Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 5.34 – Privatsphäre und Schutz personenbezogener Daten

Der Schwerpunkt von ISO 27002 Control 5.34 liegt auf dem Schutz personenbezogener Daten (PII). Es stellt sicher, dass Organisationen Richtlinien implementieren, Verantwortlichkeiten zuweisen und die gesetzlichen und behördlichen Anforderungen hinsichtlich Datenschutz und Datensicherheit einhalten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Schutz personenbezogener Daten: Best Practices aus ISO 27002 Control 5.34

Personenbezogenen Daten (PII) ist jede Information, die die Identität einer Person bestätigt.

Zu den personenbezogenen Daten einer Person können gehören:

  • Adresse
  • Sozialversicherungsnummer oder Sozialversicherungsnummer
  • Führerschein
  • Finanzinformationen, einschließlich Bankkonten
  • Krankenakten

PII sind ein wichtiger Bestandteil der Data-Governance-Strategie einer Organisation und bergen eine Reihe einzigartiger regulatorischer, gesetzgeberischer und vertraglicher Risiken.

Control 5.34 behandelt PII auf drei verschiedene Arten:

  1. Erhaltung
  2. Datenschutz
  3. Schutz

Zweck der Kontrolle 5.34

Kontrolle 5.34 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Erstellung von Richtlinien und Verfahren, die die gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen einer Organisation in Bezug auf das erfüllen Lagerung, Datenschutz und Sicherheit von PII in all seinen Formen.

Kontrollattribute 5.34

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Identifizieren #Informationsschutz #Schutz
#Integrität #Schützen #Recht und Compliance
#Verfügbarkeit


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Eigentum an der Kontrolle 5.34

Control 5.34 benennt ausdrücklich den delegierten Datenschutzbeauftragten einer Organisation (oder ein entsprechendes Organisationsäquivalent) als die Person, die die Einhaltung personenbezogener Daten überwachen soll.

Allgemeine Leitlinien zur Kontrolle 5.34

Organisationen sollten PII als themenspezifische Geschäftsfunktion behandeln und Richtlinien entwickeln, die für ihre Organisation einzigartig sind, sowie die Kategorien von PII, die in ihrem täglichen Betrieb am häufigsten vorkommen.

Zuallererst sollte die Organisation eine Reihe von Richtlinien entwerfen, entwickeln und umsetzen, die auf die Bewahrung, den Datenschutz und den Schutz personenbezogener Daten abzielen, und sicherstellen, dass diese allen Mitarbeitern, die personenbezogene Daten verarbeiten, mitgeteilt und von diesen genutzt werden – nicht nur denen, die dazu verpflichtet sind beschäftigen sich im Rahmen ihrer beruflichen Tätigkeit damit.

PII müssen strukturiert, klar und prägnant verwaltet werden. Um dies zu erreichen, fragt Control 5.34 Organisationen dazu auffordern, Richtlinien zu entwerfen, die individuelle Rollen und Verantwortlichkeiten berücksichtigen und Datenkontrollen in der gesamten Organisation.

Der einfachste und effizienteste Weg, dies zu erreichen, ist ein Top-Down-Ansatz mit einem Datenschutzbeauftragten, dessen Aufgabe es ist, Mitarbeiter und Drittorganisationen zum Thema PII zu beraten und die Geschäftsleitung diesbezüglich zu beraten wie man den Verpflichtungen der Organisation nachkommt.

Neben regulatorischen, gesetzlichen und vertraglichen Richtlinien, u. a Die Organisation sollte auch technische und betriebliche Maßnahmen umsetzen die sich mit der praktischen Handhabung personenbezogener Daten befassen, während diese im Unternehmen gespeichert werden und durch das Unternehmen fließen.

Ergänzende Anleitung

Die PII-Gesetzgebung variiert von Land zu Land, selbst innerhalb von Gebieten mit dezentralen Verwaltungen oder nicht-bundesstaatlichen Regierungen.

Organisationen sollten prüfen ihre PII-Verarbeitungsanforderungen und berücksichtigen alle grenzüberschreitenden Auswirkungen, die sich aus der Erhebung, Verarbeitung oder Verteilung von PII innerhalb verschiedener Gerichtsbarkeiten ergeben.

Während der ISO 27002:2022 bietet keine zusätzliche Anleitung, wie dies erreicht werden kann, eine Reihe von ISO-Dokumenten gehen jedoch detaillierter auf die Angelegenheit ein, darunter:



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.34 ersetzt 27002:2013-18.1.4 (Datenschutz und Schutz personenbezogener Daten).

27002:2022-5.34 ist bis auf zwei bemerkenswerte Ausnahmen fast eine Kopie seines Vorgängers aus dem Jahr 2013.

  1. 27002:2022-5.34 fordert Organisationen auf, bei der Formulierung und Umsetzung von PII-Richtlinien und -Verfahren eine themenspezifische Richtlinie zu berücksichtigen.
  2. 27002:2022-5.34 legt mehr Wert auf die Erhaltung von PII (wie im Kontrolltitel angegeben) sowie standardmäßige Datenschutz- und Datenschutzrichtlinien.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, damit Sie dies tun können Machen Sie unterwegs eine Checkliste für Ihren ISMS-Prozess um sicherzustellen, dass es die Anforderungen für ISO 27k erfüllt. Richtig verwendet, ISMS. online kann unterstützen Sie bei der Erlangung der Zertifizierung mit einem Minimum an Zeit und Ressourcen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.