Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.1.2.6: Datenschutz-Folgenabschätzung

Gemäß Kontrollmaßnahme A.1.2.6 müssen Organisationen den Bedarf an einer Datenschutz-Folgenabschätzung prüfen, sobald eine neue oder geänderte Verarbeitung personenbezogener Daten geplant ist. Datenschutz-Folgenabschätzungen gehören zu den wirksamsten Instrumenten, um Datenschutzrisiken frühzeitig zu erkennen und zu minimieren.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.1.2.6?

Die Organisation prüft den Bedarf an einer Datenschutz-Folgenabschätzung und führt diese gegebenenfalls durch, wenn eine neue Verarbeitung personenbezogener Daten oder Änderungen an der bestehenden Verarbeitung personenbezogener Daten geplant sind.

Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Zielsetzung (A.1.2). Im Gegensatz zu den vorhergehenden Kontrollen, die sich auf die Rechtsgrundlage und die Einwilligung konzentrieren, führt A.1.2.6 eine Risikobewertung Diese Anforderung sieht ein zweistufiges Vorgehen vor: Zunächst ist zu prüfen, ob eine Datenschutz-Folgenabschätzung (PSA) erforderlich ist (Screening-Schritt), und falls ja, ist diese vor Beginn der Verarbeitung durchzuführen.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.1.2.6) enthält folgende Hinweise:

  • Das Timing ist entscheidend — Datenschutz-Folgenabschätzungen sollten durchgeführt werden bevor Die Bearbeitung beginnt. Es handelt sich um eine Präventivmaßnahme, nicht um eine nachträgliche Rechtfertigung.
  • Die PIA sollte Folgendes bewerten:
    • Notwendigkeit und Verhältnismäßigkeit — Ist die Verarbeitung für den angegebenen Zweck erforderlich und steht die Menge der erhobenen personenbezogenen Daten in einem angemessenen Verhältnis zu dem, was benötigt wird?
    • Risiken für die Verantwortlichen von PII Welche potenziellen Schäden könnten durch die Verarbeitung entstehen, einschließlich unberechtigten Zugriffs, Verlust, Diskriminierung oder Rufschädigung?
    • Vorgeschlagene Minderungsmaßnahmen Welche Kontrollmaßnahmen, Sicherheitsvorkehrungen oder Gestaltungsentscheidungen werden die identifizierten Risiken auf ein akzeptables Niveau reduzieren?
    • Web Link A.1.2.4: Festlegen, wann und wie die Einwilligung einzuholen ist für damit zusammenhängende Anforderungen
    • Web Link A.1.2.5: Einwilligung einholen und protokollieren für damit zusammenhängende Anforderungen
  • Die Ergebnisse sollten dokumentiert und dient der Information von Verarbeitungsentscheidungen – die Datenschutz-Folgenabschätzung ist keine reine Formalität, sondern ein Entscheidungsinstrument.
  • Die Leitlinien verweisen ISO / IEC 29134 (Leitfaden für Datenschutz-Folgenabschätzungen) als detaillierter methodischer Standard für die Durchführung von Datenschutz-Folgenabschätzungen

In der Praxis bedeutet dies, dass Organisationen sowohl einen Screening-Prozess (um zu entscheiden, wann eine Datenschutz-Folgenabschätzung erforderlich ist) als auch eine Methodik für die Datenschutz-Folgenabschätzung (um die Bewertung durchzuführen, wenn sie ausgelöst wird) benötigen.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.1.2.6 ist einem wesentlichen Block zugeordnet Datenschutz Bestimmungen:

  • Artikel 35(1)–(11) — Die Anforderungen an die Datenschutz-Folgenabschätzung (DSFA). Datenschutz Die Verordnung schreibt Datenschutz-Folgenabschätzungen (DSFA) vor, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt“, und legt Mindestanforderungen an den Inhalt fest, darunter: eine systematische Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung und Maßnahmen zur Risikobewältigung.
  • Artikel 36(1) (nicht in Anhang D aufgeführt, aber eng verwandt) bis (5) — Vorherige Konsultation mit der Aufsichtsbehörde. Ergibt eine Datenschutz-Folgenabschätzung ein hohes Restrisiko, das nicht gemindert werden kann, muss der Verantwortliche die Aufsichtsbehörde konsultieren, bevor die Verarbeitung beginnt.

