Nr. 1.5 – Ort der Datenverarbeitung
(indirekt Art. 28 Abs. 3 Satz 2 lit. a DSGVO)

Kriterium

(1) In der rechtsverbindlichen Vereinbarung zur Auftragsverarbeitung wird festgelegt, ob sich der Ort der Datenverarbeitung innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums oder in einem Drittland befindet.
(2) Wird die Datenverarbeitung in einem Drittland durchgeführt, ist dieses konkret in der rechtsverbindlichen Vereinbarung zu benennen.
(3) In der rechtsverbindlichen Vereinbarung wird festgelegt, dass in den Fällen, in denen sich während ihres Geltungszeitraums der Ort der Verarbeitung ändert, der Cloud-Anbieter diese Änderung dem Cloud-Nutzer unverzüglich mitteilt.

Erläuterung

Das konkrete Land, in dem die personenbezogenen Daten verarbeitet werden sollen, ist nur bei einer Datenverarbeitung in einem Drittland anzugeben; jedoch nicht, wenn die Datenverarbeitung in der Europäischen Union oder dem Europäischen Wirtschaftsraum stattfinden soll.

Umsetzungshinweise

Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A11.1 und ISO/IEC 27701 Ziff. 8.5 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er entsprechende Dokumentationen vorlegt (bspw. Vertragsmuster, -vorlagen oder -instanzen). Durch eine testweise Dienstnutzung (insb. Einsicht, ob Inhalte bei der Registrierung für die Dienstnutzung angezeigt werden) kann er nachweisen, dass der Ort der Datenverarbeitung (innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums oder das konkrete Dritt-land) und die Verpflichtung zur Meldung bei Änderungen des Ortes dem Cloud-Nutzer auf geeignete Weise kommuniziert werden.