Was erfordert die Kontrolle A.1.3.6?
Die Organisation stellt einen Mechanismus zur Verfügung, über den die Inhaber personenbezogener Daten der Verarbeitung ihrer personenbezogenen Daten widersprechen können.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Das Widerspruchsrecht ist vom Widerruf der Einwilligung zu unterscheiden (behandelt in A.1.3.5 Einwilligung ändern oder widerrufenDer Widerruf der Einwilligung ist nur dann möglich, wenn die Einwilligung die Rechtsgrundlage darstellt. Das Widerspruchsrecht gilt weiter gefasst, insbesondere wenn die Verarbeitung auf berechtigten Interessen oder der Wahrnehmung einer Aufgabe im öffentlichen Interesse beruht.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.6) enthält Hinweise zur Umsetzung eines effektiven Einspruchsmechanismus:
- Proaktive Benachrichtigung — Das Widerspruchsrecht sollte dem Verantwortlichen für die Verarbeitung personenbezogener Daten zum Zeitpunkt der ersten Kontaktaufnahme mitgeteilt werden und nicht in allgemeinen Datenschutzinformationen versteckt werden.
- Übersichtliche Darstellung — Das Recht muss klar und getrennt von anderen Informationen dargestellt werden, damit es nicht übersehen wird.
- Direktmarketing — Sofern sich der Einwand auf Direktmarketing bezieht, ist ihm ausnahmslos stets stattzugeben. Für Einwände gegen Direktmarketing gibt es keine Abwägung.
- Andere Verarbeitung — Bei Einwänden gegen die Verarbeitung aufgrund berechtigter Interessen oder des öffentlichen Interesses darf die Organisation die Verarbeitung nur dann fortsetzen, wenn sie zwingende berechtigte Gründe nachweisen kann, die die Interessen des Betroffenen überwiegen.
- Bewertungsprozess — Organisationen sollten über ein dokumentiertes Verfahren zur Bewertung von Einwänden verfügen, einschließlich der Angabe, wer die Entscheidung trifft und welche Faktoren berücksichtigt werden.
- Web Link A.1.3.3: Ermittlung von Informationen für personenbezogene Daten für damit zusammenhängende Anforderungen
- Web Link A.1.3.7: Zugriff, Berichtigung oder Löschung für damit zusammenhängende Anforderungen
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.6 ist weitgehend abgebildet auf Datenschutz Artikel 21:
- Artikel 21 (1) — Recht auf Widerspruch gegen die Verarbeitung von Daten aus Gründen des öffentlichen Interesses oder berechtigter Interessen, einschließlich des auf diesen Gründen beruhenden Profilings
- Artikel 21 (2) — Recht auf Widerspruch gegen die Verarbeitung von Daten zu Direktmarketingzwecken
- Artikel 21 (3) — Verpflichtung zur Einstellung der Verarbeitung bei Widerspruch gegen Direktmarketing
- Artikel 21 (4) — Das Widerspruchsrecht muss ausdrücklich hervorgehoben und klar und gesondert dargestellt werden.
- Artikel 21 (5) — Im Kontext von Diensten der Informationsgesellschaft kann der Widerspruch auch automatisiert erfolgen.
- Artikel 21 (6) — Recht auf Widerspruch gegen die Verarbeitung von Daten zu wissenschaftlichen, historischen oder statistischen Zwecken
- Artikel 13(2)(b) und 14(2)(c) — Das Widerspruchsrecht muss im Rahmen der Transparenzinformationen mitgeteilt werden.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Einwilligung und Wahl Dieses Prinzip aus ISO 29100 geht über die Einwilligung im engeren juristischen Sinne hinaus und stellt im Kern sicher, dass Betroffene von personenbezogenen Daten weiterhin selbstbestimmt über deren Verwendung entscheiden können. Es erkennt an, dass Einzelpersonen nicht nur zum Zeitpunkt der Datenerhebung, sondern auch dauerhaft Handlungsfähigkeit besitzen sollten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.6 achten die Prüfer typischerweise auf Folgendes:
- Einspruchsmechanismus — Ein dokumentierter, leicht zugänglicher Mechanismus für Betroffene von personenbezogenen Daten, um Einwände zu erheben (Online-Formular, E-Mail-Adresse oder Option in der App)
- Proaktive Kommunikation — Nachweis, dass das Widerspruchsrecht bei der ersten Mitteilung mitgeteilt wird, klar und gesondert präsentiert.
- Direktmarketingverfahren — Spezifische Verfahren für den Umgang mit Einwänden gegen Direktmarketing, mit Nachweis der sofortigen Einhaltung
- Bewertungsrahmen — Ein dokumentiertes Verfahren zur Bewertung von Einwänden gegen die Verarbeitung aufgrund berechtigter Interessen, einschließlich der Kriterien für die Interessenabwägung
- Entscheidungsprotokolle — Aufzeichnungen über Entscheidungen zu Einsprüchen, einschließlich der Begründung, wenn ein Einspruch nicht stattgegeben wurde.
