Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.2.3.2: Einhaltung der Verpflichtungen gegenüber den Verantwortlichen für personenbezogene Daten

Kontrollmaßnahme A.2.3.2 verpflichtet Auftragsverarbeiter, dem Kunden die Mittel zur Verfügung zu stellen, um seinen Verpflichtungen in Bezug auf personenbezogene Daten nachzukommen. Dadurch wird sichergestellt, dass Auftragsverarbeiter den Verantwortlichen die Erfüllung der Rechte betroffener Personen, wie beispielsweise Auskunft, Berichtigung und Löschung, ermöglichen.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.2.3.2?

Die Organisation stellt dem Kunden die Mittel zur Verfügung, um ihren Verpflichtungen in Bezug auf personenbezogene Daten nachzukommen.

Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) befasst sich mit einer zentralen praktischen Herausforderung: Verantwortliche haben gegenüber betroffenen Personen rechtliche Verpflichtungen (z. B. die Beantwortung von Auskunftsersuchen, die Berichtigung und Löschung von Daten), können diese jedoch nicht erfüllen, wenn ihre Auftragsverarbeiter nicht die erforderlichen Kapazitäten bereitstellen. A.2.3.2 verpflichtet den Auftragsverarbeiter sicherzustellen, dass die technischen und organisatorischen Mittel zur Wahrung der Rechte der betroffenen Personen zur Verfügung stehen.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.2.3.2) enthält folgende Hinweise:

  • Verpflichtungen werden durch Gesetz oder Vertrag definiert. Die Pflichten eines Verantwortlichen für die Verarbeitung personenbezogener Daten können sich aus gesetzlichen Bestimmungen oder aus einem Vertrag ergeben. Diese Pflichten können auch Angelegenheiten umfassen, bei denen der Kunde die Dienstleistungen der Organisation zur Implementierung nutzt.
  • Praxisbeispiele — Dies kann beispielsweise die zeitnahe Berichtigung oder Löschung personenbezogener Daten umfassen.
  • Vertragsspezifikation — Sofern ein Kunde auf die Informationen oder technischen Maßnahmen des Unternehmens angewiesen ist, um die Verpflichtungen gegenüber den Datenschutzverantwortlichen zu erfüllen, sollten die entsprechenden Informationen oder technischen Maßnahmen in einem Vertrag spezifiziert werden.
  • Web Link A.2.4.2: Temporäre Dateien für damit zusammenhängende Anforderungen
  • Web Link A.2.4.4: PII-Getriebesteuerung für damit zusammenhängende Anforderungen

Die Leitlinien stellen klar, dass es sich hierbei nicht um eine abstrakte Verpflichtung handelt – Auftragsverarbeiter müssen konkrete Funktionen bereitstellen, wie beispielsweise die Möglichkeit, auf Anfrage einzelne personenbezogene Daten abzurufen, zu exportieren, zu korrigieren und zu löschen. Diese Funktionen sollten im Vertrag definiert werden, damit beide Parteien verstehen, welche Leistungen der Auftragsverarbeiter erbringt.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.2.3.2 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 15 (3) — Das Auskunftsrecht, einschließlich des Rechts, eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten.
  • Artikel 17 (2) — Die Verpflichtung des Verantwortlichen, andere Verantwortliche, die die Daten verarbeiten, über den Löschungsantrag der betroffenen Person zu informieren.
  • Artikel 28(3)(e) — Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherstellung der Einhaltung der Verpflichtungen im Zusammenhang mit den Rechten der betroffenen Personen (Artikel 15 bis 22).

Datenschutz Artikel 28 Absatz 3 Buchstabe e verpflichtet Auftragsverarbeiter ausdrücklich dazu, Verantwortliche bei der Wahrnehmung aller Rechte betroffener Personen zu unterstützen: Auskunftsrecht (Artikel 15), Recht auf Berichtigung (Artikel 16), Recht auf Löschung (Artikel 17), Recht auf Einschränkung der Verarbeitung (Artikel 18), Recht auf Datenübertragbarkeit (Artikel 20) und Widerspruchsrecht (Artikel 21). Der Auftragsverarbeiter muss in der Lage sein, jedes dieser Rechte zu gewährleisten.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.3.2 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.3.2, die praktische Beispiele umfasst und die vertragliche Spezifizierung der Pflichten des Auftragsverarbeiters hervorhebt. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.2.3.2 achten die Prüfer typischerweise auf Folgendes:

  • Rechte betroffener Personen — Nachweis, dass die Systeme und Prozesse der Organisation alle relevanten Rechte der betroffenen Personen unterstützen: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch
  • Vertragliche Bestimmungen — Vertragsklauseln, die die technischen und organisatorischen Maßnahmen festlegen, die der Auftragsverarbeiter zur Unterstützung der Wahrung der Rechte der betroffenen Personen ergreift
  • Verfahren zur Bearbeitung von Anfragen — Dokumentierte Verfahren für die Bearbeitung von Anfragen betroffener Personen, die von Kunden weitergeleitet werden, einschließlich Antwortfristen
  • Technische Leistungsfähigkeit — Nachweise über technische Fähigkeiten wie Datenexportfunktionen, Löschung einzelner Datensätze, Datenkorrekturwerkzeuge und Protokolle der vorgenommenen Änderungen
  • Antwortprotokolle — Aufzeichnungen über von Kunden eingegangene Anfragen zu Betroffenenrechten und die ergriffenen Maßnahmen, die eine zeitnahe und vollständige Erfüllung belegen

