Einwilligung und Einhaltung des LFPDPPP: Eine Perspektive aus Sicht der Normen ISO/IEC 27701 und 27560

1. Einleitung

Im heutigen digitalen Zeitalter ist der Umgang mit personenbezogenen Daten eine tragende Säule für das Vertrauen und die Legitimität von Unternehmen. Die informierte und nachprüfbare Einwilligung bildet die unverzichtbare Rechtsgrundlage für die rechtmäßige Verarbeitung dieser Informationen. In Mexiko legt das Bundesgesetz zum Schutz personenbezogener Daten im Besitz von Privatpersonen (LFPDPPP) die rechtlichen Grundlagen für die Einholung und Verwaltung der Einwilligung fest. Parallel dazu ergänzen und stärken auf internationaler Ebene Standards wie ISO/IEC 27701 und die kürzlich veröffentlichte ISO/IEC TS 27560 diesen Rahmen. Dieser Artikel zielt darauf ab, die Konvergenz dieser Vorschriften zu analysieren und bewährte Verfahren für ein robustes und effizientes Einwilligungsmanagement vorzuschlagen.

2. Rechtliche und normative Grundlagen

Um die Bedeutung einer Harmonisierung dieser Rahmenwerke zu verstehen, ist es unerlässlich, ihre jeweiligen Grundlagen sowie die Besonderheiten zu analysieren, die jedes einzelne in das Einwilligungsmanagement einbringt.

2.1. LFPDPPP: Der mexikanische Rechtsrahmen

Das LFPDPPP ist der Eckpfeiler des Datenschutzes im privaten Sektor in Mexiko. Was die Einwilligung betrifft, ist dieses Gesetz eindeutig und streng:

• Nachweisbare Voraussetzung: Es gilt, dass die Verarbeitung personenbezogener Daten – von ganz bestimmten Ausnahmen abgesehen – der Einwilligung des Betroffenen bedarf. Diese Einwilligung muss auf der Grundlage ausreichender Informationen erfolgen, freiwillig, spezifisch und nachweisbar sein, was bedeutet, dass Organisationen nachweisen können müssen, dass sie rechtmäßig eingeholt wurde.
• Hinweis: Es besteht die Verpflichtung, eine Datenschutzerklärung bereitzustellen, die den Betroffenen über die Identität des Verantwortlichen, die Zwecke der Verarbeitung sowie die Möglichkeiten und Mittel zur Einschränkung der Nutzung oder Weitergabe seiner Daten und zur Ausübung seiner ARCO-Rechte informiert. Die Klarheit und Verständlichkeit dieser Erklärung sind entscheidend für eine informierte Einwilligung.
• Sicherheitsmaßnahmen und Nachweis der Einhaltung: Das LFPDPPP schreibt die Umsetzung administrativer, physischer und technischer Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor. Darüber hinaus muss der Verantwortliche die Einhaltung seiner Pflichten dokumentieren und nachweisen, wozu auch die ordnungsgemäße Verwaltung der Einwilligungsunterlagen gehört.

2.2. ISO/IEC 27701: Datenschutzmanagement

Die Norm ISO/IEC 27701:2019 ist kein Gesetz, sondern eine internationale Norm, die einen Rahmen für das Datenschutz-Managementsystem (PIMS) vorgibt und die Anforderungen der Norm ISO/IEC 27001 (Informationssicherheits-Managementsysteme, ISMS) erweitert. Diese Norm sieht Folgendes vor:

• Spezifische Datenschutzfunktionen: Fügt eine Reihe detaillierter, auf die Einwilligung ausgerichteter Funktionen hinzu.
• Festlegung von Rollen und Zuständigkeiten: Die Norm betont, wie wichtig es ist, innerhalb der Organisation klare Rollen und Zuständigkeiten im Zusammenhang mit dem Schutz personenbezogener Daten festzulegen; dies schließt auch die für die Einholung und Verwaltung der Einwilligung Verantwortlichen ein.

2.3. ISO/IEC TS 27560: Die Struktur der Einwilligung

Die ISO/IEC TS 27560:2023 ist eine technische Spezifikation, die sich auf die Informationsstruktur von Einwilligungsdatensätzen und den an den Inhaber ausgestellten Bestätigungen konzentriert. Ihr Hauptziel ist es, die Interoperabilität und Rückverfolgbarkeit von Einwilligungen durch ein standardisiertes Format zu verbessern.

• Verbesserung der Rückverfolgbarkeit und Interoperabilität: Durch die Standardisierung der Registerstruktur wird der Austausch von Einwilligungsdaten zwischen verschiedenen Systemen und Organisationen erleichtert, was in Ökosystemen, in denen mehrere Unternehmen zusammenarbeiten, von entscheidender Bedeutung ist. Dies ermöglicht zudem eine effizientere Prüfung und einen besseren Nachweis der Einhaltung von Vorschriften.

Lesen Sie weiter im zweiten Teil dieses Artikels, in dem wir die Synergien zwischen diesen Rahmenwerken sowie praktische Empfehlungen für deren Umsetzung untersuchen werden.