Richtlinie für Cloud-Auftragsverarbeiter personenbezogener Daten

Die Richtlinie für Cloud-Auftragsverarbeiter personenbezogener Daten definiert verbindliche Datenschutzanforderungen für Cloud-Services, bei denen die Organisation als Auftragsverarbeiter personenbezogener Daten oder Unterauftragsverarbeiter handelt. Ihr Geltungsbereich umfasst SaaS, PaaS, IaaS, gehostete Anwendungen, verwaltete Cloud, Cloud-Support, Cloud-Speicher, Cloud-Analysen und Cloud-Infrastrukturdienste, die personenbezogene Daten im Auftrag von Kunden verarbeiten. Die Richtlinie ist darauf ausgelegt, Cloud-Verarbeitung an dokumentierten Kundenvereinbarungen, Kundenweisungen, Weisungen vorgelagerter Auftragsverarbeiter, Regelungen zu Unterauftragsverarbeitern, Cloud-Region-Konfiguration, Cloud-Support-Zugriff, Serviceadministration, Backup, Replikation, Protokollierung, Überwachung, Löschung, Rückgabe, Unterstützung bei Verletzungen, Auditunterstützung und Unterstützungspflichten gegenüber Kunden auszurichten. Ein zentraler Zweck der Richtlinie ist nachweisgesteuerte Kontrolle. Vor Kunden-Onboarding oder einer wesentlichen Serviceänderung muss der Privacy Lead / PIMS-Manager jeden Cloud-Service zur Verarbeitung personenbezogener Daten, die Verarbeitungsrolle, die Quelle der Kundenweisung, Kategorien personenbezogener Daten, Kategorien betroffener Personen, den Servicezweck, den Verarbeitungsort, die Abhängigkeit von Unterauftragsverarbeitern, die Löschabhängigkeit und das Übermittlungskennzeichen in REG02 und REG08 erfassen. Die Richtlinie verlangt außerdem, dass die Anwendbarkeit von Kontrollen für Cloud-Auftragsverarbeiter in REG03 erfasst wird, Übermittlungs- und Standortrouting bei Relevanz in REG09 dokumentiert wird, Datenschutzvorfälle in der Cloud über REG10 gesteuert werden und Überwachung, Ausnahmen, Streitfälle, Validierungsergebnisse und Korrekturmaßnahmen über REG12 behandelt werden. Dadurch bleiben Pflichten von Cloud-Auftragsverarbeitern in das bestehende PIMS-Richtlinienset integriert, ohne separate Register für Verträge, Services, Mandantentrennung, Zugriff, Protokolle, Löschung, Support, Audits, Verletzungen oder Unterauftragsverarbeiter zu schaffen. Die Richtlinie legt praktikable Anforderungen über den Cloud-Servicelebenszyklus hinweg fest. Sie verlangt dokumentierte Kundenweisungen oder Weisungen vorgelagerter Auftragsverarbeiter, bevor die Verarbeitung beginnt, die Prüfung von Weisungen, die mit Verpflichtungen oder dem genehmigten Servicegeltungsbereich unvereinbar erscheinen, sowie eine Genehmigung, bevor personenbezogene Daten von Kunden außerhalb dokumentierter Weisungen verarbeitet werden. Sie behandelt außerdem Cloud-Konfiguration und Sicherheitsnachweise, indem sie Abgrenzungen der geteilten Verantwortung, Validierung der Mandantentrennung, kontrollierten administrativen Zugriff, vierteljährliche Überprüfung von privilegiertem Zugriff und Protokollabdeckung, Trennung von Umgebungen sowie dokumentierte Standorte für Backup, Replikation, Protokollspeicherung und Support-Zugriff verlangt. Diese Anforderungen sind bewusst mit bestehenden Sicherheitskontrollen für personenbezogene Daten verknüpft, statt die umfassendere Richtlinie zu Sicherheit und Zugriffskontrolle für personenbezogene Daten zu ersetzen. Governance für Unterauftragsverarbeiter und die Cloud-Lieferkette wird als Kernpflicht von Auftragsverarbeitern behandelt. Der Verantwortliche für Lieferanten / Beschaffung muss Cloud-Unterauftragsverarbeiter, Infrastrukturanbieter, Hosting-Anbieter, Managed Service Provider, Support-Anbieter und andere wesentliche Cloud-Service-Abhängigkeiten vor der Nutzung erfassen. Die Richtlinie verlangt Nachweise der Kundenautorisierung oder einer dokumentierten Autorisierungsgrundlage, weiterzugebende Verpflichtungen für Datenschutz, Sicherheit, Unterstützung, Vorfälle, Rückgabe, Löschung, Auditunterstützung und Übermittlungen sowie Aufzeichnungen zu Servicestandorten, Remote-Support-Standorten, Hosting-Regionen und Routing von Weiterübermittlungen. Außerdem verlangt sie die Kundenbenachrichtigung über beabsichtigte Änderungen bei Cloud-Unterauftragsverarbeitern innerhalb der vertraglich geforderten Mitteilungsfrist sowie mindestens jährliche Überprüfungen aktiver Aufzeichnungen zu Cloud-Unterauftragsverarbeitern und Cloud-Abhängigkeiten. Die Richtlinie deckt außerdem Unterstützungspflichten gegenüber Kunden, Auditunterstützung, Schnittstellen bei Verletzungen, Löschung und Exit ab. Unterstützungspflichten gegenüber Kunden für Betroffenenanfragen, Löschung, Berichtigung, Einschränkung, Zugriff, Audit, DSFA-Unterstützung und Unterstützung bei Verletzungen müssen vor Vertragsabschluss oder Serviceaktivierung erfasst werden. Von Kunden angeforderte Unterstützung bei Betroffenenrechten muss innerhalb des mit dem Kunden vereinbarten Zeitrahmens abgeschlossen werden, datenschutzrelevante DSFA- oder Bewertungsunterstützungsanfragen müssen innerhalb von zehn Geschäftstagen geprüft werden, und überfällige oder strittige Unterstützungsanfragen müssen nachverfolgt werden. Für den Exit verlangt die Richtlinie Nachweise der Fähigkeit zum Export, zur Rückgabe, Übermittlung oder Löschung vor Onboarding oder wesentlicher Serviceänderung, den Abschluss innerhalb der mit dem Kunden vereinbarten Fristen, die Einbeziehung von Produktivsystemen, Backups, Replikaten, Protokollen, temporären Dateien, Staging-Umgebungen und Support-Kopien sowie die Behandlung von Nichtkonformitäten, wenn Verpflichtungen nicht fristgerecht erfüllt werden können. Die Governance wird durch vierteljährliche Überprüfungen der Nachweisvollständigkeit, jährliche Richtlinien- und Unterauftragsverarbeiterprüfungen, Audit-Stichproben, Kennzahlen, Durchsetzungsmaßnahmen und die Genehmigung wesentlicher Ausnahmen und Überarbeitungen durch die oberste Leitung gestärkt.