Nr. 8.2 – Meldung von Datenschutzverletzungen
(Art. 33 Abs. 2 und Art. 28 Abs. 3 lit. f DSGVO)

Kriterium

(1) Der Cloud-Anbieter stellt durch geeignete Maßnahmen sicher, dass er dem Cloud-Nutzer Datenschutzverletzungen und deren Ausmaß unverzüglich meldet.
(2) Der Cloud-Anbieter bestimmt, wer zuständig ist, über die Mitteilung an den Cloud-Nutzer zu entscheiden und diese vorzunehmen. Die zuständigen Stellen sind für Mitarbeiter und Subauftragsverarbeiter in einer Weise erreichbar, dass Mitteilungen über etwaige Verstöße zeitnah entgegengenommen und bearbeitet werden können.
(3) Die zuständigen Stellen verfügen über ausreichend Ressourcen, um eine rasche Bearbeitung von Meldungen sicher zu stellen. Die Mitarbeiter in den zuständigen Stellen sind ausreichend geschult, um Verstöße beurteilen und eine Folgeabschätzung durchführen zu können.

Erläuterung

Der Cloud-Anbieter ist nach Art. 33 Abs. 2 DSGVO zur unverzüglichen Meldung von Datenschutzverstößen an den Cloud-Nutzer verpflichtet, damit dieser seiner Meldepflicht gegenüber der Aufsichtsbehörde aus Art. 33 Abs. 1 DSGVO und seiner Unterrichtungspflicht gegenüber den betroffenen Personen aus Art. 34 Abs. 1 DSGVO nachkommen kann. Diese Pflicht bezieht sich auch auf Verstöße von Subauftragnehmern in der gesamten Subauftragsverarbeiterkette. Das Kriterium fördert das Gewährleistungsziel der Integrität und Transparenz (SDM C1.3 und C1.6).

Umsetzungshinweis

Die Meldung von Datenschutzverletzungen kann über geeignete Informationssysteme innerhalb des Dienstes wie über Nachrichtensysteme oder Newsmeldungen geschehen.

Umsetzungshinweis

Der Cloud-Anbieter sollte entsprechende Prozesse etablieren und dokumentieren, sowie Ansprechpartner, Verantwortlichkeiten und Meldewege festlegen. Die Meldung von Datenschutzverletzungen kann über geeignete Informationssysteme innerhalb des Dienstes wie über Nachrichtensysteme oder Newsmeldungen geschehen. Die Meldung von Datenschutzvorfällen sollte in das Incident- und Troubleshooting-Management des Cloud-Anbieters integriert werden, um eine rasche Bearbeitung zu ermöglichen.
Auf die Umsetzungshinweise im BSI C5 Anf. SIM-01 bis SIM-07 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 16.1.1, 16.1.2, ISO/IEC 27018 Ziff. A9.1 und 27701 Ziff. 6.13.1, 8.2.5 und 8.3 wird hingewiesen.

Nachweis

Ein Cloud-Anbieter legt das Datensicherheitskonzept und die darin beschriebenen TOMs zur Gewährleistung der Meldung von Datenschutzverletzungen vor. Er kann zudem weitere Dokumentationen zu Informations- und Meldepflichten vorlegen, darunter bspw. Prozessdokumentationen für die Information von Nutzern, Verfahrensverzeichnisse, Verfahrensanweisungen, Richtlinien und Schulungsunterlagen.
Die Implementierung dieses Konzepts kann durch Prüfung oder Beobachtung einer Probemeldung eines Datenschutzvorfalls bei einem simulierten Cloud-Nutzers nachgewiesen werden. Auch können Protokolle über vergangene Meldungen von Datenschutzvorfällen an Nutzer als Nachweis dienen. Im Rahmen einer Vor-Ort-Auditierung sollte nachgewiesen werden, dass ausreichend Ressourcen vorliegen, um eine rasche Bearbeitung von Meldungen sicherzustellen.
Die Kompetenz der Mitarbeiter sollte durch Dokumentationen von Fähigkeiten wie Zeugnissen oder erfolgten Schulungen und durch Mitarbeiterbefragungen nachgewiesen werden. Auch können ein Organigramm oder eine Übersicht zur Personalsituation in verantwortlichen Bereichen mit entsprechend dokumentierten Qualifikationen des Personals vorgelegt werden. Dabei kann auch durch Befragungen nachgewiesen werden, dass Verantwortlichkeiten klar geregelt und kommuniziert sind (bspw. wer verantwortlich ist über die Meldung des Datenschutzvorfalls an den Cloud-Nutzer zu entscheiden und diese vorzunehmen).