Inhalt

    Nr. 15.2 – Informationspflicht bei Direkterhebung
    (Art. 14 i.V.m. Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a DSGVO)

    Kriterium

    Sofern die personenbezogenen Daten der betroffenen Person zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen nicht direkt bei der betroffenen Person erhoben werden (Dritterhebung), stellt der Cloud-Anbieter durch TOM sicher, dass die betroffene Person innerhalb einer angemessenen Frist über die Umstände der Verarbeitung und über ihre Betroffenenrechte verständlich und in klarer und einfacher Sprache informiert wird, sofern die Informationserteilung nicht unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. Die Information an die betroffene Person umfassen alle in Art. 14 Abs. 1 und 2 DSGVO geforderten Angaben.

    Erläuterung

    Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit (SDM C1.6 und C1.7).

    Umsetzungshinweis

    Der Cloud-Anbieter sollte die Zuweisung von Verantwortlichkeiten und Meldewege sicherstellen und diese dokumentieren, damit die betroffene Person fristgemäß informiert werden kann. Die Angemessenheit der Frist zur Informationserteilung bemisst sich nach den spezifischen Verarbeitungsumständen. Gemäß Art. 14 Abs. 3 lit a. DSGVO beträgt die Frist längstens einen Monat nach Erlangung der personenbezogenen Daten. Es gelten kürzere Fristen, wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet oder anderen Empfängern offengelegt werden sollen. Im ersten Fall verpflichtet Art. 14 Abs. 3 lit. b DSGVO den Cloud-Anbieter dazu, seiner Informationspflicht spätestens bei der ersten Mitteilung an die betroffene Person nachzukommen. Im zweiten Fall kann gemäß Art. 14 Abs. 3 lit. c DSGVO die Information spätestens zum Zeitpunkt der ersten Offenlegung der Daten an den Empfänger erfolgen.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 7.2.1, 7.3 und 7.5 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt das Muster seiner Datenschutzerklärung mit den Informationen nach Art. 14 Abs. 1 und 2 DSGVO vor, dass er der betroffenen Person zur Verfügung stellt. Darüber hinaus legt er Dokumentationen zum Meldeverfahren vor, bspw. Verfahrensschritte, Meldewege oder Protokolle über durchgeführte Meldungen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.