Was erfordert die Kontrolle A.1.2.8?
Die Organisation legt gemeinsam mit allen anderen Verantwortlichen für die Verarbeitung personenbezogener Daten (einschließlich der Anforderungen an den Schutz und die Sicherheit personenbezogener Daten) die jeweiligen Rollen und Verantwortlichkeiten fest.
Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Zielsetzung (A.1.2). Es behandelt ein spezifisches, aber zunehmend häufiges Szenario: die gemeinsame Festlegung von Zweck und Mitteln der Verarbeitung personenbezogener Daten durch zwei oder mehr Organisationen. Anders als die durch … geregelte Beziehung zwischen Verantwortlichem und Auftragsverarbeiter. A.1.2.7 Verträge mit PII-VerarbeiternDie gemeinsame Kontrolle beinhaltet eine geteilte Entscheidungsbefugnis – und damit auch eine geteilte Verantwortung.
Gemeinsame Datenkontrolle entsteht, wenn Organisationen bei Aktivitäten zusammenarbeiten, die personenbezogene Daten betreffen – beispielsweise bei gemeinsamen Marketingkampagnen, gemeinsamen Plattformen, Forschungspartnerschaften oder integrierten Diensten, bei denen beide Parteien Einfluss darauf haben, welche Daten erhoben und wie sie verwendet werden.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.2.8) enthält folgende Hinweise:
- Vereinbarung über die jeweiligen Verantwortlichkeiten — Die gemeinsam Verantwortlichen müssen sich darüber einigen, welche Organisation für welche Verpflichtungen aus der Verarbeitung personenbezogener Daten verantwortlich ist, insbesondere hinsichtlich:
- Ausübung der wichtigsten Rechte in Bezug auf personenbezogene Daten (Auskunftsersuchen, Löschung, Berichtigung, Datenübertragbarkeit)
- Bereitstellung der erforderlichen Informationen für die Verantwortlichen für personenbezogene Daten (Datenschutzhinweise, Transparenzpflichten)
- Implementieren von Sicherheitsmaßnahmen
- Verstoßbenachrichtigung
- Web Link A.1.2.2: Zweck ermitteln und dokumentieren für damit zusammenhängende Anforderungen
- Web Link A.1.2.3: Rechtsgrundlage ermitteln für damit zusammenhängende Anforderungen
- Stellen Sie die Vereinbarung den PII-Verantwortlichen zur Verfügung. — Die wesentlichen Punkte der gemeinsamen Verantwortlichkeitsvereinbarung sollten den Personen zugänglich gemacht werden, deren personenbezogene Daten verarbeitet werden, damit sie wissen, an welche Organisation sie sich für welche Fragen wenden können.
- Die Vereinbarung formell dokumentieren — Obwohl der Begriff „Vertrag“ in der Regelung nicht verwendet wird, impliziert die Anforderung, Rollen und Verantwortlichkeiten „festzulegen“, eine formelle, dokumentierte Vereinbarung zwischen den Parteien.
Die Leitlinien erkennen an, dass in der Praxis ein gemeinsamer Verantwortlicher die Federführung bei bestimmten Pflichten übernehmen kann (z. B. die primäre Anlaufstelle für Anfragen betroffener Personen zu sein), dies entbindet die anderen Verantwortlichen jedoch nicht von ihren Pflichten.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.2.8 ist direkt zugeordnet zu Datenschutz Artikel 26:
- Artikel 26 (1) — Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, bestimmen sie in transparenter Weise ihre jeweiligen Verantwortlichkeiten für die Einhaltung der Verpflichtungen gemäß den Datenschutzbestimmungen. Datenschutzinsbesondere im Hinblick auf die Ausübung der Rechte der betroffenen Personen und ihrer jeweiligen Informationspflichten.
- Artikel 26 (2) Die Vereinbarung muss die jeweiligen Rollen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen angemessen widerspiegeln. Der Inhalt der Vereinbarung muss den betroffenen Personen zugänglich gemacht werden.
- Artikel 26 (3) Ungeachtet der Vereinbarungsbedingungen können betroffene Personen ihre Rechte gemäß der DSGVO gegenüber jedem einzelnen Verantwortlichen geltend machen. Dies ist ein entscheidender Punkt: Interne Vereinbarungen dürfen die Rechte von Personen, deren personenbezogene Daten betroffen sind, nicht einschränken.
