Checkliste: Sicher in der Wolke

Worauf Sie bei einem Servicevertrag für Cloud Computing achten sollten.

Wenn durch Cloud Computing Netzwerkkapazitäten nach Bedarf flexibel bereitgestellt werden, steigen auch Leistung und Qualität der Einkaufsabteilungen. Kritisch ist das Thema Datenschutz. Darauf sollten Sie beim Servicevertrag achten:

Datenschutz

  • Werden innerhalb der Anwendung personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) verarbeitet?
  • Existiert ein Datenschutzbeauftragter, der gegenüber dem Auftraggeber für alle Belange des Datenschutzes beim Auftragnehmer und seinen Unterauftragnehmern als Ansprechpartner zur Verfügung steht?
  • Sind die Mitarbeiter des Auftragnehmers nachweislich auf das Datengeheimnis nach § 5 BDSG verpflichtet?
  • Ist geregelt, welche Seite gegenüber den Kunden des Auftragnehmers den Ansprechpartner für den Datenschutz darstellt?
  • Sind Regeln für die Berichtigung, Löschung und Sperrung von Daten auf Antrag eines Betroffenen definiert?
  • Bietet der Auftragnehmer genügend Informationen zu seinem Unternehmen und seinen Unterauftragnehmern, um dem Auftraggeber eine fundierte Auswahl des Auftragnehmers gemäß §11 Abs. 2 S.1 BDSG zu ermöglichen?
  • Ist – soweit einschlägig – auch außerhalb der EU (auch bei beteiligten Unterauftragnehmern) ein angemessenes Datenschutzniveau (zum Beispiel über EUStandardvertrag, Safe-Harbour-Regelung) hergestellt?
  • Besteht die Möglichkeit – sofern aufgrund von gesetzlichen oder behördlichen Auflagen an den Auftraggeber erforderlich – die Orte der Datenhaltung auf Deutschland oder die EU einzugrenzen?

Beauftragung und Weisungsrecht

  • Sind die Verantwortlichkeiten zwischen Auftraggeber (grundsätzliche datenschutzrechtliche Verantwortlichkeit) und Auftragnehmer (Umsetzung von Weisungen, technischen Schutzmaßnahmen usw.) sauber definiert?
  • Ist der Umfang des Auftrags zur Datenverarbeitung hinreichend klar spezifiziert, insbesondere:
    • Ist der Dienst grob beschrieben? Sind in der Beschreibung der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen dokumentiert?
    • Sind die Dauer der Verarbeitung und die Löschung der Daten exakt definiert?
    • Ist ein Entscheidungsspielraum des Dienstleisters zur Verarbeitung der Daten ausgeschlossen?
    • Ist dokumentiert, ob und – wenn ja – wie „besondere Arten personenbezogener Daten“ im Sinne des §3 Abs. 9 BDSG erhoben, verarbeitet oder genutzt werden?
    • Ist das Weisungsrecht des Auftraggebers eindeutig definiert?

Weiterempfehlen

Weitere Meldungen zu: