Was erfordert die Kontrolle A.1.2.3?
Die Organisation muss die einschlägigen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu den festgelegten Zwecken ermitteln, dokumentieren und deren Einhaltung nachweisen können.
Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Ziel (A.1.2) ist es, nachzuweisen, dass die Verarbeitung rechtmäßig ist, auf einer Rechtsgrundlage gemäß den geltenden Rechtsordnungen beruht und klar definierten und legitimen Zwecken dient. A.1.2.2 Zweck identifizieren und dokumentieren etabliert was Sie verarbeiten und warum, A.1.2.3 legt fest, dass legaler Boden das Ihnen dies erlaubt.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.2.3) enthält folgende Hinweise:
- Einige Gerichtsbarkeiten verlangen, dass eine rechtliche Grundlage geschaffen wird. bevor Die Bearbeitung beginnt – Organisationen sollten nicht davon ausgehen, dass sie nachträglich eine Rechtsgrundlage zuweisen können.
- Der Standard erkennt sechs gängige Kategorien von Rechtsgrundlagen an, wobei die jeweilige Gesetzgebung diese jedoch unterschiedlich definieren kann:
- Zustimmung des PII-Prinzips
- Erfüllung eines Vertrages an der der PII-Auftraggeber beteiligt ist
- Einhaltung einer gesetzlichen Verpflichtung der der Verantwortliche unterliegt
- Lebenswichtige Interessen des PII-Auftraggebers oder einer anderen natürlichen Person
- Öffentliches Interesse oder Ausübung der Amtsgewalt
- Legitime Interessen verfolgt vom Verantwortlichen oder einem Dritten
- Web Link A.1.2.7: Verträge mit PII-Verarbeitern für damit zusammenhängende Anforderungen
- Web Link A.1.2.8: Gemeinsamer PII-Controller für damit zusammenhängende Anforderungen
- COHO Expo bei der spezielle Kategorien von PII Werden Daten verarbeitet (z. B. Gesundheitsdaten, biometrische Daten, Daten zur rassischen oder ethnischen Herkunft), können zusätzliche Rechtsgrundlagen erforderlich sein – wie etwa eine ausdrückliche Einwilligung, die Erfüllung arbeitsrechtlicher Verpflichtungen, der Schutz lebenswichtiger Interessen oder die Verarbeitung durch eine gemeinnützige Organisation.
- Die Organisation muss dazu in der Lage sein zeigen dass die gewählte Grundlage angemessen ist – eine bloße Behauptung genügt nicht.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerelement A.1.2.3 ist einer umfangreichen Menge von Datenschutz Bestimmungen:
- Artikel 5 (1) (a) — Der Grundsatz der Rechtmäßigkeit, Fairness und Transparenz
- Artikel 6(1)–(4) — Die sechs Rechtsgrundlagen für die Verarbeitung sowie der Kompatibilitätstest für die Weiterverarbeitung
- Artikel 8 — Bedingungen, die für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft gelten
- Artikel 9 — Verarbeitung besonderer Kategorien personenbezogener Daten
- Artikel 10 — Verarbeitung von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten
- Artikel 17 — Recht auf Löschung (verknüpft, da Löschungsrechte von der zugrunde liegenden Rechtsgrundlage abhängen)
- Artikel 18 — Recht auf Einschränkung der Verarbeitung
- Artikel 22 — Automatisierte individuelle Entscheidungsfindung, einschließlich Profilerstellung
Die Tragweite dieser Kartierung spiegelt die Tatsache wider, dass die Wahl der Rechtsgrundlage weitreichende Konsequenzen für nahezu alle Bereiche hat. Datenschutz Verpflichtungen – von den Rechten der betroffenen Personen bis hin zu Aufbewahrungsfristen.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Zweck, Legitimität und Spezifikation Dieses Prinzip der ISO 29100 verlangt, dass der Zweck der Verarbeitung personenbezogener Daten mit geltendem Recht vereinbar ist und auf einer zulässigen Rechtsgrundlage beruht. Abschnitt A.1.2.3 stellt den operativen Mechanismus zur Erfüllung dieses Prinzips dar – er wandelt die abstrakte Anforderung in dokumentierte und nachweisbare Konformität um.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.2.3 achten die Prüfer typischerweise auf Folgendes:
- Register der Rechtsgrundlage — Eine dokumentierte Zuordnung jeder Verarbeitungstätigkeit zu ihrer Rechtsgrundlage, idealerweise mit Querverweisen zum Zweckregister von A.1.2.2 Zweck identifizieren und dokumentieren
- Beurteilungen berechtigter Interessen (LIAs) — Sofern berechtigte Interessen geltend gemacht werden, müssen dokumentierte Abwägungsprüfungen vorliegen, aus denen hervorgeht, dass die Interessen der Organisation gegen die Rechte der betroffenen Personen abgewogen wurden.
