Was erfordert die Kontrolle A.1.3.2?
Die Organisation ermittelt und dokumentiert ihre rechtlichen, regulatorischen und geschäftlichen Verpflichtungen gegenüber den Inhabern personenbezogener Daten im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und stellt die Mittel zur Erfüllung dieser Verpflichtungen bereit.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Ziel (A.1.3) ist es, sicherzustellen, dass Organisationen ihren Pflichten gegenüber den Personen, deren Daten sie verarbeiten, nachkommen. A.1.3.2 ist die grundlegende Kontrollmaßnahme in dieser Gruppe: Sie müssen zunächst die geltenden Rechte und Pflichten verstehen, bevor Sie die Mechanismen zu deren Erfüllung implementieren können.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.2) enthält Leitlinien zu den Arten von Verpflichtungen, die Organisationen identifizieren und dokumentieren sollten. Diese variieren je nach Rechtsordnung, umfassen aber üblicherweise Folgendes:
- Recht, informiert zu werden — Bereitstellung klarer Informationen für die Verantwortlichen personenbezogener Daten darüber, wie ihre Daten verarbeitet werden (siehe A.1.3.3 und A.1.3.4)
- Zugriffsrecht — Einzelpersonen die Möglichkeit geben, eine Kopie ihrer personenbezogenen Daten zu erhalten (siehe A.1.3.7 und A.1.3.9)
- Recht auf Nachbesserung — Berichtigung ungenauer oder unvollständiger personenbezogener Daten (siehe A.1.3.7)
- Recht auf Löschung — Löschung personenbezogener Daten, wenn diese nicht mehr benötigt werden oder die Einwilligung widerrufen wird (siehe A.1.3.7)
- Recht, die Verarbeitung einzuschränken — Einschränkung der Verarbeitung unter bestimmten Umständen
- Recht auf Datenübertragbarkeit — Bereitstellung personenbezogener Daten in einem strukturierten, maschinenlesbaren Format (siehe A.1.3.9)
- Widerspruchsrecht — Einzelpersonen die Möglichkeit geben, der Verarbeitung ihrer Daten zu widersprechen (siehe A.1.3.6)
Die Leitlinien betonen, dass die Pflichten je nach Rechtsordnung unterschiedlich sind. Organisationen, die in mehreren Gebieten tätig sind, müssen die jeweils geltenden Rechte ermitteln und sicherstellen, dass sie über geeignete Mechanismen verfügen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.2 ist zugeordnet zu Datenschutz Artikel 12 Absatz 2 verpflichtet die Verantwortlichen, die Ausübung der Rechte der betroffenen Personen zu erleichtern. Während es in Abschnitt A.1.3.2 um die Ermittlung und Dokumentation aller Pflichten geht, verlangt Artikel 12 Absatz 2 insbesondere, dass die den Betroffenen zur Verfügung gestellten Mittel praktikabel und zugänglich sind. DatenschutzDie oben genannten Rechte sind in den Artikeln 15 bis 22 kodifiziert.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Individuelle Teilnahme und Zugang Dieses Prinzip aus ISO 29100 verlangt, dass Betroffene personenbezogener Daten (PII) auf ihre Daten zugreifen, deren Richtigkeit überprüfen und sie gegebenenfalls ändern oder löschen lassen können. Abschnitt A.1.3.2 dient der Planung und stellt sicher, dass die geltenden Beteiligungsrechte vor der Implementierung der Mechanismen bekannt sind.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.2 achten die Prüfer typischerweise auf Folgendes:
- Verpflichtungsregister — Ein dokumentiertes Verzeichnis aller rechtlichen, regulatorischen und geschäftlichen Verpflichtungen gegenüber PII-Auftraggebern, zugeordnet den jeweiligen Rechtsordnungen
- Zuständigkeitsanalyse — Nachweis, dass die Organisation ermittelt hat, welche Datenschutzgesetze gelten, je nachdem, wo sich die personenbezogenen Daten der Betroffenen befinden oder wo die Verarbeitung stattfindet
- Vorhandene Mechanismen — Dokumentierte Verfahren, Formulare oder Systeme, die es den Verantwortlichen für personenbezogene Daten ermöglichen, jedes anwendbare Recht auszuüben
- Richtliniendokumentation — Eine Richtlinie zu den Rechten betroffener Personen oder ein gleichwertiges Dokument, das beschreibt, wie jede einzelne Verpflichtung erfüllt wird
- Aufzeichnungen zur Mitarbeiterschulung — Nachweis, dass die für die Bearbeitung von Anfragen zuständigen Mitarbeiter die Pflichten und Verfahren verstehen.
