policy ISO 27701 PIMS Policy Pack

Richtlinie zum Einwilligungs- und Präferenzmanagement

ISO-27701-Einwilligungsrichtlinie für die rechtmäßige Erfassung von Einwilligungen und Präferenzänderungen, die Bearbeitung von Widerrufen, Einwilligungsnachweise und auditbereite PIMS-Governance.

Übersicht

Diese Richtlinie regelt rechtmäßiges Einwilligungs- und Präferenzmanagement in Kontexten als Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher und Unterauftragsverarbeiter. Sie definiert, wie Einwilligung angefordert, in REG05 aufgezeichnet, mit REG02 und REG07 verknüpft, widerrufen, erneuert, geschützt, gemessen, auditiert und korrigiert wird.

Auditierbare Einwilligungsnachweise

Definiert REG05 als maßgebliche Aufzeichnung für Einwilligungsstatus, Wortlaut, Version des Datenschutzhinweises, Zeitstempel, Methoden und Historie.

Gesteuerte Bearbeitung von Widerrufen

Verlangt, dass Widerrufe und Präferenzänderungen innerhalb definierter betrieblicher Fristen oder Fristen gemäß Kundenweisung aufgezeichnet und umgesetzt werden.

Ausrichtung an der Rechtsgrundlage

Stellt sicher, dass Einwilligung nur verwendet wird, wo dies angemessen ist, und mit REG02-Verarbeitungszwecken sowie REG07-Versionen des Datenschutzhinweises verknüpft ist.

