Was erfordert die Kontrolle A.1.3.9?
Die Organisation muss in der Lage sein, dem Betroffenen auf dessen Anfrage eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen.
Diese Steuerung befindet sich innerhalb der Verpflichtungen gegenüber PII-Auftraggebern Zielsetzung (A.1.3). Während A.1.3.7 Zugang, Berichtigung oder Löschung Abschnitt A.1.3.9 regelt das umfassendere Zugriffsrecht und konzentriert sich speziell auf die praktische Bereitstellung von Kopien personenbezogener Daten sowie auf Anforderungen an die Datenportabilität. Diese Kontrollmaßnahme setzt das abstrakte Zugriffsrecht in ein konkretes Ergebnis um.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.3.9) enthält Hinweise, wie Kopier- und Portabilitätsanfragen effektiv erfüllt werden können:
- Strukturiertes und maschinenlesbares Format Sofern technisch möglich, sollten personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Gängige Formate sind beispielsweise CSV, JSON und XML.
- Recht zur Übermittlung — Berücksichtigen Sie das Recht des Betroffenen, Daten direkt an einen anderen Verantwortlichen zu übermitteln. Stellen Sie, sofern technisch möglich, einen Mechanismus für die direkte Datenübertragung zwischen Verantwortlichen bereit.
- Erstes Exemplar gratis — Das erste Exemplar wird kostenlos zur Verfügung gestellt. Für weitere Exemplare kann eine angemessene Gebühr auf Grundlage der Verwaltungskosten erhoben werden.
- Sichere Lieferung — Kopien müssen sicher, über verschlüsselte Kanäle oder sichere Download-Links, übermittelt werden, um unbefugten Zugriff während der Übertragung zu verhindern.
- Umfang der Daten — Klären Sie, welche personenbezogenen Daten (PII) unter Kopieranfragen bzw. Übertragbarkeitsanfragen fallen. Übertragbarkeit bezieht sich in der Regel auf personenbezogene Daten, die von der betroffenen Person bereitgestellt und auf Grundlage einer Einwilligung oder eines Vertrags automatisiert verarbeitet werden.
- Web Link A.1.3.3: Ermittlung von Informationen für personenbezogene Daten für damit zusammenhängende Anforderungen
- Web Link A.1.3.6: Widerspruch gegen die Verarbeitung personenbezogener Daten für damit zusammenhängende Anforderungen
Die Leitlinien erkennen an, dass Format und Übermittlungsmethode sowohl für die Organisation als auch für den Betroffenen praktikabel sein sollten. Stehen mehrere Formate zur Verfügung, sollte der Betroffene das von ihm bevorzugte Format auswählen können.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.3.9 ist zugeordnet zu Datenschutz Bestimmungen, die sowohl Zugriffskopien als auch die Datenportabilität abdecken:
- Artikel 15 (3) Der Verantwortliche stellt eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung. Für weitere Kopien kann der Verantwortliche eine angemessene Gebühr auf Grundlage der Verwaltungskosten erheben.
- Artikel 15 (4) Das Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
- Artikel 20 (1) — Recht auf Erhalt personenbezogener Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Datenübertragbarkeit)
- Artikel 20 (2) — Recht auf direkte Übermittlung personenbezogener Daten von einem Verantwortlichen an einen anderen, soweit technisch möglich
- Artikel 20 (3) — Die Portabilität begründet keine Verpflichtung zur Löschung von Daten beim ursprünglichen Verantwortlichen.