- Begründungen für Sonderkategorien — Eine gesonderte, dokumentierte Begründung für jede Verarbeitung sensibler personenbezogener Daten unter Angabe der zusätzlichen Rechtsgrundlage
- Rechtsprüfungsakten — Nachweise darüber, dass bei der Auswahl der Rechtsgrundlage Rechtsberatung eingeholt oder eine interne Prüfung durchgeführt wurde, insbesondere bei komplexen oder risikoreichen Verarbeitungsprozessen.
- Zeitliche Beweise — Dass die rechtliche Grundlage festgestellt wurde bevor Die Bearbeitung begann, wurde aber nicht nachträglich dokumentiert.
- Kommunikation mit den Verantwortlichen von PII — Dass die Rechtsgrundlage in Datenschutzhinweisen und anderen den Betroffenen zur Verfügung gestellten Informationen angegeben ist.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.2.2 Zweck ermitteln und dokumentieren | Zunächst müssen die Zwecke festgelegt werden – für jeden Zweck muss eine Rechtsgrundlage ermittelt werden. |
| A.1.2.4 Einwilligung feststellen | Wenn die Einwilligung die rechtliche Grundlage darstellt, muss der Einwilligungsprozess formell definiert werden. |
| A.1.2.5 Einwilligung einholen und protokollieren | Operative Umsetzung der Einwilligung, sofern diese als Rechtsgrundlage gewählt wurde |
| A.1.2.6 Datenschutzfolgenabschätzung | Datenschutz-Folgenabschätzungen bewerten die Datenverarbeitung anhand der dokumentierten Rechtsgrundlage und der Zwecke. |
| A.1.3.3 Informationen für PII-Verantwortliche | Die rechtliche Grundlage muss den Verantwortlichen für die Datenschutzverletzung mitgeteilt werden. |
| A.1.4.3 Begrenzung der Verarbeitung | Die Verarbeitung muss auf das beschränkt sein, was die Rechtsgrundlage erlaubt. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung Teil von Klausel 7.2.2 (Rechtsgrundlage ermitteln). Die Kontrollabsicht bleibt in der Ausgabe von 2025 im Wesentlichen unverändert, jedoch erfolgt eine Umstrukturierung in Tabelle A.1 Die neue Regelung bietet eine klarere Trennung zwischen der normativen Kontrollaussage (A.1.2.3) und der normativen Umsetzungsanleitung (B.1.2.3). Der Schwerpunkt liegt auf der Nachweisbarkeit – nicht nur auf der Bestimmung der Grundlage, sondern auch auf deren Umsetzung. in der Lage zu beweisen Die Einhaltung der Vorgaben wurde beibehalten und durch die klarere Struktur sogar gestärkt. Siehe dazu Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung der Dokumentation zur Rechtsgrundlage?
