Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.1.3.4: Bereitstellung von Informationen für Verantwortliche für personenbezogene Daten

Kontrollmaßnahme A.1.3.4 verpflichtet Organisationen, den Betroffenen personenbezogener Daten klare und leicht zugängliche Informationen bereitzustellen, die den Verantwortlichen für die Verarbeitung personenbezogener Daten identifizieren und die Verarbeitung ihrer personenbezogenen Daten beschreiben. Hier wird Transparenzplanung zu konkreter Kommunikation.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.1.3.4?

Die Organisation stellt den Betroffenen personenbezogene Daten klare und leicht zugängliche Informationen zur Verfügung, die den Verantwortlichen für die Verarbeitung ihrer personenbezogenen Daten identifizieren und die Verarbeitung dieser Daten beschreiben.

Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Wo A.1.3.3 Informationen für PII-Verantwortliche A.1.3.4 legt fest, welche Informationen wann bereitgestellt werden sollen, und konzentriert sich auf die Bereitstellung: wie die Informationen präsentiert, formatiert und denjenigen zugänglich gemacht werden, die sie benötigen.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.1.3.4) enthält Leitlinien zur Qualität und Bereitstellung von Informationen für Verantwortliche für personenbezogene Daten:

  • Prägnant und transparent — Die Informationen sollten frei von unnötigem Fachjargon sein und auf eine leicht verständliche Weise präsentiert werden.
  • Verständlich — Für die Zielgruppe unter Berücksichtigung von Faktoren wie Alter, Sprache und Lese- und Schreibfähigkeit verfasst.
  • Leicht zugänglich — Verantwortliche für den Schutz personenbezogener Daten sollten nicht lange suchen müssen, um die Informationen zu finden. Sie sollten gut sichtbar platziert und barrierefrei zugänglich sein.
  • Klare und einfache Sprache — Vermeiden Sie nach Möglichkeit juristische oder technische Formulierungen. Falls technische Begriffe notwendig sind, liefern Sie Erläuterungen.
  • Gestaffelte Benachrichtigungen — Erwägen Sie für komplexe Verarbeitungsprozesse einen mehrschichtigen Ansatz mit einer kurzen Zusammenfassungsebene, die auf detailliertere Informationen verweist.
  • Benannter Ansprechpartner — Geben Sie einen spezifischen Ansprechpartner für datenschutzbezogene Anfragen an, um es den Betroffenen zu erleichtern, Fragen zu stellen oder ihre Rechte auszuüben.
  • Web Link A.1.3.7: Zugriff, Berichtigung oder Löschung für damit zusammenhängende Anforderungen
  • Web Link A.1.3.8: Informationspflichten gegenüber Dritten für damit zusammenhängende Anforderungen

Die Leitlinien erkennen an, dass ein einzelnes Format möglicherweise nicht für alle Zielgruppen geeignet ist, und ermutigen Organisationen, mehrere Verbreitungskanäle und Formate in Betracht zu ziehen.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.1.3.4 ist mehreren Funktionen zugeordnet Datenschutz Bestimmungen in Bezug auf Form und Qualität der Transparenz:

  • Artikel 12 (1) — Transparenzanforderung: Informationen müssen prägnant, transparent, verständlich und leicht zugänglich sein und in klarer und einfacher Sprache verfasst sein.
  • Artikel 12 (7) — Die Informationen können in Kombination mit standardisierten Symbolen bereitgestellt werden, um einen aussagekräftigen Überblick zu geben.
  • Artikel 11 (2) — Bestimmungen, in denen der Verantwortliche die betroffene Person nicht identifizieren kann
  • Artikel 13 (3) — Pflicht zur Mitteilung von Zweckänderungen
  • Artikel 21 (4) Das Widerspruchsrecht muss ausdrücklich und deutlich dargelegt werden.

Datenschutz Artikel 12 Absatz 1 ist die zentrale Transparenzbestimmung. Aufsichtsbehörden haben erhebliche Geldstrafen für Datenschutzerklärungen verhängt, die die Kriterien der Verständlichkeit und Zugänglichkeit nicht erfüllen, selbst wenn die erforderlichen Informationselemente technisch vorhanden waren.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Diese Steuerung unterstützt zwei Datenschutzprinzipien der ISO 29100:

  • Offenheit, Transparenz und Benachrichtigung — Geht direkt auf die Anforderung einer klaren und verständlichen Kommunikation über Verarbeitungspraktiken ein
  • Individuelle Teilnahme und Zugang — Die Bereitstellung einer festgelegten Kontaktstelle ermöglicht es Einzelpersonen, aktiv an der Verwaltung ihrer Privatsphäre mitzuwirken.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.1.3.4 achten die Prüfer typischerweise auf Folgendes:

  • Veröffentlichte Datenschutzhinweise — Tatsächliche Mitteilungen, die den Verantwortlichen von PII zur Verfügung stehen, bewertet auf Klarheit, Zugänglichkeit und Vollständigkeit
  • Lesbarkeitsbewertung — Nachweis, dass die Hinweise auf Verständlichkeit unter Berücksichtigung der Zielgruppe geprüft wurden
  • Gestaffelte Hinweisstruktur — Bei komplexen Verarbeitungsprozessen ist der Nachweis eines gestaffelten oder progressiven Offenlegungsansatzes erforderlich.
  • Lieferung in verschiedenen Formaten — Datenschutzinformationen sind über alle relevanten Kanäle (Website, App, Filiale, Telefon) verfügbar
  • Benannte Kontaktdaten — Eine klar benannte Kontaktstelle für den Datenschutz oder ein Datenschutzbeauftragter
  • Nutzertests oder Feedback — Jeglicher Nachweis dafür, dass die Verantwortlichen für die Nutzung personenbezogener Daten die bereitgestellten Informationen tatsächlich finden und verstehen können

