policy ISO 27701 PIMS Policy Pack

Richtlinie zum Datenschutzmanagement für Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien

Verwalten Sie Beziehungen zu Auftragsverarbeitern, Unterauftragsverarbeitern und Drittparteien im Umgang mit personenbezogenen Daten mit REG08-Nachweisen, gebotener Sorgfalt, Verträgen, Überwachung und Exit-Kontrollen.

Übersicht

Diese Richtlinie regelt Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien, die personenbezogene Daten handhaben. Sie nutzt REG08 als primäres Nachweisregister und definiert Anforderungen an die Rollenkategorisierung, gebotene Sorgfalt, Verträge, Kundenweisungen, Genehmigungen von Unterauftragsverarbeitern, Überwachung, Vorfallsverknüpfung, Übermittlungsaufzeichnungen, Exit-Nachweise und Korrekturmaßnahmen.

Lebenszyklusbezogene Kontrolle von Drittparteien

Definiert, wie Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien, die personenbezogene Daten handhaben, identifiziert, genehmigt, überwacht, geändert und beendet werden.

Auditbereite REG08-Nachweise

Nutzt REG08 als primäres Register und verknüpft Beziehungen mit Aufzeichnungen zur Verarbeitung, zu Risiken, Übermittlungen, Vorfällen und Korrekturmaßnahmen.

Klare Rollen-Rechenschaftspflicht

Weist Datenschutz, Beschaffung, Sicherheit, Prozessverantwortlichen, Systemverantwortlichen, Incident Response und oberste Leitung Pflichten zu.

