Wie ist Anhang A in ISO 27701:2025 strukturiert?
Anhang A ist normativ, d. h. seine Kontrollen sind Anforderungen (keine optionalen Empfehlungen). Er ist in drei Tabellen unterteilt, die auf der Rolle der Organisation bei der Verarbeitung personenbezogener Daten (PII) basieren:
| Tisch | Gilt für | Steuerelemente | Schwerpunkte |
|---|---|---|---|
| Tabelle A.1 | PII-Controller | 31 | Rechtsgrundlage, Einwilligung, Rechte der Hauptpersonen in Bezug auf personenbezogene Daten, Datenschutz durch Technikgestaltung, Datenübermittlungen |
| Tabelle A.2 | PII-Prozessoren | 18 | Kundenvereinbarungen, Verarbeitungszwecke, Subunternehmermanagement, Offenlegungen |
| Tabelle A.3 | Sowohl Controller als auch Prozessoren | 29 | Informationssicherheitsrichtlinien, Zugriffskontrolle, Vorfallmanagement, Kryptografie, Entwicklungssicherheit |
Zu jeder Kontrollmaßnahme in Anhang A gibt es entsprechende Umsetzungshinweise in Anhang B (z. B. Hinweise zur Kontrolle). A.1.2.2 Zweck identifizieren und dokumentieren (siehe B.1.2.2). Organisationen müssen alle anwendbaren Kontrollen in ihre Anwendbarkeitserklärung aufnehmen und etwaige Ausnahmen begründen [Klausel 6.1.3 e)].
Was umfasst Tabelle A.1? (PII-Reglersteuerungen)
Tabelle A.1 enthält 31 Bedienelemente Diese Ziele sind in vier Kategorien unterteilt. Sie gelten für jede Organisation, die Zweck und Mittel der Verarbeitung personenbezogener Daten festlegt.
Bedingungen für die Erhebung und Verarbeitung (A.1.2)
Ziel: Nachweis, dass die Verarbeitung rechtmäßig ist, auf einer Rechtsgrundlage gemäß den geltenden Rechtsordnungen beruht und klar definierten und legitimen Zwecken dient.
| Kontrollieren | Titel |
|---|---|
| A.1.2.2 Zweck identifizieren und dokumentieren | Zweck identifizieren und dokumentieren |
| A.1.2.3 Rechtsgrundlage ermitteln | Rechtsgrundlage ermitteln |
| A.1.2.4 Einwilligung feststellen | Festlegen, wann und wie die Einwilligung eingeholt werden soll. |
| A.1.2.5 Einwilligung einholen und protokollieren | Einwilligung einholen und protokollieren |
| A.1.2.6 Datenschutz-Folgenabschätzung | Datenschutzfolgenabschätzung |
| A.1.2.7 Verträge mit PII-Verarbeitern | Verträge mit PII-Verarbeitern |
| A.1.2.8 Gemeinsamer PII-Controller | Gemeinsamer PII-Controller |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten |
Verpflichtungen gegenüber PII-Auftraggebern (A.1.3)
Ziel: Sicherzustellen, dass die Betroffenen angemessen über die Verarbeitung ihrer personenbezogenen Daten informiert werden und dass alle anderen geltenden Verpflichtungen erfüllt werden.
| Kontrollieren | Titel |
|---|---|
| A.1.3.2 Verpflichtungen gegenüber PII-Auftraggebern | Feststellung und Erfüllung der Verpflichtungen gegenüber den Auftraggebern von PII |
| A.1.3.3 Informationen für PII-Verantwortliche | Ermittlung von Informationen für personenbezogene Datenverantwortliche |
| A.1.3.4 Bereitstellung von Informationen | Bereitstellung von Informationen für Verantwortliche für personenbezogene Daten |
| A.1.3.5 Einwilligung ändern oder widerrufen | Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung |
| A.1.3.6 Widerspruch gegen die Verarbeitung personenbezogener Daten | Bereitstellung eines Mechanismus zum Widerspruch gegen die Verarbeitung personenbezogener Daten |
| A.1.3.7 Zugang, Berichtigung oder Löschung | Zugang, Berichtigung oder Löschung |
| A.1.3.8 Dritte informieren | Verpflichtungen der Verantwortlichen für personenbezogene Daten zur Information Dritter |
| A.1.3.9 Bereitstellung einer Kopie der personenbezogenen Daten | Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten |
| A.1.3.10 Bearbeitung von Anfragen | Bearbeitung von Anfragen |
| A.1.3.11 Automatisierte Entscheidungsfindung | Automatisierte Entscheidungsfindung |
Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen (A.1.4).
