Was erfordert die Kontrolle A.2.2.3?
Die Organisation stellt sicher, dass personenbezogene Daten, die im Auftrag eines Kunden verarbeitet werden, nur zu den in den dokumentierten Anweisungen des Kunden angegebenen Zwecken verarbeitet werden.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) legt die grundlegendste Pflicht des Auftragsverarbeiters fest: Zweckbindung. Ein Auftragsverarbeiter ist dazu da, die Weisungen des Verantwortlichen auszuführen und nicht, um mit den Daten eigene Ziele zu verfolgen. Jede Verarbeitung, die über die vom Kunden dokumentierten und angewiesenen Zwecke hinausgeht, stellt einen Verstoß gegen diese Weisung und potenziell einen Verstoß gegen das Datenschutzrecht dar.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.2.3) enthält folgende Hinweise:
- Dokumentieren Sie das Leistungsziel und den Zeitrahmen. — Der Vertrag zwischen der Organisation und dem Kunden sollte unter anderem das Ziel und den Zeitrahmen für die Erbringung der Dienstleistung beinhalten.
- Technischer Ermessensspielraum innerhalb allgemeiner Anweisungen ist zulässig. Es kann technische Gründe geben, warum es für die Organisation angemessen sein kann, die Methode zur Verarbeitung personenbezogener Daten (PII) gemäß den allgemeinen Vorgaben des Kunden, jedoch ohne dessen ausdrückliche Anweisung, selbst festzulegen. Beispielsweise durch die Zuweisung spezifischer Verarbeitungsressourcen in Abhängigkeit von bestimmten Merkmalen der betroffenen Person.
- Kundenverifizierung aktivieren — Die Organisation sollte dem Kunden die Möglichkeit geben, die Einhaltung der Grundsätze für Zweckbestimmung und Beschränkung zu überprüfen.
- Einbeziehung von Subunternehmern Dies stellt außerdem sicher, dass personenbezogene Daten weder von der Organisation noch von einem ihrer Unterauftragnehmer für andere Zwecke als die in den dokumentierten Anweisungen des Kunden festgelegten verarbeitet werden.
- Web Link A.2.2.6: Pflichten des Kunden für damit zusammenhängende Anforderungen
Die Leitlinien schaffen einen pragmatischen Ausgleich: Auftragsverarbeiter dürfen technische Entscheidungen zur effizienten Datenverarbeitung treffen, jedoch nicht den Zweck der Datenverarbeitung ändern. Der Kunde muss die Einhaltung dieser Grenze überprüfen können.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.2.3 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 5 (1) (a) — Der Grundsatz der Rechtmäßigkeit, Fairness und Transparenz
- Artikel 5 (1) (b) — Der Grundsatz der Zweckbindung, der verlangt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
- Artikel 28 (3) (a) — Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeiten.
- Artikel 29 — Der Auftragsverarbeiter darf personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten.
- Artikel 32 (4) — Jede Person, die im Auftrag des Auftragsverarbeiters handelt und Zugriff auf personenbezogene Daten hat, darf diese nur auf Anweisung des Verantwortlichen verarbeiten.
Der DatenschutzEin Auftragsverarbeiter, der Daten über die dokumentierten Anweisungen des Kunden hinaus verarbeitet, riskiert, für diese Verarbeitung als Verantwortlicher neu eingestuft zu werden, mit allen damit verbundenen rechtlichen Verpflichtungen.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.2.3 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.2.3, die die Grenze zwischen legitimer technischer Ermessensausübung und unzulässiger Zweckerweiterung verdeutlichen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.2.3 achten die Prüfer typischerweise auf Folgendes:
- Dokumentierte Kundenanweisungen — Klare, schriftliche Anweisungen jedes Kunden, in denen die Zwecke der Verarbeitung personenbezogener Daten festgelegt sind.
- Verarbeitungsdatensätze — Aufzeichnungen, die belegen, dass die tatsächlichen Verarbeitungstätigkeiten mit den dokumentierten Kundenanweisungen übereinstimmen.
- Überprüfungsmechanismen — Nachweise, anhand derer Kunden die Zweckkonformität überprüfen können, wie z. B. Prüfrechte, Berichtsfunktionen oder Transparenz-Dashboards.
- Kontrollen des Subunternehmers — Nachweis, dass die Verpflichtung zur Zweckbindung auch an alle Unterauftragnehmer weitergegeben wird, die an der Verarbeitung personenbezogener Daten beteiligt sind.
