Was erfordert die Kontrolle A.1.3.7?
Die Organisation muss Richtlinien, Verfahren oder Mechanismen implementieren, um ihren Verpflichtungen gegenüber den Betroffenen des personenbezogenen Datenzugriffs, der Berichtigung oder Löschung ihrer personenbezogenen Daten nachzukommen.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Während A.1.3.2 A.1.3.7 legt fest, welche Verpflichtungen bestehen, und verlangt, dass Sie die tatsächlichen operativen Mechanismen aufbauen, die drei der am häufigsten ausgeübten Rechte betroffener Personen erfüllen: Auskunft, Berichtigung und Löschung.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.7) enthält Hinweise zur Umsetzung der drei Rechte:
Zugriffsrecht
- Gewähren Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten die Möglichkeit, auf die über sie gespeicherten personenbezogenen Daten zuzugreifen.
- Fügen Sie ergänzende Informationen hinzu, wie z. B. die Zwecke der Verarbeitung, Datenkategorien, Empfänger, Aufbewahrungsfristen und die Datenquelle.
- Überprüfen Sie die Identität des Anfragenden, bevor Sie personenbezogene Daten offenlegen.
Recht auf Berichtigung (Richtigstellung)
- Gewähren Sie es den Verantwortlichen für personenbezogene Daten, unrichtige personenbezogene Daten ohne unangemessene Verzögerung korrigieren zu lassen.
- Es sollte ein Mechanismus zur Vervollständigung unvollständiger personenbezogener Daten unter Berücksichtigung der Verarbeitungszwecke bereitgestellt werden.
- Sofern die Korrektur Daten betrifft, die an Dritte weitergegeben wurden, benachrichtigen Sie diese Dritten (siehe A.1.3.8)
Recht auf Löschung
- Löschen Sie personenbezogene Daten, wenn diese für den angegebenen Zweck nicht mehr erforderlich sind.
- Löschen Sie personenbezogene Daten, wenn die Einwilligung widerrufen wurde und keine andere Rechtsgrundlage vorliegt (siehe A.1.3.5)
- Löschen Sie personenbezogene Daten, wenn die betroffene Person Widerspruch eingelegt hat und keine zwingenden berechtigten Gründe vorliegen (siehe A.1.3.6)
- Löschen Sie unrechtmäßig verarbeitete personenbezogene Daten.
- Dokumentieren Sie die Zeitrahmen für die Beantwortung der einzelnen Anfragetypen.
Die Leitlinien betonen außerdem die Wichtigkeit der Identitätsprüfung vor der Bearbeitung einer Anfrage, um unbefugten Zugriff oder Manipulation von personenbezogenen Daten zu verhindern.
Wie lässt sich das mit der DSGVO vereinbaren?
Die Steuerung A.1.3.7 ist mehreren Tasten zugeordnet Datenschutz Bestimmungen:
- Artikel 5 Absatz 1 Buchstabe d — Grundsatz der Genauigkeit: Persönliche Daten müssen richtig und auf dem neuesten Stand sein.
- Artikel 16 — Recht auf Berichtigung
- Artikel 17(1)(af) — Recht auf Löschung (Recht auf Vergessenwerden), einschließlich der sechs Gründe, aus denen die Löschung erfolgen muss
- Artikel 17 (2) — Verpflichtung zur Benachrichtigung anderer Verantwortlicher über Löschungsanträge, wenn Daten öffentlich gemacht wurden
- Artikel 13(2)(b) und 14(2)(c) — Verpflichtung, die betroffenen Personen über ihre Rechte auf Auskunft, Berichtigung und Löschung zu informieren
Auskunftsersuchen (auch: Betroffenenauskunftsersuchen oder SARs) sind in allen Rechtsordnungen die mit Abstand häufigste Art von Anfragen betroffener Personen. Organisationen sollten sich darauf einstellen, diese regelmäßig zu bearbeiten und über effiziente Prozesse verfügen.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Individuelle Teilnahme und Zugang Dieses Prinzip aus ISO 29100 verlangt, dass Personen, denen personenbezogene Daten (PII) zugeordnet sind, das Recht haben, auf ihre Daten zuzugreifen, deren Richtigkeit zu überprüfen und sie gegebenenfalls ändern oder löschen zu lassen. A.1.3.7 ist die primäre Umsetzungskontrolle für dieses Prinzip.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.7 achten die Prüfer typischerweise auf Folgendes:
- Richtlinie für Anfragen betroffener Personen — Eine umfassende Richtlinie, die Zugriffs-, Berichtigungs- und Löschverfahren einschließlich Rollen, Verantwortlichkeiten und Zeitrahmen abdeckt.
- Mechanismus zur Aufnahme von Anfragen — Ein dokumentierter, leicht zugänglicher Prozess zur Entgegennahme von Anfragen (Online-Formular, E-Mail, persönlich)
- Verfahren zur Identitätsprüfung — Dokumentierte Schritte zur Überprüfung der Identität von Anfragenden vor dem Handeln, angemessen der Sensibilität der Daten
- Antwortvorlagen — Standardisierte Vorlagen für die Bestätigung, Erfüllung und Ablehnung von Anfragen mit rechtlich einwandfreier Sprache
- Anforderungsprotokoll — Ein Verzeichnis aller eingegangenen Anfragen mit Datum, Art, Entscheidung und Fertigstellungstermin, das die Einhaltung der Fristen belegt
- Dokumentation zur Befreiung — Werden Anträge (ganz oder teilweise) abgelehnt, ist eine dokumentierte Begründung unter Angabe der anwendbaren Ausnahme beizufügen.
