Was erfordert die Kontrolle A.1.4.3?
Die Organisation beschränkt die Verarbeitung personenbezogener Daten auf das für die festgelegten Zwecke angemessene, relevante und notwendige Maß.
Diese Steuerung befindet sich innerhalb der Minimierung von PII Ziel (A.1.4) und arbeitet zusammen A.1.4.2 (Einziehungsbeschränkung) um einen umfassenden Ansatz zur Datenminimierung zu entwickeln. Während A.1.4.2 Begrenzung der Inkasso Abschnitt A.1.4.3 regelt, welche Daten in die Organisation gelangen und was die Organisation mit diesen Daten nach der Erfassung macht. Die Verarbeitung darf nicht über das für den angegebenen Zweck Notwendige hinausgehen.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.4.3) enthält folgende Hinweise:
- Die Verarbeitung darf nicht über die angegebenen Zwecke hinausgehen. — Die Verarbeitungstätigkeiten sollten nicht über das hinausgehen, was für die dokumentierten und den Verantwortlichen für die Verarbeitung personenbezogener Daten mitgeteilten Zwecke erforderlich ist.
- Überprüfung der Verarbeitungstätigkeiten Die Organisation sollte ihre Verarbeitungstätigkeiten regelmäßig überprüfen, um sicherzustellen, dass diese im Verhältnis zu den festgelegten Zwecken stehen und dass keine Ausweitung des Verarbeitungsumfangs stattgefunden hat.
- Unnötige Verarbeitung einstellen — Wenn die Verarbeitung für den angegebenen Zweck nicht mehr erforderlich ist, sollte sie eingestellt werden. Dies schließt automatisierte Verarbeitungsprozesse ein, die möglicherweise weiterlaufen, nachdem der ursprüngliche Bedarf entfallen ist.
- Die Organisation sollte für jede Verarbeitungstätigkeit nachweisen können, warum diese angemessen (zweckmäßig), relevant (mit dem Zweck verbunden) und notwendig (ohne sie nicht durchführbar) ist.
In der Praxis bedeutet dies, dass jeder Bericht, jede Analyse, jede Übertragung, jede Sicherung und jeder automatisierte Workflow, der personenbezogene Daten berührt, auf einen dokumentierten Zweck zurückführbar sein sollte. A.1.2.2 Zweck identifizieren und dokumentieren.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.4.3 ist zugeordnet zu Datenschutz Artikel 25 Absatz 2 verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass standardmäßig nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Dies betrifft die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit.
Dies ist die DatenschutzDie Anforderung „Datenschutz durch Standardeinstellungen“ wird durch A.1.4.3 geregelt, die eine strukturierte Methode zur Umsetzung und zum Nachweis dieser Anforderung bietet.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt direkt die ISO 29100 Prinzip von DatenminimierungDies erfordert, dass die Verarbeitung personenbezogener Daten auf das zur Erfüllung der festgelegten Zwecke notwendige Minimum beschränkt wird. Der Grundsatz erstreckt sich über die Erhebung hinaus auf alle Verarbeitungsvorgänge, einschließlich Speicherung, Nutzung, Übermittlung und Löschung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.4.3 achten die Prüfer typischerweise auf Folgendes:
- Verarbeitungstätigkeitsdatensätze — Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten, die ihren angegebenen Zwecken zugeordnet sind und den Umfang der Verarbeitung für jede Tätigkeit aufzeigen.
- Verhältnismäßigkeitsprüfungen — Nachweis, dass jede Verarbeitungstätigkeit auf Angemessenheit, Relevanz und Notwendigkeit geprüft wurde.
- Akten prüfen — Dokumentation der regelmäßigen Überprüfungen, die bestätigen, dass die Verarbeitung im Rahmen des vereinbarten Rahmens liegt, mit Maßnahmenpunkten, wo Probleme festgestellt wurden
- Zugangskontrollen — Technische Maßnahmen, die einschränken, wer personenbezogene Daten zu welchen Zwecken verarbeiten darf, und die belegen, dass der Zugriff verhältnismäßig ist
- Stilllegungsprotokolle — Nachweis darüber, dass die Verarbeitungstätigkeiten eingestellt und personenbezogene Daten vernichtet werden, sobald der Zweck erfüllt ist
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.4.2 Begrenzung der Inkasso | Die Begrenzung der Datenerfassung ist die Voraussetzung; die Begrenzung der Verarbeitung erweitert das Prinzip auf den gesamten Lebenszyklus. |
| A.1.2.2 Zweck ermitteln und dokumentieren | Die Verarbeitungsgrenzen werden durch die dokumentierten Zwecke definiert. |
| A.1.4.5 Ziele zur Minimierung von PII | Bietet den übergeordneten Minimierungsrahmen, der die Verarbeitungsgrenzen vorgibt. |
| A.1.4.8 Retention | Aufbewahrungsfristen legen fest, wann die Verarbeitung (einschließlich Speicherung) beendet werden sollte. |
| A.1.3.11 Automatisierte Entscheidungsfindung | Die automatisierte Verarbeitung muss sich ebenfalls auf das Notwendige beschränken. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung | Verarbeitungsprotokolle liefern die Grundlage für den Nachweis von Verarbeitungsgrenzen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
In der Ausgabe von 2019 wurde die Verarbeitungsbeschränkung unter Abschnitt 7.4.2 (Verarbeitungsbeschränkung) behandelt. Die Regelung von 2025 behält die gleiche Kernanforderung bei, profitiert aber von der klareren Struktur der neuen Anhang A/B-Format. Die Durchführungshinweise gehen nun expliziter auf die Notwendigkeit regelmäßiger Überprüfungen und die Verpflichtung zur Einstellung der Verarbeitung ein, sobald diese nicht mehr erforderlich ist. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Verwaltung von PII-Verarbeitungsgrenzen?
