Was erfordert die Kontrolle A.2.5.9?
Im Falle einer allgemeinen schriftlichen Genehmigung ist die Organisation verpflichtet, den Kunden über alle beabsichtigten Änderungen hinsichtlich der Hinzunahme oder des Austauschs von Unterauftragnehmern zur Verarbeitung personenbezogener Daten zu informieren und dem Kunden damit die Möglichkeit zu geben, solchen Änderungen zu widersprechen.
Diese Steuerung befindet sich innerhalb der Übermittlung und Offenlegung personenbezogener Daten Ziel (A.2.5), das regelt, wie PII-Verarbeiter die Weitergabe und Übermittlung von personenbezogenen Daten verwalten, die ihnen von ihren Kunden anvertraut werden.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.2.5.9) enthält folgende Hinweise:
- Wechselt das Unternehmen den Subunternehmer, ist vor der Verarbeitung personenbezogener Daten durch den neuen Subunternehmer eine schriftliche Genehmigung des Kunden erforderlich.
- Diese Genehmigung kann in Form spezifischer Vertragsklauseln erfolgen, die das Benachrichtigungs- und Widerspruchsverfahren regeln.
- Alternativ kann es sich um eine einmalige, gesonderte Vereinbarung handeln, die vor Beginn der Bearbeitung durch den neuen Subunternehmer getroffen wird.
- Der entscheidende Grundsatz besteht darin, dass der Kunde die Kontrolle darüber behält, welche Stellen seine personenbezogenen Daten verarbeiten, selbst wenn eine allgemeine Genehmigung erteilt wurde.
- Web Link A.2.5.2: Grundlage für die Übermittlung personenbezogener Daten zwischen Rechtsordnungen für damit zusammenhängende Anforderungen
- Web Link A.2.5.3: Länder und internationale Organisationen für den Transfer personenbezogener Daten für damit zusammenhängende Anforderungen
Diese Richtlinie bekräftigt den Grundsatz, dass eine allgemeine Genehmigung keine uneingeschränkte Erlaubnis bedeutet. Der Kunde muss stets das Recht haben, Änderungen in der Subunternehmerkette zu überprüfen und gegebenenfalls abzulehnen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.5.9 ist direkt zugeordnet zu Artikel 28 Absatz 2 der DSGVODie Richtlinie besagt, dass ein Auftragsverarbeiter ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter einsetzen darf. Wurde eine allgemeine schriftliche Genehmigung erteilt, hat der Auftragsverarbeiter den Verantwortlichen über alle beabsichtigten Änderungen hinsichtlich der Hinzunahme oder des Austauschs anderer Auftragsverarbeiter zu informieren, um dem Verantwortlichen die Möglichkeit zu geben, diesen Änderungen zu widersprechen.
Dies ist eine der am direktesten aufeinander abgestimmten Kontrollen zwischen ISO 27701:2025 und Datenschutz, wobei die Kontrollsprache eng an die Verordnung angelehnt ist.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Diese Steuerung unterstützt den folgenden Datenschutzgrundsatz der ISO 29100:
- Verantwortlichkeit — Gewährleistung klarer Verantwortlichkeiten für die Verarbeitung personenbezogener Daten in der gesamten Subunternehmerkette
- Offenheit, Transparenz und Benachrichtigung — Sicherstellen, dass der Kunde über Änderungen informiert wird, die die Verarbeitung seiner personenbezogenen Daten betreffen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.5.9 achten die Prüfer typischerweise auf Folgendes:
- Subunternehmerregister — Eine dokumentierte Liste aller aktuell mit der Verarbeitung personenbezogener Daten beauftragten Subunternehmer, einschließlich Auftragsdatum und Umfang der Verarbeitung
- Benachrichtigungsdatensätze — Nachweis, dass der Kunde vor Inkrafttreten der geplanten Änderungen bei den Subunternehmern darüber informiert wurde.
- Widerspruchsverfahren — Ein festgelegtes Verfahren, wie Kunden Einwände gegen vorgeschlagene Änderungen erheben können, einschließlich der dafür vorgesehenen Fristen.