- Schulung der Mitarbeiter — Nachweis, dass die Mitarbeiter, die Einwände bearbeiten, die unterschiedlichen Regeln für Direktmarketing im Vergleich zu anderen Verarbeitungsmethoden verstehen.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.5 Einwilligung ändern oder widerrufen | Verwandt, aber unterschiedlich: Der Widerruf der Einwilligung bezieht sich auf die auf der Einwilligung beruhende Datenverarbeitung; der Widerspruch bezieht sich auf berechtigte Interessen und das öffentliche Interesse. |
| A.1.3.4 Bereitstellung von Informationen für Verantwortliche im Zusammenhang mit personenbezogenen Daten | Das Widerspruchsrecht muss als Teil der bereitgestellten Informationen deutlich kommuniziert werden. |
| A.1.3.10 Bearbeitung von Anfragen | Einwände stellen eine Kategorie von Anfragen personenbezogener Daten dar, die gemäß den dokumentierten Verfahren behandelt werden müssen. |
| A.1.2.3 Rechtmäßige Grundlage ermitteln | Die Rechtsgrundlage bestimmt, ob der Widerspruch ein absolutes Recht (Direktmarketing) oder eine Interessenabwägung auslöst. |
| A.1.3.8 Pflichten zur Information Dritter | Wird einem Widerspruch stattgegeben, müssen die Dritten, die die personenbezogenen Daten erhalten haben, benachrichtigt werden. |
| A.1.3.2 Pflichten gegenüber PII-Auftraggebern | Das Widerspruchsrecht ist eine der zu identifizierenden und zu dokumentierenden Pflichten. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung Teil von Abschnitt 7.3.5 (Bereitstellung eines Mechanismus zum Widerspruch gegen die Verarbeitung personenbezogener Daten). Die Fassung von 2025 behält die Kernanforderung unter A.1.3.6 mit Erläuterungen in B.1.3.6 bei. Die Betonung der klaren und von anderen Informationen getrennten Darstellung des Rechts sowie die absolute Natur von Widersprüchen gegen Direktmarketing bleiben die bestimmenden Merkmale dieser Kontrollmaßnahme. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Bearbeitung von Einwänden gegen die Verarbeitung?
ISMS.online bietet Ihnen die Werkzeuge, um Einwände gegen die Bearbeitung von Vorgängen systematisch und gesetzeskonform zu behandeln:
- Einspruchsportal — Bereitstellung eines speziellen, leicht auffindbaren Mechanismus für die Einreichung von Einwänden für PII-Verantwortliche, getrennt von allgemeinen Anfragen.
- Automatisiertes Routing — Einwände gegen Direktmarketing werden zur sofortigen Bearbeitung markiert, während Einwände aufgrund berechtigter Interessen an den zuständigen Entscheidungsträger weitergeleitet werden.
- Balancing-Testframework — Strukturierte Vorlagen zur Durchführung und Dokumentation der Abwägung berechtigter Interessen bei der Beurteilung von Einwänden, die nicht mit Marketing zu tun haben
- Entscheidungsprotokoll — Dokumentieren Sie jeden Einwand, den Bewertungsprozess und das Ergebnis mit Zeitstempeln und den Verantwortlichen, um vollständige Nachvollziehbarkeit zu gewährleisten.
- Auslöser für Benachrichtigungen von Drittanbietern — Wird einem Widerspruch stattgegeben, wird automatisch darauf hingewiesen, dass Dritte, die die personenbezogenen Daten erhalten haben, benachrichtigt werden müssen, und ein Link zu Ihrem Konto wird bereitgestellt. A.1.3.8 Dritte informieren Verfahren
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen Widerspruch und Widerruf der Einwilligung?
Widerruf der Einwilligung (A.1.3.5 Einwilligung ändern oder widerrufenDie Regelung zur Verarbeitung personenbezogener Daten gilt nur, wenn die Verarbeitung auf einer Einwilligung beruht. Das Widerspruchsrecht (A.1.3.6) gilt, wenn die Verarbeitung auf berechtigten Interessen oder dem öffentlichen Interesse beruht. Im Direktmarketing besteht das Widerspruchsrecht unabhängig von der Rechtsgrundlage uneingeschränkt. Organisationen benötigen daher in der Praxis beide Mechanismen: ein Verfahren zum Widerruf der Einwilligung bei einwilligungsbasierter Verarbeitung und ein Widerspruchsverfahren bei anderen Rechtsgrundlagen.
Kann man einen Einwand jemals ablehnen?
Im Falle von Direktmarketing ist dies nicht zulässig. Ein Widerspruch gegen die Verarbeitung personenbezogener Daten für Direktmarketingzwecke muss ausnahmslos berücksichtigt werden. Bei Verarbeitungen aufgrund berechtigter Interessen oder des öffentlichen Interesses dürfen Sie die Verarbeitung fortsetzen, wenn Sie zwingende berechtigte Gründe nachweisen können, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Die Beweislast liegt beim Unternehmen, und die Entscheidung muss dokumentiert werden.
Wie sollte das Widerspruchsrecht „separat“ kommuniziert werden?
Die Leitlinien und Datenschutz Artikel 21 Absatz 4 verlangt, dass das Widerspruchsrecht dem Betroffenen ausdrücklich mitgeteilt und klar und getrennt von allen anderen Informationen dargestellt wird. In der Praxis bedeutet dies, dass es nicht in einer umfangreichen Datenschutzerklärung versteckt sein darf. Es sollte eine eigene Überschrift, einen eigenen Abschnitt oder eine eigene Mitteilung erhalten. Bei der ersten Kontaktaufnahme sollte es direkt genannt und nicht über einen Link zu den Allgemeinen Geschäftsbedingungen erwähnt werden.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
