Nr. 1.7 – Technisch-organisatorische Maßnahmen, Unterbeauftragung und Unterstützung
(Art. 28 Abs. 3 Satz 2 lit. c bis f i.V.m. Kap. III und Art. 32 – 36 DSGVO)

Kriterium

(1) Die dem Schutzniveau der ausgelagerten Datenverarbeitung angemessenen TOM werden in einer rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung festgelegt.
(2) Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung enthält die Angabe, ob der Cloud-Anbieter eine Pseudonymisierung, Anonymisierung oder Verschlüsselung (Nr. 2.7, Nr. 2.8 und Nr. 2.9) der zu verarbeitenden personenbezogenen Daten vornimmt und ob diese auch gegenüber den Mitarbeitern des Cloud-Anbieters wirksam sind.
(3) Der Cloud-Anbieter legt in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung fest, auf welchem Niveau er nach einem physischen oder technischen Zwischenfall die Daten des Cloud-Nutzers und den Cloud-Dienst wiederherstellen und dem Cloud-Nutzer Zugang zum Cloud-Dienst und zu den Daten gewährleisten kann (Nr. 2.11).
(4) In der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung wird bestimmt, wie der Cloud-Anbieter die Bedingungen gemäß Art. 28 Abs. 2 und 4 DSGVO für die Inanspruchnahme der Dienste weiterer Auftragsverarbeiter einhält.
(5) Die Verfahren zur Unterstützung des Cloud-Nutzers bei der Erfüllung der Betroffenenrechte gemäß Nr. 6, bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Nr. 7 und zur Erfüllung der Meldepflicht bei Datenschutzverletzungen nach Nr. 8.2 werden in der rechtsgültigen Vereinbarung über die Auftragsverarbeitung festgelegt.

Umsetzungshinweis

Angaben zur Umsetzung der Kriterien unter Nr. 2 können an Gewährleistungszielen ausgerichtet werden, während die konkreten Maßnahmen der Zielerreichung dem Cloud-Anbieter überlassen werden können. Für den Cloud-Nutzer ist es wichtig zu wissen, welches Schutzniveau der Cloud-Dienst bietet.
Die Vorgaben des Art. 28 Abs. 3 Satz 2 lit. d DSGVO sollten in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung präzisiert werden, so dass ihre Einhaltung für den Cloud-Nutzer leicht überprüfbar ist.
Der Cloud-Anbieter kann einen Wiederherstellbarkeitszeitraum in der rechtsverbindlichen Vereinbarung angeben sowie auf die jeweilige Wiederherstellbarkeitsklasse der Zertifizierung verweisen.
Da dem Cloud-Nutzer bei Änderungen in der Unterbeauftragung ein Einspruchsrecht zusteht (Nr. 10.3), sollten in der rechtsverbindlichen Vereinbarung über die Auftragsverarbeitung die Voraussetzungen und Folgen eines Einspruchs geregelt werden, bspw. ob der Cloud-Nutzer bei Einspruch die Vereinbarung aufkündigen darf.
Die rechtsverbindliche Vereinbarung über die Auftragsverarbeitung soll die Unterstützungspflichten des Cloud-Anbieters unter Berücksichtigung der Ausgestaltung des konkreten Cloud-Dienstes und der dem Cloud-Anbieter zumutbaren und geeigneten TOM konkretisieren. Dies soll Unsicherheiten hinsichtlich der sich aus der Vereinbarung ergebenden Rechte und Pflichten vermeiden.
Auf die Umsetzungshinweise der ISO/IEC 27018 Ziff. A1.1 und A10.11 und ISO/IEC 27701 6.13.1.5, 8.2.1, 8.2.5 und 8.3.1 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er entsprechende Dokumentationen vorlegt (bspw. Vertragsmuster, -vorlagen oder -instanzen). Durch eine testweise Dienstnutzung (insb. Einsicht, ob Inhalte bei Dienstnutzung angezeigt werden) kann er nachweisen, dass er ein Verfahren implementiert hat, wonach die Vereinbarung mit diesen Festlegungen geschlossen wird. Dabei ist insbesondere die Vollständigkeit und der hinreichende Detailgrad zur Beschreibung der TOMs nachzuweisen (bspw. Angabe der TOM ausgerichtet an den Gewährleistungszielen).