Was erfordert die Kontrolle A.2.2.6?
Die Organisation stellt dem Kunden die entsprechenden Informationen zur Verfügung, damit dieser die Einhaltung seiner Verpflichtungen nachweisen kann.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) behandelt einen grundlegenden Aspekt der Beziehung zwischen Auftragsverarbeiter und Verantwortlichem: die Fähigkeit des Verantwortlichen, seine Rechenschaftspflicht nachzuweisen. Verantwortliche sind gesetzlich (einschließlich) dazu verpflichtet, Datenschutz Gemäß Artikel 5(2) müssen sie die Einhaltung der Datenschutzgrundsätze nachweisen, können dies aber nicht ohne Informationen ihrer Auftragsverarbeiter darüber, wie personenbezogene Daten verarbeitet werden. Diese Kontrolle stellt sicher, dass Auftragsverarbeiter nicht zu einer Blackbox werden.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.2.6) enthält folgende Hinweise:
- Audit-Unterstützung — Zu den vom Kunden benötigten Informationen kann gehören, ob die Organisation vom Kunden oder einem anderen vom Kunden beauftragten oder anderweitig vereinbarten Prüfer durchgeführte Prüfungen zulässt und dazu beiträgt.
- Web Link A.2.2.3: Ziele der Organisation für damit zusammenhängende Anforderungen
- Web Link A.2.2.4: Marketing- und Werbenutzung für damit zusammenhängende Anforderungen
Die Leitlinien heben insbesondere das Recht auf Audits als wichtigen Mechanismus zum Nachweis der Konformität hervor. Dies kann verschiedene Formen annehmen: vom Kunden durchgeführte Vor-Ort-Audits, vom Kunden in Auftrag gegebene Audits durch Dritte, Zertifizierungen nach anerkannten Standards (wie z. B. ISO 27701) oder die Bereitstellung von Auditberichten, SOC-2-Berichten oder anderen Konformitätsnachweisen auf Anfrage.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.2.6 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 28(3)(h) — Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Artikel 28 festgelegten Verpflichtungen nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden.
Artikel 28 Absatz 3 Buchstabe h DSGVO schreibt dies als zwingende vertragliche Verpflichtung vor und verpflichtet Auftragsverarbeiter, Compliance-Informationen bereitzustellen und Audits der Verantwortlichen aktiv zu unterstützen. Dies ist nicht optional, sondern eine rechtliche Anforderung für Auftragsverarbeiter, die der DSGVO unterliegen.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.2.6 als eigenständige Kontrolle mit Implementierungshinweisen in B.2.2.6, die die Unterstützung durch Audits als Schlüsselkomponente hervorheben. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.2.6 achten die Prüfer typischerweise auf Folgendes:
- Informationsbereitstellungsfähigkeit — Nachweis, dass die Organisation Kunden auf Anfrage relevante Informationen zur Einhaltung der Vorschriften bereitstellen kann, wie z. B. Verarbeitungsprotokolle, Dokumentationen zu Sicherheitsmaßnahmen und Angaben zu Unterauftragnehmern.
- Prüfungsunterstützungsmechanismen — Ein dokumentierter Ansatz zur Unterstützung von Kundenaudits, sei es durch Vor-Ort-Besuche, Zertifizierungen durch Dritte, gemeinsame Auditberichte oder Fragebogenauswertungen
- Compliance-Berichterstattung — Regelmäßige Compliance-Berichte oder Dashboards, die den Kunden zur Verfügung gestellt werden und die fortlaufende Einhaltung vertraglicher und gesetzlicher Verpflichtungen belegen.
- Vertragsbedingungen — Vertragsklauseln, die Umfang, Häufigkeit und Format der bereitzustellenden Compliance-Informationen festlegen
- Antwortprotokolle — Aufzeichnungen über von Kunden eingegangene Anfragen zu Compliance-Informationen und die bereitgestellten Antworten
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.2.2 Kundenvereinbarung | Der Vertrag legt fest, welche Compliance-Informationen der Auftragsverarbeiter bereitstellen muss. |
| A.2.2.7 Aufzeichnungen über die Verarbeitung | Verarbeitungsprotokolle sind eine wichtige Informationsquelle zur Einhaltung der Vorschriften für Kunden. |
| A.3.15 Unabhängige Überprüfung | Die Ergebnisse unabhängiger Prüfungen können den Kunden als Nachweis der Einhaltung der Vorschriften mitgeteilt werden. |
| A.3.14 Schutz von Aufzeichnungen | Die Unterlagen zur Einhaltung der Vorschriften müssen sicher aufbewahrt und bei Bedarf zur Verfügung gestellt werden. |
| A.2.5.7 Offenlegung von Subunternehmern | Informationen über Subunternehmer sind ein Schlüsselelement der Transparenz hinsichtlich der Einhaltung von Vorschriften. |
Für wen gilt diese Regelung?
