Was erfordert die Kontrolle A.1.3.8?
Die Organisation unterrichtet Dritte, mit denen personenbezogene Daten geteilt wurden, über jegliche Änderungen, Widerrufe oder Einwände bezüglich der geteilten personenbezogenen Daten und setzt hierfür geeignete Richtlinien, Verfahren oder Mechanismen um.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Es wird anerkannt, dass die Rechte betroffener Personen nur dann wirksam sind, wenn sie über den Verantwortlichen hinaus gelten. Wenn Sie personenbezogene Daten in Ihren eigenen Systemen berichtigen, löschen oder deren Verarbeitung einschränken, müssen Dritte, die Kopien dieser Daten besitzen, angewiesen werden, dasselbe zu tun.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.8) enthält Hinweise zur Einrichtung effektiver Verfahren zur Benachrichtigung Dritter:
- Offenlegungsverfolgung — Führen Sie Aufzeichnungen darüber, welche Drittparteien welche Kategorien personenbezogener Daten erhalten haben. Ohne diese Aufzeichnungen können Sie nicht feststellen, wer benachrichtigt werden muss, wenn ein Recht ausgeübt wird.
- Benachrichtigungsauslöser — Klare Auslöser für die Benachrichtigung Dritter festlegen, einschließlich der Berichtigung unrichtiger personenbezogener Daten, der Löschung personenbezogener Daten, der Einschränkung der Verarbeitung und des Widerrufs der Einwilligung
- Meldeverfahren — Dokumentieren Sie, wie Benachrichtigungen an Dritte gesendet werden (E-Mail, API, Portal) und in welchem Zeitrahmen zu erwarten ist.
- Bestätigung der Handlung — Sofern möglich, sollte von Dritten eine Bestätigung darüber eingeholt werden, dass sie auf die Mitteilung reagiert haben.
- Ausnahmen — Dokumentieren Sie alle Umstände, unter denen eine Benachrichtigung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert, und informieren Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten entsprechend.
- Web Link A.1.3.2: Pflichten gegenüber PII-Auftraggebern für damit zusammenhängende Anforderungen
- Web Link A.1.3.3: Ermittlung von Informationen für personenbezogene Daten für damit zusammenhängende Anforderungen
Die praktische Herausforderung dieser Kontrolle steigt mit der Anzahl der Drittparteien und der Komplexität der Datenweitergabevereinbarungen. Automatisierte Benachrichtigungssysteme und klare vertragliche Verpflichtungen gegenüber Auftragsverarbeitern und Datenempfängern sind für Organisationen mit umfangreichem Datenaustausch unerlässlich.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.8 ist direkt zugeordnet zu Datenschutz Artikel 19:
- Artikel 19 — Mitteilungspflicht bei Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung. Der Verantwortliche teilt jede Berichtigung, Löschung oder Einschränkung der Verarbeitung jedem Empfänger mit, dem die Daten offengelegt wurden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
- Artikel 19 verlangt außerdem, dass der Verantwortliche die betroffene Person über diese Empfänger informiert, wenn die betroffene Person dies verlangt.
Dies wird häufig übersehen Datenschutz Pflicht. Aufsichtsbehörden haben festgestellt, dass viele Organisationen zwar Löschungsanträge in ihren eigenen Systemen erfüllen, diese jedoch nicht an Dritte weiterleiten, die die Daten erhalten haben. Ein zuverlässiger Benachrichtigungsprozess ist für die tatsächliche Einhaltung dieser Pflicht unerlässlich.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Individuelle Teilnahme und Zugang Dieses Prinzip aus ISO 29100 besagt, dass Einzelpersonen die Richtigkeit ihrer Daten überprüfen und deren Berichtigung oder Löschung verlangen können. Damit dieses Recht wirksam ist, müssen Berichtigungen und Löschungen allen Dateninhabern mitgeteilt werden, nicht nur dem ursprünglichen Verantwortlichen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.8 achten die Prüfer typischerweise auf Folgendes:
- Offenlegungsregister — Eine geführte Liste, welche Drittparteien personenbezogene Daten erhalten haben, verknüpft mit Datenkategorien und den jeweiligen Personen, die die personenbezogenen Daten erhalten haben
- Meldeverfahren — Dokumentierte Verfahren, wie und wann Dritte über Berichtigungen, Löschungen, Einschränkungen und Einwände informiert werden
- Benachrichtigungsdatensätze — Nachweis, dass Benachrichtigungen tatsächlich versendet wurden, mit Datum, Inhalt und Empfängerdetails
- Bestätigungsverfolgung — Sofern verfügbar, Bestätigung von Dritten, dass sie auf die Mitteilung reagiert haben.