ISMS.online Gibt Ihnen die Werkzeuge an die Hand, um Ihre rechtlichen Grundlagen sicher zu dokumentieren, zu verfolgen und nachzuweisen:
- Zuordnung der Rechtsgrundlage — Jede Verarbeitungstätigkeit wird in einem strukturierten Register, das Prüfer auf einen Blick einsehen können, mit ihrer Rechtsgrundlage verknüpft.
- Vorlagen zur Beurteilung berechtigter Interessen — Vorgefertigte LIA-Vorlagen führen Sie mit Hilfestellungen und Bewertungskriterien durch den Balancetest, sodass nichts übersehen wird.
- Sonderkategorie-Flaggen — Automatische Kennzeichnung von Verarbeitungsvorgängen mit sensiblen personenbezogenen Daten und Aufforderung zur Angabe der erforderlichen zusätzlichen Rechtsgrundlage
- Versionskontrollierte Beweise — Jede Änderung an Ihrer Dokumentation zur Rechtsgrundlage wird mit einem Zeitstempel versehen, wodurch ein Prüfpfad entsteht, der belegt, wann Entscheidungen getroffen wurden.
- Integrierte Datenschutzhinweise — Verknüpfen Sie Ihre Rechtsgrundlagedatensätze direkt mit den Datenschutzhinweisen, die diese den Verantwortlichen für personenbezogene Daten mitteilen.
- Frameworkübergreifende Zuordnung — Sehen Sie, wie Ihre Dokumentation zur Rechtsgrundlage gleichzeitig ISO 27701, DSGVO und anderen Rahmenwerken genügt.
Häufig gestellte Fragen
Können wir die Rechtsgrundlage ändern, nachdem die Bearbeitung bereits begonnen hat?
Die nachträgliche Änderung der Rechtsgrundlage ist in der Regel problematisch. Die meisten Datenschutzrahmenwerke setzen voraus, dass die Rechtsgrundlage vor Beginn der Verarbeitung festgelegt wird. Ändern sich die Umstände, sollten Sie die Gründe für jede Änderung dokumentieren, die Betroffenen gegebenenfalls benachrichtigen und prüfen, ob bestehende Daten auf der neuen Grundlage erneut verarbeitet oder gelöscht werden müssen. Entscheidend ist die Nachweisbarkeit – Sie müssen belegen können, dass die Rechtsgrundlage zum Zeitpunkt der Verarbeitung gültig war.
Wie wirkt sich die Rechtsgrundlage auf die Rechte der betroffenen Personen aus?
Die Rechtsgrundlage, auf die Sie sich stützen, bestimmt unmittelbar, welche Rechte der betroffenen Person gelten. Beispielsweise gilt nach der DSGVO das Recht auf Datenübertragbarkeit nur, wenn die Verarbeitung auf einer Einwilligung oder der Vertragserfüllung beruht. Das Widerspruchsrecht gilt speziell für Verarbeitungen, die auf berechtigten Interessen oder dem öffentlichen Interesse beruhen. Daher ist die Wahl der richtigen Rechtsgrundlage von Anfang an entscheidend – sie prägt Ihre fortlaufenden Pflichten während des gesamten Datenlebenszyklus.
Was wäre, wenn mehrere Rechtsgrundlagen für denselben Verarbeitungsvorgang gelten könnten?
Sie sollten die primäre Rechtsgrundlage für jede Verarbeitungstätigkeit ermitteln und dokumentieren. Theoretisch können zwar mehrere Rechtsgrundlagen zutreffen, die Wahl einer einzigen primären Rechtsgrundlage schafft jedoch Klarheit für die Betroffenen und vereinfacht das Compliance-Management. Die gleichzeitige Verwendung mehrerer Rechtsgrundlagen kann zu Verwirrung führen – insbesondere, wenn eine Rechtsgrundlage (z. B. die Einwilligung) später widerrufen wird und Sie versuchen, auf eine andere zurückzugreifen.
Dokumentieren Sie in Ihrem Erklärung zur Anwendbarkeit.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.