Ziel: Sicherzustellen, dass Prozesse und Systeme so gestaltet sind, dass die Erfassung und Verarbeitung personenbezogener Daten auf das für den jeweiligen Zweck notwendige Maß beschränkt ist.
| Kontrollieren | Titel |
|---|---|
| A.1.4.2 Begrenzung der Inkasso | Beschränken Sie die Sammlung |
| A.1.4.3 Grenzverarbeitung | Verarbeitung einschränken |
| A.1.4.4 Genauigkeit und Qualität | Genauigkeit und Qualität |
| A.1.4.5 Minimierung personenbezogener Daten | Ziele zur Minimierung von PII |
| A.1.4.6 Anonymisierung und Löschung | Anonymisierung und Löschung personenbezogener Daten am Ende der Verarbeitung |
| A.1.4.7 Temporäre Dateien | Temporäre Dateien |
| A.1.4.8 Retention | Kundenbindung |
| A.1.4.9 Entsorgung | Verfügung |
| A.1.4.10 PII Getriebesteuerung | PII-Getriebesteuerung |
Weitergabe, Übermittlung und Offenlegung personenbezogener Daten (A.1.5)
Ziel: Festzustellen, ob und wann personenbezogene Daten gemäß den geltenden Verpflichtungen weitergegeben, übertragen oder offengelegt werden.
| Kontrollieren | Titel |
|---|---|
| A.1.5.2 Grundlage für die Übertragung personenbezogener Daten | Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen ermitteln |
| A.1.5.3 Länder für die Übermittlung personenbezogener Daten | Länder und internationale Organisationen, an die personenbezogene Daten übertragen werden können |
| A.1.5.4 Aufzeichnungen über die Übertragung personenbezogener Daten | Aufzeichnungen über die Übermittlung personenbezogener Daten |
| A.1.5.5 Aufzeichnungen über die Offenlegung personenbezogener Daten | Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte |
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Was umfasst Tabelle A.2? (PII-Prozessorsteuerung)
Tabelle A.2 enthält 18 Bedienelemente Diese Ziele sind in vier Gruppen unterteilt. Sie gelten für jede Organisation, die personenbezogene Daten im Auftrag eines Verantwortlichen für personenbezogene Daten verarbeitet.
Bedingungen für die Erhebung und Verarbeitung (A.2.2)
| Kontrollieren | Titel |
|---|---|
| A.2.2.2 Kundenvereinbarung | Kundenvereinbarung |
| A.2.2.3 Organisationszwecke | Ziele der Organisation |
| A.2.2.4 Marketing und Werbung | Marketing- und Werbenutzung |
| A.2.2.5 Anweisung zur Rechtsverletzung | Verstoßende Anweisung |
| A.2.2.6 Pflichten des Kunden | Pflichten des Kunden |
| A.2.2.7 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten |
Verpflichtungen gegenüber PII-Auftraggebern (A.2.3)
| Kontrollieren | Titel |
|---|---|
| A.2.3.2 Verpflichtungen gegenüber PII-Auftraggebern | Verpflichtungen gegenüber den Auftraggebern personenbezogener Daten einhalten |
Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen (A.2.4).
| Kontrollieren | Titel |
|---|---|
| A.2.4.2 Temporäre Dateien | Temporäre Dateien |
| A.2.4.3 Rückgabe, Übertragung oder Entsorgung | Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten |
| A.2.4.4 PII Getriebesteuerung | PII-Getriebesteuerung |
Weitergabe, Übermittlung und Offenlegung personenbezogener Daten (A.2.5)
| Kontrollieren | Titel |
|---|---|
| A.2.5.2 Grundlage für die Übertragung personenbezogener Daten | Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen |
| A.2.5.3 Länder für die Übermittlung personenbezogener Daten | Länder und internationale Organisationen, an die personenbezogene Daten übertragen werden können |
| A.2.5.4 Aufzeichnungen über die Offenlegung personenbezogener Daten | Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte |
| A.2.5.5 Anfragen zur Offenlegung personenbezogener Daten | Benachrichtigung über Anfragen zur Offenlegung personenbezogener Daten |
| A.2.5.6 Rechtsverbindliche Offenlegungen | Rechtsverbindliche Offenlegung personenbezogener Daten |
| A.2.5.7 Offenlegung von Subunternehmern | Offenlegung der zur Verarbeitung personenbezogener Daten eingesetzten Unterauftragnehmer |
| A.2.5.8 Einbindung von Subunternehmern | Beauftragung eines Unterauftragnehmers zur Verarbeitung personenbezogener Daten |
| A.2.5.9 Wechsel des Subunternehmers | Wechsel des Unterauftragnehmers für die Verarbeitung personenbezogener Daten |
Was umfasst Tabelle A.3? (Gemeinsame Sicherheitskontrollen)
Tabelle A.3 enthält 29 Bedienelemente Diese Maßnahmen gelten sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Es handelt sich um Informationssicherheitskontrollen mit spezifischen Anforderungen an die Verarbeitung personenbezogener Daten.
