Was erfordert die Kontrolle A.2.2.5?
Die Organisation ist verpflichtet, den Kunden zu informieren, wenn sie der Ansicht ist, dass eine Verarbeitungsanweisung gegen geltende Rechtsvorschriften verstößt.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) und schafft ein wichtiges Sicherheitsnetz. Prozessoren handeln im Allgemeinen gemäß den Anweisungen des Kunden (A.2.2.3 OrganisationszweckeDiese Kontrollmaßnahme erkennt an, dass die blinde Befolgung jeder Anweisung zu Rechtsverstößen führen kann. Stellt ein Prozessor fest, dass eine Anweisung gegen geltendes Recht verstößt, ist er verpflichtet, dies dem Kunden mitzuteilen, anstatt die Anweisung einfach auszuführen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.2.5) enthält folgende Hinweise:
- Kontextabhängige Fähigkeit — Die Fähigkeit der Organisation, zu überprüfen, ob eine Anweisung gegen gesetzliche Bestimmungen verstößt, kann vom technologischen Kontext, von der Anweisung selbst und vom Vertrag zwischen der Organisation und dem Kunden abhängen.
- Web Link A.2.2.4: Marketing- und Werbenutzung für damit zusammenhängende Anforderungen
- Web Link A.2.2.7: Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten für damit zusammenhängende Anforderungen
Die Richtlinie trägt einer praktischen Realität Rechnung: Auftragsverarbeiter sind keine Rechtsberater, und ihre Fähigkeit, rechtsverletzende Anweisungen zu erkennen, ist unterschiedlich. Ein Auftragsverarbeiter mit umfassender Expertise im Bereich Gesundheitsdaten ist möglicherweise gut in der Lage, Anweisungen zu identifizieren, die gegen Datenschutzbestimmungen verstoßen, während dies bei einem allgemeinen Cloud-Anbieter unter Umständen nicht der Fall ist. Der Zusatz „nach seiner Meinung“ trägt dieser Einschränkung Rechnung – die Verpflichtung besteht darin, Bedenken aufzuzeigen, nicht aber, eine abschließende Rechtsanalyse zu liefern.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.2.5 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 28(3)(h) — Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu unterrichten, wenn er der Ansicht ist, dass eine Anweisung gegen die Rechte des Auftraggebers verstößt. Datenschutz oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten
Artikel 28 Absatz 3 Buchstabe h der DSGVO macht dies zu einer ausdrücklichen rechtlichen Verpflichtung für Auftragsverarbeiter, die dem EU-Recht unterliegen. Die DSGVO fügt das Wort „unverzüglich“ hinzu und unterstreicht damit die Dringlichkeit der Meldepflicht.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.2.5 als eigenständige Kontrollmaßnahme mit prägnanten, aber klaren Implementierungshinweisen in B.2.2.5. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.2.5 achten die Prüfer typischerweise auf Folgendes:
- Eskalationsverfahren — Ein dokumentiertes Verfahren für Mitarbeiter, um Bedenken zu äußern, wenn sie der Ansicht sind, dass eine Kundenanweisung gegen geltende gesetzliche Bestimmungen verstoßen könnte.
- Benachrichtigungsdatensätze — Aufzeichnungen über alle Fälle, in denen der Prozessor einen Kunden darüber informiert hat, dass eine Anweisung möglicherweise gegen geltendes Recht verstößt, einschließlich der betreffenden Anweisung, des geäußerten Bedenkens, der Reaktion des Kunden und des Ergebnisses
- Rechtsbewusstsein — Nachweis, dass das Schlüsselpersonal über ausreichende Kenntnisse des geltenden Datenschutzrechts verfügt, um potenziell rechtsverletzende Anweisungen zu erkennen.
- Vertragsbedingungen — Vertragsklauseln, die das Recht und die Pflicht des Auftragsverarbeiters zur Kennzeichnung rechtsverletzender Anweisungen festlegen und den Auftragsverarbeiter vor Haftung für die Verweigerung der Befolgung rechtswidriger Anweisungen schützen.
- Trainingsaufzeichnungen — Schulung zur Sensibilisierung der Mitarbeiter für die Pflicht, potenziell rechtswidrige Anweisungen zu melden
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.2.3 Ziele der Organisation | Anweisungen, die über das Recht hinausgehende Zwecke verfolgen, sollten gekennzeichnet werden. |
| A.2.2.2 Kundenvereinbarung | Der Vertrag sollte die Verpflichtung des Auftragsverarbeiters zur Kennzeichnung von rechtsverletzenden Anweisungen regeln. |
| A.3.13 Rechtliche und regulatorische Anforderungen | Das Verständnis der geltenden rechtlichen Bestimmungen ist eine Voraussetzung für die Identifizierung von Rechtsverletzungen. |
| A.2.2.6 Pflichten des Kunden | Das Kennzeichnen von rechtsverletzenden Anweisungen hilft dem Kunden, seinen eigenen Compliance-Verpflichtungen nachzukommen. |
| A.3.17 Bewusstsein und Schulung | Die Mitarbeiter benötigen Schulungen, um potenziell rechtsverletzende Anweisungen zu erkennen. |
Für wen gilt diese Regelung?
