Was erfordert die Kontrolle A.2.5.5?
Die Organisation benachrichtigt den Kunden über alle rechtsverbindlichen Anfragen zur Offenlegung personenbezogener Daten.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) behandelt eine wichtige Transparenzpflicht. Erhält ein Auftragsverarbeiter eine rechtsverbindliche Anfrage zur Offenlegung personenbezogener Daten (beispielsweise von einer Strafverfolgungsbehörde, einem Gericht oder einer Aufsichtsbehörde), muss der Verantwortliche benachrichtigt werden. Dies ermöglicht es dem Verantwortlichen, die Auswirkungen auf seine Daten zu verstehen, gegebenenfalls Rechtsberatung einzuholen und seinen eigenen Pflichten gegenüber den betroffenen Personen nachzukommen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.5.5) enthält folgende Hinweise:
- Art der Anfragen — Die Organisation kann rechtsverbindliche Auskunftsersuchen erhalten, beispielsweise von Justizbehörden.
- Benachrichtigungsverfahren — Der Kunde muss innerhalb der vereinbarten Fristen und nach einem vereinbarten Verfahren benachrichtigt werden, das im Vertrag festgelegt werden kann.
- Benachrichtigungsverbot — Einige rechtlich bindende Anfragen beinhalten ein Benachrichtigungsverbot, beispielsweise gemäß strafrechtlichen Bestimmungen, die die Vertraulichkeit von Ermittlungen gewährleisten sollen.
- Web Link A.2.5.3: Länder und internationale Organisationen für den Transfer personenbezogener Daten für damit zusammenhängende Anforderungen
- Web Link A.2.5.7: Offenlegung der zur Verarbeitung personenbezogener Daten eingesetzten Unterauftragnehmer für damit zusammenhängende Anforderungen
Die Leitlinien berücksichtigen den Konflikt zwischen der Pflicht des Auftragsverarbeiters, den Kunden zu benachrichtigen, und Situationen, in denen eine Benachrichtigung rechtlich untersagt ist. Enthält eine gerichtliche Anordnung oder eine Anfrage von Strafverfolgungsbehörden eine Geheimhaltungsklausel (manchmal auch als Maulkorbverfügung bezeichnet), kann der Auftragsverarbeiter den Kunden unter Umständen nicht benachrichtigen, ohne gegen geltendes Recht zu verstoßen. In solchen Fällen muss der Auftragsverarbeiter das gesetzliche Verbot beachten und den Kunden unverzüglich benachrichtigen, sobald das Verbot aufgehoben ist.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.5.5 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 28 (3) (a) Der Auftragsverarbeiter darf die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, es sei denn, die Verarbeitung ist aufgrund von Rechtsvorschriften der Union oder eines Mitgliedstaats, denen der Auftragsverarbeiter unterliegt, erforderlich. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
Datenschutz Artikel 28 Absatz 3 Buchstabe a verpflichtet Auftragsverarbeiter, Verantwortliche zu informieren, wenn sie aufgrund gesetzlicher Bestimmungen personenbezogene Daten verarbeiten (einschließlich deren Offenlegung). Eine Ausnahme besteht, wenn das Gesetz selbst die Benachrichtigung aus Gründen des öffentlichen Interesses untersagt. Dies entspricht den Leitlinien in Anhang B zu Benachrichtigungsverboten im Strafrecht.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.5.5 als eigenständige Kontrollmaßnahme mit Umsetzungshinweisen in B.2.5.5, die sich explizit mit Benachrichtigungsfristen, vertraglichen Verfahren und der Anfechtung von Benachrichtigungsverboten nach Strafrecht befassen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.5.5 achten die Prüfer typischerweise auf Folgendes:
- Benachrichtigungsverfahren — Ein dokumentiertes Verfahren zur Benachrichtigung von Kunden beim Eingang rechtsverbindlicher Auskunftsersuchen, einschließlich Benachrichtigungszeitraum und Kommunikationskanal
- Anfrageregister — Ein Verzeichnis der eingegangenen, rechtsverbindlichen Auskunftsersuchen, in dem die anfragende Behörde, das Eingangsdatum, der Umfang des Ersuchens, das Benachrichtigungsdatum und etwaige Benachrichtigungsverbote vermerkt sind
- Kundenbenachrichtigungen — Aufzeichnungen über an Kunden versandte Benachrichtigungen, einschließlich Versanddatum und der bereitgestellten Informationen
- Vertragliche Bestimmungen — Vertragsklauseln, die das Benachrichtigungsverfahren, die Fristen und den vom Kunden bevorzugten Kommunikationskanal für Offenlegungsmitteilungen festlegen
- Umgang mit Verboten — Dokumentierte Verfahren für den Umgang mit Situationen, in denen eine Benachrichtigung rechtlich verboten ist, einschließlich der Art und Weise, wie das Verbot nachverfolgt wird und wie der Kunde benachrichtigt wird, sobald das Verbot aufgehoben wird
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.5.6 Rechtsverbindliche Offenlegung personenbezogener Daten | Regelt, wie der Auftragsverarbeiter die Offenlegung nach der Benachrichtigung selbst handhabt. |
| A.2.5.4 Aufzeichnungen über die Offenlegung personenbezogener Daten | Alle Offenlegungen, die sich aus rechtsverbindlichen Anfragen ergeben, müssen protokolliert werden. |
| A.2.2.2 Kundenvereinbarung | Der Vertrag sollte das Benachrichtigungsverfahren und die Fristen festlegen. |
| A.2.2.6 Pflichten des Kunden | Die Benachrichtigung über Offenlegungsanfragen hilft Kunden beim Nachweis der Einhaltung der Vorschriften. |
| A.2.5.2 Grundlage für die Übertragung personenbezogener Daten | Gesetzlich vorgeschriebene Offenlegungen können grenzüberschreitende Datenübermittlungen beinhalten. |
Für wen gilt diese Regelung?