Die Datenschutz-Folgenabschätzungspflicht der DSGVO ist detaillierter als die ISO-27701-Norm – sie schreibt eine Bewertung für Verarbeitungen mit hohem Risiko vor, während Abschnitt A.1.2.6 von Organisationen verlangt, den Bedarf ermitteln Für jede neue oder geänderte Datenverarbeitung ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. In der Praxis erfüllt die Umsetzung von A.1.2.6 die Anforderungen der DSGVO an eine DSFA, sofern die Prüfkriterien alle Auslöserszenarien gemäß Artikel 35 abdecken.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Diese Steuerung unterstützt mehrere Datenschutzprinzipien der ISO 29100:

  • Einwilligung und Wahl — Datenschutz-Folgenabschätzungen helfen dabei, festzustellen, wo Einwilligungsmechanismen entwickelt oder verbessert werden müssen.
  • Sammlungsbeschränkung Die Notwendigkeits- und Verhältnismäßigkeitsprüfung befasst sich direkt mit der Frage, ob zu viele personenbezogene Daten erhoben werden.
  • Datenschutzkonformität — Datenschutzfolgenabschätzungen sind ein Mechanismus zur Überprüfung und zum Nachweis der Einhaltung von Datenschutzbestimmungen, bevor die Verarbeitung beginnt


Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.1.2.6 achten die Prüfer typischerweise auf Folgendes:

  • PIA-Screeningkriterien — Ein dokumentierter Schwellenwert oder eine Checkliste, die verwendet wird, um festzustellen, ob eine vollständige Datenschutz-Folgenabschätzung für eine bestimmte Verarbeitungstätigkeit oder Änderung erforderlich ist.
  • Screening-Aufzeichnungen — Nachweise dafür, dass das Screening-Verfahren auf neue und geänderte Verarbeitungstätigkeiten angewendet wurde, einschließlich Fällen, in denen eine vollständige PIA durchgeführt wurde kein Frontalunterricht. als notwendig erachtet (mit dokumentierter Begründung)
  • Abgeschlossene PIA-Berichte — Vollständige Bewertungsdokumente, die Notwendigkeit, Verhältnismäßigkeit, Risikoanalyse und vorgeschlagene Minderungsmaßnahmen umfassen.
  • Risikobehandlungsentscheidungen — Nachweise dafür, dass auf die Ergebnisse der Umweltverträglichkeitsprüfung reagiert wurde — umgesetzte Minderungsmaßnahmen, geänderte Verfahren oder in einigen Fällen eingestellte Verfahren.
  • Abmeldeprotokolle — Zustimmung der zuständigen Stakeholder (z. B. Datenschutzbeauftragter, Geschäftsleitung), dass die Datenschutz-Folgenabschätzung geprüft und das Restrisiko akzeptiert wurde
  • Aufzeichnungen über vorherige Konsultationen — Wo das Restrisiko nach der Risikominderung weiterhin hoch blieb, Nachweis darüber, dass die Aufsichtsbehörde konsultiert wurde (Artikel 36 DSGVO).

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.2.2 Zweck ermitteln und dokumentieren Die Zweckdokumentation ist ein Bestandteil der Datenschutz-Folgenabschätzung – ohne Kenntnis des Zwecks kann die Notwendigkeit nicht beurteilt werden.
A.1.2.3 Rechtmäßige Grundlage ermitteln Die Datenschutz-Folgenabschätzung (PSA) sollte überprüfen, ob eine gültige Rechtsgrundlage für die geplante Verarbeitung vorliegt.
A.1.4.3 Begrenzung der Verarbeitung Die Verhältnismäßigkeitsprüfung im Rahmen der Datenschutz-Folgenabschätzung dient als Grundlage für Entscheidungen zur Datenminimierung.
A.1.4.6 Anonymisierung und Löschung personenbezogener Daten PIAs können die Anonymisierung oder Löschung als Risikominderungsmaßnahme festlegen.
A.1.2.7 Verträge mit PII-Verarbeitern Sofern die Verarbeitung durch Drittanbieter erfolgt, sollte die Datenschutz-Folgenabschätzung die mit den Drittanbietern verbundenen Risiken bewerten.
ISO / IEC 29134 Der genannte Standard enthält detaillierte PIA-Methoden und Richtlinien.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Fassung von 2019 erschien diese Anforderung als Klausel 7.2.5 (Datenschutz-Folgenabschätzung). Die Kernanforderung bleibt unverändert: Prüfen Sie den Bedarf an einer Datenschutz-Folgenabschätzung und führen Sie diese gegebenenfalls durch. Die Umstrukturierung bis 2025 umfasst Tabelle A.1 Dies sorgt für eine klarere Trennung zwischen der Kontrollanweisung (A.1.2.6) und der Anleitung (B.1.2.6). Der Verweis auf ISO/IEC 29134 als detaillierte Norm für die PIA-Methodik wurde beibehalten, um zu unterstreichen, dass Organisationen einen strukturierten Ansatz anstelle einer Ad-hoc-Bewertung verfolgen sollten. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für Datenschutz-Folgenabschätzungen?