A.2.2.5 gilt ausschließlich für PII-ProzessorenDie Richtlinie verpflichtet den Auftragsverarbeiter, proaktiv auf Bedenken hinsichtlich der Rechtmäßigkeit von Kundenanweisungen hinzuweisen. Dies macht den Auftragsverarbeiter nicht zu einem Rechtsberater, sondern verpflichtet ihn, auf Grundlage seiner Kenntnisse und Expertise ein angemessenes Urteilsvermögen anzuwenden. Die Regelung gilt für alle Kundenanweisungen, unabhängig davon, ob diese bei Vertragsbeginn, während der Auftragsausführung oder als Ad-hoc-Anfrage erteilt werden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Erfüllung von Compliance-Verpflichtungen?
ISMS.online bietet praktische Werkzeuge zur Erfüllung Ihrer Pflicht, rechtsverletzende Anweisungen zu kennzeichnen:
- Eskalationsworkflows — Dokumentierte Eskalationsverfahren für Mitarbeiter erstellen, um Bedenken hinsichtlich Kundenanweisungen zu äußern, inklusive Prüfprotokoll und Nachverfolgung der Lösungsfindung
- Benachrichtigungsregister — Führen Sie ein Verzeichnis aller Benachrichtigungen, die an Kunden über potenziell rechtsverletzende Anweisungen gesendet werden, einschließlich der Anweisung, des Anliegens, der Antwort und des Ergebnisses.
- Verfolgung gesetzlicher Anforderungen — Verfolgen Sie die geltenden rechtlichen Anforderungen in den verschiedenen Rechtsordnungen, damit Ihr Team weiß, welche Regeln bei der Beurteilung von Kundenanweisungen zu beachten sind.
- Trainingsmanagement — Schulungen zur Erkennung von rechtsverletzenden Anweisungen durchführen und deren Erfolg dokumentieren, einschließlich Kompetenzbewertung
- Vertragsmanagement — Stellen Sie sicher, dass Ihre Vertragsvorlagen Klauseln enthalten, die das Recht und die Pflicht zur Meldung von rechtsverletzenden Anweisungen regeln.
Häufig gestellte Fragen
Was sollte der Prozessor tun, wenn der Kunde auf der Anweisung besteht?
Besteht der Kunde auf einer Anweisung, die nach Ansicht des Auftragsverarbeiters gegen geltendes Recht verstößt, hat der Auftragsverarbeiter seine Informationspflicht erfüllt. Der Auftragsverarbeiter sollte die Benachrichtigung und die Reaktion des Kunden dokumentieren. Er sollte der Anweisung jedoch nicht blindlings Folge leisten: Die wissentliche Beteiligung an einer rechtswidrigen Verarbeitung kann ihn selbst rechtlich haftbar machen. In schwerwiegenden Fällen muss der Auftragsverarbeiter gegebenenfalls Rechtsberatung einholen und die Anweisung ablehnen oder den Vertrag kündigen, abhängig von der Schwere des potenziellen Rechtsverstoßes.
Muss der Prozessor proaktiv auf Verstöße überwachen?
Die Kontrollmaßnahme verpflichtet den Auftragsverarbeiter, den Kunden zu informieren, wenn er der Ansicht ist, dass eine Anweisung gegen geltendes Recht verstößt. Dies setzt ein angemessenes Maß an Kenntnis voraus, jedoch keine umfassende rechtliche Überwachung. Die Richtlinie erkennt an, dass die Fähigkeit des Auftragsverarbeiters, Rechtsverstöße festzustellen, vom Kontext, der jeweiligen Anweisung und dem Vertrag abhängt. Von Auftragsverarbeitern wird nicht erwartet, dass sie jede Anweisung einer rechtlichen Prüfung unterziehen, sie sollten jedoch Bedenken, die sich im Rahmen des normalen Geschäftsbetriebs und ihrer fachlichen Beurteilung ergeben, melden.
Wie schnell muss der Zahlungsdienstleister den Kunden benachrichtigen?
ISO 27701:2025 legt keine Frist fest, Artikel 28 Absatz 3 Buchstabe h der DSGVO hingegen verlangt eine sofortige Benachrichtigung. Es empfiehlt sich, den Kunden umgehend nach Feststellung des Problems zu informieren, bevor die Anweisung ausgeführt wird. So kann der Kunde die Anweisung überdenken, Rechtsberatung einholen oder um Klärung bitten, bevor eine potenziell datenschutzverletzende Datenverarbeitung erfolgt.
SaaS-Unternehmen stehen vor besonderen Herausforderungen im Bereich der Prozessoren – siehe unsere Leitfaden für SaaS-Plattformen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die Nachweise, die Prüfer für die Kontrollen von Prozessoren erwarten.
