Was erfordert die Kontrolle A.3.10?
Die relevanten Anforderungen an die Informationssicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten werden mit jedem Lieferanten auf Grundlage der Art der Lieferantenbeziehung festgelegt und vereinbart.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) enthält Pflichten sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Er trägt der Tatsache Rechnung, dass personenbezogene Daten selten innerhalb einer einzelnen Organisation verbleiben – Lieferanten, Unterauftragsverarbeiter und Partner bergen Risiken, die vertraglich geregelt werden müssen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.10) enthält folgende Hinweise:
- Verarbeitung personenbezogener Daten spezifizieren — In den Vereinbarungen sollte festgelegt werden, ob personenbezogene Daten verarbeitet werden sollen und, falls ja, welche technischen und organisatorischen Mindestmaßnahmen der Lieferant ergreifen muss.
- Verantwortlichkeiten klar zuweisen — Die Aufteilung der Verantwortlichkeiten zwischen der Organisation, ihren Partnern und ihren Lieferanten sollte klar und eindeutig sein.
- Compliance-Mechanismen — Es soll ein Mechanismus zur Sicherstellung der Einhaltung geltender rechtlicher Anforderungen, wie z. B. vertraglicher Klauseln zu Datenschutzverpflichtungen, bereitgestellt werden.
- Unabhängige Prüfungsnachweise — Erwägen Sie die Anforderung einer unabhängigen Prüfung der Einhaltung der Vorschriften (zum Beispiel, ISO Zertifizierung 27001) als Möglichkeit, nachzuweisen, dass Lieferanten die Informationssicherheitsanforderungen erfüllen
- Prozessorspezifische Hinweise — Wenn die Organisation als Auftragsverarbeiter fungiert, sollten die Verträge mit ihren eigenen Lieferanten (Unterauftragsverarbeitern) festlegen, dass personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen verarbeitet werden.
In den Leitlinien wird betont, dass Lieferantenvereinbarungen nicht nur eine rechtliche Formalität darstellen – sie sind der primäre Mechanismus, durch den Unternehmen ihre Datenschutzmaßnahmen auf die Lieferkette ausdehnen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.10 ist mehreren Funktionen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Integrität und Vertraulichkeit, auch wenn personenbezogene Daten von Dritten verarbeitet werden
- Artikel 28 (1) — Die Controller dürfen nur Prozessoren verwenden, die ausreichende Garantien bieten.
- Artikel 28(3)(ah) — Obligatorische Vertragsbedingungen für Auftragsverarbeiterverträge, einschließlich Gegenstand, Dauer, Art der Verarbeitung und Pflichten beider Parteien
- Artikel 30 Absatz 2 Buchstabe d — Auftragsverarbeiter müssen die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungen aufzeichnen.
- Artikel 32 (1) (b) — Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme zu gewährleisten
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung durch die Abschnitte 6.12.1.1 und 6.12.1.2 abgedeckt, die die Informationssicherheitspolitik für Lieferantenbeziehungen und die Sicherheit in Lieferantenverträgen behandelten. Die Ausgabe von 2025 fasst diese in einer einzigen Kontrollmaßnahme (A.3.10) mit einem einheitlichen Abschnitt zur Implementierungsanleitung in B.3.10 zusammen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.10 achten die Prüfer typischerweise auf Folgendes:
- Lieferantenregister — Eine Liste aller Anbieter, die personenbezogene Daten verarbeiten, mit Angaben dazu, auf welche Daten sie zugreifen und welcher Art die Verarbeitung ist.
- Datenverarbeitungsvereinbarungen — Unterzeichnete Verträge oder Klauseln, die Informationssicherheitsanforderungen, Verantwortlichkeiten und Compliance-Verpflichtungen festlegen.
- Sorgfaltsprüfungsunterlagen — Nachweise dafür, dass die Lieferanten vor der Auftragsvergabe geprüft wurden, einschließlich Sicherheitsfragebögen oder Zertifizierungsprüfungen
- Laufende Überwachung — Aufzeichnungen über regelmäßige Lieferantenüberprüfungen, Audits oder Rezertifizierungsprüfungen zur Bestätigung der fortlaufenden Einhaltung
- Subprozessorverwaltung — Sofern es sich bei der Organisation um einen Auftragsverarbeiter handelt, sind Unterlagen vorzulegen, aus denen hervorgeht, dass Unterauftragnehmer vertraglich an die Anweisungen des Verantwortlichen gebunden sind.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.9 Zugriffsrechte | Der Zugriff von Lieferanten auf personenbezogene Daten muss durch die Zugriffskontrollrichtlinie der Organisation geregelt werden. |
| A.3.13 Rechtliche und vertragliche Anforderungen | Lieferantenverträge müssen die geltenden rechtlichen und regulatorischen Verpflichtungen widerspiegeln. |
| A.3.18 Vertraulichkeitsvereinbarungen | Mitarbeiter von Lieferanten mit Zugriff auf personenbezogene Daten sollten Vertraulichkeitsvereinbarungen unterzeichnen. |
| A.3.15 Unabhängige Überprüfung | Unabhängige Audits können die Einhaltung der Lieferantenrichtlinien anstelle von individuellen Kundenaudits nachweisen. |
| A.3.12 Reaktion auf Vorfälle | Lieferantenverträge sollten Meldepflichten bei Vertragsverletzungen und Reaktionsfristen enthalten. |
Für wen gilt diese Regelung?