A.2.2.6 gilt ausschließlich für PII-ProzessorenEs wird anerkannt, dass Verantwortliche auf die Informationen ihrer Auftragsverarbeiter angewiesen sind, um die Einhaltung der Vorschriften nachweisen zu können. Ohne diese Informationen kann der Verantwortliche seinen Rechenschaftspflichten nicht nachkommen. Auftragsverarbeiter, die die Bereitstellung von Informationen zur Einhaltung der Vorschriften verweigern oder sich Prüfungsanfragen widersetzen, machen es ihren Kunden unmöglich, die Datenschutzgesetze einzuhalten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Unterstützung der Kundenkonformität?
ISMS.online bietet praktische Instrumente zur Unterstützung Ihrer Kunden bei der Erfüllung ihrer Compliance-Verpflichtungen:
- Nachweispakete zur Einhaltung der Vorschriften — Erstellung vorkonfigurierter Nachweispakete für Kunden mit Verarbeitungsprotokollen, Sicherheitsmaßnahmen, Zertifizierungsstatus und Angaben zu Unterauftragnehmern.
- Revisionsmanagement — Verwalten Sie Kundenprüfungsanfragen mit Terminplanung, Dokumentenfreigabe und Ergebnisverfolgung an einem Ort
- Zertifizierungsmanagement — Verfolgen und teilen Sie Ihre ISO 27701-, ISO 27001- und andere Zertifizierungen mit Ihren Kunden, um die Einhaltung der Vorschriften nachzuweisen.
- Fragebogenverwaltung — Beantworten Sie Kundenfragebögen zum Thema Sicherheit und Datenschutz effizient mit vorgefertigten Antwortbibliotheken
- Transparenz-Dashboards — Bieten Sie Ihren Kunden durch gemeinsam genutzte Dashboards und Berichte Einblick in Ihre Compliance-Strategie.
Häufig gestellte Fragen
Welche Informationen sollten Auftragsverarbeiter ihren Kunden zur Verfügung stellen?
Auftragsverarbeiter sollten folgende Informationen bereitstellen können: Einzelheiten zu den im Auftrag des Kunden durchgeführten Verarbeitungstätigkeiten; implementierte Sicherheitsmaßnahmen; Angaben zu Unterauftragsverarbeitern und deren Verträge; Verfahren zur Meldung von Datenschutzverletzungen; Mechanismen zur Datenübertragung; Verfahren zur Datenaufbewahrung und -löschung; Schulungsnachweise der Mitarbeiter; sowie die Ergebnisse von Sicherheitsaudits oder Penetrationstests. Die erforderlichen Informationen sollten im Auftragsverarbeitungsvertrag genau definiert sein und dem Kunden die Erfüllung seiner Verpflichtungen ermöglichen.
Kann ein Zahlungsdienstleister für die Unterstützung bei Audits Gebühren erheben?
Dies hängt von den Vertragsbedingungen ab. Die DSGVO verpflichtet den Auftragsverarbeiter, „Audits zu ermöglichen und daran mitzuwirken“, verbietet jedoch nicht die Erhebung angemessener Gebühren für den damit verbundenen Zeit- und Ressourcenaufwand. Viele Auftragsverarbeiter berechnen eine bestimmte Anzahl von Audittagen oder Fragebogenbeantwortungen pro Jahr in ihren Servicegebühren, wobei zusätzliche Unterstützung zu einem vereinbarten Preis angeboten wird. Was Auftragsverarbeiter jedoch nicht dürfen, ist, Auditanfragen abzulehnen oder unangemessen zu behindern. Das Vorgehen sollte transparent sein und im Vertrag im Voraus festgelegt werden.
Können Zertifizierungen Kundenaudits ersetzen?
Zertifizierungen wie ISO 27701 oder SOC 2-Berichte können den Bedarf an individuellen Kundenaudits erheblich reduzieren, indem sie eine unabhängige Bestätigung der Konformität bieten. Viele Kunden akzeptieren bestehende Zertifizierungen als ausreichenden Nachweis. Allerdings entbinden Zertifizierungen den Kunden nicht von seinem Recht auf ein Audit gemäß Art. 28 Abs. 3 Buchst. h DSGVO. In der Praxis empfiehlt es sich, Zertifizierungen als primären Nachweismechanismus anzubieten und bei Bedarf zusätzliche kundenspezifische Audits durchzuführen.
SaaS-Unternehmen stehen vor besonderen Herausforderungen im Bereich der Prozessoren – siehe unsere Leitfaden für SaaS-Plattformen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die Nachweise, die Prüfer für die Kontrollen von Prozessoren erwarten.