Artikel 26 Absatz 3 ist besonders wichtig: Selbst wenn die gemeinsam Verantwortlichen vereinbaren, dass Organisation A alle Anfragen betroffener Personen bearbeitet, kann eine Person ihre Anfrage dennoch an Organisation B richten, die diese dann entweder selbst bearbeiten oder entsprechend weiterleiten muss. Beide Organisationen bleiben haftbar.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Verantwortlichkeit Prinzip der Rechenschaftspflicht gemäß ISO 29100. Rechenschaftspflicht erfordert, dass die Verarbeitung personenbezogener Daten in der Verantwortung klar identifizierter Stellen liegt, die für ihr Handeln zur Rechenschaft gezogen werden können. Eine gemeinsame Verantwortlichkeit führt dazu, dass die Zuständigkeit explizit zugewiesen werden muss – ohne eine formelle Vereinbarung kann unklar sein, welche Organisation für welche Pflichten zuständig ist, was den gesamten Rechenschaftsrahmen untergräbt.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.2.8 achten die Prüfer typischerweise auf Folgendes:
- Gemeinsames Controller-Register — Eine dokumentierte Liste aller Vereinbarungen zur gemeinsamen Verantwortlichkeit, an denen die Organisation beteiligt ist, mit Angabe der Identität jedes gemeinsamen Verantwortlichen und der abgedeckten Verarbeitungstätigkeiten.
- Vereinbarungen zur gemeinsamen Kontrolle — Unterzeichnete, schriftliche Vereinbarungen, in denen die Aufteilung der Verantwortlichkeiten zwischen den Parteien festgelegt ist
- Verantwortlichkeitsmatrix — Eine klare Zuordnung, welcher Verantwortliche welche Pflichten wahrnimmt (Rechte der betroffenen Person, Meldung von Datenschutzverletzungen, Sicherheit, Transparenz).
- PII-Hauptkommunikation — Nachweise dafür, dass die wesentlichen Aspekte der gemeinsamen Verantwortlichkeitsvereinbarung den Verantwortlichen für personenbezogene Daten mitgeteilt werden, typischerweise durch Datenschutzhinweise oder spezielle Informationsseiten.
- Bezeichnung des Kontaktpunkts — Ein dokumentierter, zentraler Ansprechpartner für Verantwortliche im Bereich personenbezogener Daten, auch wenn die Zuständigkeiten zwischen mehreren Verantwortlichen aufgeteilt sind
- Betriebsverfahren — Verfahren für den Umgang mit Szenarien, in denen eine Person, deren personenbezogene Daten betroffen sind, den „falschen“ Verantwortlichen kontaktiert (z. B. Weiterleitungsverfahren, Vereinbarungen über Antwortzeiten)
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.2.7 Verträge mit PII-Verarbeitern | Je nachdem, ob es sich um eine gemeinsame Verantwortlichkeit oder eine Verantwortlicher-Auftragsverarbeiter-Beziehung handelt, gelten unterschiedliche vertragliche Anforderungen. |
| A.1.3.3 Informationen für PII-Verantwortliche | Die gemeinsam Verantwortlichen müssen sich darüber einigen, wer welche Informationen bereitstellt und wie |
| A.1.3.2 Verpflichtungen gegenüber PII-Auftraggebern | Die Zuständigkeit für die Bearbeitung von Anfragen betroffener Personen muss zwischen den gemeinsam Verantwortlichen aufgeteilt werden. |
| A.1.2.6 Datenschutzfolgenabschätzung | Gemeinsame Verarbeitungsvereinbarungen können PIA-Anforderungen auslösen |
| A.1.5.2 Grundlage für die Übermittlung personenbezogener Daten zwischen Rechtsordnungen | Die Weitergabe personenbezogener Daten zwischen gemeinsam Verantwortlichen muss geregelt werden. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Die Verarbeitungsunterlagen sollten gemeinsame Kontrollvereinbarungen ausweisen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 erschien diese Anforderung als Klausel 7.2.7 (gemeinsamer Verantwortlicher für personenbezogene Daten). Die Kernanforderung bleibt unverändert – die gemeinsam Verantwortlichen müssen sich über ihre jeweiligen Zuständigkeiten einigen. Die Umstrukturierung bis 2025 in Tabelle A.1 Die Kontrollerklärung (A.1.2.8) und die Leitlinien (B.1.2.8) werden klarer voneinander getrennt. Der Schwerpunkt, die Regelung den Verantwortlichen für personenbezogene Daten zugänglich zu machen, wurde beibehalten und spiegelt die Transparenzanforderungen wider, die sowohl für ISO 27701 als auch für die DSGVO grundlegend sind. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Vereinbarungen mit gemeinsamer Kontrolle?
