Was erfordert die Kontrolle A.1.3.11?
Die Organisation muss die Verpflichtungen, einschließlich der rechtlichen Verpflichtungen, gegenüber den Betroffenen personenbezogener Daten identifizieren, die sich aus Entscheidungen der Organisation ergeben, die sich auf den Betroffenen beziehen und ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen, und nachweisen können, wie sie diesen Verpflichtungen nachkommt.
Diese Kontrolle fällt in den Bereich Verpflichtungen gegenüber PII-Auftraggebern Ziel (A.1.3) stellt sicher, dass Organisationen angemessene Transparenz und Rechte für die Personen gewährleisten, deren Daten sie verarbeiten. Automatisierte Entscheidungsfindung ist ein Bereich, der zunehmend Besorgnis bei Regulierungsbehörden und der Öffentlichkeit hervorruft. Diese Kontrollmaßnahme erfordert daher, dass Organisationen proaktiv identifizieren, wo solche Entscheidungen getroffen werden, und wirksame Schutzmaßnahmen implementieren.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.11) enthält folgende Hinweise:
- Automatisierte Entscheidungen identifizieren — Feststellen, wo Entscheidungen ausschließlich auf der Grundlage automatisierter Prozesse getroffen werden, die rechtliche Folgen oder ähnlich bedeutende Auswirkungen auf die betroffenen Personen haben (z. B. Kreditwürdigkeitsprüfung, automatisierte Einstellungsprüfung, Versicherungspreisgestaltung).
- Geben Sie aussagekräftige Informationen an. — Geben Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten aussagekräftige Informationen über die Logik der automatisierten Entscheidung, die Bedeutung der Verarbeitung und die voraussichtlichen Folgen für die betroffene Person.
- Schutzmaßnahmen implementieren — Es sollten Maßnahmen eingeführt werden, die das Recht auf menschliche Intervention durch eine qualifizierte Person, die Möglichkeit für die betroffene Person, ihren Standpunkt darzulegen, und die Möglichkeit für die betroffene Person, die Entscheidung anzufechten, umfassen.
- Die Organisation sollte dokumentieren, welche Verarbeitungstätigkeiten ausschließlich automatisierte Entscheidungsfindung beinhalten und welche Schutzmaßnahmen für jede dieser Tätigkeiten getroffen wurden.
- Web Link A.1.3.2: Pflichten gegenüber PII-Auftraggebern für damit zusammenhängende Anforderungen
- Web Link A.1.3.6: Widerspruch gegen die Verarbeitung personenbezogener Daten für damit zusammenhängende Anforderungen
Der Schwerpunkt liegt darauf, sicherzustellen, dass Einzelpersonen nicht ohne Rechtsmittel den weitreichenden Entscheidungen von Maschinen unterworfen sind. Dies entspricht weitgehend den Transparenzverpflichtungen in A.1.3.3 und A.1.3.4.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.11 ist mehreren Funktionen zugeordnet Datenschutz Bestimmungen:
- Artikel 13(2)(f) und 14(2)(g) — Organisationen sollen verpflichtet werden, betroffene Personen über das Vorhandensein automatisierter Entscheidungsfindung, einschließlich Profiling, zu informieren und aussagekräftige Informationen über die zugrunde liegende Logik, die Bedeutung und die zu erwartenden Folgen bereitzustellen.
- Artikel 22 (1) — Gewährt den betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Artikel 22 (3) — Verpflichtet den Verantwortlichen für die Datenverarbeitung, geeignete Maßnahmen zum Schutz der Rechte der betroffenen Person zu ergreifen, einschließlich des Rechts auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die ISO 29100 Prinzip von Zweck, Legitimität und SpezifikationAutomatisierte Entscheidungen müssen im Rahmen der ursprünglich festgelegten und legitimen Zwecke getroffen werden. Wenn automatisierte Verarbeitung für weitreichende Entscheidungen genutzt wird, muss die Organisation nachweisen, dass diese Nutzung mit den den Betroffenen mitgeteilten Zwecken übereinstimmt und dass angemessene Schutzmaßnahmen getroffen wurden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.11 achten die Prüfer typischerweise auf Folgendes:
- Automatisiertes Entscheidungsinventar — Ein Verzeichnis aller Verarbeitungstätigkeiten, die ausschließlich automatisierte Entscheidungsfindung beinhalten, einschließlich der Art der getroffenen Entscheidungen und ihrer Auswirkungen auf die betroffenen Personen.
- Logikdokumentation — Aussagekräftige Beschreibungen der Algorithmen, Modelle oder Regeln, die zur Entscheidungsfindung verwendet werden, in einer für Laien verständlichen Sprache.
- Schutzmaßnahmen — Dokumentierte Prozesse für menschliche Eingriffe, einschließlich der Frage, wer zur Überprüfung automatisierter Entscheidungen berechtigt ist, wie Betroffene eine Überprüfung beantragen können und die Reaktionszeiten.