ISMS.online bietet einen durchgängigen PIA-Workflow, der Sie von der Prüfung bis zur Genehmigung begleitet:

  • PIA-Screening-Tool — Ein integrierter Fragebogen, der feststellt, ob eine vollständige Beurteilung erforderlich ist, mit dokumentierter Begründung für jede Entscheidung
  • Strukturierte PIA-Vorlagen — Vorgefertigte Bewertungsvorlagen gemäß ISO/IEC 29134, die Gutachter durch die Prüfung von Notwendigkeit, Verhältnismäßigkeit, Risikoidentifizierung und Risikominderungsplanung führen
  • Risikobewertung und Heatmaps — Visuelle Risikoanalyse mit Wahrscheinlichkeits- und Auswirkungsbewertung, die es erleichtert, Risikominderungsmaßnahmen zu priorisieren und die Ergebnisse den Stakeholdern zu kommunizieren.
  • Schadensbegrenzungs-Tracking — Weisen Sie Verantwortlichen Maßnahmen zur Risikobehandlung mit Fristen zu und verfolgen Sie den Umsetzungsfortschritt innerhalb derselben Plattform.
  • Genehmigungsworkflows — Weiterleitung der abgeschlossenen PIAs an den Datenschutzbeauftragten oder die Geschäftsleitung zur Prüfung und Genehmigung, wobei der Genehmigungsprozess vollständig protokolliert wird
  • Verknüpfte Beweise — Verknüpfen Sie Datenschutz-Folgenabschätzungen mit den Verarbeitungstätigkeiten, Rechtsgrundlagen und Einwilligungsdokumenten, auf die sie sich beziehen, um ein vollständiges Bild der Einhaltung der Datenschutzbestimmungen zu erhalten

Häufig gestellte Fragen

Wann ist eine Datenschutz-Folgenabschätzung obligatorisch?

Gemäß ISO 27701:2025 ist eine Datenschutz-Folgenabschätzung nicht automatisch für jede Verarbeitungstätigkeit erforderlich – die Kontrollmaßnahme verlangt jedoch, dass Sie den Bedarf ermitteln Zum einen ist gemäß Artikel 35 der DSGVO eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte von Einzelpersonen birgt. Der Europäische Datenschutzausschuss hat Kriterien veröffentlicht, die unter anderem die systematische Bewertung personenbezogener Aspekte (Profiling), die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang und die systematische Überwachung öffentlich zugänglicher Bereiche umfassen. Organisationen sollten diese Auslöser in ihre Prüfkriterien einbeziehen.

Kann eine Datenschutz-Folgenabschätzung durchgeführt werden, nachdem die Bearbeitung bereits begonnen hat?

Sowohl die Norm als auch die DSGVO sehen die Durchführung von Datenschutz-Folgenabschätzungen vor. bevor Die Bearbeitung beginnt. Sollten Sie jedoch feststellen, dass eine Folgenabschätzung (PIA) hätte durchgeführt werden müssen, dies aber nicht geschehen ist, ist eine nachträgliche Durchführung besser als gar keine. Die nachträgliche PIA kann Risiken aufdecken, die ein sofortiges Eingreifen oder sogar einen Abbruch der Bearbeitung erfordern. Die Prüfer werden die zeitliche Verzögerung zwar bemerken, eine verspätete PIA aber positiver bewerten als gar keine.

Wie oft sollten bestehende Datenschutz-Folgenabschätzungen überprüft werden?

Datenschutz-Folgenabschätzungen (DSFA) sollten immer dann überprüft werden, wenn sich die darin beschriebenen Verarbeitungsprozesse wesentlich ändern – beispielsweise durch neue Datenkategorien, neue Empfänger, technologische Änderungen oder Änderungen im regulatorischen Umfeld. Es empfiehlt sich, einen regelmäßigen Überprüfungsplan (z. B. jährlich) festzulegen, um auch schrittweise Änderungen zu erfassen, die möglicherweise keine Einzelprüfung ausgelöst hätten. Im Rahmen der Überprüfung sollte beurteilt werden, ob die ursprüngliche Risikoanalyse und die eingeleiteten Risikominderungsmaßnahmen weiterhin gültig sind.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.

A Lückenanalyse kann Ihnen dabei helfen, zu beurteilen, ob Ihr aktueller PIA-Prozess die Anforderungen von 2025 erfüllt.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.