ISMS.online hilft Ihnen dabei, die gemeinsame Verantwortlichkeit klar zu formalisieren, zu verfolgen und operativ umzusetzen:
- Gemeinsames Controller-Register — Dokumentieren Sie jede Vereinbarung zur gemeinsamen Kontrolle mit den beteiligten Parteien, den abgedeckten Verarbeitungstätigkeiten und dem Status der Vereinbarung.
- Vorlagen zur Verantwortungsverteilung — Vorgefertigte Verantwortlichkeitsmatrizen, die die Rechte betroffener Personen, die Meldung von Datenschutzverletzungen, die Sicherheit und die Transparenz abdecken, damit nichts übersehen wird.
- Vertragsmanagement — Speichern, versionieren und überprüfen Sie Vereinbarungen zur gemeinsamen Verantwortlichenschaft zusammen mit Ihren übrigen Compliance-Dokumenten.
- Verlinkte Datenschutzhinweise — Die Vereinbarungen zur gemeinsamen Verantwortlichkeit sollen mit den Datenschutzhinweisen für die Inhaber personenbezogener Daten verknüpft werden, um sicherzustellen, dass die Transparenzanforderungen erfüllt werden.
- Organisationsübergreifende Arbeitsabläufe — Verfahren für die Weiterleitung von Anfragen betroffener Personen zwischen gemeinsam Verantwortlichen mit SLA-Überwachung definieren und nachverfolgen
- Auditfähige Nachweise — Erstellung von Nachweispaketen zur Einhaltung der Vorschriften, die die Zuweisung von Verantwortlichkeiten und deren operative Umsetzung belegen.
Häufig gestellte Fragen
Wie stellen wir fest, ob es sich um eine gemeinsame Kontrolle oder um eine Kontrolleur- und Auftragsverarbeiterbeziehung handelt?
Die entscheidende Frage ist, wer bestimmt, dass Zwecke und Mittel Bei der Verarbeitung personenbezogener Daten (PII) liegt eine gemeinsame Verantwortlichkeit vor, wenn beide Organisationen Einfluss darauf haben, warum und wie PII verarbeitet werden. Legt eine Organisation den Zweck fest und die andere führt lediglich Anweisungen aus, handelt es sich um ein Auftragsverarbeiterverhältnis. In der Praxis bewegen sich viele Beziehungen in einer Grauzone. Zu prüfen ist: Hat die andere Partei ein eigenes Interesse am Ergebnis der Verarbeitung? Entscheidet sie, welche Daten erhoben oder wie diese verwendet werden? Wenn ja, handelt es sich wahrscheinlich eher um einen gemeinsamen Verantwortlichen als um einen Auftragsverarbeiter.
Kann ein Mitverantwortlicher für die Versäumnisse des anderen haftbar gemacht werden?
Gemäß Artikel 26 Absatz 3 DSGVO können Betroffene ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend machen, ungeachtet interner Vereinbarungen. Das bedeutet, dass, wenn ein Verantwortlicher einer Anfrage einer betroffenen Person nicht nachkommt, der andere Verantwortliche zur Rechenschaft gezogen werden kann. Auch die Aufsichtsbehörden können gegen alle oder einzelne gemeinsam Verantwortliche Maßnahmen ergreifen. Interne Vereinbarungen können die finanzielle Haftung zwischen den Parteien regeln, jedoch nicht die Rechte der Betroffenen oder die Befugnisse der Aufsichtsbehörden einschränken.
Was sollten wir den PII-Verantwortlichen über die gemeinsame Kontrollfunktion mitteilen?
Die wesentlichen Punkte der Vereinbarung müssen den Betroffenen zugänglich gemacht werden. Dies sollte mindestens Folgendes umfassen: die Identität jedes gemeinsam Verantwortlichen, die Art der Verarbeitung, für die jeder zuständig ist, und wie Betroffene ihre Rechte ausüben können (einschließlich einer Kontaktstelle). Diese Informationen werden üblicherweise in der Datenschutzerklärung bereitgestellt. Es müssen nicht alle Details der internen Vereinbarung offengelegt werden – es genügt, wenn die Betroffenen verstehen, wer verantwortlich ist und wie sie Kontakt aufnehmen können.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.
