Was erfordert die Kontrolle A.3.13?
Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen im Zusammenhang mit der Informationssicherheit bei der Verarbeitung personenbezogener Daten sowie der Ansatz der Organisation zur Erfüllung dieser Anforderungen sind zu dokumentieren und diese Dokumentation ist stets auf dem neuesten Stand zu halten.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) begründet eine grundlegende Verpflichtung: Rechtliche Anforderungen können nur erfüllt werden, wenn sie identifiziert wurden. Diese Kontrollmaßnahme stellt sicher, dass Organisationen ein aktuelles Verzeichnis aller geltenden Verpflichtungen sowie einen dokumentierten Ansatz zur Erfüllung jeder einzelnen Verpflichtung führen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.13) enthält folgende Hinweise:
- Potenzielle Sanktionen identifizieren — Organisationen sollten die potenziellen rechtlichen Sanktionen bei Nichterfüllung ihrer Verpflichtungen ermitteln, einschließlich erheblicher Geldstrafen, die Aufsichtsbehörden bei Nichteinhaltung verhängen können.
- Internationale Standards als Vertragsgrundlage In einigen Rechtsordnungen können internationale Normen wie ISO 27701 die Grundlage für vertragliche Vereinbarungen zwischen den Parteien bilden und einen anerkannten Rahmen für Datenschutzverpflichtungen schaffen.
- Web Link A.3.3: Richtlinien für die Informationssicherheit für damit zusammenhängende Anforderungen
- Web Link A.3.4: Rollen und Verantwortlichkeiten im Bereich Informationssicherheit für damit zusammenhängende Anforderungen
Die Leitlinien sind bewusst allgemein gehalten, da die konkreten rechtlichen Anforderungen je nach Rechtsordnung, Branche und Art der verarbeiteten personenbezogenen Daten stark variieren. Der Grundsatz ist jedoch überall derselbe: Kennen Sie Ihre Pflichten und dokumentieren Sie, wie Sie diese erfüllen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.13 ist mehreren Funktionen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Integritäts- und Vertraulichkeitsprinzip, das die Sicherheitsanforderungen untermauert
- Artikel 32 Absatz 1 Buchstabe d — Ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit von Maßnahmen
- Artikel 32 (2) — Beurteilung des angemessenen Sicherheitsniveaus unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken
- Artikel 5 (2) — Das Rechenschaftsprinzip, das den Verantwortlichen verpflichtet, für die Einhaltung der Vorschriften verantwortlich zu sein und diese nachzuweisen.
- Artikel 32 (1) (b) — Gewährleistung fortlaufender Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit
Der DatenschutzDie potenziellen Strafen bei Nichteinhaltung können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist – was die Ermittlung der rechtlichen Anforderungen zu einer geschäftskritischen Aktivität macht.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung durch die Abschnitte 6.15.1.1 (Identifizierung anwendbarer Rechtsvorschriften und vertraglicher Anforderungen) und 6.15.1.5 (Regelung kryptografischer Kontrollen) abgedeckt. Die Ausgabe von 2025 fasst diese in einer einzigen Kontrolle (A.3.13) zusammen und erweitert damit den Anwendungsbereich, sodass alle rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen an einem Ort erfasst werden. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.13 achten die Prüfer typischerweise auf Folgendes:
- Rechts- und Regulierungsregister — Ein dokumentiertes Verzeichnis, das alle anwendbaren Gesetze, Verordnungen und vertraglichen Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten auflistet, einschließlich Zuständigkeit und Gültigkeitsdatum.
- Compliance-Mapping — Nachweise, die belegen, wie die einzelnen rechtlichen Anforderungen durch die Richtlinien, Verfahren oder Kontrollen der Organisation erfüllt werden.
- Überprüfungsplan — Ein festgelegtes Verfahren zur Überprüfung und Aktualisierung des Registers bei Gesetzesänderungen, Eintritt neuer Gerichtsbarkeiten oder Unterzeichnung neuer Verträge.
- Sanktionsbewusstsein — Dokumentation, die belegt, dass die Organisation die potenziellen Folgen der Nichteinhaltung, einschließlich finanzieller Strafen, versteht.
