Was erfordert die Kontrolle A.1.3.3?
Die Organisation legt fest und dokumentiert, welche Informationen den Betroffenen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zur Verfügung gestellt werden und zu welchem Zeitpunkt diese Informationen bereitgestellt werden.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Während A.1.3.2 Verpflichtungen gegenüber PII-Auftraggebern A.1.3.3 beschreibt Ihre Verpflichtungen, geht detailliert auf die zu übermittelnden Informationen ein und legt die zeitlichen Vorgaben für deren Übermittlung fest.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.3) enthält detaillierte Hinweise sowohl zum Inhalt als auch zum Zeitpunkt der Informationsbereitstellung:
Informationen zur Verfügung zu stellen
- Identität des Verantwortlichen — Name und Kontaktdaten der für die Verarbeitung verantwortlichen Organisation
- Verarbeitungszwecke — Eine klare Erklärung, warum personenbezogene Daten verarbeitet werden, abgestimmt auf A.1.2.2 Zweck identifizieren und dokumentieren
- Kategorien von personenbezogenen Daten — Welche Arten von personenbezogenen Daten werden erhoben und verarbeitet?
- Empfänger — Alle Dritten oder Kategorien von Dritten, die die personenbezogenen Daten erhalten werden
- Aufbewahrungsfristen — Wie lange die personenbezogenen Daten gespeichert werden bzw. welche Kriterien zur Bestimmung der Aufbewahrungsdauer herangezogen werden.
- Verfügbare Rechte — Die spezifischen Rechte, die Betroffene von personenbezogenen Daten ausüben können (Zugriff, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch)
- Automatisierte Entscheidungsfindung — Ob eine automatisierte Profilerstellung oder Entscheidungsfindung erfolgt und welche Logik dabei zum Tragen kommt
- Internationale Überweisungen — Einzelheiten zu etwaigen Überweisungen in andere Rechtsordnungen, einschließlich der bestehenden Schutzmaßnahmen
- Web Link A.1.3.6: Widerspruch gegen die Verarbeitung personenbezogener Daten für damit zusammenhängende Anforderungen
- Web Link A.1.3.8: Informationspflichten gegenüber Dritten für damit zusammenhängende Anforderungen
Zeitpunkt der Bereitstellung
- Direkte Abholung Die Informationen sollten zum Zeitpunkt der Datenerhebung bereitgestellt werden.
- Indirekte Inkasso Die Informationen sollten innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten und spätestens zum Zeitpunkt der ersten Kontaktaufnahme mit der betroffenen Person oder der ersten Weitergabe an Dritte bereitgestellt werden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.3 ist weitgehend abgebildet auf Datenschutz Transparenzbestimmungen:
- Artikel 13(1-4) — Informationen, die bereitzustellen sind, wenn personenbezogene Daten von der betroffenen Person erhoben werden
- Artikel 14(1-5) — Informationen, die bereitzustellen sind, wenn personenbezogene Daten nicht von der betroffenen Person selbst erhoben wurden
- Artikel 11 (2) — Bestimmungen, in denen der Verantwortliche die betroffene Person nicht identifizieren kann
- Artikel 15(1-2) — Auskunftsrecht (Information der betroffenen Personen darüber, auf welche Informationen sie zugreifen können)
- Artikel 18 (3) — Information der betroffenen Personen vor Aufhebung einer Verarbeitungsbeschränkung
- Artikel 21 (4) — Information der betroffenen Personen über ihr Widerspruchsrecht
Die Datenschutz Die Unterscheidung zwischen Artikel 13 und 14 (direkte vs. indirekte Erhebung) entspricht direkt den zeitlichen Vorgaben in B.1.3.3.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Offenheit, Transparenz und Benachrichtigung Dieses Prinzip aus ISO 29100 verlangt, dass Betroffene personenbezogener Daten klar, zugänglich und zeitnah darüber informiert werden, wie ihre Daten verarbeitet werden. Abschnitt A.1.3.3 setzt dies um, indem er Organisationen verpflichtet, genau zu dokumentieren, welche Informationen benötigt werden und wann diese bereitgestellt werden müssen.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.3 achten die Prüfer typischerweise auf Folgendes:
- Inhaltsmatrix der Datenschutzhinweise — Eine dokumentierte Analyse der für jede Verarbeitungstätigkeit erforderlichen Informationen, abgeglichen mit den gesetzlichen Anforderungen
- Zeitdokumentation — Klare Regeln für die Bereitstellung von Informationen, unterschieden zwischen direkten und indirekten Erhebungsszenarien
- Datenschutzhinweise — Tatsächliche Benachrichtigungsdokumente (Datenschutzrichtlinien für Websites, Hinweise zur Datenerhebung, Datenschutzhinweise für Mitarbeiter), die die erforderlichen Informationselemente enthalten
- Vollständigkeitsprüfung — Nachweis, dass die Benachrichtigungen anhand der dokumentierten Anforderungen geprüft wurden, um sicherzustellen, dass nichts fehlt
- Mehrkanalabdeckung — Datenschutzhinweise, die für jeden Erfassungskanal (Webformulare, Telefon, persönliche Gespräche, Drittquellen) angemessen sind
