Informationssicherheit und Datenschutz werden in vielen Organisationen als getrennte Welten behandelt: Der ISB kümmert sich um die ISO-Zertifizierung, der DSB um die DSGVO, und beide reden selten miteinander. A.5.34 fordert, dass die Organisation die Datenschutzanforderungen als integralen Bestandteil der Informationssicherheit behandelt — mit einer klaren Richtlinie, definierten Verantwortlichkeiten und implementierten Schutzmaßnahmen.
Was verlangt die Norm?
- Datenschutzrichtlinie erstellen. Die Organisation hat eine dokumentierte Richtlinie zum Schutz personenbezogener Daten.
- Verantwortlichkeiten zuweisen. Eine benannte Person (DSB oder äquivalent) überwacht die Datenschutz-Compliance.
- Technische und organisatorische Maßnahmen implementieren. Schutzmaßnahmen für personenbezogene Daten sind implementiert und dokumentiert.
- Gesetzliche Anforderungen einhalten. Die Organisation kennt und erfüllt die relevanten Datenschutzgesetze (DSGVO, BDSG).
In der Praxis
Verarbeitungsverzeichnis pflegen. Das Verzeichnis der Verarbeitungstätigkeiten (DSGVO Art. 30) ist die zentrale Datenquelle: Welche personenbezogenen Daten werden wo, warum und wie verarbeitet? Verknüpfe es mit dem Asset-Register (A.5.9) und dem Klassifizierungsschema (A.5.12).
TOM-Dokumentation erstellen. Für jede Verarbeitungstätigkeit dokumentierst du die technischen und organisatorischen Maßnahmen. Nutze die Annex-A-Kontrollen als Strukturierungshilfe — die meisten TOM lassen sich direkt einer Kontrolle zuordnen.
Löschkonzept implementieren. Personenbezogene Daten müssen nach Zweckentfall gelöscht werden (DSGVO Art. 17). Definiere Löschfristen pro Datentyp, automatisiere die Löschung wo möglich und dokumentiere die Durchführung. Das Löschkonzept ergänzt den Aufbewahrungsplan (A.5.33).
Datenschutz-Folgenabschätzung bei Bedarf. Bei Verarbeitungen mit hohem Risiko (DSGVO Art. 35): DSFA durchführen, bevor die Verarbeitung startet. Typische Trigger: systematische Überwachung, Verarbeitung besonderer Kategorien, automatisierte Entscheidungsfindung.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.34 typischerweise diese Nachweise:
- Datenschutzrichtlinie — dokumentierte Richtlinie zum Schutz personenbezogener Daten
- Verarbeitungsverzeichnis — Übersicht aller Verarbeitungstätigkeiten (DSGVO Art. 30)
- TOM-Dokumentation — technische und organisatorische Maßnahmen pro Verarbeitungstätigkeit
- Löschkonzept — Löschfristen und Nachweis der Durchführung (→ Datenlöschung im Starter Kit)
- DSB-Benennung — Nachweis der Benennung eines Datenschutzbeauftragten (falls Pflicht besteht)
KPI
% der PII-Verarbeitungstätigkeiten mit umgesetzten Datenschutzmaßnahmen
Gemessen am Verarbeitungsverzeichnis: Wie viele der erfassten Verarbeitungstätigkeiten haben dokumentierte und implementierte TOM? Ziel: 100%.
Ergänzende KPIs:
- Anteil der Verarbeitungstätigkeiten mit dokumentierter Rechtsgrundlage
- Anzahl der offenen Löschfristen-Überschreitungen
- Anzahl der Datenschutzverletzungen pro Jahr (mit Meldepflicht-Einhaltung)
BSI IT-Grundschutz
A.5.34 mappt auf ein breites Spektrum von BSI-Bausteinen:
- CON.2 (Datenschutz) — zentraler BSI-Baustein zum Datenschutz mit Anforderungen an Verarbeitungsverzeichnis, TOM, DSFA und Löschkonzept.
- ORP.5 (Einhaltung rechtlicher Rahmenbedingungen) — DSGVO und BDSG als Teil der rechtlichen Anforderungen.
- DER.1.A2, DER.1.A10 — Protokollierung und Auswertung als Teil der TOM.
Verwandte Kontrollen
A.5.34 verbindet Datenschutz mit dem ISMS:
- A.5.31 — Rechtliche und vertragliche Anforderungen: DSGVO und BDSG als Teil des Rechtsregisters.
- A.5.33 — Schutz von Aufzeichnungen: Aufbewahrung und Löschung personenbezogener Aufzeichnungen.
- A.5.12 — Klassifizierung von Informationen: Personenbezogene Daten als Klassifizierungskategorie.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.34 — Datenschutz und Schutz von PII
- ISO/IEC 27002:2022 Abschnitt 5.34 — Umsetzungshinweise
- BSI IT-Grundschutz, CON.2 — Datenschutz