Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.1.2.9: Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten

Kontrollpunkt A.1.2.9 verpflichtet Organisationen, die notwendigen Aufzeichnungen zur Erfüllung ihrer Pflichten bei der Verarbeitung personenbezogener Daten zu ermitteln und sicher zu führen. Dies ist das zentrale Element der Rechenschaftspflicht gemäß ISO 27701:2025.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.1.2.9?

Die Organisation ist verpflichtet, die zur Erfüllung ihrer Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten erforderlichen Aufzeichnungen zu erstellen und sicher zu führen.

Diese Steuerung befindet sich innerhalb der Bedingungen für die Erhebung und Verarbeitung Ziel (A.1.2) ist es, nachzuweisen, dass die Verarbeitung rechtmäßig ist, auf einer Rechtsgrundlage gemäß den geltenden Rechtsordnungen beruht und klar definierten und legitimen Zwecken dient. Die Dokumentation ist der Nachweis dafür, dass alles andere funktioniert.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.1.2.9) enthält detaillierte Hinweise zu den Kategorien von Informationen, die Verarbeitungsaufzeichnungen enthalten sollten:

  • Kategorien der Verarbeitung — Die Arten der Verarbeitungsvorgänge, die an personenbezogenen Daten durchgeführt werden (Erfassung, Speicherung, Übermittlung, Löschung usw.).
  • Verarbeitungszwecke — Eine klare Begründung, warum jede Kategorie personenbezogener Daten verarbeitet wird, verknüpft mit der von ihr geforderten Zweckdokumentation. A.1.2.2 Zweck identifizieren und dokumentieren
  • Kategorien von personenbezogenen Daten und deren Auftraggebern — Welche Arten von personenbezogenen Daten werden gespeichert und über wen (Mitarbeiter, Kunden, Website-Besucher usw.)?
  • Empfänger — Alle Drittparteien oder Auftragsverarbeiter, die die personenbezogenen Daten erhalten
  • Internationale Überweisungen — Einzelheiten zu etwaigen Überweisungen in andere Rechtsordnungen, einschließlich der bestehenden Schutzmaßnahmen
  • Aufbewahrungsfristen — Wie lange jede Kategorie personenbezogener Daten vor der Löschung oder Anonymisierung gespeichert wird
  • Sicherheitsmaßnahmen — Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten
  • Web Link A.1.2.4: Festlegen, wann und wie die Einwilligung einzuholen ist für damit zusammenhängende Anforderungen
  • Web Link A.1.2.5: Einwilligung einholen und protokollieren für damit zusammenhängende Anforderungen

Die Leitlinien betonen außerdem, dass die Aufzeichnungen bei Änderungen der Verarbeitungstätigkeiten stets aktualisiert und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden müssen. Dies ist keine einmalige Dokumentationsmaßnahme, sondern eine fortlaufende betriebliche Anforderung.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.1.2.9 ist mehreren Funktionen zugeordnet Datenschutz Bestimmungen:

  • Artikel 5 (2) — Das Rechenschaftsprinzip, das von Verantwortlichen den Nachweis der Einhaltung der Vorschriften verlangt.
  • Artikel 24 (1) — Verpflichtung zur Umsetzung geeigneter Maßnahmen und zum Nachweis der Einhaltung
  • Artikel 30(1)(ag) — Die detaillierten Anforderungen an die von Verantwortlichen geführten Aufzeichnungen über Verarbeitungstätigkeiten
  • Artikel 30(3-5) — Anforderungen, dass Aufzeichnungen schriftlich (auch in elektronischer Form) geführt und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden müssen, sowie Ausnahmen für Organisationen mit weniger als 250 Beschäftigten (mit Ausnahmen)

Artikel 30 gilt weithin als einer der operativ bedeutendsten. Datenschutz Anforderungen. Ein ordnungsgemäß geführtes Verzeichnis der Verarbeitungstätigkeiten (ROPA) ist oft das erste Dokument, das eine Aufsichtsbehörde im Rahmen einer Untersuchung anfordert.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Dieses Steuerelement unterstützt die Verantwortlichkeit Prinzip aus ISO 29100. Rechenschaftspflicht erfordert, dass die Organisation ihre datenschutzbezogenen Richtlinien und Verfahren dokumentiert und kommuniziert, die Verantwortung für deren Umsetzung zuweist und Nachweise über die Einhaltung aufbewahrt. Verarbeitungsprotokolle sind das wichtigste Mittel, um diese Rechenschaftspflicht in der Praxis nachzuweisen.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.1.2.9 achten die Prüfer typischerweise auf Folgendes:

  • Aufzeichnung der Verarbeitungstätigkeiten (ROPA) — Ein umfassendes Register, das alle sieben in den Leitlinien aufgeführten Kategorien abdeckt und den Nachweis regelmäßiger Überprüfungen enthält.
  • Versionskontrolle — Nachweis, dass Datensätze aktualisiert werden, wenn sich Verarbeitungsvorgänge ändern, mit einem klaren Prüfprotokoll der Änderungen
  • Eigentum und Verantwortung — Eine namentlich genannte Person oder Funktion, die für die Pflege der Verarbeitungsaufzeichnungen verantwortlich ist.
  • Barierrefreiheit — Nachweis, dass Aufzeichnungen den Aufsichtsbehörden oder Prüfungsbehörden umgehend zur Verfügung gestellt werden können.
  • Vollständigkeitsprüfungen — Verfahren, um sicherzustellen, dass neue Verarbeitungstätigkeiten im Register erfasst werden, bevor die Verarbeitung beginnt
  • Sicherheit von Aufzeichnungen — Die Datensätze selbst enthalten sensible Informationen und sollten entsprechend geschützt werden.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.2.2 Zweck ermitteln und dokumentieren Zweckdokumentationen fließen direkt in die Verarbeitungsdokumentation ein.
A.1.2.3 Rechtmäßige Grundlage ermitteln Die rechtliche Grundlage für jede Verarbeitungstätigkeit sollte dokumentiert werden.
A.1.4.2 Begrenzung der Inkasso Die Aufzeichnungen sollten widerspiegeln, welche personenbezogenen Daten tatsächlich erfasst werden, um die Datenminimierung zu unterstützen.
A.1.4.6 Anonymisierung und Löschung personenbezogener Daten Aufbewahrungsfristen in Datensätzen bestimmen die Löschpläne.
A.1.5.2 Grundlage für die Übertragung personenbezogener Daten Die hier erfassten internationalen Überweisungsdetails werden in den transferspezifischen Kontrollen ausführlicher dargestellt.
A.1.3.3 Ermittlung von Informationen für personenbezogene Datenverantwortliche Die den Verantwortlichen für personenbezogene Daten bereitgestellten Informationen sollten mit den Verarbeitungsdatensätzen übereinstimmen.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung Teil von Abschnitt 7.2.8 (Aufzeichnungen zur Verarbeitung personenbezogener Daten). Die inhaltlichen Anforderungen bleiben in der Ausgabe von 2025 unverändert, jedoch trennt das überarbeitete Format die Kontrollvorschrift (A.1.2.9) nun deutlicher von den Durchführungshinweisen (B.1.2.9). Die Ausgabe von 2025 betont zudem stärker die Notwendigkeit, Aufzeichnungen fortlaufend zu aktualisieren, anstatt sie nur punktuell zu führen. Siehe dazu die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für PII-Verarbeitungsdatensätze?

ISMS.online bietet speziell entwickelte Werkzeuge zur Führung umfassender, revisionssicherer Verarbeitungsaufzeichnungen:

  • Vorgefertigte ROPA-Vorlagen — Beginnen Sie mit einem strukturierten Register, das alle sieben in B.1.2.9 geforderten Kategorien abdeckt, damit Sie keine erforderlichen Felder übersehen.
  • Automatisierte Versionskontrolle — Jede Änderung an einem Verarbeitungsdatensatz wird mit Zeitstempeln, Benutzerdetails und Änderungsbeschreibungen protokolliert, wodurch der von den Prüfern erwartete Prüfpfad entsteht.
  • Verknüpfte Beweise — Verarbeitungsdatensätze mit zugehörigen Richtlinien, Einwilligungsdatensätzen, Datenschutz-Folgenabschätzungen und Übertragungsmechanismen in einem einzigen integrierten System verknüpfen
  • Aufsichtsbehörde Export — Erstellen Sie einen vollständigen ROPA-Export in Formaten, die für behördliche Anfragen geeignet sind – bereit für einen Klick.
  • Überprüfungserinnerungen — Legen Sie für jede Verarbeitungsaktivität Überprüfungszyklen fest, damit die Datensätze im Zuge der Weiterentwicklung Ihrer Geschäftsprozesse aktuell bleiben.
  • Rollenbasierter Zugriff — Sicherstellen, dass die Verarbeitungsaufzeichnungen für autorisiertes Personal zugänglich sind und gleichzeitig vor unbefugten Änderungen geschützt bleiben.

Häufig gestellte Fragen

Müssen kleine Organisationen Verarbeitungsaufzeichnungen führen?

Ja. Artikel 30 Absatz 5 der DSGVO sieht zwar eine begrenzte Ausnahme für Organisationen mit weniger als 250 Beschäftigten vor, diese Ausnahme gilt jedoch nicht, wenn die Verarbeitung voraussichtlich ein Risiko für die Rechte von Einzelpersonen darstellt, nicht nur gelegentlich erfolgt oder besondere Kategorien personenbezogener Daten umfasst. In der Praxis müssen die meisten Organisationen, die personenbezogene Daten systematisch verarbeiten, unabhängig von ihrer Größe Aufzeichnungen führen. ISO 27701 selbst enthält keine größenabhängige Ausnahme.

Wie häufig sollten Verarbeitungsprotokolle überprüft werden?

Die Aufzeichnungen sollten immer dann überprüft werden, wenn sich die Verarbeitungstätigkeiten ändern, mindestens jedoch im Rahmen des regelmäßigen Management-Review-Zyklus. Viele Organisationen legen vierteljährliche oder halbjährliche Überprüfungstermine für das vollständige Register fest, wobei Aktualisierungen bei Bedarf aufgrund neuer Verarbeitungstätigkeiten, Änderungen an bestehenden Prozessen oder organisatorischer Änderungen wie neuer Systeme oder Partnerschaften mit Drittanbietern erforderlich werden.

Kann eine Tabellenkalkulation diese Anforderung erfüllen?

Technisch gesehen ja, aber Tabellenkalkulationen bieten keine Versionskontrolle, Zugriffsbeschränkungen und automatische Überprüfungserinnerungen. Mit zunehmender Datenverarbeitung wird die genaue Pflege von Tabellenkalkulationen immer schwieriger und sie sind fehleranfällig. Eine dedizierte Compliance-Plattform bietet die notwendige Struktur, Nachvollziehbarkeit und Querverweise, um die Standards dauerhaft zu erfüllen.

Dokumentieren Sie in Ihrem Erklärung zur Anwendbarkeit.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Wirtschaftsprüfer bei der Beurteilung dieser Kontrollmaßnahme erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.