- Schulung der Mitarbeiter — Schulungsnachweise, die belegen, dass die Mitarbeiter verstehen, dass sie personenbezogene Daten nicht über die dokumentierten Zwecke des Kunden hinaus verarbeiten dürfen.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.2.2 Kundenvereinbarung | Der Vertrag sollte die Verarbeitungszwecke und Anweisungen dokumentieren. |
| A.2.2.4 Nutzung für Marketing und Werbung | Ein ausdrückliches Verbot der Verwendung personenbezogener Daten für Marketingzwecke, die über die Kundenanweisungen hinausgehen. |
| A.2.2.5 Verstoßanweisung | Der Prozessor muss Kundenanweisungen kennzeichnen, die möglicherweise gegen das Gesetz verstoßen. |
| A.2.5.8 Beauftragung von Subunternehmern | Auch Subunternehmer müssen an die vom Kunden vorgegebenen Zweckbeschränkungen gebunden sein. |
| A.2.2.7 Aufzeichnungen über die Verarbeitung | Die Aufzeichnungen sollten belegen, dass die Verarbeitung den dokumentierten Zwecken entspricht. |
Für wen gilt diese Regelung?
A.2.2.3 gilt ausschließlich für PII-ProzessorenEs handelt sich um die prozessorseitige Umsetzung des Zweckbindungsprinzips. Verantwortliche definieren die Zwecke; Auftragsverarbeiter müssen sich strikt an diese Grenzen halten. Jede Verarbeitung für eigene Zwecke des Unternehmens (Analysen, Produktverbesserung, KI-Training) ohne ausdrückliche Kundengenehmigung verstößt gegen diese Regelung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Einhaltung der Zweckbindung?
ISMS.online bietet praktische Werkzeuge, um die Zweckbegrenzung als Prozessor aufzuzeigen:
- Verarbeitungsregister — Dokumentation und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten pro Kunde, verknüpft mit dessen dokumentierten Anweisungen und Zwecken
- Kundenauftragsverfolgung — Kundenanweisungen mit Versionskontrolle erfassen, um jederzeit nachweisen zu können, welche Anweisungen zu einem bestimmten Zeitpunkt gültig waren.
- Subunternehmermanagement — Zweckgebundene Aufgaben bis hin zu Subunternehmern mit Vertragsverfolgung und Überwachung der Einhaltung von Vorschriften
- Audit-Unterstützung — Stellen Sie den Kunden Nachweispakete zur Verfügung, die die Zweckkonformität belegen und ihre Überprüfungsrechte unterstützen.
- Richtlinienverwaltung — Richtlinien zur Zweckbindung veröffentlichen und an die Mitarbeiter verteilen, einschließlich Empfangsbestätigung
Häufig gestellte Fragen
Darf ein Prozessor personenbezogene Daten für eigene Analysen oder Produktverbesserungen verwenden?
Nicht ohne ausdrückliche Genehmigung des Kunden. Die Verwendung personenbezogener Kundendaten für eigene Zwecke des Auftragsverarbeiters – wie beispielsweise das Training von Modellen des maschinellen Lernens, Benchmarking, Produktverbesserung oder Analysen – stellt eine Verarbeitung dar, die über die dokumentierten Anweisungen hinausgeht und gegen Ziffer A.2.2.3 verstößt. Gemäß DSGVO kann ein Auftragsverarbeiter, der einseitig beschließt, Daten für eigene Zwecke zu verarbeiten, für diese Verarbeitung als Verantwortlicher behandelt werden und übernimmt somit alle Pflichten und die potenzielle Haftung eines Verantwortlichen.
Wo verläuft die Grenze zwischen technischer Ermessensfreiheit und Zweckerweiterung?
Technischer Ermessensspielraum bedeutet, dass der Auftragsverarbeiter entscheiden kann, wie er den Zweck des Kunden effizient umsetzt – beispielsweise durch die Wahl der Server, die Zuweisung der Verarbeitungsressourcen oder die Anwendung einer Caching-Strategie. Zweckerweiterung bedeutet, dass der Auftragsverarbeiter die Daten für einen vom Kunden nicht vorgegebenen Zweck verwendet – beispielsweise zur Analyse von PII-Mustern für eigene Geschäftseinblicke. Entscheidend ist, ob die Verarbeitung dem dokumentierten Zweck des Kunden oder den eigenen Interessen des Auftragsverarbeiters dient.
Wie sollten die Grenzen des Zwecks den Mitarbeitern kommuniziert werden?
Alle Mitarbeiter, die Zugriff auf personenbezogene Kundendaten haben, müssen verstehen, dass sie diese nur für die in den Kundenanweisungen dokumentierten Zwecke verarbeiten dürfen. Dies sollte in Schulungen für neue Mitarbeiter behandelt, in regelmäßigen Sensibilisierungsveranstaltungen wiederholt und in rollenbasierten Zugriffskontrollen berücksichtigt werden. Technische Kontrollen sollten die Zweckbindung nach Möglichkeit ebenfalls gewährleisten – beispielsweise durch die Beschränkung von Datenexporten, die Verhinderung von Massen-Downloads und die Protokollierung aller Zugriffe zu Prüfungszwecken.
SaaS-Unternehmen stehen vor besonderen Herausforderungen im Bereich der Prozessoren – siehe unsere Leitfaden für SaaS-Plattformen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die Nachweise, die Prüfer für die Kontrollen von Prozessoren erwarten.
