Was erfordert die Kontrolle A.1.3.10?
Die Organisation legt Richtlinien und Verfahren für die Bearbeitung und Beantwortung berechtigter Anfragen von Personen, deren Daten personenbezogen sind, fest und dokumentiert diese.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Es handelt sich um die operative Kontrolle, die allen Kontrollen individueller Rechte zugrunde liegt: Widerruf der Einwilligung, Einwand, Zugang, Berichtigung und Löschung, Bereitstellung von Kopien und Benachrichtigung durch DritteOhne einen klar definierten Rahmen für die Bearbeitung von Anfragen werden individuelle Rechte eher theoretischer als praktischer Natur.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.10) enthält Hinweise zum Aufbau eines umfassenden Rahmens für die Bearbeitung von Anfragen:
- Antwortfristen — Definieren Sie klare Fristen für die Bestätigung und Bearbeitung von Anfragen, die mit den geltenden rechtlichen Bestimmungen übereinstimmen (z. B. ein Monat unter 14 Tagen). Datenschutz(bei komplexen Anfragen ist eine Verlängerung um zwei Monate möglich.)
- Überprüfungsverfahren — Es sollten angemessene Verfahren zur Überprüfung der Identität des Antragstellers vor der Bearbeitung des Antrags festgelegt werden.
- Eskalationspfade — Festlegen, wer Routineanfragen bearbeitet, wann und wie Anfragen eskaliert werden (z. B. komplexe Anfragen, Anfragen mit sensiblen Daten, Anfragen, für die Ausnahmen gelten können)
- Protokollierung von Anfragen und Ergebnissen — Führen Sie ein vollständiges Protokoll aller eingegangenen Anfragen, einschließlich Datum, Art, Entscheidung, Fertigstellungstermin und etwaiger Ausnahmen.
- Self-Service-Optionen — Erwägen Sie die Bereitstellung von Selbstbedienungsmechanismen (Online-Portale, Präferenzzentren), die es den Betroffenen ermöglichen, bestimmte Rechte auszuüben, ohne einen formellen Antrag stellen zu müssen.
- Schulung der Mitarbeiter — Schulen Sie alle relevanten Mitarbeiter in den Verfahren zur Bearbeitung von Anfragen, einschließlich der Erkennung gültiger Anfragen, der Identitätsprüfung und der Nutzung des Anfrageverwaltungssystems.
- Web Link A.1.3.3: Ermittlung von Informationen für personenbezogene Daten für damit zusammenhängende Anforderungen
- Web Link A.1.3.4: Bereitstellung von Informationen für Verantwortliche für personenbezogene Daten für damit zusammenhängende Anforderungen
Die Leitlinien betonen, dass die Bearbeitung von Anfragen nicht willkürlich erfolgen sollte. Ein dokumentiertes, wiederholbares Verfahren gewährleistet Konsistenz, verringert das Risiko von Fristversäumnissen und liefert die von den Prüfern erwarteten Nachweise.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.10 ist zugeordnet zu Datenschutz Artikel 12(3-6) und Artikel 15(1)(ah):
- Artikel 12 (3) Der Verantwortliche erteilt unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang eines Antrags, Auskunft über die ergriffenen Maßnahmen. Diese Frist kann gegebenenfalls um zwei weitere Monate verlängert werden; der Verantwortliche hat die betroffene Person innerhalb eines Monats darüber zu informieren.
- Artikel 12 (4) — Wenn der Verantwortliche der Anfrage nicht nachkommt, unterrichtet er die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats, über die Gründe und das Recht, Beschwerde einzulegen.
- Artikel 12 (5) Informationen und Maßnahmen werden kostenlos bereitgestellt. Bei offensichtlich unbegründeten oder übertriebenen Anfragen kann der Verantwortliche eine angemessene Gebühr erheben oder die Bearbeitung ablehnen.
- Artikel 12 (6) — Wenn der Verantwortliche begründete Zweifel an der Identität des Anfragenden hat, kann er zusätzliche Informationen anfordern.