Vollständige Übersicht lesen (click to expand)
Die Richtlinie zum Datenschutzmanagement für Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien definiert, wie eine Organisation externe Parteien steuert, die personenbezogene Daten innerhalb des PIMS-Geltungsbereichs verarbeiten, darauf zugreifen, sie empfangen, speichern, übermitteln, unterstützen oder anderweitig handhaben. Sie gilt, wenn die Organisation als Verantwortlicher für personenbezogene Daten Auftragsverarbeiter einsetzt, als gemeinsam Verantwortlicher eine Rollenkategorisierung benötigt, als Auftragsverarbeiter Unterauftragsverarbeiter oder Unterauftragnehmer einsetzt und als Unterauftragsverarbeiter Kundenweisungen erhält. Die Richtlinie deckt außerdem Drittparteienbeziehungen ab, die gebotene Sorgfalt im Datenschutz, vertragliche Kontrollen, dokumentierte Weisungen, Genehmigung von Unterauftragsverarbeitern, Überwachung, Sicherheitssicherstellung, Vorfalls-Schnittstellen, Übermittlungsverknüpfung sowie Nachweise zu Rückgabe, Löschung oder Exit erfordern. Ein Kernmerkmal der Richtlinie ist ihre Nutzung von REG08 — Register für Auftragsverarbeiter, Unterauftragsverarbeiter und Datenweitergabe — als primäres Nachweisobjekt für das Datenschutzmanagement von Auftragsverarbeitern, Unterauftragsverarbeitern und Drittparteien. Die Richtlinie verlangt vom Datenschutzverantwortlichen / PIMS-Manager, Mindestfelder für REG08 zu definieren und datenschutzbezogene Drittparteienbeziehungen vor der Vertragsgenehmigung oder vor Beginn der Verarbeitung personenbezogener Daten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter oder sonstige Drittparteienbeziehung zu klassifizieren. Sie verlangt außerdem vom Verantwortlichen für Lieferanten / Beschaffung, Onboarding, Verlängerung oder Erweiterung zu blockieren, bis REG08 vollständig ist und mit Aufzeichnungen wie REG02, REG04, REG09 oder REG10 verknüpft wurde, sofern diese Nachweisobjekte ausgelöst werden. Dadurch entsteht eine dokumentierte Verknüpfung zwischen Beziehungs-Governance, Verarbeitungsinventar, Risiko- und DSFA-Aufzeichnungen, Nachweisen zu internationalen Übermittlungen, Vorfallsaufzeichnungen und Korrekturmaßnahmen. Die Richtlinie legt detaillierte Anforderungen an die gebotene Sorgfalt, Risikobeurteilung und vertragliche Kontrolle fest. Gebotene Sorgfalt im Datenschutz muss abgeschlossen sein, bevor eine Beziehung zu einem Auftragsverarbeiter, Unterauftragsverarbeiter oder einer Drittpartei, die personenbezogene Daten verarbeitet oder darauf zugreift, ausgewählt, verlängert oder wesentlich geändert wird. Nachweise zur Sicherheitssicherstellung müssen vor der Genehmigung durch den Leiter Informationssicherheit geprüft werden, und risikoreiche Beziehungen zu Auftragsverarbeitern oder wesentliche datenschutzbezogene Änderungen bei Drittparteien lösen ein Datenschutzrisiko- und DSFA-Screening in REG04 aus. Vertragskontrollen und Kontrollen dokumentierter Weisungen werden für Verantwortlichen- und Auftragsverarbeiterkontexte getrennt. Wenn die Organisation als Verantwortlicher handelt, muss sie einen schriftlichen Auftragsverarbeitungsvertrag oder eine gleichwertige verbindliche Vereinbarung aufzeichnen, bevor ein Auftragsverarbeiter personenbezogene Daten handhabt. Wenn sie als Auftragsverarbeiter handelt, müssen Kundenvereinbarungen oder dokumentierte Kundenweisungen den autorisierten Verarbeitungsgeltungsbereich definieren, bevor personenbezogene Daten von Kunden verarbeitet werden. Die Richtlinie verlangt außerdem vertragliche Abdeckung für Unterstützung, Sicherheitssicherstellung, Vorfalls-Schnittstelle über PII15, Rückgabe oder Löschung über PII10, Übermittlungsverknüpfung über PII13 sowie Audit- oder Assurance-Zusammenarbeit. Die Governance für Unterauftragsverarbeiter und Unterauftragnehmer wird durch spezifische Anforderungen an Genehmigung, Mitteilung, weiterzugebende Verpflichtungen und Überwachung adressiert. Der Verantwortliche für Lieferanten / Beschaffung muss eine Liste der Unterauftragsverarbeiter und Unterauftragnehmer in REG08 führen, die Kundenautorisierung vor der Beauftragung verifizieren, Kunden über beabsichtigte neue oder ersetzende Unterauftragsverarbeiter gemäß der anwendbaren Vereinbarung benachrichtigen und sicherstellen, dass Datenschutz-, Sicherheits-, Unterstützungs-, Rückgabe-, Lösch-, Vorfalls-Schnittstellen- und Übermittlungsverknüpfungspflichten weitergegeben werden, bevor ein Unterauftragsverarbeiter personenbezogene Daten verarbeitet. Mitteilungen über Änderungen von Unterauftragsverarbeitern auf Verantwortlichen-Seite müssen ebenfalls nachverfolgt werden; Genehmigungs-, Widerspruchs- oder Eskalationsentscheidungen sind innerhalb der vertraglichen Widerspruchsfrist oder innerhalb von 10 Geschäftstagen nach Eingang der Mitteilung in REG08 aufzuzeichnen, je nachdem, welcher Zeitraum kürzer ist. Die Richtlinie vervollständigt den Lebenszyklus durch laufende Überwachung, Bearbeitung von Unterstützungsanfragen, Aufzeichnung von Offenlegungen, Vorfallsverknüpfung, Übermittlungsverknüpfung, Exit-Nachweise, Ausnahmen, Durchsetzung und Überprüfung. Risikoreiche Beziehungen zu Auftragsverarbeitern und Unterauftragsverarbeitern werden vierteljährlich überwacht, während andere aktive Beziehungen zu Auftragsverarbeitern und Unterauftragsverarbeitern für personenbezogene Daten jährlich überwacht werden. Unterstützungsanfragen zu Rechten betroffener Personen, DSFAs, Sicherheitsnachweisen, Audits oder Kunden-Assurance müssen über REG08 koordiniert und, soweit anwendbar, mit REG06, REG04 oder REG12 verknüpft werden. Lieferantenbezogene Datenschutzvorfallmitteilungen werden innerhalb eines Geschäftstags an REG10 unter PII15 weitergeleitet, und Nachweise zu Rückgabe, Löschung, Entsorgung oder Übergang müssen innerhalb von 30 Tagen nach Beendigung, Ablauf, Kundenweisung oder genehmigtem Exit-Ereignis eingeholt werden, sofern keine kürzere vertragliche Frist gilt. Ausnahmen sind zeitlich begrenzt, erfordern eine Datenschutz-Folgenabschätzung und können die Genehmigung der obersten Leitung erfordern, wenn risikoreiche Verarbeitung, fehlende Vertragsnachweise, Lücken bei der Übermittlungsverknüpfung oder der Geltungsbereich der Zertifizierung betroffen sind.

Richtliniendiagramm

Prozessflussdiagramm, das die Identifizierung von Drittparteienbeziehungen mit personenbezogenen Daten in REG08, die Rollenkategorisierung, die gebotene Sorgfalt und die Sicherheitssicherstellung, Vertrags- oder Weisungsgenehmigung, Kontrollen für Unterauftragsverarbeiter, Überwachung, Vorfalls- und Übermittlungsverknüpfung, Exit-Nachweise und Korrekturmaßnahmen zeigt.