- Regelmäßige Rezensionen — Nachweise dafür, dass Verpflichtungen neu bewertet werden, wenn sich die Gesetzgebung ändert oder das Unternehmen in neue Märkte eintritt
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.3 Ermittlung von Informationen für personenbezogene Datenverantwortliche | Sobald die Verpflichtungen identifiziert sind, muss festgelegt werden, welche Informationen bereitzustellen sind. |
| A.1.3.4 Bereitstellung von Informationen für Verantwortliche im Zusammenhang mit personenbezogenen Daten | Die benötigten Informationen klar und verständlich vermitteln. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Der Widerruf der Einwilligung ist eine der zu ermittelnden und zu erfüllenden Verpflichtungen. |
| A.1.3.7 Zugang, Berichtigung oder Löschung | Setzt die hier aufgeführten Zugriffs-, Berichtigungs- und Löschungsverpflichtungen um. |
| A.1.3.10 Bearbeitung von Anfragen | Operative Verfahren zur Beantwortung von Anfragen, die sich aus diesen Verpflichtungen ergeben |
| A.1.2.9 Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Die Verarbeitungsprotokolle sollten die für jede Aktivität festgelegten Verpflichtungen widerspiegeln. |
Was hat sich gegenüber ISO 27701:2019 geändert?
In der Ausgabe von 2019 war diese Anforderung Teil von Klausel 7.3.1 (Festlegung und Erfüllung der Pflichten gegenüber den Verantwortlichen für personenbezogene Daten). Die Ausgabe von 2025 strukturiert dies in eine eigenständige Kontrollmaßnahme (A.1.3.2) um, die sich speziell auf die Festlegung und Dokumentation des gesamten Pflichtenumfangs konzentriert, getrennt von den nachfolgenden Kontrollen zur Informationsbereitstellung. Dadurch erhält der Planungs- und Analyseschritt einen eigenen Prüfpunkt. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung der Hauptverpflichtungen im Zusammenhang mit Personenschäden?
ISMS.online bietet die Struktur und die Werkzeuge, die Sie benötigen, um Ihre Verpflichtungen gegenüber den Auftraggebern personenbezogener Daten zu identifizieren, zu dokumentieren und zu erfüllen:
- Verpflichtungszuordnung — Kartieren Sie die wichtigsten Rechte an personenbezogenen Daten in verschiedenen Rechtsordnungen in einem einzigen Register, sodass Sie auf einen Blick erkennen können, welche Rechte wo gelten.
- Portal für Anfragen betroffener Personen — Geben Sie den Verantwortlichen für personenbezogene Daten einen klaren Mechanismus zur Ausübung ihrer Rechte, mit automatisierter Weiterleitung an das richtige Team
- Workflow-Automatisierung — Verfolgen Sie jede Anfrage vom Eingang bis zum Abschluss mit integrierten Fristen und Eskalationspfaden
- Verfolgung regulatorischer Änderungen — Bleiben Sie über Gesetzesänderungen, die Ihre Pflichten betreffen, informiert und erhalten Sie automatische Überprüfungen, sobald Gesetze aktualisiert werden.
- Quervernetzung — Verknüpfen Sie Verpflichtungen mit den spezifischen Kontrollen, Richtlinien und Verfahren, die sie erfüllen, und schaffen Sie so ein vollständiges Bild der Einhaltung.
Häufig gestellte Fragen
Wie ermitteln Sie, welche Verpflichtungen für Ihre Organisation gelten?
Beginnen Sie damit, festzustellen, wo sich die personenbezogenen Daten Ihrer Mitarbeiter befinden, wo Ihr Unternehmen tätig ist und welche Datenschutzgesetze extraterritoriale Geltung haben. Ermitteln Sie für jede anwendbare Jurisdiktion die spezifischen Rechte der betroffenen Personen, die das jeweilige Gesetz gewährt. Gängige Rahmenwerke sind die DSGVO (EU/EWR), die britische DSGVO, der CCPA/CPRA (Kalifornien), das LGPD (Brasilien) und der POPIA (Südafrika). Da jedes dieser Gesetze leicht unterschiedliche Verpflichtungen mit sich bringt, ist eine Analyse der jeweiligen Jurisdiktion unerlässlich.
Was sind geschäftliche Verpflichtungen im Unterschied zu rechtlichen Verpflichtungen?
Geschäftliche Verpflichtungen sind Zusagen, die Ihr Unternehmen freiwillig eingegangen ist, wie beispielsweise Versprechen in Ihrer Datenschutzerklärung, Vertragsbedingungen mit Kunden oder Branchenverhaltensregeln, denen Sie sich angeschlossen haben. Diese können über die gesetzlichen Anforderungen hinausgehen. So könnten Sie beispielsweise zusagen, Auskunftsersuchen innerhalb von 14 Tagen zu beantworten, obwohl das Gesetz 30 Tage vorsieht. Diese selbst auferlegten Verpflichtungen müssen dokumentiert und eingehalten werden.
Gilt diese Regelung auch für PII-Prozessoren?
A.1.3.2 ist eine Kontrollmaßnahme für Verantwortliche im Umgang mit personenbezogenen Daten. Auftragsverarbeiter haben gemäß A.2.3 (Pflichten von Auftragsverarbeitern gegenüber den Betroffenen personenbezogener Daten) entsprechende Pflichten, die sie verpflichten, den Verantwortlichen bei der Erfüllung dieser Pflichten zu unterstützen. Auftragsverarbeiter sollten jedoch die Pflichten des Verantwortlichen kennen, um bei Bedarf wirksame Unterstützung leisten zu können.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
