Nr. 15.6 – Einschränkung der Verarbeitung
(Art. 18 Abs. 1 und 3 DSGVO)

Kriterium

(1) Der Cloud-Anbieter stellt durch TOM sicher, dass er die Verarbeitung von personenbezogenen Daten, die er durchführt, um den Auftrag mit dem Cloud-Nutzer über die Erbringung des Cloud-Dienstes zu erbringen oder eine rechtliche Verpflichtung zu erfüllen, auf Antrag der betroffenen Person einschränken kann.
(2) Der Cloud-Anbieter stellt durch TOM sicher, dass er die betroffene Person informiert, bevor er eine Einschränkung aufhebt

Erläuterung

Der Cloud-Anbieter ist nach Art. 18 Abs. 1 DSGVO verpflichtet, die Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen einzuschränken, sodass Daten nicht weiterverarbeitet oder verändert werden können. Das Kriterium fördert das Gewährleistungsziel der Intervenierbarkeit (SDM C1.7).

Umsetzungshinweis

Eine Einschränkung der Verarbeitung kann beispielsweise durch eine vorübergehende Übertragung in ein anderes Verarbeitungssystem oder durch Sperrung erfolgen.
Auf die Umsetzungshinweise der ISO/IEC 27701 7.3.1, 7.3.2, 7.3.3 und 7.3.9 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um die Verarbeitung von Daten einzuschränken und die betroffene Person vor Aufhebung der Einschränkung zu informieren. Er kann Protokolle zu getätigten Anfragen von betroffenen Personen und den darauffolgenden Einschränkungen vorlegen.
Im Rahmen einer Prüfung können testweise Einschränkungen (inkl. Mitteilung an die betroffene Person) und die Aufhebungen dieser durchgeführt werden. Die Einschränkung kann bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support erfolgen. Im Rahmen eines Audits kann auch anhand von Befragungen (z.B. zur Kenntnis über Verfahrensschritte etc.) und Beobachtungen nachgewiesen werden, wie Einschränkungen und ihre Aufhebungen durchgeführt werden und wie die betroffene Person benachrichtigt wird.