Was erfordert die Kontrolle A.1.2.5?
Die Organisation holt die Einwilligung der Betroffenen gemäß den dokumentierten Verfahren ein und protokolliert diese.
Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Ziel (A.1.2) und stellt den folgenden operativen Schritt dar A.1.2.4 Einwilligung feststellen (Gestaltung des Einwilligungsprozesses). Wo A.1.2.4 Einwilligung feststellen definiert wie Die Einwilligung wird eingeholt, A.1.2.5 stellt sicher, dass die Organisation dies auch tatsächlich umsetzt – die Einwilligung wird in der Praxis eingeholt und entsprechende Aufzeichnungen werden geführt.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.2.5) enthält folgende Hinweise:
- Die Organisation sollte nachweisen können, dass die Einwilligung vorlag. frei gegeben — Die Verantwortlichen von PII dürfen nicht gezwungen, für die Verweigerung bestraft oder mit vorausgewählten Kästchen konfrontiert werden.
- Einwilligung muss vorliegen spezifisch — an einen bestimmten, klar formulierten Verarbeitungszweck gebunden und nicht an eine pauschale Genehmigung
- Einwilligung muss vorliegen unmissverständlich und explizit — ausgedrückt durch eine eindeutige positive Handlung (z. B. Ankreuzen eines Kästchens, Klicken eines Knopfes, Unterschreiben eines Formulars) und nicht abgeleitet aus Schweigen oder Untätigkeit
- Die Einwilligungserklärungen sollten Folgendes enthalten:
- Die Identität des PII-Hauptverantwortlichen (oder eine pseudonyme Kennung, die zurückverfolgt werden kann)
- Die Datum und Uhrzeit Die Einwilligung wurde erteilt.
- Die Einwilligungserklärung — die konkreten Bedingungen, denen der PII-Auftraggeber zugestimmt hat
- Web Link A.1.2.6: Datenschutz-Folgenabschätzung für damit zusammenhängende Anforderungen
- Web Link A.1.2.7: Verträge mit PII-Verarbeitern für damit zusammenhängende Anforderungen
Diese drei Elemente – freiwillig gegeben, spezifisch sowie unmissverständlich und explizit – stimmen mit dem überein. DatenschutzDie Definition von gültiger Einwilligung und haben sich zum faktischen internationalen Standard für die Qualität von Einwilligungen entwickelt.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.2.5 ist folgenden Elementen zugeordnet Datenschutz Bestimmungen:
- Artikel 7 (1) — Sofern die Verarbeitung auf einer Einwilligung beruht, muss der Verantwortliche nachweisen können, dass die betroffene Person eingewilligt hat. Dies ist die unmittelbare Rechenschaftspflicht – Sie müssen Aufzeichnungen führen.
- Artikel 7 (2) — Wird die Einwilligung in einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, muss die Bitte um Einwilligung klar erkennbar, in verständlicher und leicht zugänglicher Form und in klarer und einfacher Sprache verfasst sein.
- Artikel 9 (2) (a) Für besondere Kategorien personenbezogener Daten ist eine ausdrückliche Einwilligung erforderlich. Dies stellt höhere Anforderungen als die übliche Einwilligung – die betroffene Person muss ihre Zustimmung ausdrücklich bestätigen, typischerweise durch einen zusätzlichen Bestätigungsschritt.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Einwilligung und Wahl Prinzip in ISO 29100. Während A.1.2.4 Einwilligung feststellen Abschnitt A.1.2.5 befasst sich mit der Gestaltung des Einwilligungsmechanismus und dessen Durchführung – er stellt sicher, dass die Entscheidung der betroffenen Person tatsächlich erfasst und als Nachweis gespeichert wird. Zusammen gewährleisten diese Kontrollen die vollständige Umsetzung des Einwilligungs- und Wahlrechts.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.2.5 achten die Prüfer typischerweise auf Folgendes:
- Datenbank für Einwilligungserklärungen — Ein zentraler Speicher für Einwilligungsdokumente mit den drei erforderlichen Elementen: Identifizierung der betroffenen Person, Zeitpunkt der Einwilligung und Einwilligungserklärung.
- Muster-Einwilligungsprotokolle — Die Prüfer ziehen in der Regel eine Stichprobe, um die Vollständigkeit zu überprüfen und sicherzustellen, dass alle Felder ausgefüllt sind und die Zeitstempel plausibel sind.
- Screenshots des Einwilligungsmechanismus — Nachweis der tatsächlichen Benutzeroberfläche oder des Formulars, das den PII-Verantwortlichen vorgelegt wurde und keine vorausgewählten Kästchen sowie klare Anforderungen an positive Maßnahmen aufweist.