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.2 Pflichten gegenüber PII-Auftraggebern | Benennt die vollständige Liste der Verpflichtungen; A.1.3.3 legt den spezifischen Informationsinhalt fest |
| A.1.3.4 Bereitstellung von Informationen für Verantwortliche im Zusammenhang mit personenbezogenen Daten | Beschreibt, wie die unter A.1.3.3 festgelegten Informationen zu übermitteln sind. |
| A.1.2.2 Zweck ermitteln und dokumentieren | Die Zweckdokumentation fließt in die Informationen ein, die den Verantwortlichen für personenbezogene Daten zur Verfügung gestellt werden. |
| A.1.2.9 Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Verarbeitungsprotokolle sind eine wichtige Informationsquelle für die zu übermittelnden Informationen. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Die Mechanismen zum Widerruf der Einwilligung sollten als Teil des Informationspakets mitgeteilt werden. |
| A.1.3.7 Zugang, Berichtigung oder Löschung | Informationen zu Rechten gehören zu dem, was den Verantwortlichen für den Schutz personenbezogener Daten mitgeteilt werden muss. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung unter Klausel 7.3.2 (Ermittlung von Informationen für Verantwortliche für personenbezogene Daten) geregelt. Die Ausgabe von 2025 ordnet dieser Anforderung eine eigene Kontrollnummer (A.1.3.3) zu und trennt klarer zwischen der Ermittlung des Informationsinhalts und der Bereitstellung dieser Informationen (jetzt A.1.3.4 Bereitstellung von InformationenDer Inhalt der Leitlinien ist im Wesentlichen ähnlich, profitiert aber von dem strukturierteren Format. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Datenschutzanforderungen?
ISMS.online hilft Ihnen dabei, die Informationen, die Sie gegenüber den Verantwortlichen für personenbezogene Daten schuldig sind, systematisch zu ermitteln, zu dokumentieren und zu pflegen:
- Datenschutzhinweis-Generator — Datenschutzhinweise mit Hinweisen zu jedem erforderlichen Informationselement erstellen und pflegen, um das Risiko von Auslassungen zu verringern.
- Zuordnung der Sammlungskanäle — Dokumentieren Sie, welche Informationen an jedem Datenerfassungspunkt bereitgestellt werden, um eine einheitliche Abdeckung über alle Kanäle hinweg zu gewährleisten.
- Zeitmessregel-Engine — Zeitliche Vorgaben für die Informationsbereitstellung auf Basis direkter oder indirekter Datenerhebung festlegen und überwachen, mit Benachrichtigungen bei nahenden Fristen.
- Versionskontrollierte Dokumente — Führen Sie eine vollständige Historie der Änderungen an der Datenschutzerklärung mit Genehmigungsworkflows, damit Sie nachweisen können, welche Informationen wann bereitgestellt wurden.
- Erkennung von Compliance-Lücken — Vergleichen Sie Ihre aktuellen Mitteilungen mit den dokumentierten Anforderungen, um fehlende Informationen zu identifizieren, bevor ein Prüfer dies tut.
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen A.1.3.3 und A.1.3.4 Bereitstellung von Informationen?
A.1.3.3 befasst sich mit der Entscheidung, welche Informationen aufgenommen werden sollen und wann diese bereitgestellt werden sollen. A.1.3.4 Bereitstellung von Informationen Es geht darum, wie Sie diese Informationen den Verantwortlichen für den Umgang mit personenbezogenen Daten konkret vermitteln, einschließlich Format, Verständlichkeit, Zugänglichkeit und Präsentation. Betrachten Sie A.1.3.3 als den Schritt der Inhaltsplanung und A.1.3.4 Bereitstellung von Informationen als Lieferschritt.
Wie sollte sich der Zeitpunkt für direkte und indirekte Datenerfassung unterscheiden?
Bei direkter Datenerhebung (wenn personenbezogene Daten von der betroffenen Person selbst stammen) müssen die Informationen zum Zeitpunkt der Erhebung, vor oder während der Interaktion, bereitgestellt werden. Bei indirekter Datenerhebung (wenn personenbezogene Daten von Dritten oder aus öffentlichen Quellen stammen) müssen die Informationen innerhalb einer angemessenen Frist, spätestens jedoch bei der ersten Kontaktaufnahme mit der betroffenen Person oder der ersten Weitergabe an Dritte, bereitgestellt werden. Gemäß DSGVO beträgt die maximale Frist für die indirekte Datenerhebung einen Monat.
Benötigen Sie separate Benachrichtigungen für verschiedene Verarbeitungsvorgänge?
Nicht unbedingt. Eine einzige umfassende Datenschutzerklärung kann mehrere Verarbeitungstätigkeiten abdecken, sofern klar ist, welche Informationen zu welcher Tätigkeit gehören. Sind die Verarbeitungskontexte jedoch sehr unterschiedlich (z. B. Kundendaten vs. Mitarbeiterdaten), bieten separate Erklärungen oft mehr Klarheit. Entscheidend ist, dass alle erforderlichen Informationen für jede Verarbeitungstätigkeit enthalten sind, unabhängig von der Anzahl der verwendeten Dokumente.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