- Systemfähigkeit — Nachweis, dass Systeme personenbezogene Daten in allen relevanten Datenspeichern lokalisieren, extrahieren, korrigieren und löschen können.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.9 Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten | Erweitert das Zugriffsrecht um spezifische Anforderungen an Format und Portabilität |
| A.1.3.10 Bearbeitung von Anfragen | Bietet den operativen Rahmen für die Verwaltung aller Anfragen von Personen mit personenbezogenen Daten. |
| A.1.3.8 Pflichten zur Information Dritter | Wenn eine Berichtigung oder Löschung vorgenommen wird, müssen Dritte benachrichtigt werden. |
| A.1.3.5 Einwilligung ändern oder widerrufen | Der Widerruf der Einwilligung kann Löschungsverpflichtungen gemäß A.1.3.7 auslösen. |
| A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten | Bewilligte Einsprüche können Löschungsverpflichtungen gemäß A.1.3.7 auslösen. |
| A.1.2.9 Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Verarbeitungsdatensätze helfen dabei, alle relevanten personenbezogenen Daten bei der Bearbeitung von Zugriffs- oder Löschungsanfragen zu finden. |
Was hat sich gegenüber ISO 27701:2019 geändert?
In der Ausgabe von 2019 waren diese Rechte in den Abschnitten 7.3.6 (Zugriff, Berichtigung und/oder Löschung) geregelt. Die Ausgabe von 2025 fasst diese unter A.1.3.7 zusammen und bietet in B.1.3.7 erweiterte Hinweise. Die Kernanforderungen bleiben im Wesentlichen gleich, das Format von 2025 bietet jedoch eine klarere Struktur für die Prüfung. A.1.3.9 (Bereitstellung einer Kopie) als separate Kontrollmaßnahme verdeutlicht ebenfalls die Unterscheidung zwischen Zugriff und Portabilität. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Zugriff, Korrektur und Löschung?
ISMS.online bietet umfassende Unterstützung für die operativ anspruchsvollsten Rechte betroffener Personen:
- Portal für Anfragen betroffener Personen — Ein individuell gestaltetes Anfrageformular, das die Art der Anfrage erfasst, die Identität überprüft und die Anfrage automatisch mit Fristverfolgung protokolliert.
- Workflow-Engine — Leiten Sie Anfragen mit automatisierten Aufgabenzuweisungen, Eskalationen und Fristerinnerungen an die richtigen Teams weiter, damit nichts untergeht.
- Datenmapping-Integration — Verbinden Sie sich mit Ihrem Datenbestand, um schnell alle Systeme zu identifizieren, die die personenbezogenen Daten des Anfragenden enthalten, wodurch die Suchzeit für Zugriffs- und Löschungsanträge verkürzt wird.
- Ausnahmeverwaltung — Strukturierte Vorlagen zur Dokumentation und Begründung aller angewendeten Ausnahmen, wodurch eine nachvollziehbare Dokumentation für die Aufsichtsbehörden geschaffen wird
- Leistungsberichterstattung — Ein Dashboard, das Anfragevolumen, Antwortzeiten, Abschlussquoten und Trends anzeigt und Ihnen hilft, Engpässe zu erkennen, bevor sie zu Compliance-Problemen führen.
- Benachrichtigung Dritter — Wenn Korrekturen oder Löschungen abgeschlossen sind, werden Benachrichtigungen an Dritte ausgelöst. A.1.3.8
Häufig gestellte Fragen
Wie sollte man die Identität überprüfen, bevor man eine Anfrage erfüllt?
Die Überprüfung sollte dem Schutzbedarf der Daten und dem Risiko einer unbefugten Weitergabe angemessen sein. Bei Bestandskunden kann die Identität beispielsweise über die Zugangsdaten verifiziert werden. Andere Kunden können um eine Kopie ihres Lichtbildausweises gebeten oder um die Bestätigung von Details gebeten werden, die nur ihnen bekannt sein können. Wichtig ist, sich der Identität des Anfragenden sicher zu sein, ohne dabei eine übermäßige Belastung zu schaffen, die Menschen von der Wahrnehmung ihrer Rechte abhält.
Gibt es Gründe, einen Löschungsantrag abzulehnen?
Ja. Das Recht auf Löschung ist nicht absolut. Gängige Ausnahmen umfassen die Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung, zur Ausübung öffentlicher Gewalt, aus Gründen des öffentlichen Gesundheitsschutzes, zur Archivierung im öffentlichen Interesse sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Jede Ablehnung muss unter Angabe der jeweiligen Ausnahme dokumentiert werden, und die betroffene Person muss über die Ablehnung sowie ihr Beschwerderecht bei einer Aufsichtsbehörde informiert werden.
Welche Frist gilt für die Beantwortung von Anfragen?
Der DatenschutzDie Frist beträgt einen Monat ab Eingang des Antrags. Bei komplexen oder zahlreichen Anfragen kann diese Frist um weitere zwei Monate verlängert werden, sofern die betroffene Person innerhalb des ersten Monats informiert wird. Andere Rechtsordnungen können abweichende Fristen vorsehen. Unabhängig von den gesetzlichen Mindestvorgaben sollten Organisationen ihre angestrebten Reaktionszeiten dokumentieren und deren Einhaltung überwachen. Die konsequente Einhaltung kürzerer interner Ziele belegt gegenüber den Prüfern eine hohe operative Leistungsfähigkeit.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