- Artikel 15(1)(ah) — Die spezifischen Informationen, die als Antwort auf eine Zugriffsanfrage bereitgestellt werden müssen.
Artikel 12 der DSGVO bildet den Verfahrensrahmen, der die Ausübung aller Rechte betroffener Personen regelt. Die Einhaltung dieser Rechte ist für einen datenschutzkonformen Betrieb unerlässlich.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Diese Steuerung unterstützt zwei Datenschutzprinzipien der ISO 29100:
- Individuelle Teilnahme und Zugang — Eine effektive Bearbeitung von Anfragen ist der Mechanismus, durch den Einzelpersonen ihre Beteiligungsrechte ausüben
- Verantwortlichkeit — Dokumentierte Verfahren, Protokollierung und Schulungen belegen, dass die Organisation ihre Verpflichtungen ernst nimmt und die Einhaltung nachweisen kann.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.10 achten die Prüfer typischerweise auf Folgendes:
- Richtlinie zur Bearbeitung von Anfragen — Eine umfassende, dokumentierte Richtlinie, die alle Anfragetypen, Zeitrahmen, Rollen, Eskalationskriterien und Ausnahmen abdeckt
- Standardablauf — Schrittweise Vorgehensweise für jede Anfrageart (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, Widerruf der Einwilligung)
- Anfrageregister — Ein geführtes Protokoll aller Anfragen mit Datum, Art, zuständigem Bearbeiter, Status, Abschlussdatum und Ergebnis
- Leistungsmetriken — Daten, die durchschnittliche Reaktionszeiten, Fertigstellungsquoten innerhalb der Frist und etwaige Fristüberschreitungen mit Ursachenanalyse aufzeigen
- Verfahren zur Identitätsprüfung — Dokumentierte und angemessene Verifizierungsschritte für jeden Kanal, über den Anfragen eingehen
- Trainingsaufzeichnungen — Nachweis, dass die Mitarbeiter, die Anfragen bearbeiten, geschult wurden und dass die Schulung regelmäßig aufgefrischt wird.
- Antwortvorlagen — Standardisierte Vorlagen für Empfangsbestätigung, Erfüllung, Teilerfüllung und Ablehnung gewährleisten eine einheitliche und rechtssichere Kommunikation
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.2 Pflichten gegenüber PII-Auftraggebern | Benennt die Rechte; A.1.3.10 stellt den operativen Rahmen für deren Erfüllung bereit. |
| A.1.3.7 Zugang, Berichtigung oder Löschung | Die häufigsten Anfragetypen, die das Verarbeitungsframework unterstützen muss |
| A.1.3.9 Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten | Kopier- und Portierungsanfragen werden innerhalb dieses Frameworks bearbeitet. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Anträge auf Widerruf der Einwilligung werden innerhalb dieses Rahmens bearbeitet. |
| A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten | Einspruchsanfragen werden innerhalb dieses Rahmens behandelt. |
| A.1.3.8 Pflichten zur Information Dritter | Die Benachrichtigung von Drittanbietern ist ein nachgelagerter Schritt im Workflow der Anfragebearbeitung. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung Teil von Abschnitt 7.3.9 (Bearbeitung von Anfragen). Die Ausgabe von 2025 ordnet ihr eine eigene Kontrollnummer (A.1.3.10) zu und bietet in Abschnitt B.1.3.10 detaillierte Hinweise. Die Kernanforderungen bleiben im Wesentlichen gleich, jedoch legt die Ausgabe von 2025 größeren Wert auf Selbstbedienungsoptionen und Mitarbeiterschulungen als Bestandteile eines effektiven Bearbeitungsrahmens. Das strukturierte Format erleichtert zudem die unabhängige Prüfung dieser Kontrollmaßnahme. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Bearbeitung von Anfragen betroffener Personen?
