policy ISO 27701 PIMS Policy Pack

Richtlinie zur Erhebung, Nutzung, Offenlegung und Weitergabe personenbezogener Daten

Steuern Sie die Erhebung, Nutzung, Offenlegung und Weitergabe personenbezogener Daten mit REG02-/REG08-Nachweisen, Routing für Übermittlungen und auditbereiter Rechenschaftspflicht.

Übersicht

Diese Richtlinie regelt, wie personenbezogene Daten innerhalb des PIMS-Geltungsbereichs erhoben, genutzt, offengelegt und weitergegeben werden. Sie erfordert genehmigte REG02-Aufzeichnungen für Erhebung und Nutzung, REG08-Nachweise für Offenlegungen und Weitergaben, REG09-Routing für Übermittlungsorte sowie REG12-Aufzeichnungen für Ausnahmen, Audits und Korrekturmaßnahmen.

Genehmigte Nutzung personenbezogener Daten

Erfordert dokumentierte Erhebungszwecke, genehmigte Regeln zur internen Nutzung und Begründungen der Erforderlichkeit, bevor die Verarbeitung beginnt.

Nachweise zur Offenlegung

Erfasst externe Offenlegungen und wiederkehrende Weitergaben in REG08, einschließlich Empfänger, Zweck, Kategorien personenbezogener Daten und Häufigkeit.

Routing für Übermittlungen

Verknüpft Weitergaben mit neuen Ländern, Remote-Zugriff oder Orten der Weiterübermittlung mit REG09 und PII13-Routingentscheidungen.

Vollständige Übersicht lesen (click to expand)
Die Richtlinie zur Erhebung, Nutzung, Offenlegung und Weitergabe personenbezogener Daten definiert operative Anforderungen dafür, wie personenbezogene Daten innerhalb des PIMS-Geltungsbereichs erhoben, genutzt, offengelegt und weitergegeben werden. Ihr erklärter Zweck ist sicherzustellen, dass personenbezogene Daten nur für dokumentierte, genehmigte, begrenzte und rechenschaftspflichtige Zwecke gehandhabt werden. Die Richtlinie gilt für Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter und umfasst die Erhebung über direkte, indirekte, automatisierte, manuelle, interne, externe und Drittparteien-Kanäle. Sie behandelt außerdem die genehmigte interne Nutzung durch Geschäftsprozesse, Systeme und Anwendungen, Sekundärnutzung für neue oder wesentlich geänderte Zwecke, externe Offenlegung gegenüber Empfängern und Drittparteien sowie sowohl wiederkehrende Datenweitergabevereinbarungen als auch einmalige Offenlegungen. Ein zentrales Merkmal der Richtlinie ist die Nutzung von Nachweisregistern, um Datenschutzentscheidungen mit auditierbaren Aufzeichnungen zu verbinden. REG02 wird für das Verarbeitungsinventar personenbezogener Daten, genehmigte Zwecke, Erhebungsregeln, Nutzungsregeln und Vereinbarkeitsprüfungen für Sekundärnutzung verwendet. REG08 wird für Aufzeichnungen zu Auftragsverarbeitern, Unterauftragsverarbeitern und Datenweitergabe verwendet, einschließlich der Identität des Empfängers, Rolle des Empfängers, Offenlegungszweck, Kategorien personenbezogener Daten, Häufigkeit der Weitergabe, Verarbeitungsort und maßgebliche Quelle. REG09 wird verwendet, wenn die Weitergabe ein neues Land, eine internationale Organisation, einen Remote-Zugriffsort, einen Empfängerort oder einen Ort der Weiterübermittlung betrifft. REG12 wird für Ausnahmen, Nichtkonformitäten, Audit-Feststellungen, Korrekturmaßnahmen, blockierende Umsetzungsprobleme und Aufzeichnungen zur Richtlinienüberprüfung verwendet. Die Richtlinie legt klare Kontrollpunkte fest, bevor die Verarbeitung beginnt. Prozessverantwortliche oder Geschäftsinhaber müssen Erhebungszwecke, Quellen oder Kanäle, Kategorien personenbezogener Daten, Kategorien betroffener Personen und minimale Datenelemente in REG02 aufzeichnen, bevor eine neue Erhebung oder wesentliche Änderung beginnt. Außerdem müssen sie vor der Erhebung eine Begründung der Erforderlichkeit für jedes Datenelement personenbezogener Daten dokumentieren. Systemverantwortliche oder Anwendungsverantwortliche dürfen nur genehmigte Erhebungsfelder, Workflow-Felder, Berichte, Exporte oder Offenlegungsausgaben umsetzen, die mit der REG02- oder REG08-Genehmigung übereinstimmen. In Kontexten als Auftragsverarbeiter muss die Ausrichtung an Kundenweisungen aufgezeichnet werden, bevor personenbezogene Daten von Kunden erhoben, genutzt oder offengelegt werden. Sekundärnutzung wird als gesteuerte Entscheidung behandelt und nicht als informelle Erweiterung einer bestehenden Tätigkeit. Bevor personenbezogene Daten für einen Zweck genutzt werden, der in REG02 noch nicht genehmigt ist, muss der Prozessverantwortliche oder Geschäftsinhaber eine Vereinbarkeitsprüfung aufzeichnen, die den ursprünglichen Zweck, den vorgeschlagenen Zweck, die Abhängigkeit von der Rechtsgrundlage, Kategorien personenbezogener Daten, Erwartungen betroffener Personen, Begründung der Datenminimierung, Auswirkungen auf die Offenlegung oder Übermittlung und erforderliches Routing zu anderen PIMS-Richtlinien abdeckt. Der Datenschutzverantwortliche oder PIMS-Manager muss eine Genehmigung oder Ablehnung aufzeichnen, bevor die Sekundärnutzung beginnt. Wenn sensible wiederkehrende Weitergaben, schutzbedürftige betroffene Personen, Datensätze mit hoher Tragweite oder wesentlich geänderte Erwartungen betroffen sind, muss vor der Genehmigung die Beratung durch den Datenschutzbeauftragten (DPO) oder Datenschutzberater aufgezeichnet werden. Governance, Messung und Durchsetzung sind in die Richtlinie integriert. Der Datenschutzverantwortliche oder PIMS-Manager überprüft genehmigte Nutzungsregeln mindestens jährlich, gleicht genehmigte REG02-Zwecke mindestens jährlich mit aktiven REG08-Weitergabeaufzeichnungen ab und zeichnet Ergebnisse in REG12 auf. Verantwortliche für Lieferanten oder Beschaffung gleichen aktive REG08-Weitergabeeinträge mindestens quartalsweise mit aktiven Beziehungen zu Auftragsverarbeitern, Unterauftragsverarbeitern, Empfängern und Datenweitergaben ab. Das interne Audit oder Compliance-Prüfer nehmen jährlich Stichproben aus REG02-, REG08- und REG09-Nachweisen und zeichnen Ergebnisse in REG12 auf. Nicht genehmigte Erhebung, Nutzung, Offenlegung oder Weitergabe muss innerhalb von fünf Geschäftstagen als Nichtkonformität aufgezeichnet werden; die Verarbeitung kann innerhalb eines Geschäftstages ausgesetzt werden, wenn genehmigte Nachweise fehlen.

