Inhalt

    Nr. 8.3 – Führen eines Verarbeitungsverzeichnisses
    (Art. 30 Abs. 2 DSGVO)

    Kriterium

    (1) Ist der Cloud-Anbieter zur Führung eines Verarbeitungsverzeichnisses verpflichtet, führt er in diesem alle Kategorien von Verarbeitungsvorgängen auf, die er im Auftrag von Verantwortlichen vornimmt. Das Verzeichnis enthält außerdem die in Art. 30 Abs. 2 DSGVO aufgelisteten Inhalte.
    (2) Das Verarbeitungsverzeichnis ist schriftlich oder in einem elektronischen Format zu führen. Es ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

    Erläuterung

    Das Kriterium fördert das Gewährleistungsziel der Transparenz (SDM C1.6).
    In der Regel sind Verantwortliche und Auftragsverarbeiter ab 250 beschäftigten Mitarbeitern zur Führung eines Verarbeitungsverzeichnisses verpflichtet. Jedoch muss der Cloud-Anbieter auch bei weniger Mitarbeitern ein Verarbeitungsverzeichnis führen, wenn gemäß Art. 30 Abs. 5 DSGVO die vorgenommene Verarbeitung Risiken für die Rechte und Freiheiten von betroffenen Personen birgt, besondere Kategorien von personenbezogenen Daten gemäß Art. 9 oder. 10 DSGVO verarbeitet werden oder die Verarbeitung nicht nur gelegentlich erfolgt.

    Umsetzungshinweis

    Bei standardisierten Massengeschäften sollte das Verarbeitungsverzeichnis automatisiert erstellt werden. Hierzu haben sich bereits am Markt verschiedene Systemwerkzeuge etabliert.
    Das Verfahrensverzeichnis kann für alle Dokumentationspflichten als Nachweis oder Nachweisbekräftigung herangezogen werden. Dieses Verzeichnis ist jedoch nicht öffentlich und richtet sich nicht an betroffene Personen, sondern ist ausschließlich nach innen und auf das Verhältnis zur Aufsichtsbehörde gerichtet.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 18.1, ISO/IEC 27018 Ziff. A5.2 und ISO/IEC 27701 Ziff. 8.2.6 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt die Verarbeitungsverzeichnisse vor und weist ihre Vollständigkeit und Aktualität nach (bspw. Zeitstempel, Versionierungshistorie). Ist eine standardisierte Vereinbarung mit dem Cloud-Nutzer geschlossen, wird das zugrundeliegende standardisierte Verarbeitungsverzeichnis vorgelegt. Sollten keine standardisierten Vereinbarungen mit einem Cloud-Nutzer geschlossen worden sein, legt ein Cloud-Anbieter alle oder eine repräsentative Stichprobe von Verarbeitungsverzeichnissen von Cloud-Nutzern vor. Unterstützend können im Rahmen eines Audits Befragungen der Mitarbeiter durchgeführt werden, um die Verzeichnisse auf Vollständigkeit und Aktualität zu prüfen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.