Was erfordert die Kontrolle A.1.2.7?
Die Organisation muss mit jedem von ihr eingesetzten PII-Verarbeiter einen schriftlichen Vertrag abschließen und sicherstellen, dass diese Verträge die Implementierung geeigneter Kontrollmechanismen regeln. Anhang A (sehen Tabelle A.2).
Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Zielsetzung (A.1.2). Es wird anerkannt, dass viele Organisationen personenbezogene Daten nicht vollständig intern verarbeiten – sie beauftragen Cloud-Anbieter, Lohnabrechnungsbüros, Marketingplattformen und andere Dritte mit der Verarbeitung personenbezogener Daten in ihrem Namen. A.1.2.7 stellt sicher, dass diese Vereinbarungen durch formelle Verträge geregelt sind, die die Datenschutz- und Sicherheitsverpflichtungen auf den Auftragsverarbeiter ausdehnen.
Der Verweis auf Tabelle A.2 ist von Bedeutung: Es bedeutet, dass der Vertrag die personenbezogenen Daten berücksichtigen muss. Prozessor Die im Standard definierten Kontrollen, nicht nur allgemeine Datenschutzklauseln.
Einkaufsteams fordern zunehmend eine ISO 27701-Zertifizierung von Verarbeitern – siehe unsere Leitfaden für Beschaffungsanforderungen und Leitfaden zur Lieferantenbewertung.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.2.7) enthält folgende Hinweise dazu, was in Auftragsverarbeiterverträgen spezifiziert werden sollte:
- Art und Zweck der Verarbeitung — Was der Prozessor mit den personenbezogenen Daten macht und warum
- Arten der verarbeiteten personenbezogenen Daten — Die Kategorien personenbezogener Daten, die der Auftragsverarbeiter verarbeiten wird (z. B. Kontaktdaten, Finanzdaten, Gesundheitsdaten)
- Dauer der Verarbeitung — Wie lange der Prozessor personenbezogene Daten verarbeitet und was mit den Daten nach Vertragsende geschieht.
- Pflichten des Auftragsverarbeiters — Spezifische Pflichten, die der Auftragsverarbeiter erfüllen muss, einschließlich der Umsetzung der Tabelle A.2 für die Verarbeitung geeignete Kontrollen
- Rechte und Pflichten des Verantwortlichen — Das Recht der Organisation, Prüfungen durchzuführen, Anweisungen zu erteilen und Unterauftragnehmer zu genehmigen oder abzulehnen
- Anforderungen für die Umsetzung Tabelle A.2 Steuerung — Der Vertrag muss auf die in Anhang A aufgeführten spezifischen Kontrollen für Auftragsverarbeiter, die für die Verarbeitungstätigkeiten relevant sind, Bezug nehmen oder diese einbeziehen.
Die Leitlinien weisen außerdem darauf hin, dass Organisationen Folgendes berücksichtigen sollten: Unterverarbeitungsvorschriften — ob der Auftragsverarbeiter weitere Auftragsverarbeiter einsetzen darf und wenn ja, unter welchen Bedingungen und mit welchen Benachrichtigungspflichten.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.2.7 ist folgenden Elementen zugeordnet Datenschutz Bestimmungen:
- Artikel 5 (2) — Das Rechenschaftsprinzip, das von Verantwortlichen verlangt, die Einhaltung der Vorschriften nachweisen zu können. Schriftliche Auftragsverarbeitungsverträge sind ein wichtiger Mechanismus zur Gewährleistung der Rechenschaftspflicht.
- Artikel 28(3)(e) — Die Auftragsverarbeiterverträge müssen den Auftragsverarbeiter verpflichten, den Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß Artikel 32–36 (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation) zu unterstützen.
- Artikel 28 (9) — Der Vertrag muss schriftlich, auch in elektronischer Form, erfolgen.
