Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.2.2.2: Kundenvereinbarung

Kontrollmaßnahme A.2.2.2 verpflichtet Auftragsverarbeiter personenbezogener Daten, sicherzustellen, dass Verträge die Rolle des Auftragsverarbeiters bei der Unterstützung des Kunden hinsichtlich seiner Verpflichtungen in Bezug auf personenbezogene Daten regeln. Diese Kontrollmaßnahme bildet die vertragliche Grundlage für alle Tätigkeiten von Auftragsverarbeitern gemäß ISO 27701:2025.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.2.2.2?

Die Organisation stellt gegebenenfalls sicher, dass der Vertrag zur Verarbeitung personenbezogener Daten die Rolle der Organisation bei der Unterstützung des Kunden bei der Erfüllung seiner Verpflichtungen regelt (unter Berücksichtigung der Art der Verarbeitung und der der Organisation zur Verfügung stehenden Informationen).

Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) bildet die vertragliche Grundlage für die Beziehung zwischen Auftragsverarbeiter und Verantwortlichem. Er verpflichtet Auftragsverarbeiter, über die reine Datenverarbeitung hinauszugehen und Verantwortliche aktiv bei der Erfüllung ihrer Pflichten zu unterstützen – wie beispielsweise bei der Meldung von Datenschutzverletzungen, der Wahrung der Rechte betroffener Personen, der Durchführung von Datenschutz-Folgenabschätzungen und der Umsetzung von Sicherheitsmaßnahmen. Diese Unterstützungspflichten müssen im Vertrag klar definiert sein.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.2.2.2) enthält folgende Hinweise dazu, was der Vertrag beinhalten sollte:

  • Datenschutz durch Technikgestaltung und Datenschutz standardmäßig — Der Vertrag sollte die Rolle des Auftragsverarbeiters bei der Unterstützung der Grundsätze „Datenschutz durch Technikgestaltung“ und „Datenschutz durch voreingestellte Datenschutzeinstellungen“ regeln.
  • Sicherheit der Verarbeitung — Der Vertrag sollte regeln, wie der Auftragsverarbeiter zur Erreichung angemessener Sicherheitsmaßnahmen beitragen wird.
  • Meldung des Verstoßes an die Aufsichtsbehörden — Der Vertrag sollte die Pflichten des Auftragsverarbeiters zur Benachrichtigung des Verantwortlichen über Verstöße im Zusammenhang mit personenbezogenen Daten festlegen, damit der Verantwortliche seinen Benachrichtigungspflichten nachkommen kann.
  • Benachrichtigung von Kunden und Verantwortlichen für personenbezogene Daten bei Datenschutzverletzungen — Der Vertrag sollte regeln, wie der Auftragsverarbeiter den Verantwortlichen bei der Benachrichtigung betroffener Personen unterstützt.
  • Datenschutz-Folgenabschätzungen — Der Vertrag sollte die Rolle des Auftragsverarbeiters bei der Durchführung oder Mitwirkung an Datenschutz-Folgenabschätzungen beinhalten.
  • Vorherige Beratung — Der Vertrag sollte auch Unterstützung umfassen, falls der Verantwortliche die zuständigen Behörden zum Schutz personenbezogener Daten konsultieren muss.
  • Web Link A.2.2.4: Marketing- und Werbenutzung für damit zusammenhängende Anforderungen
  • Web Link A.2.2.5: Verstoßanweisung für damit zusammenhängende Anforderungen

Einige Rechtsordnungen verlangen, dass der Vertrag auch den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen enthält.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.2.2.2 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 28(3)(e) — Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Verpflichtungen in Bezug auf Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation.
  • Artikel 28(3)(f) — Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Sicherheits-, Melde- und Datenschutz-Folgenabschätzungs- sowie der vorherigen Konsultationspflichten unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen.
  • Artikel 28 (9) — Der Vertrag muss schriftlich vorliegen, auch in elektronischer Form.
  • Artikel 35 (1) — Wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt, ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, und der Auftragsverarbeiter sollte dabei unterstützen.

Datenschutz Artikel 28 ist die primäre Rechtsgrundlage für Auftragsverarbeiterverträge, und A.2.2.2 bietet eine strukturierte Möglichkeit, sicherzustellen, dass die Verträge diesen Anforderungen entsprechen.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.2.2 als eigenständige Kontrollmaßnahme mit klareren Umsetzungshinweisen in B.2.2.2, in dem die sechs Bereiche, die der Vertrag abdecken sollte, explizit aufgeführt sind. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.2.2.2 achten die Prüfer typischerweise auf Folgendes:

  • Datenverarbeitungsvereinbarungen — Unterzeichnete Verträge mit Kunden, die alle sechs in den Implementierungsrichtlinien genannten Bereiche umfassen.
  • Vertragsvorlagen — Standardvertragsvorlagen oder -klauseln, die das Unternehmen verwendet, um die Einheitlichkeit der Kundenvereinbarungen zu gewährleisten.
  • Unterstützungsfähigkeit — Nachweis, dass die Organisation über die operative Fähigkeit verfügt, die im Vertrag beschriebene Unterstützung zu leisten (z. B. Verfahren zur Meldung von Datenschutzverletzungen, Prozesse zur Unterstützung der Datenschutz-Folgenabschätzung).
  • Vertragsprüfungsprozess — Ein dokumentierter Prozess zur Überprüfung von Verträgen, um sicherzustellen, dass die Verpflichtungen zum Schutz personenbezogener Daten angemessen berücksichtigt werden.
  • Einhaltung der Gerichtsbarkeit — Nachweise darüber, dass die Verträge gegebenenfalls länderspezifische Anforderungen enthalten (z. B. Gegenstand, Laufzeit, Arten personenbezogener Daten).