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.2.2.2 Kundenvereinbarung Der Vertrag sollte die Verpflichtungen des Auftragsverarbeiters zur Wahrung der Rechte der betroffenen Personen festlegen.
A.1.3.7 Zugang, Berichtigung oder Löschung Die Controller-seitigen Rechte, die der Prozessor aktivieren muss
A.1.3.10 Bearbeitung von Anfragen Der Anfrageverarbeitungsprozess des Controllers hängt von der Prozessorunterstützung ab.
A.2.4.3 Rückgabe, Übertragung oder Entsorgung Datenübertragbarkeit und Löschfunktionen unterstützen die Rechte der betroffenen Personen.
A.2.2.6 Pflichten des Kunden Die Wahrung der Rechte betroffener Personen ist ein wesentlicher Bestandteil der Unterstützung von Kunden beim Nachweis der Einhaltung der Vorschriften.

Für wen gilt diese Regelung?

A.2.3.2 gilt ausschließlich für PII-ProzessorenEs wird anerkannt, dass Verantwortliche ihren Verpflichtungen gegenüber betroffenen Personen ohne die Mitwirkung von Auftragsverarbeitern nicht nachkommen können. Wenn die Systeme eines Auftragsverarbeiters die Abfrage, Berichtigung oder Löschung einzelner Datensätze nicht unterstützen, kann der Verantwortliche nicht auf Anfragen betroffener Personen reagieren – was für den Verantwortlichen einen Verstoß gegen die gesetzlichen Bestimmungen darstellt, für den Auftragsverarbeiter jedoch einen Vertrags- und möglicherweise auch Rechtsverstoß.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Unterstützung der Rechte der PII-Hauptberechtiger?

ISMS.online bietet als Auftragsverarbeiter praktische Instrumente zur Unterstützung der Rechte betroffener Personen:

  • Anfrageverwaltung — Erfassung und Verwaltung von Anfragen von Kunden zu Betroffenenrechten mithilfe von Workflow-Management, Zuweisung und Fristverfolgung
  • Fähigkeitsdokumentation — Dokumentieren Sie Ihre Möglichkeiten zur Wahrung der Rechte betroffener Personen pro Dienst oder System und zeigen Sie Ihren Kunden genau, was Sie unterstützen können.
  • Antwortverfolgung — Protokollieren Sie die Antworten auf jede Anfrage mit Zeitstempeln, den durchgeführten Aktionen und Nachweisen, um einen vollständigen Prüfpfad zu erstellen.
  • SLA-Überwachung — Reaktionszeiten anhand vertraglicher SLAs überwachen, mit Benachrichtigungen für Anfragen, deren Frist näher rückt.
  • Beweisführung — Belege zur Bearbeitung von Anfragen in strukturierter Form für die Auditvorbereitung und die Kundenberichterstattung speichern

Häufig gestellte Fragen

Welche Rechte der betroffenen Personen müssen Auftragsverarbeiter gewährleisten?

Gemäß der DSGVO müssen Auftragsverarbeiter Verantwortliche bei folgenden Rechten unterstützen: Auskunftsrecht (Abruf und Export von personenbezogenen Daten); Recht auf Berichtigung (Korrektur unrichtiger Daten); Recht auf Löschung (Löschung personenbezogener Daten); Recht auf Einschränkung der Verarbeitung (Kennzeichnung von Daten zur Einschränkung ihrer Nutzung); Recht auf Datenübertragbarkeit (Bereitstellung von Daten in einem strukturierten, maschinenlesbaren Format); und Widerspruchsrecht (Einschränkung der Verarbeitung bestimmter Daten). Die Systeme des Auftragsverarbeiters sollten so konzipiert sein, dass sie all diese Rechte für einzelne Datensätze gewährleisten.

Wer ist für die Auskunftserteilung zuständig – der Verantwortliche oder der Auftragsverarbeiter?

Der Verantwortliche ist für die Beantwortung von Anfragen betroffener Personen zuständig. Der Auftragsverarbeiter stellt dem Verantwortlichen die Mittel zur Verfügung, um die Anfrage zu bearbeiten. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage an den jeweiligen Verantwortlichen weiter (sofern im Vertrag nichts anderes vereinbart ist). Der Auftragsverarbeiter darf nicht direkt mit betroffenen Personen über deren Rechte kommunizieren, es sei denn, er ist vom Verantwortlichen dazu ermächtigt.

Was passiert, wenn der Prozessor eine Anfrage technisch nicht erfüllen kann?

Können die Systeme des Auftragsverarbeiters ein bestimmtes Recht der betroffenen Person nicht unterstützen (z. B. die detaillierte Löschung einzelner Datensätze aus Backup-Systemen), sollte diese Einschränkung dem Kunden vor Vertragsabschluss offengelegt werden. Der Vertrag sollte klar darlegen, was der Auftragsverarbeiter leisten kann und was nicht, und welche Alternativen zur Verfügung stehen. Systeme sollten von Anfang an so konzipiert sein, dass sie die Rechte der betroffenen Person unterstützen.A.3.29 Sichere Systemarchitektur) ist wesentlich einfacher und kostengünstiger als die nachträgliche Nachrüstung dieser Funktion.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt, was Auftragsverarbeiter hinsichtlich ihrer Pflichten gegenüber den betroffenen Personen nachweisen müssen.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.