Datenschutz Artikel 28 enthält über die expliziten Anforderungen der ISO 27701 hinausgehende, zwingende Vertragsklauseln. Dazu gehören die Verpflichtung des Auftragsverarbeiters, ausschließlich gemäß dokumentierter Anweisungen zu handeln, die Vertraulichkeit des verarbeitenden Personals zu gewährleisten, Daten nach Vertragsende zu löschen oder zurückzugeben und alle zur Verfügung gestellten Informationen bereitzustellen, die zum Nachweis der Einhaltung der DSGVO erforderlich sind. Organisationen, die eine vollständige DSGVO-Konformität anstreben, sollten sicherstellen, dass ihre Verträge alle Anforderungen von Artikel 28 Absatz 3 abdecken.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Diese Steuerung unterstützt zwei Datenschutzprinzipien der ISO 29100:
- Verantwortlichkeit — Verträge erweitern die Verantwortlichkeit für den Schutz personenbezogener Daten über die eigenen Geschäftsprozesse des Verantwortlichen hinaus auf dessen Auftragsverarbeiter und gewährleisten so die Einhaltung der Vorschriften entlang der gesamten Verarbeitungskette.
- Informationssicherheit — Verträge, die die Umsetzung erfordern Tabelle A.2 Kontrollen gewährleisten, dass Auftragsverarbeiter angemessene Sicherheitsmaßnahmen für die von ihnen verarbeiteten personenbezogenen Daten anwenden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.2.7 achten die Prüfer typischerweise auf Folgendes:
- Prozessorregister — Eine vollständige Liste aller von der Organisation beauftragten PII-Verarbeiter mit den von ihnen durchgeführten Verarbeitungstätigkeiten.
- Unterzeichnete Verträge oder Datenschutzvereinbarungen — Schriftliche Vereinbarungen mit jedem Auftragsverarbeiter, entweder als eigenständige Datenverarbeitungsverträge (DPAs) oder als Klauseln innerhalb umfassenderer Dienstleistungsverträge
- Tabelle A.2 Abdeckungsanalyse — Nachweise dafür, dass der Vertrag die relevanten Kontrollen des Auftragsverarbeiters regelt von Tabelle A.2entweder durch expliziten Verweis oder durch Einbeziehung gleichwertiger Anforderungen
- Bestimmungen für Unterauftragnehmer — Klauseln, die regeln, ob und wie der Auftragsverarbeiter weitere Auftragsverarbeiter einsetzen darf, einschließlich Benachrichtigungs- und Genehmigungsmechanismen
- Vertragsprüfungsprotokolle — Nachweise dafür, dass die Verträge mit den Auftragsverarbeitern regelmäßig überprüft und aktualisiert werden, insbesondere wenn sich die Verarbeitungstätigkeiten ändern oder der Standard aktualisiert wird
- Sorgfaltsprüfungsunterlagen — Nachweis, dass die Organisation die Fähigkeit des Auftragsverarbeiters zur Umsetzung der erforderlichen Kontrollen vor Vertragsabschluss geprüft hat.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| Tabelle A.2 (PII-Prozessorsteuerung) | Die Kontrollmechanismen, die in Prozessorverträgen berücksichtigt werden müssen |
| A.1.2.6 Datenschutzfolgenabschätzung | PIAs sollten die Risiken berücksichtigen, die sich aus Prozessorvereinbarungen ergeben. |
| A.1.5.2 Grundlage für die Übermittlung personenbezogener Daten zwischen Rechtsordnungen | Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist eine Form der Offenlegung, die geregelt werden muss. |
| A.1.2.8 Gemeinsamer PII-Controller | Bei einer gemeinsamen Verantwortlichenrolle anstelle einer Verantwortlichen-Auftragsverarbeiter-Beziehung gelten andere vertragliche Anforderungen. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Die Verarbeitungsprotokolle sollten die Tätigkeiten der Bearbeiter ausweisen. |
| ISO 27001 A.5.19–A.5.22 | Sicherheitskontrollen für Lieferantenbeziehungen im zugrunde liegenden ISMS |
Was hat sich gegenüber ISO 27701:2019 geändert?
In der Ausgabe von 2019 war diese Anforderung als Klausel 7.2.6 (Verträge mit Verarbeitern personenbezogener Daten) aufgeführt. Die Kernanforderung – schriftliche Verträge, die angemessene Kontrollen regeln – bleibt unverändert. Die Ausgabe von 2025 verschärft die Anforderung durch einen expliziten Verweis. Tabelle A.2Diese Fassung bietet im Vergleich zu Anhang A der Ausgabe von 2019 ein klareres und strukturierteres Set an Kontrollen für Auftragsverarbeiter. Dadurch können Organisationen leichter feststellen, welche Kontrollen ihre Verträge genau abdecken müssen. Siehe [Link/Dokumentation]. Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Verwaltung von PII-Prozessorverträgen?
