DIN SPEC 27557:2019-08 - Draft

European Cloud Service Data Protection Controls Catalogue

German title: European Cloud Service Data Protection Controls Catalogue
Date of issue: 2019-07-05
Publication date: 2019-08
Original language: German
Pages: 70
Procedure: PAS

Free of charge

Format and language options

PDF download

Language: German
Free of charge

Monitor with the Standards Ticker

This option is only available after login.

Date of issue: 2019-07-05
Publication date: 2019-08
Original language: German
Pages: 70
Procedure: PAS
DOI: https://dx.doi.org/10.31030/3082687

Product information on this site:

Content
ICS
DOI
Cooperation at DIN
Also available in

Quick delivery via download or delivery service

Buy securely with a credit card or pay upon receipt of invoice

All transactions are encrypted

Content

Content (de)

Vorwort
Anwendungsbereich
Normative Verweisungen
Begriffe
- Verarbeitung
- Inhaltsdaten
- Cloud-Anbieter
- Cloud-Nutzer
- Personenbezogene Daten
- Nutzungsdaten
- Bestandsdaten
Symbole und Abkürzungen
Elemente dieser DIN SPEC
Schutzklassen
- Allgemeines
- Das Schutzklassenkonzept
- Die Schutzklassen
Nichtanwendbarkeit von Kriterien
Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung
- Rechtsverbindliche Vereinbarung zur Auftragsverarbeitung
  - Allgemeines
  - Wirksame und eindeutige Vereinbarung zwischen Cloud-Anbieter und Cloud-Nutzer (Art. 28 Abs. 3 DSGVO)
    Dienstleistung aufgrund einer rechtsverbindlichen Vereinbarung und Form der Vereinbarung (Art. 28 Abs. 3 Satz 1 und Abs. 9 DSGVO)
    Gegenstand und Dauer der Verarbeitung (Art. 28 Abs. 3 Satz 1 DSGVO)
    Art, Umfang und Zwecke der Datenverarbeitung (Art. 28 Abs. 3 Satz 1 DSGVO)
    Festlegung von Weisungsbefugnissen (Art. 28 Abs. 3 Satz 2 lit. a DSGVO)
    Ort der Datenverarbeitung (indirekt Art. 28 Abs. 3 Satz 2 lit. a DSGVO)
    Verpflichtung zur Vertraulichkeit (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)
    Technisch-organisatorische Maßnahmen, Unterbeauftragung und Unterstützung (Art. 28 Abs. 3 Satz 2 lit. c bis f i.V.m. Kapitel III und Art. 32— 36 DSGVO)
    Rückgabe von Datenträgern und Löschung von Daten (Art. 28 Abs. 3 Satz 2 lit. g DSGVO)
- Rechte und Pflichten des Cloud-Anbieters
  - Sicherstellung der Datensicherheit durch geeignete TOM nach dem Stand der Technik
    Datensicherheitskonzept (Art. 24, 25, 28, 32, 35 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Sicherheitsbereich und Zutrittskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m.Art. 5 Abs. 1 lit. f DSGVO)
    Zugangskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Zugriffskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Übertragung von Daten und Transportverschlüsselung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)
    Nachvollziehbarkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)
    Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)
    Anonymisierung (Art. 5 Abs. 1 lit. c DSGVO)
    Verschlüsselung gespeicherter Daten (Art. 32 Abs. 1 lit. a DSGVO)
    Getrennte Verarbeitung (Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2 DSGVO)
    Wiederherstellbarkeit nach physischem oder technischem Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)
  - Sicherstellung der Weisungsbefolgung (Art. 28 Abs. 3 Satz 2 lit. a; 29 DSGVO)
  - Hinweispflicht des Cloud-Anbieters
  - Sicherstellung der Vertraulichkeit beim Personal (Art. 28 Abs. 3 Satz 2 lit. b DSGVO)
  - Unterstützung des Cloud-Nutzers bei der Wahrung der Betroffenenrechte
    Allgemeines
    Auskunftserteilung (Art. 28 Abs. 3 lit. e i.V.m. Art. 15 DSGVO)
    Berichtigung und Vervollständigung (Art. 28 Abs. 3 lit. e i.V.m. Art. 16 DSGVO)
    Löschung (Art. 28 Abs. 3 lit. e i.V.m. Art. 17 Abs. 1 DSGVO)
    Einschränkung der Verarbeitung (Art. 28 Abs. 3 lit. e i.V.m. Art. 18 Abs. 1 DSGVO)
    Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung (Art. 28 Abs. 3 lit. e i.V.m. Art. 19 DSGVO)
