Welche PII-Controller-Steuerungen sind in ISO 27701:2025 vorgesehen?
Tabelle A.1 von ISO 27701:2025 Anhang A Es werden 31 Kontrollmechanismen definiert, die für jede Organisation gelten, die als Verantwortlicher für die Verarbeitung personenbezogener Daten fungiert. Ein Verantwortlicher für die Verarbeitung personenbezogener Daten ist eine Organisation, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
Diese Kontrollmaßnahmen sind in vier Ziele unterteilt:
- Bedingungen für die Erhebung und Verarbeitung (A.1.2) — 8 Kontrollmechanismen, die Rechtsgrundlage, Einwilligung, Datenschutz-Folgenabschätzung, Verträge und Aufzeichnungen abdecken
- Verpflichtungen gegenüber PII-Auftraggebern (A.1.3) — 10 Kontrollmechanismen, die Transparenz, Rechte betroffener Personen, automatisierte Entscheidungen und die Bearbeitung von Anfragen abdecken
- Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen (A.1.4). — 9 Kontrollmaßnahmen zur Datenminimierung, -aufbewahrung, -löschung und -übermittlung
- Weitergabe, Übermittlung und Offenlegung personenbezogener Daten (A.1.5) — 4 Kontrollen zur Abdeckung grenzüberschreitender Überweisungen und Offenlegungsaufzeichnungen
Zu jeder Kontrollmaßnahme gibt es entsprechende Umsetzungshinweise in Anhang B (Abschnitt B.1). Zum Beispiel Hinweise zur Kontrollmaßnahme A.1.2.2 Zweck identifizieren und dokumentieren befindet sich bei B.1.2.2.
Bedingungen für die Erhebung und Verarbeitung (A.1.2)
Ziel: Nachweis, dass die Verarbeitung rechtmäßig ist, auf einer Rechtsgrundlage gemäß den geltenden Rechtsordnungen beruht und klar definierten und legitimen Zwecken dient.
| Kontrollieren | Titel | Zusammenfassung |
|---|---|---|
| A.1.2.2 Zweck identifizieren und dokumentieren | Zweck identifizieren und dokumentieren | Ermitteln und dokumentieren Sie die spezifischen Zwecke, für die personenbezogene Daten verarbeitet werden. |
| A.1.2.3 Rechtsgrundlage ermitteln | Rechtsgrundlage ermitteln | Ermitteln, dokumentieren und nachweisen Sie die Einhaltung der relevanten Rechtsgrundlage. |
| A.1.2.4 Einwilligung feststellen | Festlegen, wann und wie die Einwilligung eingeholt werden soll. | Dokumentieren Sie den Prozess, um nachzuweisen, ob, wann und wie die Einwilligung eingeholt wurde. |
| A.1.2.5 Einwilligung einholen und protokollieren | Einwilligung einholen und protokollieren | Die Einwilligung der Betroffenen gemäß den dokumentierten Prozessen einholen und protokollieren. |
| A.1.2.6 Datenschutz-Folgenabschätzung | Datenschutzfolgenabschätzung | Ermitteln Sie den Bedarf an Datenschutz-Folgenabschätzungen für neue oder geänderte Verarbeitungsprozesse und führen Sie diese durch. |
| A.1.2.7 Verträge mit PII-Verarbeitern | Verträge mit PII-Verarbeitern | Stellen Sie sicher, dass schriftliche Verträge mit PII-Verarbeitern angemessene Regelungen enthalten. Anhang A Steuerung |
| A.1.2.8 Gemeinsamer PII-Controller | Gemeinsamer PII-Controller | Rollen und Verantwortlichkeiten mit allen gemeinsam Verantwortlichen für personenbezogene Daten festlegen |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Ermittlung und sichere Aufbewahrung von Aufzeichnungen zur Unterstützung der Verarbeitungspflichten für personenbezogene Daten. |
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Verpflichtungen gegenüber PII-Auftraggebern (A.1.3)
Ziel: Sicherzustellen, dass die Betroffenen angemessen über die Verarbeitung ihrer personenbezogenen Daten informiert werden und dass alle anderen geltenden Verpflichtungen erfüllt werden.
