Nr. 16 – Meldung von Datenschutzverletzungen
(Art. 33 Abs. 1, 3 und 5 DSGVO)

Kriterium

(1) Der Cloud-Anbieter meldet der Aufsichtsbehörde Datenschutzverletzungen aus der Verarbeitung von Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen vorgenommen werden, unverzüglich nach Bekanntwerden, sofern sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen.
(2) Der Cloud-Anbieter dokumentiert die Datenschutzverletzungen samt aller mit ihnen in Zusammenhang stehenden Fakten, Auswirkungen und ergriffenen Maßnahmen.
(3) Die Meldung an die zuständige Aufsichtsbehörde enthält mindestens die Vorgaben aus Art. 33 Abs. 3 lit. a bis d DSGVO.
(4) Der Cloud-Anbieter bestimmt, welche Faktoren erfüllt sein müssen, damit von einem voraussichtlichen Risiko für die Rechte und Freiheiten von betroffenen Personenausgegangen werden muss und wer für die Meldung zuständig ist. Die zuständigen Mitarbeiter sind ausreichend geschult, um Verstöße beurteilen zu können.

Erläuterung

Der Cloud-Anbieter ist nach Art. 33 DSGVO zur unverzüglichen Meldung von Datenschutzverstößen an die Aufsichtsbehörde verpflichtet, sofern sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen. Der Cloud-Anbieter muss Datenschutzverletzungen dokumentieren, damit die Aufsichtsbehörde überprüfen kann, ob der Cloud-Anbieter allen seinen diesbezüglichen Pflichten nachgekommen ist. Das Kriterium fördert das Gewährleistungsziel der Integrität und Transparenz (SDM C1.3 und C1.6).

Umsetzungshinweis

Der Cloud-Anbieter sollte entsprechende Prozesse etablieren und dokumentieren, sowie Ansprechpartner, Verantwortlichkeiten und Meldewege festlegen. Die Meldung von Datenschutzvorfällen sollte in das Incident- und Troubleshooting-Management des Cloud-Anbieters integriert werden, um eine rasche Bearbeitung zu ermöglichen.
Auf die Umsetzungshinweise im BSI C5 Anf. SIM-01 bis SIM-07 wird hingewiesen.
Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 6.13.1 wird hingewiesen.

Nachweis

Der Cloud-Anbieter kann den Nachweis erbringen, indem er in seinem Datensicherheitskonzept dokumentiert, wie er die Meldung von Datenschutzverletzungen durchführt. Der Cloud-Anbieter kann zudem weitere Dokumentationen vorlegen, darunter bspw. Prozessdokumentationen zur Meldung, Verfahrensverzeichnisse und -anweisungen, Richtlinien, Muster und Vorlagen zur Meldung von Datenschutzverletzungen, Entscheidungsregeln zur Beurteilung von Datenschutzverletzungen, Verfahren zur Risikobeurteilung und Faktoren, die bei der Risikoanalyse einbezogen werden, sowie Meldewege und Verantwortlichkeiten/Zuständigkeiten. Auch können dokumentierte Meldungen von Datenschutzverletzungen vorgelegt werden, sofern sie vorhanden sind.
Der Nachweis kann auch durch eine Befragung von Mitarbeitern oder Beobachtung einer Probemeldung erbracht werden. Im Rahmen einer Vor-Ort-Auditierung sollte nachgewiesen werden, dass ausreichend Ressourcen vorliegen, um eine unverzügliche Meldung sicherzustellen.
Auch sollte ein Cloud-Anbieter Unterlagen zur Schulung zuständiger Mitarbeiter vorlegen (bspw. Zeugnisse, Teilnahmebescheinigungen von Workshops) und ihre Befragung im Rahmen eines Audits zulassen (bspw. im Hinblick auf die Bekanntheit von Richtlinien und Verfahrensschritten).