| Kontrollieren | Titel |
|---|---|
| A.3.3 Informationssicherheitsrichtlinien | Richtlinien zur Informationssicherheit |
| A.3.4 Sicherheitsrollen | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| A.3.5 Klassifizierung von Informationen | Klassifizierung von Informationen |
| A.3.6 Kennzeichnung von Informationen | Kennzeichnung von Informationen |
| A.3.7 Informationstransfer | Informationsübertragung |
| A.3.8 Identitätsmanagement | Identitätsmanagement |
| A.3.9 Zugriffsrechte | Zugangsrechte |
| A.3.10 Lieferantenvereinbarungen | Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen |
| A.3.11 Vorfallmanagement | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| A.3.12 Reaktion auf Sicherheitsvorfälle | Reaktion auf Informationssicherheitsvorfälle |
| A.3.13 Rechtliche und regulatorische Anforderungen | Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen |
| A.3.14 Schutz von Aufzeichnungen | Schutz von Aufzeichnungen |
| A.3.15 Unabhängige Überprüfung | Unabhängige Überprüfung der Informationssicherheit |
| A.3.16 Einhaltung der Richtlinien | Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit |
| A.3.17 Sicherheitsbewusstsein und -schulung | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| A.3.18 Vertraulichkeitsvereinbarungen | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| A.3.19 Aufgeräumter Schreibtisch und aufgeräumter Bildschirm | Klarer Schreibtisch und klarer Bildschirm |
| A.3.20 Speichermedien | Speichermedium |
| A.3.21 Sichere Entsorgung von Geräten | Sichere Entsorgung oder Wiederverwendung von Geräten |
| A.3.22 Benutzerendgeräte | Benutzerendpunktgeräte |
| A.3.23 Sichere Authentifizierung | Sichere Authentifizierung |
| A.3.24 Informationssicherung | Informationssicherung |
| A.3.25 Protokollierung | Protokollierung |
| A.3.26 Einsatz von Kryptographie | Verwendung von Kryptographie |
| A.3.27 Sicherer Entwicklungslebenszyklus | Sicherer Entwicklungslebenszyklus |
| A.3.28 Anwendungssicherheit | Anforderungen an die Anwendungssicherheit |
| A.3.29 Sichere Systemarchitektur | Sichere Systemarchitektur und technische Prinzipien |
| A.3.30 Ausgelagerte Entwicklung | Ausgelagerte Entwicklung |
| A.3.31 Testinformationen | Testinformationen |
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Wie funktionieren Anhang A und Anhang B zusammen?
Anhang A definiert die Kontrollziele und Kontrollaussagen (das „Was“). Anhang B enthält Umsetzungsanleitung (das „Wie“). Jeder Kontrollmaßnahme in Anhang A ist eine entsprechende Klausel in Anhang B mit derselben Nummerierung zugeordnet:
- Kontrollieren A.1.2.2 Zweck identifizieren und dokumentieren (Zweck identifizieren und dokumentieren) → Leitfaden unter B.1.2.2
- Kontrollieren A.2.2.2 Kundenvereinbarung (Kundenvereinbarung) → Anleitung unter B.2.2.2
- Kontrollieren A.3.3 Informationssicherheitsrichtlinien (Richtlinien für Informationssicherheit) → Leitfaden unter B.3.3
Bei der Implementierung einer Kontrollmaßnahme sollten Sie sowohl die Anforderungen in Anhang A als auch die Hinweise in Anhang B gemeinsam lesen. Anhang B ist als normativ eingestuft, verwendet jedoch Formulierungen wie „sollte“ statt „muss“. Die Prüfer erwarten jedoch, dass Ihre Implementierung dem Zweck des Anhangs entspricht.
In welchem Verhältnis steht Anhang A zu den anderen Anhängen?