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.2.2.3 Ziele der Organisation Der Vertrag definiert die Zwecke, für die personenbezogene Daten verarbeitet werden dürfen.
A.2.2.6 Pflichten des Kunden Der Auftragsverarbeiter muss dem Kunden Informationen zur Verfügung stellen, die ihm helfen, die Einhaltung der Vorschriften nachzuweisen.
A.1.2.7 Verträge mit PII-Verarbeitern Das Controller-seitige Äquivalent der Prozessor-Vertragsanforderungen
A.3.11 Planung des Vorfallmanagements Die Pflichten zur Unterstützung bei der Meldung von Datenschutzverletzungen hängen von der Fähigkeit zum Vorfallmanagement ab.
A.2.5.8 Beauftragung von Subunternehmern Die Vereinbarungen mit Subunternehmern müssen mit den Vertragsbedingungen des Kunden übereinstimmen.

Für wen gilt diese Regelung?

A.2.2.2 gilt ausschließlich für PII-ProzessorenEs verpflichtet den Auftragsverarbeiter sicherzustellen, dass der Vertrag seine unterstützende Rolle angemessen regelt. Während der Verantwortliche üblicherweise den Datenverarbeitungsvertrag entwirft, hat der Auftragsverarbeiter eine eigenständige Pflicht, zu überprüfen, ob der Vertrag die erforderlichen Bereiche abdeckt und etwaige Lücken aufzuzeigen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Verwaltung von Auftragsverarbeitungsverträgen?

ISMS.online bietet praktische Werkzeuge für die Verwaltung von Kundenvereinbarungen als PII-Verarbeiter:

  • Vertragsregister — Führen eines zentralen Verzeichnisses aller Datenverarbeitungsvereinbarungen mit Prüfterminen, Compliance-Status und damit verbundenen Verpflichtungen
  • Vertragsvorlagen — Verwenden Sie vorgefertigte DPA-Vorlagen, die alle sechs in Abschnitt B.2.2.2 genannten Bereiche umfassen und an die Services Ihrer Organisation anpassbar sind.
  • Verpflichtungsverfolgung — Die spezifischen Unterstützungsverpflichtungen in jedem Kundenvertrag durch Aufgabenzuweisung und Statusüberwachung verfolgen
  • Überprüfungsplanung — Planen Sie regelmäßige Vertragsüberprüfungen mit automatisierten Erinnerungen ein, um sicherzustellen, dass die Vereinbarungen aktuell bleiben.
  • Konformitätsnachweis — Unterzeichnete Vereinbarungen, Prüfungsunterlagen und Leistungsnachweise in einem strukturierten, revisionssicheren Format speichern

Häufig gestellte Fragen

Was geschieht, wenn der Vertrag des Kunden nicht alle erforderlichen Bereiche abdeckt?

Der Auftragsverarbeiter ist verpflichtet sicherzustellen, dass der Vertrag seine Unterstützungsrolle abdeckt. Fehlen im Vertrag des Kunden erforderliche Elemente, muss der Auftragsverarbeiter die Lücken kennzeichnen und Nachträge anfordern. Es genügt nicht, dass der Auftragsverarbeiter einen unvollständigen Vertrag einfach unterzeichnet – gemäß Abschnitt A.2.2.2 ist er verpflichtet, den Umfang der Leistungen zu überprüfen. Ist der Kunde nicht bereit, den Vertrag zu ändern, muss der Auftragsverarbeiter die Lücke und das damit verbundene Risiko dokumentieren und prüfen, ob der Vertragsabschluss angemessen ist.

Ist eine separate Datenschutzvereinbarung erforderlich oder können die Bedingungen in den Hauptdienstleistungsvertrag aufgenommen werden?

Beide Vorgehensweisen sind zulässig. Entscheidend ist, dass die Bedingungen für die Verarbeitung personenbezogener Daten schriftlich (auch elektronisch) dokumentiert und eindeutig identifizierbar sind. Viele Organisationen verwenden eine separate Datenschutzvereinbarung als Anhang oder Anlage zum Hauptvertrag, wodurch sich die spezifischen Bestimmungen zur Verarbeitung personenbezogener Daten leichter überprüfen und aktualisieren lassen, ohne den gesamten Vertrag neu verhandeln zu müssen. Das Format ist weniger wichtig als die Vollständigkeit und Klarheit der Verpflichtungen.

Wie sollte der Auftragsverarbeiter seine Unterstützungspflichten abgrenzen?

Die Regelung legt fest, dass die Unterstützung „die Art der Verarbeitung und die der Organisation zur Verfügung stehenden Informationen“ berücksichtigen muss. Dies bedeutet, dass die Unterstützungspflichten des Auftragsverarbeiters seiner Rolle angemessen sein müssen. Ein Auftragsverarbeiter, der beispielsweise nur verschlüsselte Daten speichert, kann bei Auskunftsersuchen betroffener Personen nur eingeschränkt helfen. Der Vertrag sollte Umfang und Grenzen der Unterstützung klar definieren und unbestimmte Verpflichtungen vermeiden, die der Auftragsverarbeiter praktisch nicht erfüllen kann.

Einkaufsteams fordern zunehmend die ISO 27701-Zertifizierung – siehe unsere Leitfaden für Beschaffungsanforderungen und Leitfaden zur Lieferantenbewertung.

SaaS-Plattformen finden in unserem Angebot maßgeschneiderte Vertragsrichtlinien. Leitfaden für SaaS-Plattformen.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.