ISMS.online bietet ein vollständiges Anfragemanagementsystem, das auf Datenschutzkonformität ausgelegt ist:
- Zentrales Anfrageportal — Eine zentrale Anlaufstelle für alle Anfragen von Personen mit personenbezogenen Daten, mit automatischer Kategorisierung nach Anfragetyp und Zuweisung an das zuständige Teammitglied
- Terminmanagement — Automatische Fristberechnung gemäß der geltenden Gerichtsbarkeit, mit Eskalationswarnungen bei Annäherung an Fristen und Benachrichtigungen bei Überschreitung der Fristen.
- Workflow zur Identitätsprüfung — Integrierte Verifizierungsschritte, die nach Anfragetyp und Risikostufe konfiguriert werden können, gewährleisten angemessene Prüfungen ohne zusätzliche Hürden.
- Durchgängiger Prüfpfad — Jede im Zusammenhang mit einer Anfrage durchgeführte Aktion wird mit Zeitstempeln protokolliert, vom Eingang bis zur endgültigen Antwort. Dadurch entsteht die von den Prüfern benötigte Nachweisgrundlage.
- Leistungs-Dashboard — Echtzeit-Kennzahlen zu Anfragevolumen, Antwortzeiten, Abschlussquoten und Trends helfen Ihnen, operative Engpässe zu identifizieren und kontinuierliche Verbesserungen nachzuweisen.
- Self-Service-Integration — Bieten Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten Self-Service-Optionen für häufige Anfragen (Einwilligungsverwaltung, Aktualisierung von Präferenzen) an, um die Anzahl der formalen Anfragen zu reduzieren, die Ihr Team bearbeiten muss.
Häufig gestellte Fragen
Was macht eine Anfrage „offensichtlich unbegründet oder übertrieben“?
Nach der DSGVO kann eine Anfrage offensichtlich unbegründet sein, wenn die betroffene Person eindeutig nicht die Absicht hat, ihre Rechte auszuüben (beispielsweise wenn die Anfrage lediglich gestellt wird, um zu stören). Eine Anfrage kann unverhältnismäßig sein, wenn sie wiederholt gestellt wird, beispielsweise wenn innerhalb kurzer Zeit mehrfach Zugriff auf dieselben Daten beantragt wird, ohne dass sich die Umstände geändert haben. Die Beweislast liegt beim Verantwortlichen, nachzuweisen, dass die Anfrage unbegründet oder unverhältnismäßig ist. Diese Hürde ist bewusst hoch angesetzt, und die meisten berechtigten Anfragen sollten erfüllt werden.
Wie sollte man mit mündlichen oder informellen Anfragen umgehen?
Eine gültige Anfrage einer betroffenen Person muss nicht schriftlich erfolgen oder eine bestimmte Formulierung verwenden. Mitarbeiter sollten darin geschult sein, mündliche Anfragen oder E-Mails als gültige Anfragen zu erkennen. Es empfiehlt sich, die Anfrage umgehend im System zu erfassen und das gleiche Verfahren wie bei formellen Anfragen zu befolgen. Ist eine Identitätsprüfung erforderlich, erklären Sie dies der betroffenen Person und begleiten Sie sie durch den Prozess. Die Frist beginnt mit dem Datum des Eingangs der Anfrage, nicht mit dem Datum der Identitätsprüfung.
Was ist zu tun, wenn eine Anfrage mehrere Rechte umfasst?
Eine einzelne Mitteilung einer betroffenen Person kann mehrere Anfragen enthalten (z. B. Zugriff auf ihre Daten und Löschung bestimmter Datensätze). Jedes Element sollte separat protokolliert und nachverfolgt werden, da unterschiedliche Fristen, Ausnahmen oder Verfahren gelten können. Die Antwort kann jedoch in einer einzigen Mitteilung an die betroffene Person zusammengefasst werden. Wenn ein Element von einem anderen abhängt (z. B. die Gewährung des Zugriffs vor der Löschung, damit die betroffene Person die Daten überprüfen kann), ist die Reihenfolge entsprechend anzupassen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
