Was verlangt Klausel 4?
Klausel 4 bildet die Grundlage für Ihr Datenschutzinformationsmanagementsystem (PIMS), indem sie Sie verpflichtet, den Kontext, in dem Ihr Unternehmen tätig ist, Ihre Interessengruppen und den Geltungsbereich Ihres PIMS zu verstehen. Sie besteht aus vier Unterklauseln, die aufeinander aufbauen und ein umfassendes Bild Ihrer Datenschutzlandschaft zeichnen.
4.1 Die Organisation und ihren Kontext verstehen
Die Organisation muss die externen und internen Faktoren ermitteln, die für ihren Zweck relevant sind und ihre Fähigkeit beeinflussen, die beabsichtigten Ergebnisse des PIMS zu erreichen. Dies umfasst:
- Äußere Probleme — Datenschutzgesetze und -vorschriften (wie zum Beispiel Datenschutz), Branchenanforderungen, vertragliche Verpflichtungen, technologische Entwicklungen und das Wettbewerbsumfeld
- Interne Probleme — Organisationskultur, Führungsstruktur, bestehende Richtlinien, Ressourcenverfügbarkeit und Mitarbeiterkompetenz
- Klimawandel (Abschnitte 4.1 und 4.2) — Eine Neuerung in der Ausgabe 2025 verpflichtet Organisationen, zu prüfen, ob der Klimawandel ein relevantes Thema darstellt, das sich auf das PIMS auswirken könnte.
- Controller- oder Prozessorrolle — Die Organisation muss festlegen, ob sie als PII-Verantwortlicher, PII-Verarbeiter oder beides fungiert, da dies darüber entscheidet, Anhang A-Kontrollen sich bewerben
4.2 Die Bedürfnisse und Erwartungen der Interessengruppen verstehen
Die Organisation muss die für ihr PIMS relevanten Interessengruppen identifizieren und deren Anforderungen verstehen. Zu den wichtigsten Interessengruppen gehören typischerweise:
- PII-Prinzipien — Die Personen, deren personenbezogene Daten verarbeitet werden
- Kunden — Ob Sie als Verantwortliche für personenbezogene Daten agieren und Ihre Organisation als Auftragsverarbeiter einsetzen oder als Auftragsverarbeiter Kunden sind, die Daten bereitstellen
- Regulierungs- und Aufsichtsbehörden — Datenschutzbehörden mit Aufsichtsverantwortung
- Mitarbeiter und Auftragnehmer — Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind
- Dritte und Subunternehmer — Unternehmen, die an der Lieferkette beteiligt sind und möglicherweise personenbezogene Daten verarbeiten
Für jede interessierte Partei muss ermittelt werden, welche ihrer Anforderungen für das PIMS relevant sind und welche über das Managementsystem abgedeckt werden.
4.3 Festlegung des Anwendungsbereichs des PIMS
Die Organisation muss die Grenzen und den Anwendungsbereich des PIMS festlegen, um dessen Geltungsbereich zu bestimmen. Bei der Festlegung des Geltungsbereichs muss die Organisation Folgendes berücksichtigen:
- Die in Abschnitt 4.1 identifizierten externen und internen Probleme
- Die Anforderungen der in Abschnitt 4.2 genannten Interessengruppen
- Die Schnittstellen und Abhängigkeiten zwischen den von der Organisation durchgeführten Aktivitäten und denen anderer Organisationen
- Die unter den Geltungsbereich fallenden PII-Verarbeitungsaktivitäten, einschließlich der Arten von PII, der Kategorien der betroffenen Personen und der Verarbeitungszwecke.
Der Umfang muss dokumentiert und als dokumentierte Information zur Verfügung gestellt werden.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
4.4 Datenschutzinformationsmanagementsystem
Die Organisation muss ein PIMS (Präventions- und Informationsmanagementsystem) einschließlich der erforderlichen Prozesse und ihrer Wechselwirkungen gemäß den Anforderungen der Norm einrichten, implementieren, aufrechterhalten und kontinuierlich verbessern. Dies ist die übergeordnete Anforderung, die alle nachfolgenden Klauseln miteinander verbindet.
Welchen Bezug hat das zur DSGVO?
Klausel 4 unterstützt mehrere Datenschutz Anforderungen:
- Artikel 24 — Verantwortung des Verantwortlichen, die Organisationen verpflichtet, unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung geeignete Maßnahmen zu ergreifen.
- Artikel 25 — Datenschutz durch Technikgestaltung und standardmäßige Datenschutzeinstellungen, der durch das Verständnis von Kontext und Umfang im Vorfeld unterstützt wird
- Artikel 26 — Gemeinsame Verantwortliche, relevant für die Bestimmung Ihrer Rolle als Verantwortlicher oder Auftragsverarbeiter
- Artikel 28 — Anforderungen an den Prozessor, die davon abhängen, ob Ihre Rolle gemäß Klausel 4.1 korrekt identifiziert wird.
- Artikel 30 — Aufzeichnungen über Verarbeitungstätigkeiten, wofür ein Verständnis des Umfangs der Verarbeitung personenbezogener Daten erforderlich ist.
Was hat sich gegenüber ISO 27701:2019 geändert?
Wichtigste Änderungen in Klausel 4 im Vergleich zur Ausgabe von 2019:
- Eigenständige Anforderungen — Im Jahr 2019 wurde Abschnitt 5.2 der ISO 27001, Abschnitt 4, ergänzt. Die Anforderungen sind nun in sich abgeschlossen und vollständig.