Vollständige Übersicht lesen (click to expand)
Die Richtlinie zum Einwilligungs- und Präferenzmanagement definiert verbindliche Anforderungen zur Bestimmung, wann Einwilligung erforderlich ist, zur Anforderung von Einwilligung, zur Erfassung von Einwilligungsnachweisen, zum Präferenzmanagement, zur Verarbeitung von Widerrufen, zur Pflege von Einwilligungsaufzeichnungen und zur Überprüfung von Einwilligungsmechanismen. Sie gilt für die PII-Verarbeitung, wenn Einwilligung als Rechtsgrundlage ausgewählt oder vorgeschrieben ist, wenn ausdrückliche Einwilligung erforderlich ist, wenn Einwilligungspräferenzen erfasst werden oder wenn die Organisation Einwilligungsaufzeichnungen im Auftrag eines Verantwortlichen verwaltet. Die Richtlinie deckt Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter ab und stellt klar, dass Verpflichtungen von Auftragsverarbeitern und Unterauftragsverarbeitern nur gelten, wenn Einwilligungsaufzeichnungen, Präferenzzustände oder Anweisungen zum Widerruf gemäß dokumentierten Weisungen des Verantwortlichen oder Kundenweisungen verwaltet werden. Ein zentrales Prinzip der Richtlinie ist, dass Einwilligung nicht die standardmäßige Rechtsgrundlage für die PII-Verarbeitung ist. Bevor eine neue oder wesentlich geänderte Verarbeitungstätigkeit auf Einwilligung gestützt wird, muss der Prozessverantwortliche oder Geschäftsinhaber in REG02 aufzeichnen, ob Einwilligung erforderlich oder ausgewählt ist. Der Privacy Lead oder PIMS-Manager muss in REG02 und REG05 überprüfen, dass Einwilligung nicht standardmäßig ausgewählt wurde. Wenn die Verarbeitung besondere Kategorien von PII, an Kinder gerichtete Dienste, risikoreiche Verarbeitung oder ein Ungleichgewicht zwischen der Organisation und der betroffenen Person umfasst, muss der Datenschutzbeauftragte oder Datenschutzberater die Einwilligungsgrundlage vor der Produktivsetzung in REG04 prüfen. Bei Tätigkeiten als gemeinsam Verantwortlicher muss die Verantwortung für das Einholen, Aufzeichnen, Erneuern und Beachten der Einwilligung dokumentiert werden, bevor die Verarbeitung beginnt. Die Richtlinie legt detaillierte betriebliche Anforderungen für Einwilligungsanfragen und deren Erfassung fest. Einwilligungsanfragen müssen zweckspezifisch sein und vor der Präsentation gegenüber einer betroffenen Person mit der anwendbaren REG07-Version des Datenschutzhinweises verknüpft werden. Systeme müssen eine bestätigende Handlung verlangen, wenn ausdrückliche oder Opt-in-Einwilligung erforderlich ist, und müssen verhindern, dass eine auf Einwilligung gestützte Verarbeitung fortgesetzt wird, sofern REG05 keinen aktiven Einwilligungsstatus für den relevanten Zweck zeigt. REG05 muss die Referenz der betroffenen Person, den Zweck, die PII-Kategorie, den Einwilligungswortlaut oder die Version, die Version des Datenschutzhinweises, den Erhebungskanal, den Zeitstempel, die Methode, den Status und die anwendbare Gültigkeitsdauer erfassen. Wenn an Kinder gerichtete Einwilligung oder ausdrückliche Einwilligung gilt, werden zusätzliche Logik-, Kennzeichnungs- und Prüfanforderungen ausgelöst. Das Präferenz- und Widerrufsmanagement wird ebenfalls über REG05 und, soweit anwendbar, REG08 gesteuert. Ein Mechanismus für Widerrufe oder Präferenzänderungen muss spätestens zu dem Zeitpunkt verfügbar sein, zu dem die Einwilligung angefordert wird. Widerrufe und Präferenzänderungen müssen innerhalb von fünf Geschäftstagen nach Eingang oder innerhalb einer für die Verarbeitungstätigkeit kürzeren definierten Frist aufgezeichnet werden. Betroffene Systeme, Unterdrückungszustände oder Präferenzkennzeichen müssen aktualisiert werden, bevor die weitere Verarbeitung für einen widerrufenen oder eingeschränkten Zweck fortgesetzt wird. Auftragsverarbeiter müssen Kundenweisungen innerhalb der vom Kunden definierten Frist weiterleiten oder umsetzen, und Unterauftragsverarbeiter müssen über REG08 anhand vertraglicher oder angewiesener Fristen verifiziert werden. Die Richtlinie behandelt außerdem Änderungssteuerung, Schutz von Aufzeichnungen, Governance, Umsetzung, Kennzahlen, Ausnahmen, Durchsetzung und Pflege. Einwilligung muss neu bewertet werden, bevor die Verarbeitung fortgesetzt wird, wenn sich Zweck, PII-Kategorien, Identität des Verantwortlichen, Wortlaut des Datenschutzhinweises, Aufbewahrung, Empfängerkategorie oder Verarbeitungsmethode wesentlich ändern. Einwilligungswortlaut, Konfiguration des Einwilligungsmechanismus, Verweise auf Datenschutzhinweise und Schemata für Einwilligungsaufzeichnungen müssen versioniert werden. REG05-Aufzeichnungen müssen gegen unbefugte Änderung geschützt werden, und Prüfpfadnachweise müssen aufbewahrt werden. Kennzahlen umfassen vierteljährliche Verknüpfungsprüfungen zwischen REG05, REG02 und REG07, monatliche Messung des Abschlusses von Widerrufen, sofern einwilligungsbasierte Verarbeitung aktiv ist, sowie Auditberichterstattung in REG12. Ausnahmen müssen vor der Umsetzung genehmigt werden, und Nichtkonformitäten im Zusammenhang mit fehlenden, ungültigen, nicht verknüpften oder unzuverlässigen Einwilligungsnachweisen müssen innerhalb von fünf Geschäftstagen aufgezeichnet werden.

Richtliniendiagramm

Prozessflussdiagramm mit Prüfung der Anwendbarkeit von Einwilligung, Bestätigung der Rechtsgrundlage, Verknüpfung mit Datenschutzhinweisen, Erfassung der Einwilligung in REG05, Aktualisierungen von Präferenzen oder Widerrufen, Schutz von Nachweisen, Kennzahlen, Auditprüfung, Ausnahmen und Korrekturmaßnahmen.

Diagramm anklicken, um es in voller Größe anzuzeigen

Inhalt

Anwendbarkeit der Einwilligung und Rechtsgrundlage

Einwilligungsanfrage und Erfassung

Präferenz- und Widerrufsmanagement

Änderung, Erneuerung und Versionierung von Einwilligungen

Aufzeichnungen, Nachweise und Schutz

Kennzahlen, Ausnahmen und Durchsetzung

Framework-Konformität

🛡️ Unterstützte Standards & Frameworks

Dieses Produkt ist auf die folgenden Compliance-Frameworks ausgerichtet, mit detaillierten Klausel- und Kontrollzuordnungen.

