Inhalt
Nr. 15.7 – Mitteilungspflicht bei Berichtung, Löschung oder Einschränkung der Verarbeitung
(Art. 19 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)
Kriterium
Soweit der Cloud-Anbieter Empfängern personenbezogene Daten zur Durchführung des Auftrags mit dem Cloud-Nutzer über die Erbringung des Cloud-Dienstes oder aufgrund einer rechtlichen Verpflichtung offengelegt hat, stellt er durch TOM sicher, dass er diesen Empfängern, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitteilt und die betroffene Person auf Verlangen über die Empfänger unterrichtet.
Erläuterung
Der Cloud-Anbieter ist nach Art. 19 DSGVO verpflichtet, Empfängern, denen er personenbezogene Daten offengelegt hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen und die betroffene Person auf Verlangen über die Empfänger zu unterrichten. Das Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit (SDM C1.6 und C1.7).
Empfänger sind beispielsweise auch Auftragsverarbeiter, die eingesetzt werden, um den Auftrag über die Erbringung des Cloud-Dienstes durchzuführen.
Auf die Umsetzungshinweise der ISO/IEC 27701 7.3.1, 7.3.2, 7.3.3, 7.3.7 und 7.3.9 wird hingewiesen.
Nachweis
Der Cloud-Anbieter kann den Nachweis erbringen, indem er dokumentiert, welche Maßnahmen er ergriffen hat, um seiner Mitteilungspflicht nachzukommen und die betroffene Person auf Verlangen über die Empfänger der Offenlegung zu unterrichten (z.B. Dokumentation der relevanten Mechanismen und Meldewege, Dienstbeschreibungen). Ein Cloud-Anbieter kann Protokolle zu getätigten Mitteilungen vorlegen.
Im Rahmen einer Prüfung kann eine testweise Mitteilung durchgeführt werden (bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support). Im Rahmen eines Audits kann auch anhand von Befragungen (z.B. zur Kenntnis über Verfahrensschritte etc.) und Beobachtungen nachgewiesen werden, ob eine Mitteilung durchgeführt werden kann. Gleichermaßen kann überprüft werden, ob ein Cloud-Nutzer auf Verlangen über die Empfänger der Offenlegung unterrichtet werden kann.