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.3.3 Ermittlung von Informationen für personenbezogene Datenverantwortliche Bestimmt den Inhalt; A.1.3.4 regelt dessen Präsentation und Vermittlung.
A.1.3.2 Pflichten gegenüber PII-Auftraggebern Die übergeordneten Verpflichtungen, die die Informationsbereitstellungsanforderungen bestimmen
A.1.3.5 Einwilligung ändern oder widerrufen Die Mechanismen zum Widerruf der Einwilligung sollten als Teil der bereitgestellten Informationen klar kommuniziert werden.
A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten Das Widerspruchsrecht muss klar und getrennt von anderen Informationen dargestellt werden.
A.1.3.10 Bearbeitung von Anfragen Kontaktdaten und Informationen zum Antragsverfahren sollten Teil der bereitgestellten Informationen sein.
A.1.2.4 Einwilligung feststellen Zeitpunkte der Einwilligungserhebung sind entscheidende Momente für die Übermittlung von Datenschutzinformationen.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung Teil von Klausel 7.3.3 (Bereitstellung von Informationen an die Verantwortlichen für die Verarbeitung personenbezogener Daten). Die Ausgabe von 2025 behält dieselben Grundsätze bei, profitiert aber von der klareren Trennung zwischen A.1.3.3 Informationen für PII-Verantwortliche (Was mitgeteilt werden soll) und A.1.3.4 (Wie es mitgeteilt werden soll). Die Betonung gestaffelter Hinweise und einfacher Sprache bleibt zentral. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Übermittlung von Datenschutzinformationen?

ISMS.online unterstützt den gesamten Lebenszyklus der Übermittlung von Datenschutzinformationen:

  • Vorlagen für Datenschutzhinweise — Nutzen Sie professionell strukturierte Vorlagen, die auf Klarheit und Vollständigkeit ausgelegt sind und für jeden Abschnitt leicht verständliche Anweisungen enthalten.
  • Unterstützung für gestaffelte Benachrichtigungen — Erstellen Sie zusammenfassende und detaillierte Benachrichtigungsebenen, die miteinander verknüpft sind, um komplexe Prozesse einfach zu kommunizieren.
  • Genehmigungsworkflows — Entwürfe von Bekanntmachungen werden vor der Veröffentlichung von den Abteilungen Recht, Compliance und Marketing geprüft, um Qualität und Konsistenz zu gewährleisten.
  • Änderungsbenachrichtigungen — Wenn sich Verarbeitungstätigkeiten ändern, erhalten Sie Aufforderungen zur Aktualisierung der entsprechenden Datenschutzhinweise, bevor die Änderungen in Kraft treten.
  • Zentralisierte Kontaktverwaltung — Halten Sie Ihre festgelegten Datenschutz-Kontaktdaten an einem zentralen Ort bereit, sodass sie in allen Mitteilungen und Antragsformularen verlinkt sind.
  • Audit-Trail — Zeigen Sie den Prüfern genau, welche Informationen veröffentlicht wurden, wann sie aktualisiert wurden und wer die jeweilige Version genehmigt hat.

Häufig gestellte Fragen

Was macht eine Datenschutzerklärung „leicht zugänglich“?

Leicht zugänglich bedeutet, dass Betroffene nicht nach den Informationen suchen müssen. Auf einer Website bedeutet dies in der Regel einen gut sichtbaren Link in der Fuß- oder Kopfzeile jeder Seite. Bei mobilen Apps bedeutet es, dass die Informationen direkt in der App zugänglich sind, ohne dass eine externe Navigation erforderlich ist. Bei der Offline-Datenerfassung bedeutet es, dass gedruckte Hinweise am Erfassungsort bereitliegen. Maßgeblich ist, ob eine vernünftige Person die Informationen ohne Schwierigkeiten finden könnte.

Wann sollte man ein gestaffeltes Benachrichtigungsverfahren anwenden?

Gestaffelte Datenschutzhinweise sind besonders hilfreich bei komplexen Verarbeitungsvorgängen, wenn mehrere Zwecke oder Kategorien personenbezogener Daten betroffen sind oder der Platz begrenzt ist (z. B. auf Mobilgeräten oder an physischen Erfassungsstellen). Die Kurzversion liefert die wichtigsten Informationen auf einen Blick (Wer Sie sind, welche Daten Sie erheben und warum, Ihre Rechte) und verlinkt direkt zum vollständigen Datenschutzhinweis. Dieser Ansatz bringt das Bedürfnis nach Vollständigkeit mit der Tatsache in Einklang, dass die meisten Menschen keine langen Dokumente lesen werden.

Dürfen in Datenschutzhinweisen Symbole oder visuelle Elemente verwendet werden?

Ja, und die DSGVO fördert dies ausdrücklich. Artikel 12 Absatz 7 erlaubt die Bereitstellung von Informationen in Kombination mit standardisierten Symbolen, um einen aussagekräftigen Überblick auf leicht sichtbare, verständliche und gut lesbare Weise zu ermöglichen. Symbole können helfen, Kernbotschaften schnell zu vermitteln, sollten den Text jedoch ergänzen und nicht ersetzen. Alle verwendeten Symbole sollten einheitlich und für die Zielgruppe leicht verständlich sein.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.

Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.