25 Jahre
Erfahrung
Wir haben
Über 20 Auszeichnungen
Zeit in Mexiko
28
Mai

Teil 2: Einwilligung und Einhaltung des LFPDPPP: Eine Perspektive aus Sicht der Normen ISO/IEC 27701 und 27560

,
Keine Kommentare

1. Einleitung

Anknüpfend an den ersten Teil dieses Artikels werden wir näher darauf eingehen, wie das Bundesgesetz zum Schutz personenbezogener Daten im Besitz von Privatpersonen (LFPDPPP), die Norm ISO/IEC 27701 und die technische Spezifikation ISO/IEC TS 27560 nicht nur nebeneinander bestehen, sondern sich gegenseitig ergänzen, um ein solideres Einwilligungsmanagement zu gewährleisten. Wir werden ihre Schnittstellen analysieren und praktische Empfehlungen für ihre Umsetzung in organisatorischen Umgebungen geben.

2. Synergien für die Einhaltung von Vorschriften

Die wahre Stärke dieser Rahmenwerke liegt in ihren entscheidenden Schnittstellen, an denen sie sich gegenseitig ergänzen und so ein robustes System für das Einwilligungsmanagement bilden.

2.1. Einwilligung als einheitliche Rechtsgrundlage

Alle drei Rechtsrahmen gehen davon aus, dass die Einwilligung eine wesentliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt, insbesondere für solche Daten, die nicht unter andere rechtmäßige Grundlagen (z. B. Vertrag, berechtigtes Interesse) fallen.

  • Das LFPDPPP legt die grundlegende gesetzliche Anforderung fest.
  • ISO/IEC 27701 enthält Managementkontrollen, um sicherzustellen, dass diese Anforderung systematisch erfüllt wird.
  • ISO/IEC TS 27560 sorgt für mehr Detailgenauigkeit, indem es strukturierte Anforderungen an die Erfassung der Einwilligung stellt. Dazu gehört beispielsweise die Notwendigkeit eindeutiger Identifikatoren für jede einzelne Einwilligung.

2.2. Informationen und Sicherheitsmaßnahmen als Mechanismen der Rechenschaftspflicht

Informationen und Sicherheitsmaßnahmen sind für eine wirksame Rechenschaftspflicht (Accountability) von entscheidender Bedeutung.

  • Das LFPDPPP schreibt vor, dass eine klare und vollständige Datenschutzerklärung vorliegen muss.
  • ISO/IEC 27701 und ISO/IEC TS 27560 gehen noch einen Schritt weiter und verlangen von Organisationen, dass sie die genauen Fassungen der Datenschutzerklärungen dokumentieren und aufbewahren, die dem Betroffenen zum Zeitpunkt der Einholung der Einwilligung vorgelegt wurden.

Dies steht in vollem Einklang mit dem Grundsatz der Rechenschaftspflicht des LFPDPPP, wonach die für die Datenverarbeitung Verantwortlichen nachweisen müssen, dass sie die erforderlichen Maßnahmen zum Schutz personenbezogener Daten getroffen haben.

2.3. Rechte des Inhabers und die „Einverständniserklärung“

Die Ausübung der Rechte der betroffenen Person ist ein zentraler Bestandteil des Schutzes personenbezogener Daten.

  • Das LFPDPPP sieht die ARCO-Rechte vor.
  • ISO/IEC TS 27560 formalisiert das Konzept des „Consent Receipt“ (Einwilligungsbeleg). Dieser Mechanismus ermöglicht es der betroffenen Person, eine überprüfbare und strukturierte Kopie der erteilten Einwilligung aufzubewahren, einschließlich der wesentlichen Informationen dazu. Diese Bestätigung dient nicht nur als Nachweis für den Betroffenen, sondern stärkt und erleichtert auch die Ausübung der ARCO-Rechte, indem sie dem Betroffenen einen klaren und überprüfbaren Nachweis seiner Einwilligung liefert, was Anträge auf Auskunft, Berichtigung oder Widerruf beschleunigen kann.

2.4. Sicherheit, Integrität und Erhaltung

Der Schutz der Einwilligungserklärung selbst ist ebenso wichtig wie deren ursprüngliche Einholung.