Diagramm anklicken, um es in voller Größe anzuzeigen

Inhalt

REG08-Anforderungen an die Beziehungsklassifizierung und Nachweise

Gebotene Sorgfalt im Datenschutz und Sicherheitssicherstellung

Auftragsverarbeitungsverträge und dokumentierte Kundenweisungen

Genehmigung von Unterauftragsverarbeitern, Mitteilungen und weiterzugebende Verpflichtungen

Laufende Überwachung, Vorfallsverknüpfung und Übermittlungsaufzeichnungen

Exit-, Rückgabe-, Lösch- und Korrekturmaßnahmen-Nachweise

Framework-Konformität

🛡️ Unterstützte Standards & Frameworks

Dieses Produkt ist auf die folgenden Compliance-Frameworks ausgerichtet, mit detaillierten Klausel- und Kontrollzuordnungen.

Framework Abgedeckte Klauseln / Kontrollen
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Verwandte Richtlinien

Richtlinie zu Verarbeitungsinventar und Rechtsgrundlage

REG08-Beziehungsaufzeichnungen müssen, soweit anwendbar, mit dem REG02-Verarbeitungsinventar und Aufzeichnungen zur Rechtsgrundlage verknüpft werden.

Richtlinie zur Datenschutz-Risikobeurteilung und DSFA

Risikoreiche Beziehungen zu Auftragsverarbeitern und wesentliche datenschutzbezogene Änderungen bei Drittparteien lösen ein Datenschutzrisiko- und DSFA-Screening in REG04 aus.

Richtlinie zur Aufbewahrung, Löschung und Entsorgung

Verträge und Exits von Auftragsverarbeitern und Unterauftragsverarbeitern müssen Rückgabe, Löschung, Entsorgung und Übergangsnachweise über PII10 adressieren.

Richtlinie zu internationalen Übermittlungen

Verarbeitungsorte, Hosting-Standorte und Übermittlungsindikatoren in REG08 müssen mit den anwendbaren REG09-Übermittlungsnachweisen verknüpft werden.

Richtlinie zu Sicherheit und Zugriffskontrolle

Sicherheitssicherstellung, Nachweise zur Zugriffskontrolle, Lieferantenzugriff und Offboarding-Kontrollen unterstützen die Drittparteien-Governance für personenbezogene Daten.

Richtlinie zum Management von Vorfällen und Datenschutzverletzungen

Lieferantenbezogene Datenschutzvorfallmitteilungen und Unterstützungsanfragen werden mit REG08-Verknüpfung an REG10 unter PII15 weitergeleitet.

Über Clarysec-Richtlinien - Richtlinie zum Datenschutzmanagement für Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien

Diese Richtlinie etabliert operative Datenschutz-Governance für Auftragsverarbeiter, Unterauftragsverarbeiter, unterbeauftragte Auftragsverarbeiter personenbezogener Daten, Lieferanten, Dienstleister, Cloud-Service-Provider und andere Drittparteien, die personenbezogene Daten innerhalb des PIMS-Geltungsbereichs verarbeiten oder beeinflussen. Sie definiert, wie Beziehungen klassifiziert, beurteilt, genehmigt, vertraglich geregelt, angewiesen, überwacht, geändert und beendet werden, wobei REG08 als primäres Nachweisobjekt dient und erforderliche Verknüpfungen zu Verarbeitungsinventar, Risiko-, Übermittlungs-, Vorfalls-, Kommunikations-, dokumentierten Informationen und Korrekturmaßnahmenaufzeichnungen hergestellt werden, soweit anwendbar.

Definierter Beziehungsgeltungsbereich

Deckt Auftragsverarbeiter, Unterauftragsverarbeiter, Unterauftragnehmer, Lieferanten, Dienstleister, Cloud-Anbieter und andere Drittparteien ab, die personenbezogene Daten handhaben.

Gebotene Sorgfalt vor Genehmigung

Verlangt gebotene Sorgfalt im Datenschutz, Sicherheitssicherstellung und ein Risiko- oder DSFA-Screening vor der Genehmigung, sofern ausgelöst.

Vertrags- und Weisungskontrollen

Dokumentiert Auftragsverarbeitungsverträge, Kundenweisungen, weiterzugebende Verpflichtungen und genehmigte Änderungen in REG08.

Überwachung und Durchsetzung

Legt Überprüfungsfrequenzen, Ausnahmebehandlung, Blockierungsregeln, Auslöser für Nichtkonformitäten und Nachweise zu Korrekturmaßnahmen fest.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

Datenschutz Recht Einhaltung IT-Sicherheit Beschaffung

🏷️ Themenabdeckung

Drittparteienmanagement Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeitern Verarbeitung personenbezogener Daten Verzeichnis von Verarbeitungstätigkeiten internationale Datenübermittlungen Risikomanagement Management der Einhaltung
€89

Einmaliger Kauf

Sofortiger Download
Lebenslange Updates

Diese Richtlinie ist 1 von 25 im vollständigen ISO/IEC 27701 PIMS-Paket

52% sparen

Erhalten Sie alle 25 PIMS-Richtlinien, das vollständige Register-Set und einen detaillierten Implementierungsplan für €799, statt €1.675 beim Einzelkauf.

Zum vollständigen 27701-Paket →
Processor, Subprocessor and Third-Party Privacy Management Policy

Produktdetails

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Standards: 7