Framework Abgedeckte Klauseln / Kontrollen
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Verwandte Richtlinien

Richtlinie zum Verarbeitungsinventar und zur Rechtsgrundlage

Einwilligungsentscheidungen hängen von REG02-Aufzeichnungen zur Rechtsgrundlage und der zweckbezogenen Verknüpfung des Verarbeitungsinventars ab.

Richtlinie zu Datenschutzhinweisen und Transparenz

Einwilligungsanfragen müssen vor der Präsentation mit der anwendbaren REG07-Version des Datenschutzhinweises verknüpft werden.

Richtlinie zum Management der Rechte betroffener Personen

Die Bearbeitung von Widerrufen und Präferenzänderungen unterstützt das umfassendere Management der Rechte betroffener Personen.

Richtlinie zur Datenschutz-Risikobeurteilung und DSFA

Eine REG04-Prüfung ist bei Hochrisiko-Auslösern wie besonderen PII-Kategorien, an Kinder gerichteten Diensten oder Ungleichgewicht erforderlich.

Richtlinie zum Datenschutzmanagement für Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien

Verpflichtungen von Auftragsverarbeitern, Unterauftragsverarbeitern und Lieferanten sowie aus Kundenweisungen werden über REG08-Verknüpfungen verwaltet.

Richtlinie zum Management dokumentierter Information und Nachweise im PIMS

Einwilligungs-Governance stützt sich auf kontrollierte Nachweisobjekte, insbesondere REG05-Aufzeichnungen sowie REG12-Ausnahmen oder Feststellungen.

Über Clarysec-Richtlinien - Richtlinie zum Einwilligungs- und Präferenzmanagement

Diese Richtlinie etabliert betriebliche Governance für das Einwilligungs- und Präferenzmanagement innerhalb des PIMS. Sie definiert, wann Einwilligung verwendet werden darf, wie Einwilligungsanfragen dargestellt werden müssen, welche Nachweise zu erfassen sind, wie Präferenzänderungen und Widerrufe bearbeitet werden und wie Aufzeichnungen überprüft, geschützt, korrigiert und aufbewahrt werden. Die Richtlinie liegt in der Verantwortung des Privacy Leads / PIMS-Managers, wird durch die oberste Leitung genehmigt und gilt in Kontexten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter, in denen Einwilligungsaufzeichnungen, Präferenzzustände oder Anweisungen zum Widerruf betroffen sind.

Einwilligung nicht standardmäßig

Verlangt REG02- und REG05-Prüfungen, damit Einwilligung nur verwendet wird, wenn sie für die Verarbeitungstätigkeit angemessen ist.

Verknüpfung mit der Version des Datenschutzhinweises

Verknüpft Einwilligungsanfragen und Aufzeichnungen mit der anwendbaren REG07-Version des Datenschutzhinweises, bevor die Verarbeitung beginnt.

Erfüllung von Widerrufen

Definiert Aufzeichnungs- und Systemaktualisierungspflichten für Widerrufe und Präferenzänderungen innerhalb erforderlicher Fristen.

Geschützte Aufzeichnungen

Verlangt, dass REG05-Einwilligungsnachweise mit Prüfpfadnachweisen vor unbefugter Änderung geschützt werden.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

Datenschutz Recht Compliance IT-Sicherheit Büro des Datenschutzbeauftragten (DPO)

🏷️ Themenabdeckung

Datenschutz-Informationsmanagement Verarbeitung personenbezogener Daten Einwilligung und Rechtsgrundlage Verzeichnis von Verarbeitungstätigkeiten Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeitern Management von Drittparteien Überwachung und Messung
€69

Einmaliger Kauf

Sofortiger Download
Lebenslange Updates

Diese Richtlinie ist 1 von 25 im vollständigen ISO/IEC 27701 PIMS-Paket

52% sparen

Erhalten Sie alle 25 PIMS-Richtlinien, das vollständige Register-Set und einen detaillierten Implementierungsplan für €799, statt €1.675 beim Einzelkauf.

Zum vollständigen 27701-Paket →
Consent and Preference Management Policy

Produktdetails

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Standards: 5