Inhalt

    Nr. 8.6 – Auswahl und Einsatz geeigneter Personen
    (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter betraut nur Mitarbeiter mit der Durchführung von Verarbeitungsvorgängen, die fachlich für die Erfüllung ihrer jeweiligen Aufgaben befähigt sind und sowohl im Datenschutz als auch in der Datensicherheit sensibilisiert und geschult sind.
    (2) Der Cloud-Anbieter stellt sicher, dass bei den Mitarbeitern keine Interessenkonflikte hinsichtlich der Ausübung ihrer jeweiligen Aufgaben bestehen.
    (3) Der Cloud-Anbieter stellt sicher, dass Mitarbeiter fortlaufend im Themenfeld Datenschutz und Datensicherheit geschult werden.

    Erläuterung

    Der Einsatz geeigneter Mitarbeiter ist die Voraussetzungen dafür, dass der Cloud-Anbieter seinen zahlreichen Pflichten überhaupt nachkommen kann. Das Kriterium steht zudem in enger Verbindung mit dem Kriterium Nr. 8.1, da der DSB für die Sensibilisierung und Schulung von an Verarbeitungsvorgängen beteiligten Mitarbeitern zuständig ist und die diesbezüglichen Überprüfungen vornimmt.

    Umsetzungshinweis

    Um die fachliche Kompetenz der Mitarbeiter zu erhalten, sollte der Cloud-Anbieter regelmäßige Mitarbeiterschulungen (ca. 1 Mal pro Jahr) zu datenschutzrechtlichen und datensicherheitstechnischen Themen durchführen – auch zur konkreten Technik des Cloud-Dienstes. Die Schulung von Mitarbeitern obliegt dem DSB.
    Auf die Umsetzungshinweise im BSI C5 Anf. HR-01, HR-02 und HR-03 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 7.1.2, 7.2.1, 7.2.2 und 7.3 und ISO/IEC 27701 Ziff. 6.4.2.2, 6.8.2.9 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter kann den Nachweis der erforderlichen Fachkunde seiner Mitarbeiter durch einschlägige Qualifikationsnachweise erbringen (z.B. Zeugnisse, Dokumentation über Eignungsvoraussetzungen, Schulungsunterlagen, Teilnahmenachweise, Rollen- und Berechtigungsbeschreibungen und -konzepte, Verfahrensanweisungen und Richtlinien). Sensibilisierungs- und Schulungsmaßnahmen von Mitarbeitern kann er durch die Dokumentation erfolgter Schulungen nachweisen.
    Die Feststellung der Umsetzung von Regeln kann im Rahmen einer Vor-Ort-Prüfung (z.B. Clean Desk Grundsatz, Bildschirmsperren) und Befragungen der Mitarbeiter (bspw. Prüfung auf Fachkunde, Bekanntheit der Richtlinien, potenzielle Interessenkonflikte) nachgewiesen werden.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.