Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.2.2.4: Marketing- und Werbenutzung

Gemäß Kontrollmaßnahme A.2.2.4 dürfen Auftragsverarbeiter personenbezogene Daten, die im Rahmen eines Vertrags verarbeitet werden, nicht ohne vorherige Einwilligung der betroffenen Person für Marketing- oder Werbezwecke verwenden. Die Erteilung dieser Einwilligung darf nicht zur Bedingung für die Inanspruchnahme der Dienstleistung gemacht werden.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.2.2.4?

Die Organisation darf personenbezogene Daten, die im Rahmen eines Vertrags verarbeitet werden, nicht ohne vorherige Einwilligung der betroffenen Person für Marketing- und Werbezwecke verwenden. Die Organisation darf die Erteilung dieser Einwilligung nicht zur Bedingung für die Inanspruchnahme der Dienstleistung machen.

Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) und enthält ein spezifisches, absolutes Verbot: Auftragsverarbeiter dürfen personenbezogene Daten von Kunden nicht für eigene Marketing- oder Werbeaktivitäten wiederverwenden. Dies geht über die allgemeine Zweckbeschränkung in Anhang (A.2) hinaus. A.2.2.3 Organisationszwecke Indem Marketing ausdrücklich als verbotene Nutzung benannt und die Voraussetzung der Nichtbündelung hinzugefügt wird – die Einwilligung zum Marketing darf nicht an die Leistungserbringung gekoppelt sein.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.2.2.4) enthält folgende Hinweise:

  • Dokumentenkonformität Die Einhaltung der vertraglichen Anforderungen des Kunden durch die PII-Verarbeiter sollte dokumentiert werden, insbesondere wenn Marketing- oder Werbemaßnahmen geplant sind.
  • Keine erzwungene Einbeziehung von Marketing — Organisationen sollten nicht auf der Einbeziehung von Marketing- oder Werbezwecken bestehen, wenn keine ausdrückliche Einwilligung der Betroffenen eingeholt wurde.
  • Web Link A.2.2.5: Verstoßanweisung für damit zusammenhängende Anforderungen
  • Web Link A.2.2.6: Pflichten des Kunden für damit zusammenhängende Anforderungen

Die Leitlinien weisen außerdem darauf hin, dass diese Kontrollmaßnahme die allgemeinere Beschränkungskontrollmaßnahme ergänzt. A.2.2.3 Organisationszwecke und ersetzt oder hebt diese nicht auf. Selbst wenn eine Einwilligung zu Marketingzwecken vorliegt, muss die Verarbeitung weiterhin den dokumentierten Anweisungen des Kunden entsprechen.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.2.2.4 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 7 (4) Bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, ist besonders zu berücksichtigen, ob die Erfüllung eines Vertrags von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung dieses Vertrags nicht erforderlich sind.

Artikel 7 Absatz 4 befasst sich direkt mit dem Problem der „Bündelung“: Die Einwilligung zu Marketingzwecken wird wahrscheinlich nicht freiwillig (und damit gültig) erteilt, wenn sie Voraussetzung für den Erhalt der Dienstleistung ist. Dies macht die Anforderung der Nichtbündelung in Abschnitt A.2.2.4 zu einer Datenschutz Die Einhaltung der Vorschriften ist eine Notwendigkeit, nicht nur eine bewährte Vorgehensweise.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.2.4 als eigenständige Kontrollmaßnahme mit klareren Implementierungshinweisen in B.2.2.4. Es wird ausdrücklich darauf hingewiesen, dass diese Kontrollmaßnahme die bestehende ergänzt, aber nicht ersetzt. A.2.2.3 Organisationszwecke ist eine hilfreiche Klarstellung. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.2.2.4 achten die Prüfer typischerweise auf Folgendes:

  • Richtlinie zur Nutzung für Marketingzwecke — Eine dokumentierte Richtlinie, die die Verwendung personenbezogener Kundendaten für Marketing- oder Werbezwecke ohne gültige Einwilligung untersagt.
  • Einwilligungsaufzeichnungen — Sofern eine Nutzung zu Marketingzwecken erfolgt, muss nachgewiesen werden, dass die vorherige, freiwillige Einwilligung der Betroffenen eingeholt wurde und dass diese Einwilligung nicht an die Dienstleistung gekoppelt war.
  • Vertragsbedingungen — Nachweis, dass Dienstleistungsverträge die Einwilligung zu Marketingzwecken nicht zur Bedingung für die Leistungserbringung machen.
  • Technische Kontrollen — Nachweis, dass technische Maßnahmen die Verwendung personenbezogener Kundendaten in Marketingsystemen ohne entsprechende Genehmigung verhindern
  • Schulung der Mitarbeiter — Schulungsnachweise, die belegen, dass die Marketing- und Vertriebsteams das Verbot der Verwendung personenbezogener Daten von Prozessoren für Marketingzwecke verstehen.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.2.2.3 Ziele der Organisation Die Verwendung zu Marketingzwecken ist ein Sonderfall der Zweckbindung – beide Kontrollmechanismen finden Anwendung.
A.2.2.2 Kundenvereinbarung Marketingbeschränkungen sollten im Kundenvertrag ausdrücklich aufgeführt werden.
A.1.2.4 Einwilligung feststellen Die Anforderungen an den Controller zur Bestimmung des Zeitpunkts, an dem eine Einwilligung erforderlich ist
A.1.2.5 Einwilligung einholen und protokollieren Die Einwilligung zur Vermarktung muss eingeholt und ordnungsgemäß dokumentiert werden.
A.2.2.7 Aufzeichnungen über die Verarbeitung Einwilligungsdaten für Marketingzwecke sind Bestandteil der Verarbeitungsdaten des Auftragsverarbeiters.