A.2.5.5 gilt ausschließlich für PII-ProzessorenErhält ein Auftragsverarbeiter eine rechtsverbindliche Auskunftsanfrage, hat der Verantwortliche ein unmittelbares Interesse daran, davon Kenntnis zu erlangen. Der Verantwortliche muss gegebenenfalls die betroffenen Personen informieren, Rechtsberatung einholen, die Anfrage anfechten oder seine eigenen Datensätze aktualisieren. Ohne Benachrichtigung durch den Auftragsverarbeiter weiß der Verantwortliche nicht, dass seine Daten angefordert wurden, und kann keine geeigneten Maßnahmen ergreifen.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online für die Verwaltung von Offenlegungsanträgen?
ISMS.online bietet praktische Instrumente für die Bearbeitung rechtsverbindlicher Auskunftsersuchen:
- Anfrageverfolgung — Protokollieren und verfolgen Sie rechtsverbindliche Auskunftsersuchen mit strukturierten Feldern für anfragende Behörde, Umfang, Eingangsdatum und Benachrichtigungsstatus
- Benachrichtigungs-Workflows — Automatisierte Kundenbenachrichtigungs-Workflows auslösen, sobald eine Auskunftsanfrage eingeht, mit konfigurierbaren Zeitrahmen und Kommunikationskanälen
- Verbotsmanagement — Anfragen mit Benachrichtigungsverboten kennzeichnen, Überprüfungsdaten für den Ablauf des Verbots festlegen und verzögerte Benachrichtigungen automatisch auslösen
- Audit-Trail — Führen Sie ein vollständiges Prüfprotokoll aller Offenlegungsanfragen, Benachrichtigungen und Antworten, das für behördliche oder Kundenprüfungen bereitsteht.
- Vertragsverknüpfung — Verknüpfung der Offenlegungsmeldungsverfahren mit den entsprechenden Kundenvertragsbestimmungen, um eine einheitliche Einhaltung zu gewährleisten
Häufig gestellte Fragen
Was gilt als rechtsverbindlicher Auskunftsantrag?
Eine rechtsverbindliche Auskunftsanfrage ist eine Anfrage, zu deren Erfüllung der Auftragsverarbeiter rechtlich verpflichtet ist. Dies umfasst Gerichtsbeschlüsse, Vorladungen, Haftbefehle, Anfragen von Aufsichtsbehörden im Rahmen von Ermittlungen und gesetzliche Offenlegungspflichten. Informelle Anfragen von Behörden (deren Erfüllung freiwillig ist) werden gesondert behandelt. A.2.5.6 Rechtsverbindliche OffenlegungenDer entscheidende Unterschied liegt darin, ob der Auftragsverarbeiter eine rechtliche Verpflichtung zur Offenlegung hat, nicht darin, ob die Anfrage von einer Regierungsbehörde stammt.
Was passiert, wenn es dem Auftragsverarbeiter untersagt ist, den Kunden zu benachrichtigen?
Manche rechtlich bindende Anfragen enthalten eine Geheimhaltungsklausel, die es dem Auftragsverarbeiter untersagt, Dritte über die Anfrage zu informieren. Dies ist häufig bei strafrechtlichen Ermittlungen der Fall, da eine Benachrichtigung die Ermittlungen gefährden könnte. In solchen Fällen muss der Auftragsverarbeiter das Verbot beachten. Er sollte jedoch die Gültigkeit des Verbots überwachen, prüfen, ob es aufgehoben wurde oder abgelaufen ist, und den Kunden so bald wie rechtlich zulässig benachrichtigen. Die Verfahrensanweisungen des Auftragsverarbeiters sollten dokumentieren, wie mit solchen Situationen umgegangen wird.
Wie schnell sollten die Kunden benachrichtigt werden?
Die Norm legt keine Benachrichtigungsfrist fest, sondern besagt, dass Kunden innerhalb der vertraglich vereinbarten Fristen benachrichtigt werden sollen. In der Praxis sollte die Benachrichtigung möglichst zeitnah erfolgen, damit der Kunde vor der Offenlegung Maßnahmen ergreifen kann. Viele Verträge sehen eine Benachrichtigung innerhalb von 24 bis 72 Stunden nach Eingang der Anfrage vor. Die konkrete Frist sollte die Dringlichkeit der Anfrage, die Reaktionspflicht des Kunden und etwaige gesetzliche Fristen berücksichtigen.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die von Wirtschaftsprüfern geforderten Offenlegungsdokumente.
Sie finden weitere Information in der Produktübersicht für Leitfaden zur Lieferantenbewertung wie Kunden die Offenlegungspraktiken von Prozessoren bewerten.