Richtliniendiagramm

Prozessablauf, der eine in REG02 aufgezeichnete Anfrage zur Erhebung oder Nutzung personenbezogener Daten, Datenschutzprüfung, Prüfung der Sekundärnutzung, REG08-Genehmigung der Offenlegung, REG09-Routing für Übermittlungen, Überwachung sowie REG12-Ausnahmen oder Korrekturmaßnahmen zeigt.

Diagramm anklicken, um es in voller Größe anzuzeigen

Inhalt

Beschränkung der Erhebung und REG02-Genehmigung

Kontrollen für genehmigte interne Nutzung

Vereinbarkeitsprüfungen für Sekundärnutzung

Externe Offenlegung und REG08-Weitergabeaufzeichnungen

Routing internationaler Übermittlungen zu REG09 und PII13

Ausnahmen, Audit und Korrekturmaßnahmen über REG12

Framework-Konformität

🛡️ Unterstützte Standards & Frameworks

Dieses Produkt ist auf die folgenden Compliance-Frameworks ausgerichtet, mit detaillierten Klausel- und Kontrollzuordnungen.

Framework Abgedeckte Klauseln / Kontrollen
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.9Annex A.1.2.3Annex A.1.2.8Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7

Verwandte Richtlinien

Richtlinie zu internationalen Übermittlungen

Verknüpft, weil Weitergaben mit neuen Übermittlungsorten vor der Genehmigung an REG09 und PII13 geroutet werden müssen.

PIMS-Richtlinie zu Überwachung, Audit und Verbesserung

Verknüpft, weil Ausnahmen, Nichtkonformitäten, Auditergebnisse, Korrekturmaßnahmen und Verbesserungsaufzeichnungen über REG12 gehandhabt werden.

