Inhalt

    Nr. 15.1 – Informationspflicht bei Dritterhebung
    (Art. 13 i.V.m. Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a DSGVO)

    Kriterium

    Der Cloud-Anbieter stellt durch TOM sicher, dass die betroffene Person zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen über die Umstände der Verarbeitung und über ihre Betroffenenrechte verständlich und in klarer und einfacher Sprache informiert wird. Die Information an die betroffene Person umfasst alle in Art. 13 Abs. 1 und 2 DSGVO geforderten Angaben.

    Erläuterung

    Der Cloud-Anbieter ist nach Art. 13 DSGVO verpflichtet, die betroffene Person über die Umstände der Direkterhebung zu informieren. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit (SDM C1.6 und C1.7).

    Umsetzungshinweis

    Der Cloud-Anbieter sollte dem Cloud-Nutzer eine Datenschutzerklärung mit allen Informationen gemäß Art. 13 Abs. 1 und 2 DSGVO bei der Registrierung für die Nutzung des Cloud-Dienstes zur Verfügung stellen (bspw. über die Webseite oder das Informationsportal des Cloud-Dienstes). Der Cloud-Anbieter sollte zudem eine Kontaktstelle einrichten, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 7.2.1, 7.3. und 7.5. wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt das Muster seiner Datenschutzerklärung mit den Informationen nach Art. 13 Abs. 1 und 2 DSGVO vor, das der Cloud-Nutzer bei Vertragsschluss über die Erbringung des Cloud-Dienstes erhält. Findet der Vertragsschluss online statt, kann im Rahmen eines (Test-)Vertragsabschlusses nachgewiesen werden, ob der Cloud-Anbieter alle Informationen nach Art. 13 Abs. 1 und 2 DSGVO bereitstellt. Zur Erfüllung seiner Informationspflicht gegenüber anderen betroffenen Personen wie z.B. den Mitarbeitern des Cloud-Nutzers legt der Cloud-Anbieter ebenfalls das Muster seiner Datenschutzerklärung vor, dass er dem Mitarbeiter z.B. über E-Mail bei Erhebung der Daten übermittelt.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.