- Vertragsklauseln — Schriftliche Vereinbarungen, die den Benachrichtigungs- und Einspruchsmechanismus für Änderungen von Subunternehmern festlegen
- Autorisierungsaufzeichnungen — Nachweis einer schriftlichen Genehmigung (allgemein oder spezifisch) von jedem Kunden
- Geschichte verändern — Ein Prüfprotokoll, das alle Hinzufügungen, Ersetzungen und Entfernungen von Subunternehmern im Laufe der Zeit aufzeigt
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.5.7 Offenlegung von Subunternehmern | Erfordert die Offenlegung des Einsatzes von Unterauftragnehmern vor Beginn der Bearbeitung. |
| A.2.5.8 Beauftragung eines Subunternehmers | Regelt die vertraglichen Anforderungen bei der Beauftragung von Subunternehmern |
| A.2.2.2 Kundenvereinbarung | Die übergeordnete Vereinbarung, die die Verarbeitungsbedingungen einschließlich der Bestimmungen für Unterauftragnehmer festlegt. |
| A.2.2.3 Organisationszwecke | Die Verarbeitung muss im Rahmen der mit dem Kunden vereinbarten Zwecke bleiben, auch wenn Unterauftragnehmer wechseln |
| A.3.10 Lieferantenvereinbarungen | Erweiterte Anforderungen an das Lieferantenmanagement, die auch für Unterauftragnehmerbeziehungen gelten |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung Teil von Klausel 8.5.8 (Änderungen bei der Verarbeitung personenbezogener Daten durch Unterauftragnehmer). Der Kontrollinhalt ist in der Fassung von 2025 im Wesentlichen derselbe, befindet sich aber nun in … Tabelle A.2 mit einer klareren Trennung zwischen der Kontrollanweisung (A.2.5.9) und den Umsetzungshinweisen (B.2.5.9). Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Subunternehmerwechseln?
ISMS.online bietet praktische Werkzeuge für das Management von Subunternehmerbeziehungen und -änderungen:
- Subunternehmerregister — Führen eines zentralen Verzeichnisses aller Unterauftragnehmer, die personenbezogene Daten verarbeiten, mit Angaben zu Umfang, Standort und Vertragsdetails
- Arbeitsablauf ändern — Benachrichtigungs-Workflows auslösen, wenn Subunternehmer hinzugefügt oder ersetzt werden, mit integrierten Genehmigungsschritten
- Kunden Kommunikation — Benachrichtigungen an Kunden protokollieren und deren Reaktionen, einschließlich etwaiger Einwände, verfolgen.
- Vertragsmanagement — Unterauftragnehmerverträge zusammen mit Autorisierungsaufzeichnungen speichern und versionieren.
- Audit-Trail — Erstellung einer vollständigen Historie der Subunternehmerwechsel für Prüfungsnachweise und Compliance-Berichte
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen einer allgemeinen und einer spezifischen schriftlichen Genehmigung?
Eine allgemeine schriftliche Genehmigung erlaubt es dem Auftragsverarbeiter, Unterauftragnehmer zu beauftragen, sofern er den Auftraggeber benachrichtigt und ihm die Möglichkeit zum Widerspruch einräumt. Eine spezifische schriftliche Genehmigung erfordert die Zustimmung des Auftraggebers zu jedem einzelnen Unterauftragnehmer, bevor dieser mit der Verarbeitung beginnen kann. Abschnitt A.2.5.9 regelt im Detail die Pflichten, die sich aus einer allgemeinen Genehmigung ergeben.
Wie viel Vorlaufzeit sollte vor einem Wechsel des Subunternehmers eingeräumt werden?
ISO 27701:2025 legt keine Mindestfrist für Widerspruch fest, der Kunde muss jedoch eine angemessene Gelegenheit zum Widerspruch erhalten. Es empfiehlt sich, die Widerspruchsfrist in der Verarbeitungsvereinbarung zu definieren. Viele Organisationen verwenden 30 Tage als Standardfrist; diese sollte jedoch mit jedem Kunden individuell unter Berücksichtigung der Sensibilität und des Umfangs der verarbeiteten personenbezogenen Daten vereinbart werden.
Was passiert, wenn ein Kunde einer Änderung des Subunternehmers widerspricht?
Widerspricht ein Kunde, darf der neue Unterauftragnehmer die personenbezogenen Daten dieses Kunden nicht verarbeiten. Die Organisation sollte ein dokumentiertes Verfahren für den Umgang mit Widersprüchen haben. Dieses kann die Beibehaltung des bisherigen Unterauftragnehmers für den betreffenden Kunden, das Angebot eines Alternativauftragnehmers oder in bestimmten Fällen die Kündigung des Vertrags umfassen. Das konkrete Ergebnis richtet sich nach den Bestimmungen der Verarbeitungsvereinbarung.
Einkaufsteams nutzen diese Kontrollen zur Bewertung von Verarbeitern – siehe unsere Leitfaden für Beschaffungsanforderungen und Leitfaden zur Lieferantenbewertung.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt detailliert, was die Prüfer der Subunternehmerdokumentation erwarten.
