Welche PII-Prozessorsteuerungen sind in ISO 27701:2025 vorgesehen?
Tabelle A.2 von ISO 27701:2025 Anhang A Definiert 18 Kontrollmechanismen, die für jede Organisation gelten, die als PII-Verarbeiter fungiert. Ein PII-Verarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung eines PII-Verantwortlichen.
Diese Kontrollmaßnahmen sind in vier Ziele unterteilt:
- Bedingungen für die Erhebung und Verarbeitung (A.2.2) — 6 Kontrollmechanismen, die Kundenvereinbarungen, Zweckbeschränkungen, Marketingbeschränkungen und Aufzeichnungen abdecken.
- Verpflichtungen gegenüber PII-Auftraggebern (A.2.3) — 1 Kontrollmaßnahme, die die Unterstützung des Kunden bei der Einhaltung der Vorschriften umfasst
- Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen (A.2.4). — 3 Kontrollmechanismen für temporäre Dateien, Rückgabe/Löschung personenbezogener Daten und Übermittlung
- Weitergabe, Übermittlung und Offenlegung personenbezogener Daten (A.2.5) — 8 Kontrollmechanismen für Transfers, Offenlegungen und das Management von Unterauftragnehmern
Die Umsetzungshinweise für jede Kontrollmaßnahme finden sich in Anhang B, Abschnitt B.2 (z. B. Hinweise für A.2.2.2 Kundenvereinbarung befindet sich bei B.2.2.2).
Vollständige Liste der Kontrollen aus Tabelle A.2
| Kontrollieren | Titel | Zusammenfassung |
|---|---|---|
| A.2.2.2 Kundenvereinbarung | Kundenvereinbarung | Stellen Sie sicher, dass die Verträge die Rolle des Auftragsverarbeiters bei der Unterstützung der Kundenverpflichtungen regeln. |
| A.2.2.3 Organisationszwecke | Ziele der Organisation | Personenbezogene Daten dürfen nur zu den in den dokumentierten Anweisungen des Kunden festgelegten Zwecken verarbeitet werden. |
| A.2.2.4 Marketing und Werbung | Marketing- und Werbenutzung | Die vertraglich vereinbarten personenbezogenen Daten dürfen nicht ohne die entsprechende Einwilligung des Betroffenen für Marketingzwecke verwendet werden. |
| A.2.2.5 Anweisung zur Rechtsverletzung | Verstoßende Anweisung | Informieren Sie den Kunden, wenn eine Verarbeitungsanweisung gegen geltendes Recht verstößt. |
| A.2.2.6 Pflichten des Kunden | Pflichten des Kunden | Dem Kunden Informationen zur Verfügung stellen, um seine Einhaltung der Vorschriften nachzuweisen |
| A.2.2.7 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Führen Sie Aufzeichnungen, die die Einhaltung der vertraglichen Verpflichtungen zum Schutz personenbezogener Daten belegen. |
| A.2.3.2 Verpflichtungen gegenüber PII-Auftraggebern | Verpflichtungen gegenüber den Auftraggebern personenbezogener Daten einhalten | Dem Kunden die Mittel zur Verfügung stellen, um die grundlegenden Verpflichtungen im Zusammenhang mit personenbezogenen Daten zu erfüllen |
| A.2.4.2 Temporäre Dateien | Temporäre Dateien | Temporäre Dateien aus der Verarbeitung personenbezogener Daten sind innerhalb eines dokumentierten Zeitraums zu löschen. |
| A.2.4.3 Rückgabe, Übertragung oder Entsorgung | Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten | Sichere Rückgabe, Übertragung oder Entsorgung personenbezogener Daten und Bereitstellung der entsprechenden Richtlinie |
| A.2.4.4 PII Getriebesteuerung | PII-Getriebesteuerung | Personenbezogene Daten des Betroffenen werden über Netzwerke an die zuständigen Kontrollstellen übermittelt. |
| A.2.5.2 Grundlage für die Übertragung personenbezogener Daten | Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen | Informieren Sie den Kunden rechtzeitig über die Grundlage für internationale PII-Übermittlungen. |
| A.2.5.3 Länder für die Übermittlung personenbezogener Daten | Länder und internationale Organisationen für den PII-Transfer | Geben Sie an und dokumentieren Sie, an welche Länder und Organisationen personenbezogene Daten übertragen werden können. |
| A.2.5.4 Aufzeichnungen über die Offenlegung personenbezogener Daten | Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte | Protokollierung der Offenlegung personenbezogener Daten, einschließlich der Art der Offenlegung, an wen und wann |
| A.2.5.5 Anfragen zur Offenlegung personenbezogener Daten | Benachrichtigung über Anfragen zur Offenlegung personenbezogener Daten | Benachrichtigen Sie den Kunden über alle rechtlich bindenden Auskunftsersuchen. |
| A.2.5.6 Rechtsverbindliche Offenlegungen | Rechtsverbindliche Offenlegung personenbezogener Daten | Unverbindliche Anfragen ablehnen und vor der Weitergabe Rücksprache mit dem Kunden halten. |
| A.2.5.7 Offenlegung von Subunternehmern | Offenlegung der zur Verarbeitung personenbezogener Daten eingesetzten Unterauftragnehmer | Dem Kunden vor der Nutzung mitteilen, ob Subunternehmer eingesetzt werden. |
| A.2.5.8 Einbindung von Subunternehmern | Beauftragung eines Unterauftragnehmers zur Verarbeitung personenbezogener Daten | Subunternehmer dürfen nur gemäß dem Kundenvertrag beauftragt werden. |
| A.2.5.9 Wechsel des Subunternehmers | Wechsel des Unterauftragnehmers für die Verarbeitung personenbezogener Daten | Informieren Sie den Kunden über geplante Änderungen bei den Subunternehmern und ermöglichen Sie ihm, Einspruch zu erheben. |
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
In welchem Verhältnis stehen die Kontrollen von Auftragsverarbeitern zur DSGVO?