- Artikel 20 (4) Die Portabilität darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
Beachten Sie den wichtigen Unterschied: Artikel 15 (Zugriffsrecht) gilt für alle vom Verantwortlichen verarbeiteten personenbezogenen Daten. Artikel 20 (Datenübertragbarkeit) gilt nur für Daten, die von der betroffenen Person bereitgestellt und automatisiert auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die Individuelle Teilnahme und Zugang Grundsatz aus ISO 29100: Zugriff ist sinnlos, wenn die betroffene Person keine nutzbare Kopie ihrer Daten erhält. Der Grundsatz erfordert einen praktischen und effektiven Zugriff. Abschnitt A.1.3.9 stellt sicher, dass dieser Zugriff in einem nutzbaren Ergebnis mündet, das die betroffene Person prüfen, verifizieren und gegebenenfalls an einen anderen Anbieter weitergeben kann.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.3.9 achten die Prüfer typischerweise auf Folgendes:
- Formatdokumentation — Dokumentierte Formate für die Bereitstellung von Kopien personenbezogener Daten (CSV, JSON, XML, PDF) mit Begründung für jedes Format
- Technische Leistungsfähigkeit — Nachweis, dass Systeme personenbezogene Daten in die dokumentierten Formate extrahieren können, ohne dass manuelle Umwege erforderlich sind, die das Risiko von Fehlern oder Auslassungen bergen.
- Sichere Zustellungsmechanismen — Dokumentierte Verfahren zur sicheren Übermittlung von Kopien personenbezogener Daten an die Anfragenden (verschlüsselte E-Mail, sicheres Portal, verschlüsselte Dateiübertragung)
- Gebührenpolitik — Sofern Gebühren für zusätzliche Kopien erhoben werden, ist ein dokumentierter und angemessener Gebührenplan auf der Grundlage der Verwaltungskosten vorzulegen.
- Bewertung der Portabilität — Dokumentation, aus der hervorgeht, welche personenbezogenen Daten den Portabilitätsanforderungen unterliegen (Daten, die von der betroffenen Person bereitgestellt, automatisch verarbeitet, auf Einwilligungs- oder Vertragsbasis)
- Beispiele für abgeschlossene Anfragen — Beispielhafte abgeschlossene Anfragen, die die übermittelten Daten, das verwendete Format und die sichere Übermittlungsmethode zeigen
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.7 Zugang, Berichtigung oder Löschung | A.1.3.7 Zugang, Berichtigung oder Löschung begründet das Zugangsrecht; A.1.3.9 legt fest, wie die Kopie zuzustellen ist. |
| A.1.3.10 Bearbeitung von Anfragen | Kopieranfragen werden im Rahmen des umfassenderen Anfragebearbeitungs-Frameworks verwaltet. |
| A.1.3.2 Pflichten gegenüber PII-Auftraggebern | Das Recht auf eine Kopie und die Übertragbarkeit gehören zu den zu ermittelnden Verpflichtungen. |
| A.1.3.4 Bereitstellung von Informationen für Verantwortliche im Zusammenhang mit personenbezogenen Daten | Personenbezogene Datenverantwortliche müssen über ihr Recht auf Erhalt einer Kopie ihrer Daten informiert werden. |
| A.1.2.9 Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Die Verarbeitung von Datensätzen hilft dabei, den Umfang der in einer Kopieranforderungsantwort enthaltenen Daten zu bestimmen. |
| A.3 Gemeinsame Sicherheitskontrollen | Die sichere Zustellung von Kopien personenbezogener Daten erfordert geeignete technische Maßnahmen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war die Bereitstellung einer Kopie personenbezogener Daten in Klausel 7.3.8 (Bereitstellung einer Kopie verarbeiteter personenbezogener Daten) geregelt. Die Ausgabe von 2025 ordnet diesem Punkt eine eigene Kontrollnummer (A.1.3.9) zu und bietet in B.1.3.9 eine detaillierte Anleitung. Die Trennung vom umfassenderen Zugriffsrecht in A.1.3.7 Zugang, Berichtigung oder Löschung ermöglicht eine gezieltere Prüfung der Datenübertragungskapazitäten. Der Schwerpunkt liegt weiterhin auf strukturierten, maschinenlesbaren Formaten und sicherer Übertragung. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Anfragen bezüglich Kopien und Portabilität personenbezogener Daten?
