Nr. 17 – Benachrichtigung der betroffenen Person bei Datenschutzverletzungen
(Art. 34 Abs. 1 und 2 DSGVO)

Kriterium

(1) Der Cloud-Anbieter unterrichtet die betroffene Person über Datenschutzverletzungen aus der Verarbeitung von Daten zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen unverzüglich, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten hat.
(2) Die Benachrichtigung enthält mindestens die Informationen nach Art. 33 Abs. 3 lit. b, c und d DSGVO und erfolgt in klarer und einfacher Sprache.
(3) Der Cloud-Anbieter bestimmt, welche Faktoren erfüllt sein müssen, damit von einem voraussichtlich hohen Risiko für die Rechte und Freiheiten von betroffenen Personen ausgegangen werden muss und wer für die Benachrichtigung zuständig ist. Die zuständigen Mitarbeiter sind ausreichend geschult, um Verstöße beurteilen zu können.

Erläuterung

Von einer hohen Bedrohungslage, die eine Benachrichtigung der betroffenen Person nach Art. 34 DSGVO erforderlich macht, ist beispielsweise bei einem Verlust von Bank- und Kreditkarteninformationen auszugehen. Solche Daten werden häufig zur Vertragsdurchführung mit dem Cloud-Nutzer verarbeitet, sodass die Benachrichtigungspflicht bei Datenschutzverletzungen relevant werden kann.

Umsetzungshinweis

Die Umsetzungshinweise unter Nr. 8.2 sind anwendbar, wobei statt auf die Ziff. 8.2.5 und 8.3 der ISO/IEC 27701 auf die Ziff. 7.3.1 und 7.3.2 hingewiesen wird.

Nachweis

Die Benachrichtigung der betroffenen Person bei Datenschutzverletzungen kann der Cloud-Anbieter wie in Nr. 8.2 angegeben nachweisen.