Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.2.5.7: Offenlegung von Unterauftragnehmern, die mit der Verarbeitung personenbezogener Daten beauftragt sind

Die Kontrollmaßnahme A.2.5.7 verpflichtet Organisationen, dem Kunden vor der Beauftragung von Unterauftragnehmern offenzulegen, ob diese mit der Verarbeitung personenbezogener Daten beauftragt werden. Dies gibt den Verantwortlichen die notwendige Transparenz, um die Risiken von Unterauftragnehmern zu bewerten und ihren eigenen Compliance-Verpflichtungen nachzukommen.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.2.5.7?

Vor der Nutzung muss die Organisation dem Kunden offenlegen, ob Unterauftragnehmer mit der Verarbeitung personenbezogener Daten beauftragt sind.

Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) befasst sich mit der Transparenz von Unterauftragnehmern. Wenn ein Auftragsverarbeiter Unterauftragnehmer (Unterauftragnehmer) mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt, muss der Verantwortliche informiert werden, bevor der Unterauftragnehmer mit der Verarbeitung beginnt. Dies ist eine proaktive Pflicht: Die Offenlegung muss vor der Verwendung erfolgen, nicht erst danach.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.2.5.7) enthält folgende Hinweise:

  • Vertragliche Bestimmungen — Bestimmungen zur Offenlegung von Subunternehmerleistungen sollten im Kundenvertrag enthalten sein.
  • Offenlegungsumfang — Offenlegung der Tatsache der Vergabe von Unteraufträgen und der Namen der Unterauftragnehmer
  • Länder- und Transferinformationen — Legen Sie außerdem die Länder und Organisationen offen, in die Unterauftragnehmer Daten übermitteln können, sowie die Mittel, mit denen Unterauftragnehmer die eigenen Verpflichtungen des Auftragsverarbeiters erfüllen oder übertreffen.
  • Sicherheitsrisikoüberlegungen — Wenn die öffentliche Bekanntgabe von Details zu Unterauftragnehmern das Sicherheitsrisiko erhöht, kann die Offenlegung im Rahmen einer Geheimhaltungsvereinbarung (NDA) oder auf Anfrage erfolgen. Die Länderliste muss jedoch in jedem Fall offengelegt werden.
  • Web Link A.2.5.4: Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte für damit zusammenhängende Anforderungen
  • Web Link A.2.5.5: Benachrichtigung über Anfragen zur Offenlegung personenbezogener Daten für damit zusammenhängende Anforderungen

Die Leitlinien schaffen ein Gleichgewicht zwischen Transparenz und Sicherheit. Zwar müssen unter Umständen vollständige Angaben zu Unterauftragnehmern (einschließlich Namen und Compliance-Status) im Rahmen einer Geheimhaltungsvereinbarung offengelegt werden, um Sicherheitsrisiken vorzubeugen, die Länder, in die personenbezogene Daten übermittelt werden können, müssen jedoch stets uneingeschränkt offengelegt werden. Dies gewährleistet, dass Verantwortliche die Einhaltung der Vorschriften bei grenzüberschreitenden Datenübermittlungen jederzeit überprüfen können.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.2.5.7 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 28 (2) Der Auftragsverarbeiter darf ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter einsetzen. Im Falle einer allgemeinen schriftlichen Genehmigung hat der Auftragsverarbeiter den Verantwortlichen über alle beabsichtigten Änderungen hinsichtlich der Hinzunahme oder des Austauschs anderer Auftragsverarbeiter zu informieren, um dem Verantwortlichen die Möglichkeit zum Widerspruch zu geben.
  • Artikel 28 (4) — Beauftragt ein Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen, so gelten für diesen anderen Auftragsverarbeiter dieselben Datenschutzverpflichtungen wie im Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Datenschutz Artikel 28 Absatz 2 sieht entweder eine spezifische Genehmigung (unter Nennung jedes Unterauftragsverarbeiters) oder eine allgemeine Genehmigung mit einem Melde- und Widerspruchsmechanismus vor. In jedem Fall muss der Verantwortliche vor Beginn der Verarbeitung Kenntnis von den Unterauftragsverarbeitern haben.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.5.7 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.5.7. Diese ergänzen die länderspezifischen Offenlegungspflichten, die Geheimhaltungsvereinbarungsbestimmungen für sicherheitsrelevante Offenlegungen sowie die Pflicht zur Offenlegung, wie Unterauftragnehmer die Verpflichtungen des Auftragsverarbeiters erfüllen oder übertreffen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Kontakt