Für wen gilt diese Regelung?

A.2.2.4 gilt ausschließlich für PII-ProzessorenEs verbietet Auftragsverarbeitern ausdrücklich, personenbezogene Daten, die sie über Dienstleistungsverträge erhalten haben, für eigene Marketingzwecke zu nutzen. Dies ist insbesondere für SaaS-Anbieter, Cloud-Dienste und Managed-Service-Provider relevant, die in Versuchung geraten könnten, Kundendaten für Cross-Selling, Produktmarketing oder zielgerichtete Werbung zu verwenden.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für das Compliance-Management im Marketing?

ISMS.online bietet als Verarbeiter praktische Instrumente zur Sicherstellung der Einhaltung der Marketingrichtlinien:

  • Richtlinienverwaltung — Marketingbeschränkungen veröffentlichen und durchsetzen, einschließlich der Bestätigung durch die Mitarbeiter und der Versionskontrolle
  • Einwilligungs-Tracking — Sofern eine Einwilligung zu Marketingzwecken vorliegt, werden die Einwilligungsdatensätze mit Ablaufdatum und Widerrufsverwaltung erfasst und verwaltet.
  • Datenflussabbildung — Datenflüsse abbilden, um festzustellen, wo personenbezogene Kundendaten potenziell Marketingsysteme erreichen könnten, und geeignete Kontrollmaßnahmen implementieren.
  • Compliance-Überwachung — Überwachung der Einhaltung von Marketingbeschränkungen team- und systemübergreifend
  • Trainingsmanagement — Durchführung und Nachverfolgung von Schulungen zur Einhaltung der Marketingrichtlinien für relevante Mitarbeiter

Häufig gestellte Fragen

Kann ein Auftragsverarbeiter die Einwilligung zu Marketingzwecken in seine Nutzungsbedingungen aufnehmen?

Ein Auftragsverarbeiter kann die Einwilligung zu Marketingzwecken einholen, darf diese jedoch nicht zur Bedingung für die Inanspruchnahme der Dienstleistung machen. Die Dienstleistung muss also auch ohne Einwilligung zu Marketingzwecken uneingeschränkt verfügbar sein. Die Einwilligungsanfrage muss klar von den Nutzungsbedingungen getrennt, freiwillig, spezifisch und leicht widerrufbar sein. Vorausgewählte Kontrollkästchen oder Opt-out-Mechanismen genügen nicht den Anforderungen an eine gültige vorherige Einwilligung.

Gilt diese Kontrollmaßnahme auch für aggregierte oder anonymisierte Daten?

Wenn Daten so weit anonymisiert wurden, dass personenbezogene Daten (PII) nicht mehr (direkt oder indirekt) identifiziert werden können, gelten sie nicht mehr als PII und fallen nicht unter diese Regelung. Die Anforderungen an die Anonymisierung sind jedoch hoch: Pseudonymisierte oder aggregierte Daten, aus denen Personen potenziell reidentifiziert werden könnten, bleiben PII. Auftragsverarbeiter sollten daher vorsichtig sein, wenn sie behaupten, Daten seien anonymisiert, und über eine dokumentierte Methodik zur Überprüfung der Wirksamkeit der Anonymisierung verfügen.

Welche Konsequenzen hat ein Verstoß gegen diese Kontrollmaßnahme?

Die Verwendung personenbezogener Kundendaten für unautorisierte Marketingzwecke kann folgende Folgen haben: Vertragsbruch gegenüber dem Kunden (was unter Umständen zur Kündigung und zu Schadensersatzansprüchen führt); Einstufung als Verantwortlicher gemäß DSGVO (mit allen damit verbundenen Pflichten und Haftungen); behördliche Maßnahmen; und Reputationsschäden. Gemäß Artikel 28 Absatz 10 DSGVO gilt ein Auftragsverarbeiter, der seine Verarbeitungszwecke selbst festlegt (z. B. Marketing), für diese Verarbeitung als Verantwortlicher.

SaaS-Unternehmen stehen vor besonderen Herausforderungen im Bereich der Prozessoren – siehe unsere Leitfaden für SaaS-Plattformen.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die Nachweise, die Prüfer für die Kontrollen von Prozessoren erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.