- Betrachtung des Klimawandels — Neue Anforderung in den Klauseln 4.1 und 4.2, zu beurteilen, ob der Klimawandel ein relevantes Thema ist
- Explizite Rollenbestimmung — Die Anforderung, den Status von Controller oder Prozessor zu ermitteln, ist nun klar in die Kontextanalyse eingebettet.
- Umfang der PII-Verarbeitung — Stärkere Betonung der Dokumentation der Arten und Kategorien personenbezogener Daten im Geltungsbereich
Die vollständige Zuordnung der Klauseln von 2019 und 2025 finden Sie unter Korrespondenztabelle im Anhang F.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von Klausel 4 achten die Prüfer typischerweise auf Folgendes:
- Kontextanalysedokument — Eine formale Bewertung interner und externer Aspekte, die für das PIMS relevant sind.
- Interessenten registrieren — Eine dokumentierte Liste der relevanten Interessengruppen, ihrer Anforderungen und wie diese erfüllt werden
- PIMS-Geltungsbereichsbeschreibung — Ein klarer, dokumentierter Geltungsbereich, der die Grenzen und die Anwendbarkeit des PIMS definiert.
- Rollenbestimmung — Dokumentierte Nachweise darüber, wie Sie festgestellt haben, ob Sie als Kontrolleur, Auftragsverarbeiter oder beides agieren.
- PII-Inventar — Ein Verzeichnis der Arten personenbezogener Daten, der Kategorien personenbezogener Daten und der Verarbeitungszwecke im Geltungsbereich
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Verwandte Klauseln
| Klausel | Beziehung |
|---|---|
| Klausel 5: Führung | Das Engagement der Führungsebene und die Datenschutzrichtlinien werden durch die Kontextanalyse beeinflusst. |
| Klausel 6: Planung | Die Risikobewertung und die Ziele basieren auf dem hier festgelegten Rahmen und Kontext. |
| Klausel 8: Betrieb | Die betrieblichen Prozesse müssen innerhalb des definierten Rahmens ablaufen. |
Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 4?
ISMS.online bietet strukturierte Werkzeuge zur Einrichtung Ihres PIMS-Kontexts:
- Vorlagen für die Kontextanalyse — Vorgefertigte Frameworks zur Identifizierung und Dokumentation interner und externer datenschutzrelevanter Probleme.
- Interessenten registrieren — Führen Sie ein dynamisches Verzeichnis der Stakeholder mit ihren Anforderungen und wie Sie diese erfüllen.
- Bereichsverwaltung — Definieren und dokumentieren Sie Ihren PIMS-Geltungsbereich mit klaren Grenzen, einschließlich der Verarbeitung personenbezogener Daten.
- Rollenzuordnung — Dokumentieren Sie Ihre Controller- und Prozessorrollen in den verschiedenen Verarbeitungsaktivitäten.
- Lückenanalyse — Ermitteln Sie, inwieweit Ihre aktuellen Praktiken die Anforderungen von Klausel 4 erfüllen und wo Verbesserungen erforderlich sind.
Häufig gestellte Fragen
Kann der Geltungsbereich des PIMS enger gefasst sein als der der gesamten Organisation?
Ja. Der Geltungsbereich kann bestimmte Geschäftsbereiche, Standorte, Verarbeitungsprozesse oder Produktlinien umfassen. Er muss jedoch begründet und dokumentiert werden, und es muss dargelegt werden, wie Schnittstellen zu Bereichen außerhalb des Geltungsbereichs verwaltet werden. Die Prüfer werden überprüfen, ob der Geltungsbereich angemessen und nicht künstlich eingeschränkt ist, um wichtige Datenschutzrisiken zu umgehen.
Wie funktioniert die Klimaschutzanforderung in der Praxis?
Es geht darum festzustellen, ob der Klimawandel ein relevantes Thema darstellt, nicht um eine vollständige Umweltverträglichkeitsprüfung. Für die meisten Organisationen bedeutet dies, kurz zu prüfen, ob klimabedingte Ereignisse (wie Extremwetterereignisse, regulatorische Änderungen oder Lieferkettenunterbrechungen) das PIMS beeinträchtigen könnten. Dokumentieren Sie Ihre Überlegungen und Schlussfolgerungen im Rahmen Ihrer Kontextanalyse.
Was passiert, wenn unsere Organisation sowohl als Verantwortlicher als auch als Auftragsverarbeiter fungiert?
Viele Organisationen übernehmen je nach Verarbeitungstätigkeit beide Rollen. Sie müssen die jeweilige Rolle für jede Verarbeitungstätigkeit festlegen und dies klar dokumentieren. Beide Rollenbereiche Anhang A-Kontrollen (Tabelle A.1 für Controller und Tabelle A.2 (für Auftragsverarbeiter) gelten dann für die jeweiligen Aktivitäten zusammen mit den gemeinsamen Kontrollen in Tabelle A.3.
Eine gründliche Lückenanalyse hilft Ihnen dabei, Ihren Anwendungsbereich zu definieren, indem festgestellt wird, wo Ihr aktuelles PIMS diese Anforderungen erfüllt – oder nicht erfüllt.
SaaS-Unternehmen stehen oft vor besonderen Herausforderungen bei der Festlegung ihrer Verarbeitungsrolle – siehe unsere Leitfaden für SaaS-Plattformen.
Sie sind sich nicht sicher, ob eine Zertifizierung notwendig ist? Unser Leitfaden behandelt die wichtigsten Punkte. ob Sie eine ISO 27701:2025-Zertifizierung benötigen.