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.2.5.7 achten die Prüfer typischerweise auf Folgendes:

  • Subunternehmerregister — Ein geführtes Verzeichnis aller Subunternehmer, die mit der Verarbeitung personenbezogener Daten beauftragt sind, einschließlich ihrer Namen, Verarbeitungstätigkeiten, Standorte und des Datums der Offenlegung gegenüber den jeweiligen Kunden.
  • Offenlegungsunterlagen vor Vertragsbeginn — Nachweise dafür, dass die Subunternehmer den Kunden vor Beginn der Verarbeitung personenbezogener Daten offengelegt wurden, nicht erst danach.
  • Länderinformationen — Dokumentation der Länder und Organisationen, in denen die einzelnen Unterauftragnehmer personenbezogene Daten verarbeiten oder übermitteln
  • Konformitätsnachweis — Aufzeichnungen, die belegen, wie Unterauftragnehmer die Verpflichtungen des Auftragsverarbeiters erfüllen oder übertreffen, wie z. B. Zertifizierungen, Prüfberichte oder vertragliche Zusagen
  • Vertragliche Bestimmungen — Vertragsklauseln, die das Verfahren zur Offenlegung von Unterauftragnehmern regeln, einschließlich der Frage, ob eine spezifische oder allgemeine Genehmigung gilt, und des Widerspruchsrechts des Kunden.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.2.5.8 Beauftragung von Subunternehmern Regelt die vertraglichen und genehmigungsrechtlichen Anforderungen für die tatsächliche Beauftragung des Subunternehmers.
A.2.5.3 Länder für die Übermittlung personenbezogener Daten Die Länder der Subunternehmer müssen in die Liste der Transferziele aufgenommen werden.
A.2.5.2 Grundlage für die Übertragung personenbezogener Daten Für die Übertragung von Aufträgen an Subunternehmer in anderen Rechtsordnungen ist eine dokumentierte Rechtsgrundlage erforderlich.
A.2.2.2 Kundenvereinbarung Der Vertrag definiert das Unterauftragnehmer-Genehmigungsmodell (spezifisch oder allgemein).
A.2.2.6 Pflichten des Kunden Die Transparenz von Subunternehmern hilft Kunden dabei, ihre eigene Konformität nachzuweisen.

Für wen gilt diese Regelung?

A.2.5.7 gilt ausschließlich für PII-ProzessorenVerantwortliche sind letztlich für die Verarbeitung personenbezogener Daten verantwortlich, einschließlich der Verarbeitung durch Unterauftragnehmer in ihrem Auftrag. Ohne Transparenz darüber, wer ihre Daten wo verarbeitet, können Verantwortliche ihren Rechenschaftspflichten nicht nachkommen. Diese Kontrollmaßnahme stellt sicher, dass Auftragsverarbeiter keine Unterauftragnehmer ohne Wissen des Verantwortlichen in die Verarbeitungskette einbinden.



Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für das Offenlegungsmanagement von Subunternehmern?

