Inhalt

    Nr. 8.1 – Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten
    (Art. 37-39 DSGVO, § 38 BDSG)

    Kriterium

    (1) Ist der Cloud-Anbieter zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet, benennt er diesen auf Grund seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.
    (2) Der Cloud-Anbieter stellt sicher, dass der DSB unmittelbar der höchsten Managementebene berichtet.
    (3) Der Cloud-Anbieter stellt sicher, dass der DSB bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.
    (4) Der Cloud-Anbieter stellt sicher, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
    (5) Der Cloud-Anbieter stellt die Anerkennung der Person und Funktion des DSB im Organisationsgefüge sicher und unterstützt ihn bei seinen Aufgaben, insbesondere mit angemessenen Ressourcen.
    (6) Der Cloud-Anbieter stellt sicher, dass der DSB seinen Aufgaben nach Art. 39 Abs. 1 DSGVO im angemessenen Umfang nachkommt.

    Erläuterung

    Sofern Cloud-Anbieter die Pflicht haben, einen DSB zu benennen, müssen sie ihn sorgfältig auswählen, ausstatten, schützen und ihm in der Betriebsorganisation einen gebührenden Platz zuweisen.
    Erfolgt die Benennung eines DSB, so muss dieser seinen gesetzlichen Pflichten in Bezug auf alle durchgeführten Datenverarbeitungsvorgänge nachkommen, unabhängig davon, ob der Cloud-Anbieter als Auftragsverarbeiter oder Verantwortlicher der Datenverarbeitung agiert.

    Umsetzungshinweis

    Der Cloud-Anbieter sollte eine schriftliche Dokumentation der für den jeweiligen Cloud-Dienst eingesetzten Systeme, Verfahren und Prozesse (Software, Hardware, beteiligte Organisationseinheiten, Rollen und Dienstleister) und eine möglichst exakte Beschreibung der Gesamtheit der getroffenen TOM führen (z.B. in einem Datensicherheitskonzept) und dem DSB sowie (auf Anfrage) der Aufsichtsbehörde zugänglich machen.
    Ist der DSB bei einem anderen Unternehmen beschäftigt (externer DSB des Cloud-Anbieters) oder gleichzeitig DSB anderer Unternehmen, gilt seine Weisungsfreiheit auch gegenüber seinem Arbeitgeber und seinen anderen Auftraggebern. Die Anforderung der Abwesenheit von Interessenskonflikten ist primär eine Benennungsvoraussetzung und in sekundärer Hinsicht eine Organisationspflicht des Cloud-Anbieters. Der Cloud-Anbieter weist dem DSB keine zusätzlichen Aufgaben zu, die ihn in einen Interessenskonflikt bringen könnten. Interessenskonflikte sind im Rahmen folgender Tätigkeiten anzunehmen: Tätigkeiten, im Rahmen derer der DSB sich selbst kontrollieren müsste, z.B. Stellung als Geschäftsführer, IT- oder Personalabteilungsleiter, wirtschaftliche Interessen des DSB am Unternehmenserfolg oder zu große Nähe zur benennenden Stelle.
    Die Verschwiegenheitspflicht des DSB umfasst insbesondere die Identität des Beschwerdeführers oder der betroffenen Person(en), alle datenschutzrechtlich relevanten Informationen sowie alles, was zur Identifizierung eines Hinweisgebers führen könnte. Auch gegenüber der ihn benennenden Stelle ist der DSB zur umfassenden Verschwiegenheit verpflichtet. Das Kriterium fördert das Gewährleistungsziel der Vertraulichkeit (SDM C1.4).
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 6.3.1 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis dadurch erbringen, indem er einen DSB benennt und die Kontaktdaten des DSB der zuständigen Aufsichtsbehörde meldet sowie ihn auf seiner Webseite als Ansprechpartner der Öffentlichkeit vorstellt. Auch interne Dokumente wie z.B. die Vorlage der Stellenbeschreibung des DSB oder von Benennungsurkunden, Fachkundenachweisen (bspw. Zeugnissen, Schulungsnachweisen), Aufgaben- und Verfahrensbeschreibungen, Richtlinien, oder Organigrammen, die die Einordnung des DSB beschreiben, können geeignete Nachweise sein. Gleiches gilt für die Bereitstellung von Protokollen über die Mitarbeiterinformation zur Rolle des DSB; für Gesprächsprotokolle mit dem DSB zur Überprüfung der Anforderungserfüllung und für Tätigkeitsberichte.
    Zur Beurteilung der fachlichen und persönlichen Eignung kann der Cloud-Anbieter einschlägige Zeugnisse und Beurteilungen des DSB vorlegen. Eine Befragung des DSB kann während einer Vor-Ort-Auditierung ebenfalls Aufschluss über seine Eignung und Stellung im Unternehmen geben. Auch kann im Rahmen einer Vor-Ort-Auditierung nachgewiesen werden, dass der DSB über die erforderliche Ausstattung und Unterstützung verfügt.
    Mit den regelmäßig durchzuführenden internen Audits des DSB kann der Nachweis über seine Tätigkeiten, seine Unabhängigkeit sowie seine Einbindung und Wirksamkeit im Organisationsgefüge des Cloud-Anbieters nachgewiesen werden. Hierzu sollten entsprechende Auditprotokolle zur Prüfung vorgelegt werden. Mittels Protokollen und sonstigen Dokumenten sowie einer Befragung des Managements kann nachgewiesen werden, ob der DSB der obersten Managementebene direkt berichtet. Eine Befragung des DSB zu seinen Aufgaben ist geeignet um nachzuweisen, dass er keinem Interessenkonflikt unterliegt. Zusätzlich können Dokumente vorgelegt werden, die Auskunft über die geleisteten Arbeitsstunden des DSB geben.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.