ISMS.online vereinfacht den gesamten Lebenszyklus von Prozessorverträgen von der Due-Diligence-Prüfung bis zur laufenden Überwachung der Einhaltung der Vorschriften:
- Prozessorregister — Führen eines zentralen Verzeichnisses aller PII-Verarbeiter mit ihren Verarbeitungstätigkeiten, ihrem Vertragsstatus und ihren Überprüfungsterminen an einem Ort
- DPA-Klauselbibliothek — Vorgefertigte Vertragsklauseln, die der ISO 27701 entsprechen Tabelle A.2 Anforderungen und Artikel 28 der DSGVO, bereit zur Integration in Ihre Verträge
- Tabelle A.2 Mapping — Automatische Identifizierung der für jede Verarbeitungsvereinbarung geltenden Kontrollen des Prozessors, um sicherzustellen, dass keine erforderlichen Klauseln übersehen werden.
- Subprozessor-Verfolgung — Protokollierung der genehmigten Unterprozessoren für jeden Prozessor, mit Benachrichtigungen bei Hinzufügung neuer Unterprozessoren
- Erinnerungen zur Vertragsprüfung — Automatische Benachrichtigungen, wenn Verträge zur Überprüfung anstehen, sich Verarbeitungsvorgänge ändern oder der Standard aktualisiert wird
- Due Diligence des Lieferanten — Integrierte Fragebögen zur Beurteilung der Prozessorleistung vor Vertragsunterzeichnung, mit bewerteten Beurteilungen und dokumentierten Ergebnissen
Häufig gestellte Fragen
Benötigt jeder Lieferant eine Datenverarbeitungsvereinbarung?
Nur Lieferanten, die personenbezogene Daten in Ihrem Auftrag verarbeiten (d. h. als Auftragsverarbeiter fungieren), benötigen einen Vertrag gemäß A.1.2.7. Lieferanten, deren Dienstleistungen keinen Zugriff auf personenbezogene Daten erfordern – wie z. B. Büromaterialhändler – benötigen keine Auftragsverarbeitungsvereinbarung (AVV). Entscheidend ist, ob der Lieferant im Rahmen seiner Dienstleistung personenbezogene Daten verarbeitet, darauf zugreift oder sie speichert. Im Zweifelsfall sollten Sie den Lieferanten als Auftragsverarbeiter einstufen und einen Vertrag abschließen – eine unnötige AVV ist besser als eine erforderliche zu versäumen.
Was sollen wir bezüglich der Subprozessoren tun?
Ihr Vertrag mit jedem Auftragsverarbeiter sollte die Unterauftragsverarbeitung regeln. Gängige Vorgehensweisen sind: die vorherige schriftliche Zustimmung aller Unterauftragsverarbeiter, die Benachrichtigung mit Widerspruchsrecht oder die Vorabgenehmigung einer Liste namentlich genannter Unterauftragsverarbeiter. Gemäß Artikel 28 DSGVO darf der Auftragsverarbeiter ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter beauftragen. Unabhängig von der gewählten Vorgehensweise muss der Vertrag den Auftragsverarbeiter verpflichten, seinen Unterauftragsverarbeitern gleichwertige vertragliche Pflichten aufzuerlegen.
Wie gehen wir mit Auftragsverarbeitern um, die sich weigern, unsere Auftragsverarbeitungsvereinbarung zu unterzeichnen?
Große Auftragsverarbeiter (insbesondere SaaS-Anbieter) bieten häufig ihre eigene Standard-Datenschutzvereinbarung (DPA) an, anstatt Ihre zu unterzeichnen. Dies ist im Allgemeinen akzeptabel, sofern ihre DPA die erforderlichen Elemente abdeckt – Art und Zweck der Verarbeitung, Arten personenbezogener Daten, Dauer, Pflichten und die relevanten Tabelle A.2 Kontrollmechanismen. Überprüfen Sie die Datenverarbeitungsvereinbarung (DPA) anhand einer Checkliste der erforderlichen Klauseln. Falls Lücken bestehen, verhandeln Sie Nachträge oder ergänzende Bedingungen. Wenn ein Auftragsverarbeiter eine schriftliche Vereinbarung zur Verarbeitung personenbezogener Daten ablehnt, sollten Sie diesen Auftragsverarbeiter nicht beauftragen – die Kontrollmaßnahme erfordert ausdrücklich einen schriftlichen Vertrag.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.