  • ISO/IEC TS 27560 schreibt Integritätskontrollen für Einwilligungserklärungen vor, und zwar durch eindeutige Referenzen und Informationsstrukturen, die eine Manipulation erschweren. Dadurch wird sichergestellt, dass die Einwilligungserklärung nach ihrer Erfassung nicht mehr geändert werden kann.
  • ISO/IEC 27701 ergänzt dies durch die Einführung solider technischer und governancebezogener Kontrollmaßnahmen für die Informationssicherheit.
  • Das LFPDPPP schreibt die Verpflichtung vor, Sicherheitsmaßnahmen für personenbezogene Daten zu ergreifen, was im weiteren Sinne auch den Schutz der Einwilligungsunterlagen umfasst. Die ordnungsgemäße Aufbewahrung dieser Unterlagen ist von entscheidender Bedeutung, um die Einhaltung der Vorschriften über einen längeren Zeitraum nachweisen zu können.

3. Harmonisierung der Rahmenbedingungen: Praktische Empfehlungen für die Umsetzung

Die Umsetzung der LFPDPPP, ISO/IEC 27701 und ISO/IEC TS 27560 erfordert einen systematischen Ansatz und die Einführung konkreter Maßnahmen. Im Folgenden stelle ich einige wichtige Empfehlungen vor, um diese Harmonisierung zu erreichen:

✔️ Implementierung von Strukturen gemäß ISO/IEC TS 27560: Organisationen müssen ihre Systeme zur Erfassung von Einwilligungen an die in ISO/IEC TS 27560 vorgeschriebenen Abschnitte und Felder anpassen. Diese Standardisierung verbessert nicht nur die Rückverfolgbarkeit, sondern erleichtert auch die Interoperabilität mit anderen Plattformen oder Diensten.

✔️ Versionsverwaltung und Dokumentation der Bereitstellung von Datenschutzerklärungen: Es ist unerlässlich, einen detaillierten Verlauf aller Versionen der Datenschutzerklärung zu führen, die zur Verfügung gestellt wurden. Jede Einwilligungserfassung muss einen genauen Verweis auf die konkrete Version der Datenschutzerklärung enthalten, die vom Betroffenen akzeptiert wurde, sowie Datum, Uhrzeit, Kanal und Art der Zustimmung (z. B. Anklicken eines Kontrollkästchens, elektronische Signatur).

✔️ Ausstellung von Einwilligungsbestätigungen für den Betroffenen: Entwicklung oder Anpassung von Systemen zur Ausstellung von „Consent Receipts“ für den Betroffenen gemäß der in ISO/IEC TS 27560 festgelegten Struktur und dem dort definierten Inhalt. Diese Bestätigungen müssen für den Betroffenen leicht zugänglich und überprüfbar sein, als Nachweis für seine Einwilligung dienen und die Ausübung seiner ARCO-Rechte erleichtern.

✔️ Überprüfung der Integrität und Rückverfolgbarkeit von Aufzeichnungen: Festlegung von Verfahren zur regelmäßigen Überprüfung, ob die gespeicherten Einwilligungsaufzeichnungen ihre Integrität und Gültigkeit bewahren und den festgelegten Strukturen entsprechen.

4. Schlussfolgerungen

Die Konvergenz zwischen dem LFPDPPP, der Norm ISO/IEC 27701 und der technischen Spezifikation ISO/IEC TS 27560 bietet eine einzigartige Gelegenheit, die Reife des Einwilligungsmanagements in Organisationen zu steigern. Durch die Integration dieser Rahmenwerke können Unternehmen über die reine Einhaltung gesetzlicher Vorschriften hinausgehen und einen proaktiven Ansatz im Datenschutz verfolgen.

Letztendlich ist die Integration dieser Rahmenwerke nicht nur aus technischer oder normativer Sicht empfehlenswert, sondern auch eine grundlegende Strategie für Governance und Transparenz.

Quellenangaben:

  • Bundesgesetz zum Schutz personenbezogener Daten im Besitz von Privatpersonen (Mexiko).
  • ISO/IEC 27701:2019, Sicherheitstechniken – Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement.
  • ISO/IEC 1 TS 27560:2023, Datenschutztechnologien – Informationsstruktur für Einwilligungsnachweise.

Weitere Informationen

Besuchen Sie den Bereich

Datenschutz & Künstliche Intelligenz