Inhalt

    Nr. 6.2 – Auskunftserteilung
    (Art. 28 Abs. 3 lit. e i.V.m. Art. 15 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter stellt sicher, dass der Cloud-Nutzer die Möglichkeit hat, betroffenen Personen Auskunft über die Datenverarbeitung zu erteilen und ihnen eine Kopie der personenbezogenen Daten zur Verfügung zu stellen oder dies durch den Cloud-Anbieter vornehmen zu lassen.
    (2) Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung des Auskunftsrechts.

    Erläuterung

    Der Cloud-Nutzer ist nach Art. 15 DSGVO verpflichtet, der betroffenen Person auf Antrag Auskunft über eine Datenverarbeitung und ihre Umstände zu erteilen. Der Cloud-Anbieter hat den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit (SDM C1.6 und C1.7).

    Umsetzungshinweis

    Soweit dem Cloud-Nutzer eine Umsetzung der Betroffenenrechte nicht selbst möglich ist, sollte eine organisatorische Kontaktstelle für den Cloud-Nutzer vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung von Betroffenenrechten veranlassen kann. Mit Hilfe eines Ticketsystems können die Weisungen des Cloud-Nutzers dokumentiert werden.
    Werden Weisungen zur Umsetzung des Auskunftsrechts automatisiert (z.B. mittels Softwarebefehlen durch Interaktion mit einer graphischen Benutzeroberfläche oder über Kommandozeilenangabe) ausgeführt, sollten diese Nutzerinteraktionen automatisiert protokolliert werden, um nachzuweisen, dass der Cloud-Anbieter weisungsgebunden handelt.
    Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A1.1 und 27701 Ziff. 8.3 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumente zu Maßnahmen vorlegt, die er ergriffen hat, um dem Cloud-Nutzer die Auskunftserteilung gegenüber einer betroffenen Person zu ermöglichen oder die Auskunft durch den Cloud-Anbieter erteilen zu lassen (z.B. Mechanismen und Meldewege, Dienstbeschreibungen). Auch können anhand von Prozessdokumentationen und Protokollen die tatsächlich durchgeführten Auskunftserteilungen nachgewiesen werden.
    Im Rahmen einer Prüfung kann eine Probeauskunft durchgeführt werden, um nachzuweisen, dass Auskunftserteilung und Bereitstellung von Daten möglich sind (bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support).
    Der Cloud-Anbieter sollte Protokolle über die fortlaufende Dokumentierung von erteilten Weisungen und/oder Softwarebefehlen von Cloud-Nutzern zur Umsetzung der Auskunftserteilung (bspw. Logeinträge, Zeitstempel, Versionierung von Logdateien) als Nachweise vorlegen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.