Nr. 6.1 – Auskunftserteilung
(Art. 13 oder 14 i.V.m. Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a DSGVO)

Kriterium

(1) Der Cloud-Anbieter stellt durch TOM sicher, dass der Cloud-Nutzer die Möglichkeit hat, die betroffene Person zeitgerecht, verständlich und in klarer und einfacher Sprache über die Datenverarbeitung zu informieren oder dies durch den Cloud-Anbieter vornehmen zu lassen.
(2) Der Cloud-Anbieter dokumentiert Weisungen zur Umsetzung der Informationspflicht.

Erläuterung

Werden personenbezogene Daten direkt bei der betroffenen Person erhoben (Direkterhebung), ist der Cloud-Nutzer nach Art. 13 DSGVO verpflichtet, die betroffene Person zum Zeitpunkt der Erhebung über die Umstände der Datenverarbeitung zu informieren. Nach Art. 14 DSGVO besteht die Informationspflicht für den Cloud-Nutzer auch, wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben werden (Dritterhebung). Die Angemessenheit der Frist zur Informationserteilung bei der Dritterhebung bemisst sich nach den spezifischen Verarbeitungsumständen. Gemäß Art. 14 Abs. 3 lit a DSGVO beträgt die Frist längstens einen Monat nach Erlangung der personenbezogenen Daten. Es gelten kürzere Fristen, wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet oder anderen Empfängern offengelegt werden sollen. Im ersten Fall verpflichtet Art. 14 Abs. 3 lit. b DSGVO den Cloud-Nutzer dazu, seiner Informationspflicht spätestens bei der ersten Mitteilung an die betroffene Person nachzukommen. Im zweiten Fall kann gemäß Art. 14 Abs. 3 lit. c DSGVO die Information spätestens zum Zeitpunkt der ersten Offenlegung der Daten an den Empfänger erfolgen.
Der Cloud-Anbieter hat den Cloud-Nutzer durch geeignete TOM bei der Erfüllung der Rechte betroffener Personen zu unterstützen. Dieses Kriterium fördert die Gewährleistungsziele der Transparenz und der Intervenierbarkeit (SDM C1.6 und C1.7).

Umsetzungshinweis

Soweit dem Cloud-Nutzer eine Umsetzung seiner Informationspflicht selbst nicht möglich ist, sollte für ihn eine organisatorische Kontaktstelle vorgehalten werden, die durch angemessene Erreichbarkeit und Befugnisse eine unverzügliche Umsetzung dieser veranlassen kann. Mit Hilfe eines Ticketsystems können die Weisungen des Cloud-Nutzers dokumentiert werden.
Werden Weisungen zur Umsetzung der Informationspflicht automatisiert (z.B. mittels Softwarebefehlen durch Interaktion mit einer graphischen Benutzeroberfläche oder über Kommandozeilenangabe) ausgeführt, sollten diese Nutzerinteraktionen automatisiert protokolliert werden, um nachzuweisen, dass der Cloud-Anbieter weisungsgebunden handelt.
Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A1.1 und 27701 Ziff. 8.3 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er Dokumente zu Maßnahmen vorlegt, die er ergriffen hat, um dem Cloud-Nutzer die Informationserteilung gegenüber einer betroffenen Person zu ermöglichen oder die Information durch den Cloud-Anbieter mitteilen zu lassen (z.B. Mechanismen und Meldewege, Dienstbeschreibungen). Auch können anhand von Prozessdokumentationen und Protokollen die tatsächlich durchgeführten Informationserteilung nachgewiesen werden.
Im Rahmen einer Prüfung kann der Cloud-Anbieter eine Probeinformationserteilung durchführen, um nachzuweisen, dass diese möglich ist (bspw. durch eine technische Funktion innerhalb des Cloud-Dienstes oder durch manuelle Anfragen beim Cloud-Dienst-Support).
Der Cloud-Anbieter sollte Protokolle über die fortlaufende Dokumentierung von erteilten Weisungen und/oder Softwarebefehlen von Cloud-Nutzern zur Umsetzung der Informationserteilung (bspw. Logeinträge, Zeitstempel, Versionierung von Logdateien) als Nachweise vorlegen. Im Rahmen eines Audits kann auch eine Befragung oder Beobachtung relevanter Mitarbeiter (z.B. zur Kenntnis über Weisungen von Cloud-Nutzern und Richtlinien zur Befolgung dieser etc.) als Nachweis durchgeführt werden.