- Datenschutzhinweise — Nachweise dafür, dass die Betroffenen von personenbezogenen Daten vor der automatisierten Entscheidungsfindung darüber informiert werden, unter anderem durch Datenschutzhinweise oder spezifische Benachrichtigungen
- Aufzeichnungen von Herausforderungen — Protokolle aller Anfragen zur menschlichen Überprüfung, der Ergebnisse und der Reaktion der Organisation
- Folgenabschätzungen — Datenschutz-Folgenabschätzungen oder Folgenabschätzungen zum Datenschutz, die automatisierte Entscheidungssysteme umfassen
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.3 Ermittlung von Informationen für personenbezogene Datenverantwortliche | Transparenzanforderungen, die unter anderem die Information von Einzelpersonen über automatisierte Entscheidungsfindung umfassen |
| A.1.3.4 Bereitstellung von Informationen für Verantwortliche im Zusammenhang mit personenbezogenen Daten | Der Mechanismus zur Übermittlung von Informationen aus automatisierten Entscheidungsprozessen |
| A.1.2.2 Zweck ermitteln und dokumentieren | Die automatisierte Entscheidungsfindung muss im Rahmen dokumentierter Zwecke erfolgen. |
| A.1.2.3 Rechtmäßige Grundlage ermitteln | Für die automatisierte Verarbeitung ist eine gültige Rechtsgrundlage erforderlich. |
| A.1.4.3 Begrenzung der Verarbeitung | Die automatisierte Verarbeitung muss dem festgelegten Zweck angemessen sein. |
| A.1.4.4 Genauigkeit und Qualität | Die Genauigkeit der Eingangsdaten ist entscheidend für faire automatisierte Entscheidungen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung unter Klausel 7.3.10 (Automatisierte Entscheidungsfindung) geregelt. Die Fassung von 2025 hat die automatisierte Entscheidungsfindung in einen eigenen Kontrollpunkt (A.1.3.11) ausgelagert, was dem zunehmenden regulatorischen Fokus auf algorithmische Transparenz und Rechenschaftspflicht Rechnung trägt. Der Inhalt der Anforderung ist ähnlich, jedoch wird das Recht auf menschliches Eingreifen, die Möglichkeit zur Meinungsäußerung und die Möglichkeit, Entscheidungen anzufechten, explizit hervorgehoben. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Verwaltung der Compliance bei automatisierten Entscheidungsprozessen?
ISMS.online bietet Ihnen die Werkzeuge, die Sie zur Steuerung der automatisierten Entscheidungsfindung innerhalb Ihres Datenschutzmanagementsystems benötigen:
- Automatisiertes Entscheidungsregister — Erfassen Sie jeden automatisierten Entscheidungsprozess, die verwendeten Daten, die daraus resultierenden Entscheidungen und die vorhandenen Schutzmaßnahmen.
- Arbeitsabläufe zur Folgenabschätzung — Durchführung von Datenschutz-Folgenabschätzungen für automatisierte Entscheidungssysteme mit integrierten Vorlagen und Genehmigungsworkflows
- Nachverfolgung von menschlichen Überprüfungen — Anfragen nach menschlichem Eingreifen protokollieren und verfolgen, um sicherzustellen, dass die Antworten zeitnah und dokumentiert erfolgen
- Richtlinienverwaltung — Pflegen Sie versionskontrollierte Richtlinien zur algorithmischen Verantwortlichkeit, die mit Ihren Verarbeitungsdatensätzen verknüpft sind.
- Querverweis-Zuordnung — Sehen Sie, wie Anforderungen an automatisierte Entscheidungsfindung mit Transparenz, Rechtsgrundlage und Datenqualitätskontrollen in einer einzigen Ansicht zusammenhängen.
- Prüfungsfertige Nachweispakete — Exportieren Sie die vollständige Dokumentation Ihrer automatisierten Entscheidungsfindungs-Governance für Zertifizierungsaudits.
Häufig gestellte Fragen
Gilt diese Kontrolle für alle automatisierten Verarbeitungsprozesse?
Nr. A.1.3.11 zielt speziell auf Entscheidungen ab, die auf allein Die automatisierte Verarbeitung personenbezogener Daten, die rechtliche oder ähnlich erhebliche Auswirkungen auf betroffene Personen hat, fällt unter diese Regelung. Automatisierte Verarbeitungsprozesse, die eine Entscheidung unterstützen, aber nicht allein bestimmen (z. B. ein System, das Anträge zur manuellen Überprüfung kennzeichnet), fallen seltener in den Anwendungsbereich; die Transparenzpflichten bleiben jedoch bestehen.
Was gilt als „ähnlich signifikanter Effekt“?
Neben den rechtlichen Folgen (wie der Ablehnung eines Kreditantrags) zählen auch Entscheidungen zu den bedeutsamen Folgen, die die Lebensumstände, das Verhalten oder die Wahlmöglichkeiten einer Person wesentlich beeinflussen. Beispiele hierfür sind die automatische Ablehnung einer Bewerbung, die Berechnung von Versicherungsprämien oder die Verweigerung des Zugangs zu Dienstleistungen. Entscheidend ist, ob die Entscheidung einen spürbaren Einfluss auf das Leben des Betroffenen hat.
Wie sollten Organisationen algorithmische Logik Einzelpersonen erklären?
Der Standard verlangt „aussagekräftige Informationen über die zugrundeliegende Logik“ anstelle einer vollständigen technischen Offenlegung des Algorithmus. Konkret bedeutet dies, zu erläutern, welche Daten verwendet werden, welche allgemeinen Faktoren berücksichtigt werden, wie diese das Ergebnis beeinflussen und welche möglichen Konsequenzen sich daraus ergeben. Die Erläuterung sollte in einer für den Verantwortlichen verständlichen Sprache erfolgen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die Dokumentation, die Prüfer für automatisierte Entscheidungsfindungskontrollsysteme erwarten.
Für Organisationen, die KI-Systeme einsetzen, siehe unsere umfassende Datenschutzgovernance für KI Leitfaden zum Schnittpunkt von ISO 27701:2025 und KI-Risiken.
Datenschutzbeauftragte, die die automatisierte Datenverarbeitung überwachen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte.
