Inhalt

    Nr. 18 – Führen eines Verarbeitungsverzeichnisses
    (Art. 30 Abs. 1 DSGVO)

    Kriterium

    (1) Ist der Cloud-Anbieter zur Führung eines Verarbeitungsverzeichnisses verpflichtet, bezieht sich dieses auf die Verarbeitungstätigkeiten, die er durchführt, um den Auftrag über die Erbringung des Cloud-Dienstes zu erfüllen und auf Verarbeitungstätigkeiten zur Erfüllung rechtlicher Verpflichtungen. Das Verzeichnis enthält die in Art. 30 Abs. 1 DSGVO aufgelisteten Inhalte.
    (2) Das Verarbeitungsverzeichnis ist schriftlich oder in einem elektronischen Format zu führen. Es ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

    Erläuterung

    Das Kriterium fördert das Gewährleistungsziel der Transparenz (SDM C1.6).
    In der Regel ist der Cloud-Anbieter ab 250 beschäftigten Mitarbeitern zur Führung eines Verarbeitungsverzeichnisses verpflichtet. Jedoch müssen auch Cloud-Anbieter mit weniger Mitarbeitern, die Daten zur Durchführung des Auftrags mit dem Cloud-Nutzer verarbeiten im Regelfall ein Verarbeitungsverzeichnis führen, da diese Verarbeitungen regelmäßig und nicht nur gelegentlich erfolgen, sodass die Ausnahme aus Art. 30 Abs. 5 DSGVO nicht anwendbar ist.

    Umsetzungshinweis

    Die Umsetzungshinweise unter Nr. 8.3 sind anwendbar.
    Auf die Umsetzungshinweise der ISO/IEC 27701 Ziff. 7.2.8 wird hingewiesen.

    Nachweis

    Das Führen eines Verarbeitungsverzeichnisses kann der Cloud-Anbieter analog wie in Nr. 8.3 angegeben nachweisen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.