Was erfordert die Kontrolle A.1.2.4?
Die Organisation legt ein Verfahren fest und dokumentiert es, mit dem sie nachweisen kann, ob, wann und wie die Einwilligung der Betroffenen zur Verarbeitung personenbezogener Daten eingeholt wurde.
Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Zielsetzung (A.1.2). Es schließt die Lücke zwischen der Ermittlung Ihrer Rechtsgrundlage (A.1.2.3 Rechtsgrundlage ermitteln) und tatsächlich die Einwilligung einzuholen (A.1.2.5 Einwilligung einholen und protokollierenWenn die Einwilligung die gewählte Rechtsgrundlage ist, verpflichtet Sie A.1.2.4 dazu, die Mechanismus bevor Sie mit dem Einholen der Einwilligung beginnen.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.2.4) enthält folgende Hinweise dazu, was die Einwilligungsdokumentation umfassen sollte:
- Ob eine Einwilligung erforderlich war — Nicht jede Verarbeitung erfordert eine Einwilligung. Die Organisation sollte ihre Bewertung dokumentieren, ob die Einwilligung die geeignete Rechtsgrundlage für die jeweilige Verarbeitungstätigkeit darstellt.
- Wie die Einwilligung eingeholt wurde — Der verwendete Mechanismus (z. B. Opt-in-Kontrollkästchen, unterschriebenes Formular, mündliche Zustimmung zur Aufzeichnung) sollte so detailliert beschrieben werden, dass seine Gültigkeit nachgewiesen werden kann.
- Als die Einwilligung eingeholt wurde — Der Prozess sollte den Zeitpunkt der Einwilligung im Verhältnis zum Beginn der Verarbeitung erfassen und nachweisen, dass die Einwilligung vor der Erhebung personenbezogener Daten erteilt wurde.
- Ob der PII-Leiter angemessen informiert wurde — Vor der Einwilligung müssen die Betroffenen ausreichend über die Datenverarbeitung informiert werden. Der dokumentierte Prozess sollte beschreiben, welche Informationen bereitgestellt werden und wie diese verarbeitet werden.
- Web Link A.1.2.6: Datenschutz-Folgenabschätzung für damit zusammenhängende Anforderungen
- Web Link A.1.2.7: Verträge mit PII-Verarbeitern für damit zusammenhängende Anforderungen
Die Leitlinien heben auch hervor, dass einige Gerichtsbarkeiten spezifische Anforderungen an die Einwilligung von KindernOrganisationen, die personenbezogene Daten von Kindern verarbeiten, sollten dokumentieren, wie sie das Alter der betroffenen Person überprüfen und, falls erforderlich, wie sie die Einwilligung der Eltern oder Erziehungsberechtigten einholen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.2.4 ist zugeordnet zu Datenschutz Artikel 8(1) und 8(2), die sich speziell mit den Bedingungen für die Einwilligung von Kindern in Bezug auf Dienste der Informationsgesellschaft befassen:
- Artikel 8 (1) — Sofern die Einwilligung die Rechtsgrundlage darstellt und die betroffene Person ein Kind ist, ist die Verarbeitung nur dann rechtmäßig, wenn die Einwilligung vom Inhaber der elterlichen Verantwortung erteilt oder genehmigt wurde. Die Mitgliedstaaten können die Altersgrenze zwischen 13 und 16 Jahren festlegen.
- Artikel 8 (2) — Der Verantwortliche unternimmt angemessene Anstrengungen, um zu überprüfen, ob die Einwilligung vom Inhaber der elterlichen Verantwortung erteilt oder genehmigt wurde, wobei die verfügbare Technologie zu berücksichtigen ist.
Obwohl die Datenschutz Die Kartierung konzentriert sich auf die Einwilligung von Kindern; die weiter gefassten Einwilligungserfordernisse in Artikel 6 und 7 sind jedoch gleichermaßen relevant. Abschnitt A.1.2.4 beschreibt den Prozessrahmen, der sicherstellt, dass die Einwilligung (für jede Altersgruppe) systematisch konzipiert, dokumentiert und nachweisbar ist.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Einwilligung und Wahl Dieses Prinzip der ISO 29100 schreibt vor, dass Betroffenen die Möglichkeit gegeben werden muss, über die Verarbeitung ihrer personenbezogenen Daten zu entscheiden, und dass gegebenenfalls vor der Verarbeitung ihre Einwilligung eingeholt wird. Abschnitt A.1.2.4 setzt dieses Prinzip um, indem er vorschreibt, dass der Einwilligungsprozess selbst vordefiniert und dokumentiert sein muss und nicht ad hoc erfolgen darf.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.2.4 achten die Prüfer typischerweise auf Folgendes:
- Dokumentation des Einwilligungsprozesses — Ein schriftliches Verfahren, das beschreibt, wie, wann und wo die Einwilligung für jede Verarbeitungstätigkeit eingeholt wird, die darauf beruht
- Vorlagen für Einwilligungsformulare — Standardisierte Formulare, Skripte oder UI-Mockups, die den genauen Wortlaut, die Kontrollkästchen und die den Verantwortlichen für den Umgang mit personenbezogenen Daten präsentierten Informationen zeigen
- Verfahren zur Altersverifizierung — Wo personenbezogene Daten von Kindern verarbeitet werden, sind die Schritte zur Altersverifizierung und zur Einholung der elterlichen Einwilligung dokumentiert.
- Nachweise zur Informationsbereitstellung — Nachweis, dass die betroffenen Personen vor Erteilung ihrer Einwilligung angemessene Informationen erhalten, wie z. B. Links zu Datenschutzhinweisen, gestaffelte Hinweise oder zeitnahe Offenlegungen.
