Was erfordert die Kontrolle A.2.2.7?
Die Organisation ermittelt und pflegt die erforderlichen Aufzeichnungen, um die Einhaltung ihrer Verpflichtungen (wie im jeweiligen Vertrag festgelegt) für die Verarbeitung personenbezogener Daten im Auftrag eines Kunden nachzuweisen.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) legt die eigenen Aufzeichnungspflichten des Auftragsverarbeiters fest. A.2.2.6 Pflichten des Kunden Gemäß Abschnitt A.2.2.7 ist der Auftragsverarbeiter verpflichtet, Kunden beim Nachweis der Einhaltung der Vorschriften zu unterstützen und Aufzeichnungen zu seiner eigenen Rechenschaftspflicht zu führen. Diese Aufzeichnungen müssen belegen, dass der Auftragsverarbeiter seinen vertraglichen Verpflichtungen und den geltenden gesetzlichen Bestimmungen nachgekommen ist.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.2.7) enthält folgende Hinweise:
- Zuständigkeitsanforderungen — In einigen Rechtsordnungen kann die Organisation verpflichtet sein, Informationen wie die folgenden aufzuzeichnen:
- Kategorien der im Auftrag jedes Kunden durchgeführten Verarbeitungen
- Überweisungen an Drittländer oder internationale Organisationen
- Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
- Web Link A.2.2.2: Kundenvereinbarung für damit zusammenhängende Anforderungen
- Web Link A.2.2.4: Marketing- und Werbenutzung für damit zusammenhängende Anforderungen
Die Leitlinien spiegeln die Datenschutz Die Anforderungen gemäß Artikel 30 Absatz 2 DSGVO betreffen die Aufzeichnungen über Verarbeitungstätigkeiten. Während die ISO-Norm diese als Anforderungen der jeweiligen Gerichtsbarkeit formuliert, betrachten Organisationen, die der DSGVO unterliegen, sie als zwingende Aufbewahrungspflichten.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.2.7 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 30 (2) (a) — Name und Kontaktdaten jedes Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt, sowie des Vertreters und Datenschutzbeauftragten des Verantwortlichen oder Auftragsverarbeiters.
- Artikel 30 (2) (b) — Die Kategorien der Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
- Artikel 30 (3) — Aufzeichnungen müssen schriftlich erfolgen, auch in elektronischer Form.
- Artikel 30 (4) — Der Auftragsverarbeiter stellt der Aufsichtsbehörde die Aufzeichnungen auf Anfrage zur Verfügung.
- Artikel 30 (5) — Ausnahme für Organisationen mit weniger als 250 Mitarbeitern, es sei denn, die Verarbeitung birgt voraussichtlich ein Risiko, erfolgt nicht nur gelegentlich oder umfasst besondere Kategorien von Daten
Artikel 30 Absatz 2 der DSGVO enthält eine spezifische Mindestliste der Inhalte, die Datensätze von Auftragsverarbeitern enthalten müssen. Organisationen sollten dies als Untergrenze und nicht als Obergrenze betrachten.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.2.7 als eigenständige Kontrollmaßnahme mit Umsetzungshinweisen in B.2.2.7, in denen die jeweiligen Aufzeichnungspflichten der einzelnen Gerichtsbarkeiten klar aufgeführt sind. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.2.7 achten die Prüfer typischerweise auf Folgendes:
- Aufzeichnungen über Verarbeitungstätigkeiten — Ein geführtes Verzeichnis der im Auftrag jedes Kunden durchgeführten Verarbeitungstätigkeiten, einschließlich Verarbeitungskategorien, Datentypen und Zwecke
- Übertragungsdatensätze — Dokumentation aller Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen, einschließlich der Rechtsgrundlage für jede Übermittlung
- Dokumentation der Sicherheitsmaßnahmen — Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten.
- Kontaktdaten — Führte Aufzeichnungen über die Kontaktdaten von Auftragsverarbeiter, Verantwortlichem, Vertreter und Datenschutzbeauftragten für jede Verarbeitungsvereinbarung
- Prozess der Datensatzpflege — Ein dokumentierter Prozess zur Aktualisierung von Datensätzen, einschließlich Überprüfungsplänen und Aktualisierungsauslösern
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.2.6 Pflichten des Kunden | Die Verarbeitungsprotokolle unterstützen die den Kunden zur Einhaltung der Vorschriften bereitgestellten Informationen. |
| A.2.2.3 Ziele der Organisation | Die Aufzeichnungen sollten belegen, dass die Verarbeitung den dokumentierten Kundenzwecken entspricht. |
| A.1.2.9 Aufzeichnungen (Controller) | Das Controller-seitige Äquivalent der Verarbeitungsanforderungen für Datensätze |
| A.3.14 Schutz von Aufzeichnungen | Verarbeitungsprotokolle müssen sicher aufbewahrt und vor unbefugter Änderung geschützt werden. |
| A.2.5.2 Grundlage für die Übertragung personenbezogener Daten | Grenzüberschreitende Überweisungsdatensätze sind ein wichtiger Bestandteil der Datensatzverarbeitung. |
Für wen gilt diese Regelung?