- Vertragliche Bestimmungen — Datenverarbeitungsvereinbarungen oder Datenweitergabevereinbarungen, die Dritte verpflichten, auf Benachrichtigungen zu reagieren
- Ausnahmedokumentation — Wo eine Benachrichtigung nicht möglich war, dokumentierte Begründung und Nachweise darüber, dass der personenbezogene Datenverantwortliche informiert wurde
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.7 Zugang, Berichtigung oder Löschung | Korrekturen und Löschungen wurden durchgeführt im Rahmen A.1.3.7 Zugang, Berichtigung oder Löschung Auslöser der Meldepflicht |
| A.1.3.5 Einwilligung ändern oder widerrufen | Widerruf der Einwilligung, der geteilte personenbezogene Daten betrifft, löst eine Benachrichtigung Dritter aus |
| A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten | Bestätigte Einwände, die geteilte personenbezogene Daten betreffen, lösen eine Benachrichtigung Dritter aus |
| A.1.2.9 Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Die Verarbeitungsprotokolle sollten die Empfänger dokumentieren und so die hier erforderliche Nachverfolgung der Offenlegung unterstützen. |
| A.1.5.2 Grundlage für die Übertragung personenbezogener Daten Transfers zwischen Ländern und internationalen Organisationen | Internationale Überweisungsaufzeichnungen helfen dabei, Drittempfänger in anderen Rechtsordnungen zu identifizieren. |
| A.1.3.10 Bearbeitung von Anfragen | Benachrichtigungen von Drittanbietern sollten in den Workflow zur Bearbeitung von Anfragen integriert werden. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung Teil von Klausel 7.3.7 (Informationspflichten der Verantwortlichen gegenüber Dritten). Die Fassung von 2025 behält die Kernverpflichtung gemäß A.1.3.8 bei und bietet in B.1.3.8 Erläuterungen. Die Führung von Offenlegungsaufzeichnungen und die Dokumentation von Meldeverfahren bleiben weiterhin von zentraler Bedeutung. Das überarbeitete Format bietet einen klareren Prüfpunkt für diese spezifische Verpflichtung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für die Verwaltung von Benachrichtigungen durch Drittanbieter?
ISMS.online hilft Ihnen dabei, Offenlegungen zu verfolgen und die Rechte betroffener Personen effizient an Dritte weiterzugeben:
- Register für Offenlegungen gegenüber Dritten — Protokollieren Sie jede Weitergabe personenbezogener Daten an Dritte mit Datum, Kategorie und Zweck, damit Sie immer wissen, wer benachrichtigt werden muss.
- Automatisierte Benachrichtigungs-Workflows — Wenn eine Korrektur, Löschung oder Einschränkung vorgenommen wird, werden automatisch Benachrichtigungsaufgaben für jeden betroffenen Drittanbieter generiert.
- Bestätigungsverfolgung — Dokumentieren Sie, wann Dritte Benachrichtigungen bestätigen und darauf reagieren, um eine vollständige Beweiskette von der Anfrage bis zur Lösung zu schaffen.
- Vertragsverknüpfung — Verknüpfung von Drittbeziehungen mit Datenverarbeitungsvereinbarungen, die Benachrichtigungspflichten beinhalten, um eine vertragliche Absicherung der betrieblichen Abläufe zu gewährleisten
- Protokoll über unverhältnismäßigen Aufwand — Wo eine Benachrichtigung nicht möglich ist, dokumentieren Sie die Gründe in einem strukturierten Format, das den Anforderungen der Aufsichtsbehörden genügt.
Häufig gestellte Fragen
Wie lässt sich nachverfolgen, welche Drittparteien bestimmte personenbezogene Daten erhalten haben?
Dies erfordert ein Offenlegungsprotokoll oder -register, das jede Weitergabe personenbezogener Daten an Dritte erfasst, einschließlich Datum, Kategorie der weitergegebenen Daten, Empfänger und Zweck. Bei der Weitergabe großer Datenmengen oder fortlaufender Daten (z. B. an Auftragsverarbeiter) kann die Erfassung auf Kategorieebene anstatt auf Ebene einzelner Datensätze erfolgen. Entscheidend ist, dass Sie im Falle der Ausübung eines Rechts durch die betroffene Person schnell alle Dritten identifizieren können, die deren Daten speichern.
Was gilt als „unverhältnismäßiger Aufwand“ für eine Benachrichtigung?
Dies wird im Einzelfall geprüft. Zu den Faktoren gehören die Anzahl der Empfänger, die Benachrichtigungskosten, das Alter und die Art der Daten sowie die potenziellen Auswirkungen auf die betroffene Person. Beispielsweise dürfte die Benachrichtigung einer kleinen Anzahl bekannter Geschäftspartner nicht unverhältnismäßig sein. Der Versuch, Hunderte unbekannter Internetnutzer zu benachrichtigen, die auf öffentlich zugängliche Daten zugegriffen haben, könnte es hingegen sein. Die Organisation muss ihre Gründe dokumentieren und die betroffene Person informieren, falls eine Benachrichtigung nicht möglich ist.
Hat der Auftraggeber das Recht zu erfahren, wer die Drittparteien sind?
Ja. Gemäß Artikel 19 DSGVO muss der Verantwortliche die betroffene Person auf deren Anfrage über die Empfänger informieren. Das bedeutet, dass Sie eine Liste derjenigen Dritten bereithalten sollten, die personenbezogene Daten der betroffenen Person erhalten haben. Dies unterstreicht die Wichtigkeit einer genauen Dokumentation der Weitergabe von Daten. In Ihrer Datenschutzerklärung sollten Sie die Kategorien der Empfänger bereits auflisten; auf Anfrage müssen Sie jedoch gegebenenfalls konkrete Angaben machen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
