Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.1.3.5: Zustimmung ändern oder widerrufen

Kontrollmaßnahme A.1.3.5 verpflichtet Organisationen, einen Mechanismus bereitzustellen, mit dem Betroffene ihre Einwilligung zur Verarbeitung personenbezogener Daten ändern oder widerrufen können. Der Widerruf muss genauso einfach sein wie die ursprüngliche Einwilligung.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.1.3.5?

Die Organisation stellt einen Mechanismus zur Verfügung, über den die Verantwortlichen für personenbezogene Daten ihre Einwilligung ändern oder widerrufen können.

Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Ziel (A.1.3). Es ergänzt die Kontrollmechanismen zur Einholung der Einwilligung gemäß A.1.2, indem es sicherstellt, dass die Einwilligung keine Einbahnstraße ist. Wenn Ihre Organisation die Einwilligung als Rechtsgrundlage für die Datenverarbeitung nutzt (siehe A.1.2.4 Einwilligung feststellen und A.1.2.5 Einwilligung einholen und protokollieren), müssen Sie es Einzelpersonen auch leicht machen, ihre Meinung zu ändern.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.1.3.5) enthält Hinweise darauf, wie ein effektiver Mechanismus zum Widerruf der Einwilligung aussehen sollte:

  • Gleiche Leichtigkeit — Der Widerruf der Einwilligung sollte genauso einfach sein wie die Einwilligung selbst. Wenn die Einwilligung mit einem einzigen Klick erteilt wurde, sollte für den Widerruf kein Anruf oder Schreiben erforderlich sein.
  • klare Kommunikation — Der Mechanismus für den Widerruf sollte den PII-Verantwortlichen zum Zeitpunkt der Einwilligungserteilung und zu jedem späteren Zeitpunkt klar mitgeteilt werden.
  • Kein retrospektiver Effekt Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung. Dies sollte den Verantwortlichen für die Verarbeitung personenbezogener Daten mitgeteilt werden.
  • Folgen — Vor dem Widerruf sollten die Verantwortlichen für die Nutzung personenbezogener Daten über alle Konsequenzen (z. B. Verlust des Zugangs zu einem Dienst) informiert werden. Die Konsequenzen sollten nicht strafender Natur sein.
  • Änderung — Zusätzlich zur vollständigen Widerrufsmöglichkeit sollte in Betracht gezogen werden, den Betroffenen die Möglichkeit zu geben, den Umfang ihrer Einwilligung zu ändern (z. B. die Einwilligung zum Marketing abzulehnen, während die Einwilligung zur Leistungserbringung erhalten bleibt).
  • Web Link A.1.2.2: Zweck ermitteln und dokumentieren für damit zusammenhängende Anforderungen

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.1.3.5 ist mehreren Funktionen zugeordnet Datenschutz Bestimmungen:

  • Artikel 7 (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf ist genauso einfach wie die Einwilligungserteilung. Die betroffene Person wird vor Erteilung der Einwilligung über dieses Recht informiert.
  • Artikel 13 Absatz 2 Buchstabe c — Das Recht auf Widerruf der Einwilligung muss in den bei der Datenerhebung bereitgestellten Informationen enthalten sein.
  • Artikel 14 Absatz 2 Buchstabe d — Das Recht auf Widerruf der Einwilligung muss in den Informationen enthalten sein, die für die indirekte Datenerhebung bereitgestellt werden.
  • Artikel 18(1)(ad) — Recht auf Einschränkung der Verarbeitung, das bei Widerruf der Einwilligung Anwendung finden kann, es können aber auch andere Gründe vorliegen

Die DatenschutzDer Grundsatz „Empfang genauso einfach wie Einwilligung“ wird von den Aufsichtsbehörden streng ausgelegt. Organisationen, die Online-Einwilligungsmechanismen verwenden, sollten ebenso einfache Online-Widerrufsmöglichkeiten anbieten.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Dieses Steuerelement unterstützt die Einwilligung und Wahl Dieses Prinzip der ISO 29100 besagt, dass eine wirksame Einwilligung voraussetzt, dass Betroffene auch nach der ersten Entscheidung die Kontrolle über ihre Wahlmöglichkeiten behalten. Die Möglichkeit, die Einwilligung jederzeit zu ändern oder zu widerrufen, ist grundlegend für dieses Prinzip und gewährleistet, dass die Einwilligung ein authentischer Ausdruck des individuellen Willens bleibt.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.1.3.5 achten die Prüfer typischerweise auf Folgendes:

  • Entzugsmechanismen — Dokumentierte und zugängliche Mechanismen (Online-Präferenzzentren, Abmeldelinks, Formulare), die Betroffene nutzen können, um ihre Einwilligung zu widerrufen
  • Bewertung der Leichtigkeit — Nachweis, dass der Aufwand für den Widerrufsprozess mit dem Aufwand für die Einwilligungserteilung vergleichbar ist
  • Kommunikationsaufzeichnungen — Nachweise dafür, dass die Betroffenen zum Zeitpunkt der Einwilligung und in der laufenden Kommunikation über den Widerrufsmechanismus informiert werden.
  • Folgendokumentation — Klare Dokumentation darüber, was geschieht, wenn die Einwilligung widerrufen wird, und Nachweis, dass dies den Verantwortlichen für den Datenschutz mitgeteilt wird.
  • Einstellung der Verarbeitung — Nachweis, dass die Verarbeitung tatsächlich eingestellt (oder geändert) wird, wenn die Einwilligung innerhalb dokumentierter Fristen widerrufen wird.
  • Einwilligungsaufzeichnungen — Aktualisierte Datensätze, die den Widerruf zeigen und mit dem ursprünglichen Einwilligungsdatensatz verknüpft sind (siehe A.1.2.5 Einwilligung einholen und protokollieren)