ISMS.online bietet praktische Instrumente für ein transparentes Subunternehmermanagement:

  • Subunternehmerregister — Führen eines zentralen Verzeichnisses aller Unterauftragnehmer, einschließlich ihrer Namen, Verarbeitungstätigkeiten, Standorte, Zertifizierungen und des Status der Einhaltung der Vorschriften.
  • Offenlegungsworkflows — Verwalten Sie die Arbeitsabläufe zur Offenlegung vor Vertragsabschluss mit nachverfolgten Kundenbenachrichtigungen, Genehmigungsanfragen und Einwandbehandlung
  • Länderzuordnung — Unterauftragnehmer mit ihren Verarbeitungsländern verknüpfen und das Zielregister für die Übermittlung automatisch aktualisieren, wenn sich die Unterauftragnehmer ändern
  • Compliance-Überwachung — Nachweise zur Einhaltung der Vorschriften durch Subunternehmer (Zertifizierungen, Prüfberichte, Vertragsbedingungen) erfassen und kennzeichnen, wenn Nachweise ablaufen oder erneuert werden müssen.
  • Kundenportal — Gewähren Sie Ihren Kunden Einblick in Ihr Subunternehmerverzeichnis, reduzieren Sie so spontane Informationsanfragen und demonstrieren Sie fortlaufende Transparenz.

Häufig gestellte Fragen

Welche Informationen müssen über Subunternehmer offengelegt werden?

Der Auftragsverarbeiter muss mindestens Folgendes offenlegen: die Tatsache, dass Unterauftragnehmer eingesetzt werden; die Namen der Unterauftragnehmer; die Länder und Organisationen, an die Unterauftragnehmer personenbezogene Daten übermitteln dürfen; und die Maßnahmen, mit denen die Unterauftragnehmer die Verpflichtungen des Auftragsverarbeiters erfüllen oder übertreffen (z. B. Zertifizierungen, Vertragsbedingungen oder Prüfergebnisse). Falls die Offenlegung der Namen von Unterauftragnehmern ein Sicherheitsrisiko darstellt, können die Namen im Rahmen einer Geheimhaltungsvereinbarung oder auf Anfrage offengelegt werden, die Länderliste muss jedoch stets öffentlich zugänglich sein.

Worin besteht der Unterschied zwischen einer spezifischen und einer allgemeinen Genehmigung?

Gemäß Art. 28 Abs. 2 DSGVO kann der Verantwortliche eine spezifische Genehmigung (Genehmigung jedes einzelnen Unterauftragsverarbeiters vor dessen Beauftragung) oder eine allgemeine Genehmigung (pauschale Erlaubnis zur Nutzung von Unterauftragsverarbeitern, vorbehaltlich eines Benachrichtigungs- und Widerspruchsmechanismus) erteilen. Bei einer allgemeinen Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über alle beabsichtigten Änderungen bei den Unterauftragsverarbeitern informieren und ihm die Möglichkeit zum Widerspruch einräumen, bevor die Änderung wirksam wird. Der Vertrag sollte eindeutig festlegen, welches Modell Anwendung findet.

Kann ein Auftragsverarbeiter die Offenlegung der Namen von Unterauftragnehmern verweigern?

Die Leitlinien in Anhang B erlauben die Geheimhaltung von Namen, wenn dadurch das Sicherheitsrisiko erhöht wird, vorausgesetzt, die Offenlegung erfolgt im Rahmen einer Geheimhaltungsvereinbarung oder auf Anfrage. Der Auftragsverarbeiter darf die Offenlegung von Namen gegenüber dem Kunden jedoch nicht gänzlich verweigern, da der Verantwortliche diese Informationen zur Erfüllung seiner eigenen Pflichten benötigt. Die Länderliste muss stets uneingeschränkt offengelegt werden. In der Praxis erwarten die meisten Kunden die vollständigen Namen der Unterauftragnehmer im Rahmen der Datenverarbeitungsvereinbarung oder in einer öffentlich zugänglichen Unterauftragnehmerliste.

Einkaufsteams nutzen diese Kontrollen zur Bewertung von Verarbeitern – siehe unsere Leitfaden für Beschaffungsanforderungen und Leitfaden zur Lieferantenbewertung.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt detailliert, was die Prüfer der Subunternehmerdokumentation erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.