    Datenübertragung (Art. 28 Abs. 3 lit. e i.V.m. Art. 20 Abs. 1 und 2 DSGVO)
    Widerspruch (Art. 28 Abs. 3 lit. e i.V.m. Art. 21 Abs. 1 und Art. 32 Abs. 1 lit. b DSGVO)
    Unterstützung bei der Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f i.V.m. Art. 35 und 36 DSGVO)
- Datenschutz-Managementsystem des Cloud-Anbieters
  - Allgemeines
  - Datenschutz-Managementsystem
    Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten (Art. 37-39 DSGVO, § 38 BDSG)
    Meldung von Datenschutzverletzungen (Art. 33 Abs. 2 und Art. 28 Abs. 3 lit. f DSGVO)
    Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 2 DSGVO)
    Rückgabe von Datenträgern und Löschung von Daten (Art. 28 Abs. 3 lit. h DSGVO)
    Einrichtung eines internen Kontrollsystems (Art. 24 DSGVO)
    Auswahl und Einsatz geeigneter Personen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO)
- Datenschutz durch Systemgestaltung und datenschutzfreundliche Voreinstellungen
  - Datenschutz durch Systemgestaltung (Art. 25 Abs. 1 DSGVO i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
  - Datenschutz durch Voreinstellungen (Art. 25 Abs. 2 DSGVO)
- Subauftragsverarbeitung
  - Allgemeines
  - Subauftragsverhältnisse
    8.5.2.1Weitere Auftragsverarbeiter des Cloud-Anbieters (Subauftragsverarbeitung) (Art. 28 Abs. 2 DSGVO)
    Rechtsverbindliche Vereinbarung als Grundlage der Subauftragsverarbeitung (Art. 28 Abs. 4 DSGVO)
    Information des Cloud-Nutzers (Art. 28 Abs. 2 Satz 2 DSGVO)
    Auswahl und Kontrolle der Subauftragsverarbeiter (Art. 28 Abs. 4 Satz 1 DSGVO)
    Sicherstellung der Unterstützungsfunktionen (Art. 28 Abs. 4 Satz 1 i.V.m. Art. 28 Abs. 3 Satz 2 DSGVO)
- Datenverarbeitung außerhalb der EU und des EWR
  - Datenübermittlung
Kriterien und Umsetzungshinweise für Verarbeitung als Verantwortlicher
- Allgemeines
- Der Cloud-Anbieter als Verantwortlicher
  - Sicherstellung der Datenschutzgrundsätze (Art. 5 Abs. 1 und 2 i.V.m. Art. 24 DSGVO)
  - Rechtsgrundlage für die Datenverarbeitung (Art. 6 Abs. 1 UAbs. 1 lit. b. sowie lit. c i.V.m. Abs. 2 DSGVO)
  - Gewährleistung der Datensicherheit durch geeignete TOM nach dem Stand der Technik
    Allgemeines
    Datensicherheitskonzept (Art. 24, 25, 32 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Sicherheitsbereich und Zutrittskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Zugangskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Zugriffskontrolle (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)
    Übertragung von Daten und Transportverschlüsselung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)
    Nachvollziehbarkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)
    Verschlüsselung gespeicherter Daten (Art. 32 Abs. 1 lit. a DSGVO)
    Getrennte Verarbeitung (Art. 5 Abs. 1 lit. b i.V.m. Art. 24, 25, 32 Abs. 1 lit. b und Abs. 2 DSGVO)
  - Wahrung von Betroffenenrechten
    Informationspflicht (Art. 13 i.V.m. Art. 12 Abs. 1 und Art. 5 Abs. 1 lit. a DSGVO)
    Auskunftserteilung (Art. 15 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)
    Berichtigung und Vervollständigung (Art. 16 i.V.m. Art. 5 Abs. 1 lit. d DSGVO)
    Löschung (Art. 17 Abs. 1 DSGVO)
    Einschränkung der Verarbeitung (Art. 18 Abs. 1 und 3 DSGVO)
    Kriterium
    Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung (Art. 19 i.V.m. Art. 5 Abs. 1 lit. a 3. Alt. DSGVO)
  - Verpflichtung zur Vertraulichkeit (Art. 5 Abs. 1 lit. a, Abs. 2 i.V.m. Art. 24 Abs. 1 DSGVO)
  - Meldung von Datenschutzverletzungen (Art. 33 Abs. 1, 3 und 5 DSGVO)
  - Benachrichtigung der betroffenen Person bei Datenschutzverletzungen (Art. 34 Abs. 1 und 2 DSGVO)
  - Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 1 DSGVO)
  - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
  - Auftragsverarbeitung des Cloud-Anbieters
Literaturhinweise

ICS

03.120.20, 35.030, 35.210

DOI

https://dx.doi.org/10.31030/3082687

Cooperation at DIN

Also available in

Loading recommended items...