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.2.4 Einwilligung feststellen Legt fest, wie die Einwilligung eingeholt wird; A.1.3.5 stellt sicher, dass sie rückgängig gemacht werden kann.
A.1.2.5 Einwilligung einholen und protokollieren Die Einwilligungsunterlagen müssen aktualisiert werden, um Widerrufe widerzuspiegeln.
A.1.3.3 Ermittlung von Informationen für personenbezogene Datenverantwortliche Das Recht auf Widerruf der Einwilligung muss in den bereitgestellten Informationen enthalten sein.
A.1.3.4 Bereitstellung von Informationen für Verantwortliche im Zusammenhang mit personenbezogenen Daten Einzelheiten zum Auszahlungsmechanismus sollten klar kommuniziert werden.
A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten Verwandt, aber unterschiedlich: Ein Widerspruch gilt unabhängig von der Rechtsgrundlage, ein Widerruf gilt nur für die Einwilligung.
A.1.4.6 Anonymisierung und Löschung personenbezogener Daten Der Widerruf der Einwilligung kann eine Löschpflicht auslösen.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Fassung von 2019 war diese Anforderung Teil von Klausel 7.3.4 (Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung). Die Fassung von 2025 behält die gleiche Kernanforderung unter A.1.3.5 bei, ergänzt durch die Hinweise in B.1.3.5. Die Betonung der „Gleichbehandlung“ und die Pflicht zur Kommunikation der Folgen vor dem Widerruf bleiben die wichtigsten Grundsätze. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für das Management des Widerrufs der Einwilligung?

ISMS.online bietet die Infrastruktur zur Verwaltung des gesamten Einwilligungslebenszyklus, einschließlich Änderung und Widerruf:

  • Zentrum für Einwilligungspräferenzen — Gewähren Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten ein Selbstbedienungsportal, über das sie ihre Einwilligung jederzeit einsehen, ändern oder widerrufen können, um dem Anspruch auf „gleiche Zugänglichkeit“ gerecht zu werden.
  • Aktualisierungen der automatisierten Verarbeitung — Wird die Einwilligung widerrufen, werden Arbeitsabläufe ausgelöst, um die betroffene Verarbeitung zu stoppen und die relevanten Teams zu benachrichtigen.
  • Verknüpfte Einwilligungsdatensätze — Widerrufsereignisse werden automatisch mit dem ursprünglichen Einwilligungsdatensatz verknüpft, wodurch ein vollständiger Prüfpfad von der Erfassung bis zum Widerruf entsteht.
  • Vorlagen für die Konsequenzkommunikation — Vorgefertigte Vorlagen zur Information der Verantwortlichen für personenbezogene Daten über die Folgen des Widerrufs, um eine einheitliche Kommunikation zu gewährleisten
  • Compliance-Dashboard — Überwachen Sie den Zustand der Einwilligungen in Ihrem gesamten Unternehmen und erhalten Sie Einblick in Widerrufsraten, Bearbeitungszeiten für Widerrufe und ausstehende Aktionen.

Häufig gestellte Fragen

Was bedeutet „genauso einfach abzuheben wie einzuzahlen“ in der Praxis?

Wurde die Einwilligung über ein Kontrollkästchen in einem Webformular eingeholt, sollte der Widerruf über einen ähnlich einfachen Online-Mechanismus möglich sein, beispielsweise über ein Präferenzcenter oder einen Abmeldelink. Die Anforderung eines Telefonanrufs, eines schriftlichen Briefes oder eines Besuchs vor Ort, wenn die Einwilligung online erteilt wurde, entspricht nicht den Anforderungen. Der Widerrufsprozess sollte genauso viele oder weniger Schritte umfassen als der Einwilligungsprozess.

Bedeutet der Widerruf der Einwilligung, dass alle personenbezogenen Daten gelöscht werden müssen?

Nicht unbedingt. Der Widerruf der Einwilligung bedeutet, dass Sie die auf der Einwilligung beruhende Datenverarbeitung einstellen müssen. Es können jedoch andere Rechtsgrundlagen für die Aufbewahrung der Daten bestehen (z. B. rechtliche Verpflichtungen oder berechtigte Interessen für andere Zwecke). Sie sollten prüfen, ob eine andere Rechtsgrundlage vorliegt, bevor Sie die Daten löschen. Sofern keine andere Rechtsgrundlage existiert, erfolgt die Löschung oder Anonymisierung gemäß Ihren Aufbewahrungsrichtlinien.

Wie schnell muss die Verarbeitung nach dem Widerruf der Einwilligung eingestellt werden?

Der Standard legt keinen genauen Zeitrahmen fest, erwartet aber, dass die Verarbeitung ohne unangemessene Verzögerung eingestellt wird. In der Praxis sollten Organisationen ihre angestrebte Reaktionszeit dokumentieren und deren Angemessenheit sicherstellen. Bei automatisierter Verarbeitung (z. B. Marketing-E-Mails) sollte die Einstellung nahezu sofort erfolgen. Bei komplexerer Verarbeitung mit mehreren Systemen ist ein kurzer, dokumentierter Zeitrahmen (z. B. 48 Stunden) in der Regel akzeptabel, sofern die Verzögerung gerechtfertigt ist.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.

Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.