Tabelle A.2 bezieht sich hauptsächlich auf Datenschutz Artikel 28 (Pflichten des Auftragsverarbeiters) und Artikel 30 (Verarbeitungsverzeichnisse). Wichtige Zusammenhänge:
- A.2.2.2 Kundenvereinbarung–3 (Vereinbarungen und Zwecke) → Art. 28(3)(a), Art. 29 – Verarbeitung unter Aufsicht des Verantwortlichen
- A.2.2.7 Aufzeichnungen über die Verarbeitung personenbezogener Daten (Aufzeichnungen) → Art. 30 Abs. 2–5 — Aufzeichnungen des Auftragsverarbeiters über Verarbeitungstätigkeiten
- A.2.4.3 Rückgabe, Übertragung oder Entsorgung (Rückgabe/Entsorgung) → Art. 28(3)(g) — Löschung oder Rückgabe nach Beendigung der Dienstleistung
- A.2.5.7 Offenlegung von Subunternehmern–9 (Subunternehmer) → Art. 28 Abs. 2–4 – Genehmigung von Unterauftragnehmern und Änderungen
Was gilt sonst noch für PII-Prozessoren?
Tabelle A.2 enthält nicht alle Anforderungen an PII-Verarbeiter. Sie müssen außerdem die entsprechenden Kontrollen implementieren. Tabelle A.3 (gemeinsame Sicherheitskontrollen), das Grundlagen der Informationssicherheit wie Zugriffskontrolle, Vorfallmanagement, Kryptographie und Protokollierung abdeckt.
Warum sollten Sie sich ISMS.online für die Einhaltung der PII-Prozessor-Richtlinien?
ISMS.online hilft Ihnen bei der Umsetzung und dem Nachweis jeder Kontrollmaßnahme aus Tabelle A.2:
- Vertragsmanagement — Kundenvereinbarungen, Verarbeitungszwecke und Compliance-Verpflichtungen verfolgen
- Subunternehmerregister — Dokumentation von Subunternehmern, deren Standorten und dem Kundenbenachrichtigungsprozess
- Übertragungsdatensätze — Führen eines Registers internationaler Geldtransfers mit Dokumentation der Rechtsgrundlage
- Offenlegungsprotokollierung — Alle Offenlegungen personenbezogener Daten mit Angaben zu Art, Empfänger und Zeitpunkt dokumentieren
- Verfahren zur Beendigung des Dienstes — Dokumentation und Nachverfolgung von Prozessen zur Rückgabe, Übertragung oder Vernichtung personenbezogener Daten
- Unterstützung für Doppelrollen — Wenn Sie sowohl als Controller als auch als Prozessor fungieren, verwalten Sie beides Tabelle A.1 und A.2 an einem Ort
Häufig gestellte Fragen
Warum gibt es nur 18 Prozessorsteuerungen im Vergleich zu 31 Controllersteuerungen?
Auftragsverarbeiter handeln gemäß den Weisungen des Verantwortlichen, daher fallen viele datenschutzrechtliche Entscheidungen (Rechtsgrundlage, Einwilligung, Rechte der betroffenen Person) in dessen Verantwortung. Die Kontrollmechanismen für Auftragsverarbeiter konzentrieren sich auf die Einhaltung vertraglicher Vereinbarungen, Verarbeitungsbeschränkungen, die Steuerung von Unterauftragnehmern und den Umgang mit Offenlegungen.
Kann eine Organisation gleichzeitig Kontrollinhaber und Auftragsverarbeiter sein?
Ja. Viele Organisationen fungieren bei manchen Verarbeitungstätigkeiten als Verantwortliche und bei anderen als Auftragsverarbeiter. In diesem Fall beides. Tabelle A.1 und Tabelle A.2 gelten, wobei für jede Verarbeitungstätigkeit separate Rollen festgelegt werden. ISO 27701:2025 Abschnitt 4.1 schreibt vor, dass Sie Ihre Rolle für jeden einzelnen Fall der Verarbeitung personenbezogener Daten festlegen müssen.
Benötige ich auch Tabelle A.3 als Prozessor?
Ja. Tabelle A.3 (gemeinsame Sicherheitskontrollen) Dies gilt sowohl für Controller als auch für Prozessoren. Als Prozessor benötigen Sie sowohl Tabelle A.2 (prozessorspezifisch) als auch Tabelle A.3 (gemeinsame Sicherheits-)Kontrollen in Ihrer Anwendbarkeitserklärung.
SaaS-Unternehmen finden in unserem Angebot maßgeschneiderte Prozessor-Leitfäden. Leitfaden für SaaS-Plattformen.
Erfahren Sie, wie Beschaffungsteams ISO 27701 zur Bewertung von Verarbeitern in unserem Unternehmen einsetzen. Leitfaden zur Lieferantenbewertung und Beschaffungsanforderung -Guide.