ISMS.online hilft Ihnen dabei, die fortlaufende Kontrolle darüber zu behalten, wie personenbezogene Daten in Ihrem Unternehmen verarbeitet werden:
- Verarbeitungsaktivitätsregister — Ordnen Sie jede Verarbeitungsaktivität ihrem dokumentierten Zweck mit klaren Geltungsbereichsgrenzen zu, sodass die Verhältnismäßigkeit auf einen Blick ersichtlich ist.
- Geplante Überprüfungszyklen — Richten Sie für jede Verarbeitungsaktivität automatische Überprüfungserinnerungen ein, damit eine Ausweitung des Projektumfangs frühzeitig erkannt wird.
- Rollenbasierte Zugriffskontrollen — Technische Beschränkungen hinsichtlich der Personen, die personenbezogene Daten zu welchen Zwecken verarbeiten dürfen, durchsetzen und den Systemzugriff an den dokumentierten Verarbeitungsumfang anpassen
- Arbeitsabläufe für die Stilllegung — Verfolgen Sie die Einstellung der Verarbeitungstätigkeiten bis zum Abschluss, einschließlich des Nachweises der Datenlöschung.
- Compliance-Dashboards — Sehen Sie auf einen Blick, welche Bearbeitungsvorgänge zur Überprüfung anstehen, welche genehmigt wurden und für welche noch Maßnahmen offen sind.
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen „Verarbeitungsbegrenzung“ und „Datenerfassungsbegrenzung“?
Sammlungsbeschränkung (A.1.4.2 Begrenzung der InkassoDie Richtlinie regelt, welche personenbezogenen Daten (PII) in die Organisation gelangen. Die Richtlinie zur Datenverarbeitungsbeschränkung (A.1.4.3) regelt, was mit PII nach ihrer Erhebung geschieht, einschließlich Speicherung, Analyse, Übermittlung, Berichterstattung und aller anderen mit den Daten durchgeführten Operationen. Beide Richtlinien sind erforderlich, da eine Organisation zwar die richtigen Daten erheben, diese dann aber für Zwecke verwenden kann, die über die ursprünglich dokumentierten hinausgehen.
Welche praktischen Schritte verhindern eine Ausweitung des Bearbeitungsumfangs?
Zu den wirksamen Maßnahmen gehören: die Anforderung eines Änderungsantrags und einer Datenschutzbewertung vor jeder neuen Verwendung bestehender personenbezogener Daten; die Implementierung eines rollenbasierten Zugriffs, sodass nur autorisiertes Personal personenbezogene Daten für genehmigte Zwecke verarbeiten kann; die Durchführung regelmäßiger Überprüfungen der Verarbeitungstätigkeiten im Hinblick auf dokumentierte Zwecke; und die Führung von Verarbeitungsprotokollen, die auf ungewöhnliche oder unautorisierte Aktivitäten überprüft werden können.
Gilt diese Regelung auch für personenbezogene Daten, die in Sicherungskopien gespeichert sind?
Ja. Die Speicherung von Backups ist eine Form der Datenverarbeitung. Werden personenbezogene Daten (PII) über den für den angegebenen Zweck erforderlichen Zeitraum hinaus in Backups aufbewahrt, muss die Organisation eine dokumentierte Begründung (z. B. für die Geschäftskontinuität oder gesetzliche Aufbewahrungspflichten) und angemessene Zugriffskontrollen vorweisen können. Nach Ablauf der Aufbewahrungsberechtigung müssen die personenbezogenen Daten in den Backups gemäß den geltenden Löschungsverfahren behandelt werden. A.1.4.9 Entsorgung.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Nachweise, die Prüfer hinsichtlich der Datenqualität und der Minimierungskontrollen erwarten.
Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Begründung für die Anwendbarkeit.