ISMS.online optimiert die Zustellung von Kopien personenbezogener Daten unter gleichzeitiger Gewährleistung von Sicherheit und Prüfbarkeit:
- Export in mehrere Formate — Generieren Sie Kopien personenbezogener Daten in strukturierten Formaten (CSV, JSON, PDF) aus Ihrem Datenregister und stellen Sie gegebenenfalls die maschinelle Lesbarkeit sicher.
- Sicheres Lieferportal — Stellen Sie Kopien personenbezogener Daten über einen sicheren, zeitlich begrenzten Download-Link bereit, um das Risiko des Versands sensibler Daten über unverschlüsselte E-Mails zu vermeiden.
- Bereichsidentifizierung — Nutzen Sie Ihre Datenzuordnung, um schnell zu erkennen, welche Daten unter eine Kopieranfrage bzw. eine Portabilitätsanfrage fallen, und gewährleisten Sie so genaue und vollständige Antworten.
- Anfrageverfolgung — Jede Kopieranforderung wird mit dem gelieferten Format, der verwendeten Übermittlungsmethode und der Empfangsbestätigung protokolliert, um einen lückenlosen Prüfpfad zu erstellen.
- Gebührenverwaltung — Sofern zusätzliche Kopiergebühren anfallen, werden diese nachverfolgt und dem Verantwortlichen für die Veröffentlichung personenbezogener Daten eine detaillierte Kostenaufstellung zur Verfügung gestellt.
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen einer Zugriffskopie und der Datenportabilität?
Eine Zugriffskopie (Datenschutz Artikel 15) umfasst alle personenbezogenen Daten, die der Verantwortliche über die betroffene Person verarbeitet, unabhängig davon, wie diese Daten erhoben wurden oder auf welcher Rechtsgrundlage sie verarbeitet werden. Das Recht auf Datenübertragbarkeit (Artikel 20) ist enger gefasst: Es gilt nur für personenbezogene Daten, die die betroffene Person bereitgestellt hat und die automatisiert, auf Grundlage einer Einwilligung oder eines Vertrags verarbeitet werden. Die Datenübertragbarkeit umfasst auch das Recht, Daten direkt an einen anderen Verantwortlichen zu übermitteln. In der Praxis müssen Sie möglicherweise unterschiedliche Datensätze bereitstellen, je nachdem, welches Recht ausgeübt wird.
Welches Format sollten Sie für die Bereitstellung von Kopien personenbezogener Daten verwenden?
Für Zugriffskopien ist jedes klare und lesbare Format, einschließlich PDF, zulässig. Für Portabilitätsanfragen müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format vorliegen. CSV und JSON sind die am weitesten verbreiteten Formate. Bieten Sie dem Verantwortlichen für die personenbezogenen Daten nach Möglichkeit die Wahl des Formats an. Das Format sollte die Wiederverwendung oder den Import der Daten in ein anderes System ohne spezielle Tools ermöglichen.
Kann man für die Bereitstellung einer Kopie personenbezogener Daten Gebühren erheben?
Das erste Exemplar ist kostenlos zur Verfügung zu stellen. Für weitere Exemplare derselben Daten dürfen Sie eine angemessene Gebühr auf Grundlage der Verwaltungskosten erheben. Die Gebühr muss verhältnismäßig und nachvollziehbar sein. Gebühren dürfen nicht dazu verwendet werden, Personen von der Ausübung ihrer Rechte abzuhalten. Wenn Sie eine Gebühr erheben, müssen Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten vorab über deren Höhe informieren.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt die Dokumentation, die Prüfer im Hinblick auf die Kontrollen der Rechte betroffener Personen erwarten.
Datenschutzbeauftragte, die diese Verpflichtungen wahrnehmen, sollten unsere [Richtlinien/Datenschutzrichtlinien] lesen. Leitfaden für Datenschutzbeauftragte für eine komplette Übersicht.
