Was erfordert die Kontrolle A.1.2.2?
Die Organisation muss die spezifischen Zwecke, für die die personenbezogenen Daten verarbeitet werden, ermitteln und dokumentieren.
Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Ziel (A.1.2), das den Nachweis erbringen soll, dass die Verarbeitung rechtmäßig ist, auf einer Rechtsgrundlage gemäß den anwendbaren Rechtsordnungen beruht und klar definierte und legitime Zwecke verfolgt.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.2.2) enthält folgende Hinweise:
- Die Organisation sollte sicherstellen, dass die Betroffenen den Zweck der Verarbeitung ihrer personenbezogenen Daten verstehen.
- Es liegt in der Verantwortung der Organisation, dies klar zu dokumentieren und den Verantwortlichen für die personenbezogenen Daten zu kommunizieren.
- Ohne eine klare Zweckbestimmung können Zustimmung und Wahlmöglichkeit nicht angemessen gewährleistet werden.
- Die Dokumentation der Zwecke sollte ausreichend klar und detailliert sein, um die den PII-Verantwortlichen bereitgestellten Informationen zu untermauern (siehe A.1.3.3 Informationen für PII-Verantwortliche)
- Die Zweckdokumentation sollte alle Informationen enthalten, die zur Einholung der Einwilligung erforderlich sind (siehe A.1.2.4 Einwilligung feststellen) und dokumentierte Informationen über Richtlinien und Verfahren (siehe A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten)
- Web Link A.1.2.5: Einwilligung einholen und protokollieren für damit zusammenhängende Anforderungen
- Web Link A.1.3.5: Einwilligung ändern oder widerrufen für damit zusammenhängende Anforderungen
In dem Leitfaden wird auch darauf hingewiesen, dass die Taxonomie und die Definitionen in ISO/IEC 19944-1 hilfreich sein können, um Verarbeitungszwecke im Kontext von Cloud Computing zu beschreiben.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.2.2 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe b (Grundsatz der Zweckbindung) und Artikel 32 Absatz 4 (Gewährleistung, dass Personen, die im Auftrag einer Behörde handeln, nur auf Anweisung tätig werden). Datenschutz verlangt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben und nicht auf eine mit diesen Zwecken unvereinbare Weise weiterverarbeitet werden.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Diese Steuerung unterstützt zwei Datenschutzprinzipien der ISO 29100:
- Einwilligung und Wahl — Eine klare Zweckdokumentation ermöglicht eine aussagekräftige Einwilligung
- Zweck, Legitimität und Spezifikation — Geht direkt auf die Anforderung für bestimmte, legitime Zwecke ein
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.2.2 achten die Prüfer typischerweise auf Folgendes:
- Verarbeitungszweckregister — Eine dokumentierte Liste aller PII-Verarbeitungsaktivitäten mit ihren jeweiligen Zwecken
- Datenschutzhinweise — Nachweise dafür, dass die Zwecke den Verantwortlichen für die Verarbeitung personenbezogener Daten in klarer und verständlicher Sprache mitgeteilt werden
- Aufzeichnungen über Verarbeitungstätigkeiten — Dokumentierte Aufzeichnungen, die den Zweck jeder Kategorie verarbeiteter personenbezogener Daten aufzeigen
- Änderungsmanagement — Nachweis, dass neue Verarbeitungszwecke vor Beginn der Verarbeitung bewertet und dokumentiert werden
- Abstimmung mit den Einwilligungsdokumenten — Dass die in den Einwilligungsformularen dokumentierten Zwecke mit der tatsächlich durchgeführten Verarbeitung übereinstimmen
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.2.3 Rechtmäßige Grundlage ermitteln | Sobald die Zwecke definiert sind, muss die rechtliche Grundlage für jeden einzelnen Zweck ermittelt werden. |
| A.1.2.4 Einwilligung feststellen | Einwilligungsprozesse hängen von klar dokumentierten Zwecken ab. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Zweckdokumentationen fließen in die Verarbeitungsprotokolle ein. |
| A.1.3.3 Informationen für PII-Verantwortliche | Die Zwecke müssen den Verantwortlichen für den Datenschutz mitgeteilt werden. |
| A.1.3.4 Bereitstellung von Informationen | Klare und verständliche Zweckbeschreibungen in Datenschutzhinweisen |
| A.1.4.3 Begrenzung der Verarbeitung | Die Verarbeitung muss auf das für die dokumentierten Zwecke notwendige Maß beschränkt werden. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung Teil von Abschnitt 7.2.1 (Zweck identifizieren und dokumentieren). Der Kontrollinhalt ist in der Fassung von 2025 im Wesentlichen derselbe, befindet sich aber nun in … Tabelle A.1 mit einer klareren Trennung zwischen der Kontrollanweisung (A.1.2.2) und den Umsetzungshinweisen (B.1.2.2). Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Warum sollten Sie sich ISMS.online für die Verwaltung von Verarbeitungsprozessen?
ISMS.online bietet praktische Werkzeuge zur Dokumentation und Verwaltung von Verarbeitungsprozessen:
- Verarbeitungsaktivitätsregister — Dokumentieren Sie jede Verarbeitungstätigkeit mit ihrem angegebenen Zweck, den Kategorien personenbezogener Daten und der Rechtsgrundlage.
- Verwaltung von Datenschutzhinweisen — Führen Sie versionskontrollierte Datenschutzhinweise, die mit den Verarbeitungszwecken verknüpft sind.
- Änderungsverfolgung — Protokollieren, wann Zwecke hinzugefügt, geändert oder entfernt werden, mit vollständigem Prüfprotokoll
- Querverweise — Verknüpfung von Zwecken mit Einwilligungsdokumenten, Datenschutz-Folgenabschätzungen und Anfragen betroffener Personen
- Prüfnachweis — Exportzweckdokumentation als Teil Ihres Nachweispakets zur Einhaltung der Vorschriften
Häufig gestellte Fragen
Wie detailliert sollte die Zweckdokumentation sein?
Die Angaben müssen ausreichend klar und detailliert sein, um als Teil der Informationen, die den Betroffenen zur Verfügung gestellt werden, und als Grundlage für die Einholung ihrer Einwilligung verwendet werden zu können. Vage Angaben wie „Geschäftsbetrieb“ oder „Verbesserung der Dienstleistungen“ genügen diesen Anforderungen in der Regel nicht. Jeder Zweck sollte das konkrete Ergebnis der Verarbeitung beschreiben.
Was geschieht, wenn sich die Zwecke nach der Datenerhebung ändern?
Jeder neue Verwendungszweck muss dokumentiert und auf Vereinbarkeit mit dem ursprünglichen Zweck geprüft werden. Ist der neue Zweck nicht vereinbar, ist in der Regel eine zusätzliche Einwilligung oder eine separate Rechtsgrundlage erforderlich. Die Änderung sollte in aktualisierten Datenschutzhinweisen und Verarbeitungsdokumenten vermerkt werden.
Gilt dies auch für PII-Prozessoren?
A.1.2.2 ist eine Kontrolle des PII-Controllers. PII-Verarbeiter haben eine damit zusammenhängende, aber andere Verpflichtung gemäß A.2.2.3 Organisationszwecke (Zwecke der Organisation), die vorschreibt, dass personenbezogene Daten nur für die in den Anweisungen des Kunden dokumentierten Zwecke verarbeitet werden dürfen.
Dokumentieren Sie in Ihrem Erklärung zur Anwendbarkeit.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.