- Versionsgeschichte — Der Nachweis, dass die Dokumentation aktiv gepflegt wurde und nicht nur einmal erstellt und dann vergessen wurde.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.10 Lieferantenvereinbarungen | Die vertraglichen Anforderungen an die Lieferanten müssen ermittelt und dokumentiert werden. |
| A.3.11 Planung des Vorfallmanagements | Die Verfahren zur Meldung von Datenschutzverletzungen müssen die geltenden gesetzlichen Fristen berücksichtigen. |
| A.3.16 Einhaltung der Richtlinien | Regelmäßige Überprüfungen stellen sicher, dass die gesetzlichen Anforderungen in der Praxis erfüllt werden. |
| A.3.14 Schutz von Aufzeichnungen | Rechts- und Compliance-Unterlagen müssen geschützt und ordnungsgemäß aufbewahrt werden. |
| A.3.15 Unabhängige Überprüfung | Unabhängige Prüfungen können die Genauigkeit der Zuordnung der Einhaltung gesetzlicher Bestimmungen bestätigen. |
Für wen gilt diese Regelung?
A.3.13 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche unterliegen in der Regel einem breiteren Spektrum an rechtlichen Verpflichtungen (Datenschutzgesetze, branchenspezifische Vorschriften, vertragliche Verpflichtungen gegenüber betroffenen Personen), während Auftragsverarbeiter zusätzlich ihre eigenen Verpflichtungen aus Verarbeitungsverträgen und geltenden Gesetzen ermitteln müssen. Beide Rollen benötigen ein fortlaufend geführtes Compliance-Register.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Verfolgung rechtlicher und regulatorischer Anforderungen?
ISMS.online bietet praktische Werkzeuge zur Führung Ihres Compliance-Registers und zum Nachweis des fortlaufenden Bewusstseins:
- Regulierungsregister — Führen Sie ein strukturiertes Verzeichnis aller anwendbaren Gesetze, Verordnungen und vertraglichen Anforderungen mit Angabe der jeweiligen Gerichtsbarkeit und des jeweiligen Gültigkeitsdatums.
- Compliance-Mapping — Verknüpfen Sie jede rechtliche Anforderung mit den spezifischen Richtlinien, Kontrollen und Nachweisen, die die Einhaltung belegen.
- Automatisierte Überprüfungserinnerungen — Legen Sie Prüfzyklen fest, damit Ihr Register in geplanten Abständen überprüft wird, und weisen Sie Aufgaben für Aktualisierungen zu.
- Änderungsmanagement — Gesetzesänderungen und neue vertragliche Verpflichtungen mithilfe von Versionsverlauf und Prüfprotokoll nachverfolgen
- Ausrichtung mehrerer Frameworks — Abbildung der rechtlichen Anforderungen gemäß ISO 27701, ISO 27001 DSGVO und andere Rahmenwerke in einer einzigen Ansicht
Häufig gestellte Fragen
Wie oft sollte das Register der rechtlichen Anforderungen überprüft werden?
Die Norm schreibt vor, dass die Dokumentation stets aktuell sein muss. Organisationen sollten das Register mindestens jährlich und immer dann überprüfen, wenn sich wesentliche Änderungen ergeben – beispielsweise beim Eintritt in einen neuen Rechtsraum, bei der Einführung eines neuen Produkts, das personenbezogene Daten verarbeitet, oder bei Änderungen der einschlägigen Gesetzgebung. Die Verknüpfung der Überprüfungen mit den Managementbewertungszyklen trägt zu deren regelmäßiger Durchführung bei.
Kann eine ISO 27701-Zertifizierung vertragliche Compliance-Verpflichtungen erfüllen?
Die Umsetzungshinweise weisen darauf hin, dass in einigen Rechtsordnungen internationale Standards wie ISO 27701 die Grundlage für vertragliche Vereinbarungen bilden können. Eine Zertifizierung belegt zwar ein solides Datenschutzmanagementsystem, einzelne Verträge können jedoch über den Standard hinausgehende Anforderungen stellen. Jede vertragliche Verpflichtung sollte individuell geprüft und in das Compliance-Register aufgenommen werden.
Welche Folgen hat es, wenn die geltenden rechtlichen Anforderungen nicht ermittelt werden?
Die Nichtbeachtung geltender rechtlicher Bestimmungen kann zu erheblichen Bußgeldern von Aufsichtsbehörden, Ansprüchen von Kunden und Partnern wegen Vertragsbruchs, Geschäftsverlusten und Reputationsschäden führen. Gemäß der DSGVO können die Bußgelder bis zu 4 % des weltweiten Jahresumsatzes betragen. Neben finanziellen Strafen schützt die Unkenntnis einer rechtlichen Bestimmung in Durchsetzungsverfahren nicht vor Strafe.
Sehen Sie sich unsere Analyse des Kosten der Nichteinhaltung im Vergleich zur Zertifizierung für die finanziellen Auswirkungen der Nichteinhaltung von Vorschriften.
Organisationen, die mit mehreren Rahmenwerken arbeiten, sollten Folgendes lesen: ISO 27701:2025 vs. SOC 2: Welches benötigen Sie?.
