieters oder seiner Mitarbeiter gewahrt ein. Der Cloud-Anbieter realisiert einen Mindestschutz, der vorsätzliche Verstöße gegen das Trennungsgebot verhindert.
    Schutzklasse 2
    (3) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (4) Der Cloud-Anbieter schließt zu erwartende vorsätzliche Verstöße hinreichend sicher aus. Zu den dafür erforderlichen TOM gehört im Rahmen der Datenspeicherung die Verschlüsselung mit individuellen Schlüsseln. Er stellt vorsätzliche Verstöße gegen das Trennungsgebot im Regelfall (nachträglich) fest.

    Erläuterung

    Das Kriterium fördert das Gewährleistungsziel der Verfügbarkeit, Integrität, Vertraulichkeit und Nichtverkettung (SDM C1.2 – C1.5) und zielt damit auch auf die Sicherstellung des Zweckbindungsgrundsatzes aus Art. 5 Abs. 1 lit. b DSGVO ab.

    Umsetzungshinweis

    Die Umsetzungshinweise unter Nr. 2.10 sind anwendbar. Auf die Umsetzungshinweise in der ISO/IEC 27701 Ziff. 7.2.8 wird hingewiesen.

    Nachweis

    Die Datentrennung und deren Angemessenheit kann der Cloud-Anbieter analog wie in Nr. 2.10 angegeben nachweisen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.