| Kontrollieren | Titel | Zusammenfassung |
|---|---|---|
| A.1.3.2 Verpflichtungen gegenüber PII-Auftraggebern | Feststellung und Erfüllung der Verpflichtungen gegenüber den Auftraggebern von PII | Ermittlung und Dokumentation der rechtlichen, regulatorischen und geschäftlichen Verpflichtungen gegenüber den Verantwortlichen für personenbezogene Daten. |
| A.1.3.3 Informationen für PII-Verantwortliche | Ermittlung von Informationen für personenbezogene Datenverantwortliche | Ermitteln und dokumentieren Sie, welche Informationen den Verantwortlichen für personenbezogene Daten (PII) zur Verfügung gestellt werden müssen und wann. |
| A.1.3.4 Bereitstellung von Informationen | Bereitstellung von Informationen für Verantwortliche für personenbezogene Daten | Stellen Sie klare und leicht zugängliche Informationen bereit, die den Verantwortlichen identifizieren und die Verarbeitung beschreiben. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung | Es sollte ein Mechanismus bereitgestellt werden, mit dem die Verantwortlichen für personenbezogene Daten ihre Einwilligung ändern oder widerrufen können. |
| A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten | Bereitstellung eines Mechanismus zum Widerspruch gegen die Verarbeitung personenbezogener Daten | Es sollte ein Mechanismus bereitgestellt werden, mit dem Betroffene der Verarbeitung personenbezogener Daten widersprechen können. |
| A.1.3.7 Zugang, Berichtigung oder Löschung | Zugang, Berichtigung oder Löschung | Implementieren Sie Richtlinien und Mechanismen, um den Verpflichtungen hinsichtlich Zugang, Berichtigung oder Löschung nachzukommen. |
| A.1.3.8 Dritte informieren | Verpflichtungen der Verantwortlichen für personenbezogene Daten zur Information Dritter | Informieren Sie Dritte über Änderungen, Widerrufe oder Einwände bezüglich der geteilten personenbezogenen Daten. |
| A.1.3.9 Bereitstellung einer Kopie der personenbezogenen Daten | Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten | Auf Anfrage des Betroffenen ist eine Kopie der verarbeiteten personenbezogenen Daten bereitzustellen. |
| A.1.3.10 Bearbeitung von Anfragen | Bearbeitung von Anfragen | Richtlinien für den Umgang mit berechtigten Anfragen von Personen, die personenbezogene Daten besitzen, definieren und dokumentieren. |
| A.1.3.11 Automatisierte Entscheidungsfindung | Automatisierte Entscheidungsfindung | Verpflichtungen aus Entscheidungen identifizieren, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen |
Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen (A.1.4).
Ziel: Sicherzustellen, dass Prozesse und Systeme so gestaltet sind, dass die Erfassung und Verarbeitung personenbezogener Daten auf das für den jeweiligen Zweck notwendige Maß beschränkt ist.
| Kontrollieren | Titel | Zusammenfassung |
|---|---|---|
| A.1.4.2 Begrenzung der Inkasso | Beschränken Sie die Sammlung | Die Erhebung personenbezogener Daten ist auf das notwendige, verhältnismäßige und erforderliche Minimum zu beschränken. |
| A.1.4.3 Grenzverarbeitung | Verarbeitung einschränken | Die Verarbeitung ist auf das für die festgelegten Zwecke angemessene, relevante und notwendige Maß zu beschränken. |
| A.1.4.4 Genauigkeit und Qualität | Genauigkeit und Qualität | Stellen Sie sicher, dass personenbezogene Daten während ihres gesamten Lebenszyklus korrekt, vollständig und aktuell sind. |
| A.1.4.5 Minimierung personenbezogener Daten | Ziele zur Minimierung von PII | Datenminimierungsziele und -mechanismen definieren und dokumentieren. |
| A.1.4.6 Anonymisierung und Löschung | Anonymisierung und Löschung personenbezogener Daten | Löschen Sie personenbezogene Daten oder machen Sie sie unkenntlich, wenn sie nicht mehr erforderlich sind. |
| A.1.4.7 Temporäre Dateien | Temporäre Dateien | Temporäre Dateien aus der Verarbeitung personenbezogener Daten sind innerhalb eines dokumentierten Zeitraums zu löschen. |
| A.1.4.8 Retention | Kundenbindung | Personenbezogene Daten dürfen nicht länger als für die Verarbeitung erforderlich aufbewahrt werden. |
| A.1.4.9 Entsorgung | Verfügung | Es liegen dokumentierte Richtlinien, Verfahren und Mechanismen für die Entsorgung personenbezogener Daten vor. |
| A.1.4.10 PII Getriebesteuerung | PII-Getriebesteuerung | Personenbezogene Daten des Betroffenen werden über Netzwerke an die zuständigen Kontrollstellen übermittelt. |
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Weitergabe, Übermittlung und Offenlegung personenbezogener Daten (A.1.5)
Ziel: Festzustellen, ob und wann personenbezogene Daten gemäß den geltenden Verpflichtungen weitergegeben, übertragen oder offengelegt werden.
| Kontrollieren | Titel | Zusammenfassung |
|---|---|---|
| A.1.5.2 Grundlage für die Übertragung personenbezogener Daten | Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen ermitteln | Identifizieren und dokumentieren Sie die Grundlage für internationale PII-Übermittlungen. |
| A.1.5.3 Länder für die Übermittlung personenbezogener Daten | Länder und internationale Organisationen für den PII-Transfer | Geben Sie die Länder und Organisationen an, an die personenbezogene Daten übermittelt werden dürfen, und dokumentieren Sie diese. |
| A.1.5.4 Aufzeichnungen über die Übertragung personenbezogener Daten | Aufzeichnungen über die Übermittlung personenbezogener Daten | Protokollieren Sie die Übermittlung personenbezogener Daten an oder von Dritten und stellen Sie die Zusammenarbeit sicher. |
| A.1.5.5 Aufzeichnungen über die Offenlegung personenbezogener Daten | Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte | Offenlegungsprotokolle einschließlich dessen, was offengelegt wurde, wem gegenüber und wann |
In welchem Zusammenhang stehen diese Kontrollmechanismen mit der DSGVO?