- Entscheidungsprotokolle — Dokumentation, aus der hervorgeht, welche Verarbeitungstätigkeiten eine Einwilligung erfordern und welche auf alternativen Rechtsgrundlagen beruhen, mit der Begründung für jede Entscheidung
- Überprüfungsplan — Nachweise dafür, dass die Einwilligungsprozesse regelmäßig überprüft und aktualisiert werden, wenn sich Gesetze oder Verarbeitungstätigkeiten ändern
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.2.3 Rechtmäßige Grundlage ermitteln | Prüft, ob die Einwilligung die geeignete Grundlage darstellt – löst diese Kontrollmaßnahme aus. |
| A.1.2.5 Einwilligung einholen und protokollieren | Die operative Durchführung des unter A.1.2.4 entworfenen Prozesses |
| A.1.3.3 Informationen für PII-Verantwortliche | Definiert, welche Informationen bereitgestellt werden müssen, bevor eine gültige Einwilligung erteilt werden kann. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Laufende Verwaltung der Einwilligung, einschließlich Widerrufsmechanismen |
| A.1.2.2 Zweck ermitteln und dokumentieren | Die Einwilligung muss sich auf dokumentierte Zwecke beziehen. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Die Verarbeitungsprotokolle sollten den verwendeten Einwilligungsprozess dokumentieren. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung Teil von Klausel 7.2.3 (Festlegen, wann und wie die Einwilligung einzuholen ist). Die Kernabsicht bleibt in der Fassung von 2025 unverändert – Organisationen müssen ihre Einwilligungsmechanismen vorab definieren und dokumentieren. Die Umstrukturierung in Tabelle A.1 Dies sorgt für eine klarere Trennung zwischen der normativen Kontrollaussage (A.1.2.4) und der normativen Anleitung (B.1.2.4). Die Betonung der Einwilligung von Kindern wurde beibehalten und spiegelt die anhaltende Bedeutung altersgerechter Gestaltung in globalen Datenschutzrahmen wider. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Gestaltung von Einwilligungsprozessen?
ISMS.online hilft Ihnen beim Aufbau, der Dokumentation und der Pflege von Einwilligungsprozessen, die den Anforderungen der Prüfer gerecht werden und die personenbezogenen Daten der Betroffenen schützen:
- Workflow-Generator für Einwilligungserklärungen — Prozesse zur Einholung von Einwilligungen definieren, mit schrittweisen Verfahren, zugewiesenen Verantwortlichen und Genehmigungsmechanismen
- Vorlagenbibliothek — Nutzen Sie vorgefertigte Einwilligungsformulare, die gängige Szenarien abdecken, darunter Online-Formulare, mündliche Einwilligung und elterliche Zustimmung.
- Zweckbezogene Einwilligungsgestaltung — Verknüpfen Sie jeden Einwilligungsmechanismus direkt mit dem Verarbeitungszweck, den er unterstützt, um Spezifität und Granularität zu gewährleisten.
- Einwilligungsverfahren für Kinder — Spezielle Workflow-Vorlagen für die Altersverifizierung und die elterliche Einwilligung, die Artikel 8 der DSGVO und gleichwertige Anforderungen erfüllen
- Überprüfungserinnerungen — Automatische Benachrichtigungen zur Überprüfung der Einwilligungsprozesse bei Gesetzesänderungen, Aktualisierungen der Verarbeitungstätigkeiten oder Erreichen von Überprüfungsterminen.
Häufig gestellte Fragen
Ist für jede Verarbeitungstätigkeit ein Einwilligungsprozess erforderlich?
Nr. A.1.2.4 verlangt, dass Sie einen Prozess dokumentieren, der nachweisen kann if Die Einwilligung war erforderlich – nicht nur die Art und Weise ihrer Einholung. Wenn eine Verarbeitungstätigkeit auf einer anderen Rechtsgrundlage beruht (z. B. berechtigte Interessen oder Vertragserfüllung), sollten Sie die Entscheidung, keine Einwilligung einzuholen, dokumentieren. Entscheidend ist, dass jede Verarbeitungstätigkeit eine dokumentierte Begründung hat, unabhängig davon, ob eine Einwilligung vorliegt oder nicht.
Wie detailliert sollte die Einwilligung sein?
Die Einwilligung sollte für jeden einzelnen Verarbeitungszweck gesondert erteilt werden. Eine zusammengefasste Einwilligung – bei der ein einziges Kontrollkästchen mehrere voneinander unabhängige Zwecke abdeckt – erfüllt wahrscheinlich nicht die Anforderungen der Norm an die Nachweisbarkeit. Es empfiehlt sich, für jeden Zweck separate Einwilligungsoptionen anzubieten, sodass Betroffene einigen Zwecken zustimmen und anderen ablehnen können. Dies vereinfacht auch den Widerruf der Einwilligung und die Dokumentation.
Was gilt als ausreichende Information vor der Einwilligung?
Vor Erteilung der Einwilligung sollten Betroffene folgende Punkte verstehen: die Identität der Organisation, den/die konkreten Zweck(e) der Datenverarbeitung, die Art der erhobenen personenbezogenen Daten, alle Dritten, die die Daten erhalten, und ihr Recht, die Einwilligung zu widerrufen. Die Informationen sollten klar und verständlich formuliert sein – nicht in langen Allgemeinen Geschäftsbedingungen versteckt. Mehrstufige Hinweise und bedarfsgerechte Offenlegung sind wirksame Methoden.
Dokumentieren Sie in Ihrem Erklärung zur Anwendbarkeit.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.