Der Standard umfasst vier zusätzliche Mapping-Anhänge, die die Steuerelemente des Anhangs A mit externen Frameworks verbinden:
- Anhang C. — Ordnet die Kontrollen den 11 Datenschutzprinzipien der ISO/IEC 29100 zu
- Anhang D - Zuordnung von Steuerelementen zu DSGVO-Artikeln (Artikel 5–35 und 44–49)
- Anhang E — Ordnet die Steuerelemente ISO/IEC 27018 (Cloud-Prozessoren) und ISO/IEC 29151 (PII-Schutz) zu
- Anhang F - Ordnet die Kontrollen von 2025 den entsprechenden Normen nach ISO 27701:2019 zu
Diese Zuordnungen sind informativ (nicht normativ), aber von unschätzbarem Wert für Organisationen, die die Einhaltung mehrerer Rahmenwerke gleichzeitig nachweisen müssen.
Warum sollten Sie sich ISMS.online für ISO 27701:2025 Anhang A?
ISMS.online bietet Ihnen eine strukturierte, nachvollziehbare Möglichkeit zur Umsetzung jeder Kontrollmaßnahme gemäß Anhang A:
Vergleichen Sie, wie führende Plattformen die Umsetzung von Anhang A in unserem Vergleich von Compliance-Software.
- Vorgefertigte Steuerungssätze — Alle 78 Kontrollen sind erfasst und bereit für Ihre Anwendbarkeitserklärung
- Beweise, die einen Zusammenhang herstellen — Richtlinien, Risikobewertungen, Prüfergebnisse und Aufzeichnungen sind jedem Kontrollmechanismus direkt zuzuordnen.
- Rollenbasierte Ansichten — Filtern Sie die Steuerelemente nach Ihrer Rolle (Controller, Prozessor oder beides), damit Sie nur die relevanten Informationen sehen.
- Lückenverfolgung — Kennzeichnen Sie jede Kontrollmaßnahme als implementiert, teilweise implementiert oder nicht anwendbar und begründen Sie dies.
- Frameworkübergreifende Zuordnung — Sehen Sie, wie die einzelnen Steuerelemente zugeordnet sind Datenschutz, ISO 27001 und andere Rahmenwerke, die Sie anwenden
- Auditfähige Exporte — Erstellen Sie Ihre Anwendbarkeitserklärung und die Nachweisunterlagen für externe Prüfer
Häufig gestellte Fragen
Muss ich alle 78 Kontrollen des Anhangs A implementieren?
Nicht unbedingt. Sie müssen alle für Ihre Rolle (Verantwortlicher, Auftragsverarbeiter oder beides) relevanten Kontrollen in Ihre Anwendbarkeitserklärung aufnehmen. Jegliche Ausnahmen müssen begründet werden. Kontrollen können ausgeschlossen werden, wenn sie in Ihrer Risikobewertung als nicht notwendig erachtet werden oder wenn sie aufgrund geltender rechtlicher Bestimmungen nicht erforderlich sind.
Worin besteht der Unterschied zwischen Anhang A und Anhang B?
Anhang A enthält die Kontrollziele und Kontrollanweisungen (die Anforderungen). Anhang B bietet Umsetzungshinweise für jede Kontrolle. Anhang A ist normativ (verbindlich); die Hinweise in Anhang B sind ebenfalls normativ und verwenden Formulierungen mit dem Wort „sollte“, um Umsetzungsempfehlungen zu geben, deren Einhaltung die Prüfer erwarten.
Wie erfahre ich, welche Tabelle für meine Organisation gilt?
Wenn Sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen, Tabelle A.1 (Die Kontrollen des Verantwortlichen) gelten. Wenn Sie personenbezogene Daten im Auftrag einer anderen Organisation verarbeiten, Tabelle A.2 (Prozessorsteuerung) gilt. Tabelle A.3 (Gemeinsame Kontrollen) gelten für beide Rollen. Viele Organisationen fungieren sowohl als Verantwortliche als auch als Auftragsverarbeiter für unterschiedliche Verarbeitungstätigkeiten.
Wie lassen sich die Steuerungselemente der Version 2025 der Version 2019 zuordnen?
Anhang F enthält eine vollständige Entsprechungstabelle in beide Richtungen. Tabelle F.1 ordnet die Kontrollmaßnahmen von 2025 ihren Äquivalenten von 2019 zu. Tabelle F.2 ordnet die Kontrollmaßnahmen von 2019 ihren Äquivalenten von 2025 zu. Siehe unsere Anhang F Korrespondenzleitfaden für die vollständige Kartierung.
Erfahren Sie, wie Sie Ihre Steuerungsauswahlen in unserem Dokument festhalten. Leitfaden zur Anwendbarkeitserklärung.
Für jede Kontrollmaßnahme sind Belege erforderlich – siehe unsere Anforderungen an Prüfungsnachweise Leitfaden zu den Erwartungen der Wirtschaftsprüfer.