Die Steuerung des PII-Controllers ist weitgehend abgebildet auf Datenschutz Anforderungen. Wichtige Verbindungen umfassen:
- A.1.2 (Sammlung und Verarbeitung) entspricht den Artikeln 5–6 (Grundsätze und Rechtsgrundlage), Artikel 7 (Einwilligung) und Artikel 8–9 (Kinder und besondere Kategorien von Personen) der DSGVO.
- A.1.3 (Pflichten gegenüber PII-Auftraggebern) Entspricht den Artikeln 12–22 der DSGVO (Rechte der betroffenen Personen, einschließlich Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und automatisierte Entscheidungen)
- A.1.4 (Datenschutz durch Technikgestaltung) entspricht Artikel 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und Artikel 5 Absatz 1 Buchstaben c bis e) (Datenminimierung, Richtigkeit, Speicherbegrenzung)
- A.1.5 (Übertragungen) Entspricht den Artikeln 44–49 der DSGVO (internationale Datenübermittlungen, Angemessenheit, Garantien, BCRs)
Warum sollten Sie sich ISMS.online zur Einhaltung der PII-Controller-Richtlinien?
ISMS.online hilft Ihnen bei der Umsetzung und dem Nachweis jeder Kontrollmaßnahme aus Tabelle A.1:
- Vorgefertigtes Steuerungsframework — Alle 31 Steuerungselemente sind zugeordnet und bereit für Ihre Anwendbarkeitserklärung
- Zustimmungsmanagement — Einwilligungsprozesse, Aufzeichnungen und Widerrufsmechanismen dokumentieren
- PIA-Workflow — Datenschutz-Folgenabschätzungen mithilfe von Vorlagenformularen durchführen und nachverfolgen
- Nachverfolgung von Anfragen betroffener Personen — Zugriffs-, Korrektur- und Löschanfragen mit SLA-Tracking protokollieren und verwalten
- Übertragungsdatensätze — Führen eines Registers internationaler Geldtransfers mit Dokumentation der Rechtsgrundlage
- Vertragsmanagement für Prozessoren — Verträge, Sorgfaltspflichten und Compliance-Verpflichtungen für jeden Prozessor verfolgen
Häufig gestellte Fragen
Gelten alle 31 Kontrollen für jeden PII-Controller?
Nicht unbedingt. Sie müssen alle anwendbaren Kontrollen in Ihre Anwendbarkeitserklärung aufnehmen. Kontrollen können jedoch ausgeschlossen werden, wenn Ihre Risikobewertung ergibt, dass sie nicht notwendig sind oder wenn sie nach geltendem Recht nicht vorgeschrieben sind. Jeder Ausschluss muss begründet werden.
Worin besteht der Unterschied zwischen Tabelle A.1 und Tabelle A.3?
Tabelle A.1 enthält spezifische Kontrollmechanismen für Verantwortliche für personenbezogene Daten (z. B. Einwilligung, Rechte der betroffenen Personen, Datenschutz-Folgenabschätzungen). Tabelle A.3 Die Tabelle enthält Informationssicherheitskontrollen, die sowohl für Verantwortliche als auch für Auftragsverarbeiter gelten (z. B. Zugriffskontrolle, Protokollierung, Kryptografie). Als Verantwortlicher für personenbezogene Daten (PII) sind beide Tabellen für Sie relevant.
Wo finde ich die Umsetzungshinweise für diese Kontrollmaßnahmen?
Anhang B, Abschnitt B.1, enthält Umsetzungshinweise für jede Kontrollmaßnahme der Tabelle A.1. Die Nummerierung entspricht genau: Hinweise für A.1.2.2 Zweck identifizieren und dokumentieren befindet sich unter B.1.2.2, Leitfaden für A.1.3.7 Zugang, Berichtigung oder Löschung befindet sich bei B.1.3.7 usw.
Dokumentieren Sie Ihre Controller-Einstellungen in einem Erklärung zur Anwendbarkeit um den Prüfern Ihre Argumentation darzulegen.
Datenschutzbeauftragte finden in unserer [Website/Publikation] einen fokussierten Überblick über ihre Verantwortlichenpflichten. Leitfaden für Datenschutzbeauftragte.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was die Wirtschaftsprüfer im Hinblick auf diese Kontrollen erwarten.