A.3.10 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen sicherstellen, dass ihre Auftragsverarbeiter und Lieferanten über angemessene vertragliche Schutzmaßnahmen verfügen. Auftragsverarbeiter müssen gleichwertige Anforderungen an ihre eigenen Unterauftragnehmer weitergeben, um zu gewährleisten, dass personenbezogene Daten ausschließlich gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeitet werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Datenschutzvereinbarungen mit Lieferanten?
ISMS.online bietet praktische Instrumente für das Management von Lieferantenbeziehungen und Datenschutzverpflichtungen:
- Lieferantenmanagementmodul — Führen eines zentralen Verzeichnisses aller Lieferanten, die personenbezogene Daten verarbeiten, mit Risikobewertungen, Vertragsdaten und Überprüfungsplänen.
- Vertragsverfolgung — Datenverarbeitungsvereinbarungen speichern und versionieren mit automatischen Verlängerungserinnerungen
- Due-Diligence-Workflows — Prüfen Sie neue Lieferanten vor der Aufnahme anhand Ihrer Sicherheitsanforderungen mit Hilfe konfigurierbarer Fragebogenvorlagen.
- Laufende Überwachung — Regelmäßige Lieferantenbewertungen mit Aufgabenverteilung und Nachweissammlung einplanen
- Revisionssicheres Reporting — Erstellung von Lieferanten-Compliance-Berichten mit Angabe des Vertragsstatus, der Prüfhistorie und ausstehender Maßnahmen
- Subprozessor-Verfolgung — Bilden Sie die gesamte Verarbeitungskette ab, damit Sie genau wissen, wo personenbezogene Daten durch Ihr Liefernetzwerk fließen.
Häufig gestellte Fragen
Was sollte eine Lieferantenvereinbarung für die Verarbeitung personenbezogener Daten beinhalten?
Die Vereinbarung sollte mindestens festlegen, ob personenbezogene Daten verarbeitet werden, welche Kategorien und welches Datenvolumen betroffen sind, welche technischen und organisatorischen Mindestmaßnahmen der Anbieter ergreifen muss, wie die Verantwortlichkeiten zwischen den Parteien aufgeteilt sind, welche Meldepflichten bei Datenschutzverletzungen bestehen und wie die Einhaltung der Vereinbarung überprüft werden kann. DatenschutzArtikel 28(3) listet zwingende Vertragsbedingungen auf, die erfüllt werden müssen.
Kann eine ISO 27001-Zertifizierung ein Lieferantenaudit ersetzen?
Die Implementierungsrichtlinien erwähnen ausdrücklich unabhängige Konformitätsprüfungen wie ISO 27001 als Mechanismus zum Nachweis der Erfüllung von Sicherheitsanforderungen. Obwohl eine Zertifizierung ein starkes Indiz ist, sollten Organisationen dennoch sicherstellen, dass der Geltungsbereich der Zertifizierung des Anbieters die relevanten Verarbeitungstätigkeiten personenbezogener Daten abdeckt. Eine Zertifizierung allein erfüllt möglicherweise nicht alle datenschutzspezifischen Anforderungen.
Wie unterscheidet sich dies bei Prozessoren, die Unterprozessoren verwalten?
Wenn Ihre Organisation als Auftragsverarbeiter fungiert, müssen Ihre Verträge mit Unterauftragsverarbeitern eine Klausel enthalten, die sicherstellt, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des Verantwortlichen verarbeitet werden. Sie bleiben dem Verantwortlichen gegenüber für die Handlungen Ihrer Unterauftragsverarbeiter verantwortlich, daher muss in der gesamten Verarbeitungskette der gleiche hohe Standard an vertraglicher Strenge und Sorgfalt gelten.
Sehen Sie sich unsere Anleitungen an auf ISO 27701 als Beschaffungsanforderung und wie man Lieferanten bewertet aus Käufersicht.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die von den Prüfern erwartete Lieferantendokumentation.