Richtlinie zum Verarbeitungsinventar und zur Rechtsgrundlage

Verknüpft, weil REG02-Verarbeitungsaufzeichnungen und Aktualisierungen der Rechtsgrundlage für Entscheidungen zu Erhebung, genehmigter Nutzung und Sekundärnutzung erforderlich sind.

Richtlinie zu Datenschutzhinweis und Transparenz

Verknüpft, weil Kontrollen für Erhebung und Nutzung zusammen mit Inhalt, Veröffentlichung und Versionskontrolle des Datenschutzhinweises angewendet werden.

Richtlinie zur Datenschutz-Risikobeurteilung und DSFA

Verknüpft, weil Sekundärnutzung ein PII07-Screening erfordern kann, wenn eine Vereinbarkeitsprüfung eine wesentliche Änderung des Datenschutzrisikos identifiziert.

Richtlinie zum Datenschutzmanagement für Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien

Verknüpft, weil Offenlegungen und Weitergaben an Auftragsverarbeiter, Unterauftragsverarbeiter, Lieferanten und Drittparteien über REG08 aufgezeichnet und gesteuert werden.

Über Clarysec-Richtlinien - Richtlinie zur Erhebung, Nutzung, Offenlegung und Weitergabe personenbezogener Daten

Diese Richtlinie operationalisiert die rechenschaftspflichtige Erhebung, Nutzung, Offenlegung und Weitergabe personenbezogener Daten in Kontexten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter. Sie verbindet Geschäftsregeln und Genehmigungen mit REG02-Verarbeitungsaufzeichnungen, REG08-Nachweisen zu Offenlegung und Weitergabe, REG09-Routing internationaler Übermittlungen sowie REG12-Aufzeichnungen zu Audit, Ausnahmen und Korrekturmaßnahmen. Die Richtlinie definiert, wann Erhebungsregeln, genehmigte Nutzungsregeln, Vereinbarkeitsprüfungen für Sekundärnutzung, Genehmigungen externer Offenlegungen und Überprüfungen wiederkehrender Weitergaben abgeschlossen werden müssen, und weist Verantwortlichkeiten dem Datenschutzverantwortlichen/PIMS-Manager, Prozessverantwortlichen/Geschäftsinhaber, Systemverantwortlichen/Anwendungsverantwortlichen, Lieferanten-/Beschaffungsverantwortlichen, der obersten Leitung und dem internen Audit/den Compliance-Prüfern zu.

REG02-Genehmigungsregeln

Erfordert dokumentierte Zwecke, Kategorien, minimale Datenelemente und genehmigte Regeln zur internen Nutzung, bevor die Verarbeitung beginnt.

REG08-Nachweise zur Weitergabe

Erfasst Identität, Rolle, Zweck, Kategorien personenbezogener Daten, Häufigkeit der Weitergabe, Ort und Autorisierung des Empfängers für Offenlegungen.

Prüfungen der Sekundärnutzung

Erfordert Vereinbarkeitsprüfungen und Genehmigung, bevor personenbezogene Daten für einen Zweck genutzt werden, der noch nicht in REG02 aufgezeichnet ist.

Routing von Übermittlungsorten

Routet neue Länder, Remote-Zugriff und Orte der Weiterübermittlung vor der Genehmigung der Weitergabe an REG09 und PII13.

Auditbereite Aufsicht

Nutzt REG12 für Ausnahmen, Nichtkonformitäten, Audit-Feststellungen, Korrekturmaßnahmen, Überprüfungen und Überwachungsergebnisse.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

Datenschutz Einhaltung Recht Beschaffung Büro des Datenschutzbeauftragten

🏷️ Themenabdeckung

Verarbeitung personenbezogener Daten Verzeichnis von Verarbeitungstätigkeiten internationale Datenübermittlungen Verantwortlichkeiten von Verantwortlichem und Auftragsverarbeiter Drittparteienmanagement Einwilligung und Rechtsgrundlage Management der Einhaltung
€79

Einmaliger Kauf

Sofortiger Download
Lebenslange Updates

Diese Richtlinie ist 1 von 25 im vollständigen ISO/IEC 27701 PIMS-Paket

52% sparen

Erhalten Sie alle 25 PIMS-Richtlinien, das vollständige Register-Set und einen detaillierten Implementierungsplan für €799, statt €1.675 beim Einzelkauf.

Zum vollständigen 27701-Paket →
PII Collection, Use, Disclosure and Sharing Policy

Produktdetails

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Standards: 4