- Versionsgeschichte — Aufzeichnungen darüber, welcher Wortlaut der Einwilligungserklärung zum Zeitpunkt der jeweiligen Einwilligungserteilung verwendet wurde, nicht nur die aktuelle Version
- Ausdrückliche Einwilligung für spezielle Kategorien — Erweiterte Aufzeichnungen für die Verarbeitung sensibler Daten, die den zusätzlichen Bestätigungsschritt aufzeigen
- Abhebungsaufzeichnungen — Nachweise darüber, dass Anträge auf Widerruf der Einwilligung bearbeitet und die Verarbeitung eingestellt wurde (Links zu A.1.3.5 Einwilligung ändern oder widerrufen)
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.2.4 Einwilligung feststellen | Definiert den Einwilligungsprozess, den A.1.2.5 implementiert. |
| A.1.2.3 Rechtmäßige Grundlage ermitteln | Eine Protokollierung der Einwilligung ist nur dann erforderlich, wenn die Einwilligung als Rechtsgrundlage gewählt wird. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Die laufende Verwaltung der Einwilligung, einschließlich Aktualisierungs- und Widerrufsmechanismen, ist vorgesehen. |
| A.1.3.3 Informationen für PII-Verantwortliche | Die Bereitstellung von Informationen ist Voraussetzung für eine gültige Einwilligung nach Aufklärung. |
| A.1.2.2 Zweck ermitteln und dokumentieren | Die Einwilligung muss den spezifischen, dokumentierten Zweck erwähnen. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Einwilligungsdokumente sind Teil der umfassenderen Verarbeitungsdokumentation. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 erschien diese Anforderung als Klausel 7.2.4 (Einwilligung einholen und dokumentieren). Der Inhalt der Kontrolle bleibt in der Fassung von 2025 unverändert – die drei Merkmale einer gültigen Einwilligung (freiwillig, spezifisch, eindeutig und ausdrücklich) und die drei Elemente eines Einwilligungsdokuments (Identifizierung, Zeitpunkt und Einwilligungserklärung) bleiben gleich. Die Umstrukturierung in Tabelle A.1 bietet eine übersichtlichere Referenzstruktur mit der Kontrollanweisung in A.1.2.5 und den Implementierungshinweisen in B.1.2.5. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online für die Verwaltung von Einwilligungsdatensätzen?
ISMS.online macht es einfach, gültige Einwilligungen einzuholen, zu speichern und nachzuweisen:
- Zentrales Einwilligungsregister — Alle Einwilligungsdatensätze werden an einem durchsuchbaren Ort gespeichert, wobei die vier Pflichtfelder (Identität, Datum/Uhrzeit, Zweck, bereitgestellte Informationen) standardmäßig erfasst werden.
- Zeitgestempelter Prüfpfad — Jedes Zustimmungsereignis wird automatisch mit einem Zeitstempel versehen und ist unveränderlich, sodass Prüfer die benötigten Nachweise ohne manuelle Protokollierung erhalten.
- Versionskontrollierte Einwilligungserklärung — Bewahren Sie den Verlauf jeder Version des Einwilligungsformulars auf, damit Sie nachweisen können, welcher Wortlaut zum Zeitpunkt der jeweiligen Einwilligungserteilung verwendet wurde.
- Auszahlungsverfolgung — Widerrufe der Einwilligung werden zusammen mit der ursprünglichen Einwilligung erfasst, wobei automatisch Aufgaben erstellt werden, um sicherzustellen, dass die Verarbeitung umgehend eingestellt wird.
- Massenexport für Audits — Exportieren Sie Einwilligungsdatensätze nach Datumsbereich, Zweck oder Verarbeitungstätigkeit, um bei Audits schnell Beweismaterial zusammenzustellen.
- Kennzeichnung der Sonderkategorie — Automatische Erkennung von Stellen, an denen eine ausdrückliche Zustimmung erforderlich ist, und Aufforderung zum erweiterten Bestätigungsschritt
Häufig gestellte Fragen
Wie lange sollten Einwilligungserklärungen aufbewahrt werden?
Einwilligungserklärungen müssen mindestens so lange aufbewahrt werden, wie die Verarbeitung, die sie autorisieren, andauert, zuzüglich der gesetzlich vorgeschriebenen Aufbewahrungsfrist zum Nachweis der Einhaltung der Vorschriften. Gemäß DSGVO bedeutet der Grundsatz der Rechenschaftspflicht, dass Sie nachweisen können müssen, dass für die gesamte Dauer der Verarbeitung eine gültige Einwilligung vorlag. Viele Organisationen bewahren Einwilligungserklärungen nach Beendigung der Verarbeitung für die gesetzliche Verjährungsfrist (in der Regel 6 Jahre in Großbritannien) auf, um im Falle behördlicher Beanstandungen darauf vorbereitet zu sein.
Was gilt als eindeutige positive Diskriminierung?
Eine positive Handlung erfordert einen bewussten, aktiven Schritt der betroffenen Person. Beispiele hierfür sind: das Ankreuzen eines noch nicht markierten Kontrollkästchens, das Klicken auf eine deutlich gekennzeichnete Schaltfläche „Ich stimme zu“, das Unterzeichnen eines Formulars oder das Abgeben einer mündlichen Erklärung, die aufgezeichnet wird. Schweigen, vorausgewählte Kontrollkästchen, fortgesetztes Surfen und das Versäumnis, der Einwilligung zu widersprechen, gelten als positive Handlung. kein Frontalunterricht. Aktive Handlungen stellen keine gültige Einwilligung im Sinne dieser Kontrolle oder der DSGVO dar.
Ist eine elektronische Einwilligung genauso gültig wie eine schriftliche Einwilligung?
Ja. ISO 27701:2025 schreibt kein bestimmtes Format für die Einwilligung vor – elektronische und schriftliche Einwilligungen sind gleichermaßen gültig, sofern sie die drei Qualitätskriterien erfüllen (freiwillig, spezifisch, eindeutig und explizit). Elektronische Einwilligungen lassen sich unter Umständen sogar leichter nachweisen, da digitale Systeme Zeitstempel, IP-Adressen und die genaue Version der präsentierten Informationen automatisch erfassen können. Entscheidend ist, dass Ihr Aufzeichnungssystem alle drei erforderlichen Elemente zuverlässig erfasst.
Dokumentieren Sie in Ihrem Erklärung zur Anwendbarkeit.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.