A.2.2.7 gilt ausschließlich für PII-ProzessorenEs schafft eine eigenständige Aufzeichnungspflicht für Auftragsverarbeiter, die von den eigenen Aufzeichnungspflichten des Verantwortlichen getrennt ist. A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener DatenGemäß Artikel 30 Absatz 5 der DSGVO findet die Ausnahme für kleine Unternehmen in der Praxis selten Anwendung, da die meisten Verarbeitungen nicht wirklich „gelegentlich“ sind und viele Auftragsverarbeiter besondere Kategorien von Daten verarbeiten. Auftragsverarbeiter sollten daher unabhängig von ihrer Unternehmensgröße Aufzeichnungen führen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Verarbeitung von Datensätzen?
ISMS.online bietet praktische Werkzeuge zur Führung von Prozessoraufzeichnungen über Verarbeitungstätigkeiten:
- Verarbeitungsregister — Führen eines zentralen, strukturierten Verzeichnisses aller Verarbeitungstätigkeiten pro Kunde mit Dokumentation der Kategorien, Datentypen, Zwecke und Sicherheitsmaßnahmen
- Transferverfolgung — Erfassung und Überwachung grenzüberschreitender PII-Übermittlungen mit Dokumentation der Rechtsgrundlage und Nachverfolgung im Zielland
- Automatisierte Erinnerungen — Planen Sie regelmäßige Überprüfungen der Datensätze mit automatisierten Erinnerungen ein, um sicherzustellen, dass die Datensätze aktuell und korrekt bleiben.
- Bereitschaft der Aufsichtsbehörde — Erstellung von Aufzeichnungen in einem Format, das für Anfragen von Aufsichtsbehörden geeignet ist und den Verpflichtungen gemäß Artikel 30 Absatz 4 DSGVO entspricht
- Versionsgeschichte — Führen Sie eine vollständige Versionshistorie der Verarbeitungsdatensätze, die aufzeigt, wie sich die Verarbeitungsmodalitäten im Laufe der Zeit geändert haben.
Häufig gestellte Fragen
Was müssen die Prozessoraufzeichnungen enthalten?
Gemäß Artikel 30 Absatz 2 DSGVO müssen die Verzeichnisse der Auftragsverarbeiter Folgendes enthalten: Name und Kontaktdaten jedes Auftragsverarbeiters und jedes Verantwortlichen, für den er tätig ist, sowie gegebenenfalls deren Vertreter und Datenschutzbeauftragte; die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungen; Übermittlungen an Drittländer oder internationale Organisationen einschließlich der Rechtsgrundlage; und eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen. Bewährte Verfahren erweitern dies um die Arten der verarbeiteten personenbezogenen Daten, die Rechtsgrundlage für die Verarbeitung, Angaben zu Unterauftragsverarbeitern und Aufbewahrungsfristen.
Wie oft sollten Datensätze aktualisiert werden?
Datensätze sollten aktualisiert werden, sobald sich wesentliche Änderungen an den Verarbeitungsvereinbarungen ergeben, beispielsweise bei einem neuen Kunden, einer Änderung der Verarbeitungskategorien, einem neuen Unterauftragnehmer, einer neuen grenzüberschreitenden Datenübermittlung oder einer Änderung der Sicherheitsmaßnahmen. Darüber hinaus sollten die Datensätze regelmäßig (mindestens jährlich) überprüft werden, um ihre Richtigkeit und Vollständigkeit sicherzustellen. Viele Organisationen integrieren die Aktualisierung von Datensätzen in ihre Änderungsmanagementprozesse, um Aktualisierungen in Echtzeit zu gewährleisten.
Müssen Verarbeitungsbetriebe mit weniger als 250 Mitarbeitern Aufzeichnungen führen?
Artikel 30 Absatz 5 der DSGVO sieht eine begrenzte Ausnahme für Organisationen mit weniger als 250 Beschäftigten vor. Diese gilt jedoch nur, wenn die Verarbeitung voraussichtlich kein Risiko für die betroffenen Personen birgt, gelegentlich erfolgt und keine besonderen Kategorien personenbezogener Daten oder Daten über Straftaten umfasst. In der Praxis fallen die meisten Auftragsverarbeiter nicht unter diese Ausnahme, da ihre Verarbeitung regelmäßig (und nicht nur gelegentlich) erfolgt und möglicherweise Datentypen betrifft, die die Ausnahme auslösen. ISO 27701 enthält keine vergleichbare Ausnahme. Daher sollten alle Auftragsverarbeiter, die eine Zertifizierung anstreben, unabhängig von ihrer Größe Aufzeichnungen führen.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise Die vollständige Liste der von den Prüfern erwarteten Aufzeichnungen finden Sie hier.
