Was erfordert die Kontrolle A.1.4.4?
Die Organisation stellt sicher und dokumentiert, dass die personenbezogenen Daten während ihres gesamten Lebenszyklus so genau, vollständig und aktuell sind, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Diese Steuerung befindet sich innerhalb der Minimierung von PII Ziel (A.1.4) und behandelt eine Dimension der Datenqualität, die über das Datenvolumen hinausgeht. Selbst wenn Sie nur die minimal erforderlichen personenbezogenen Daten erfassen (A.1.4.2Daher müssen Daten während ihres gesamten Lebenszyklus zweckdienlich bleiben. Ungenaue personenbezogene Daten können zu Fehlentscheidungen, verweigerten Leistungen oder Schäden für die betroffene Person führen, insbesondere dort, wo… automatisierte Entscheidungsfindung (A.1.3.11) ist beteiligt.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.4.4) enthält folgende Hinweise:
- Überprüfen Sie die Richtigkeit bei der Sammlung. — Implementieren Sie Verfahren, um die Richtigkeit der personenbezogenen Daten zum Zeitpunkt der Erfassung zu überprüfen, wie z. B. Validierungsregeln, Verifizierungsprüfungen und Bestätigungsschritte.
- Genauigkeit während der Lagerung gewährleisten. — Prozesse implementieren, um personenbezogene Daten während ihrer Speicherung aktuell zu halten, einschließlich regelmäßiger Datenqualitätsprüfungen und Aktualisierungsaufforderungen
- Ermöglichen Sie es den Verantwortlichen für personenbezogene Daten, ihre Daten zu aktualisieren. — Bereitstellung zugänglicher Mechanismen, damit Einzelpersonen ihre personenbezogenen Daten überprüfen und korrigieren können, um die Berichtigungsrechte gemäß A.1.3.7 Zugang, Berichtigung oder Löschung
- Definiere „genau genug“ — Ermitteln Sie, welches Genauigkeitsniveau für jeden Verarbeitungszweck angemessen ist, wobei zu berücksichtigen ist, dass unterschiedliche Zwecke unterschiedliche Präzisionsniveaus erfordern können.
- Web Link A.1.4.3: Begrenzung der Verarbeitung für damit zusammenhängende Anforderungen
- Web Link A.1.4.5: Ziele zur Minimierung personenbezogener Daten für damit zusammenhängende Anforderungen
Die zentrale Erkenntnis ist, dass Genauigkeit vom jeweiligen Verarbeitungszweck abhängt. Eine Marketing-Mailingliste mag einen geringen Anteil veralteter Adressen tolerieren, während ein medizinisches Dokumentationssystem nahezu perfekte Genauigkeit erfordert. Die Organisation muss daher für jeden Verarbeitungszweck die Genauigkeitsschwelle definieren und dokumentieren.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.4.4 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe d) – der Grundsatz der Richtigkeit: Personenbezogene Daten müssen richtig und, soweit erforderlich, auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Dieser Datenschutz Das Prinzip wird durch die Anforderungen des Abschnitts A.1.4.4 an die Mechanismen zur Überprüfung, Wartung und Korrektur direkt operationalisiert.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt direkt die ISO 29100 Prinzip von Genauigkeit und QualitätDies erfordert, dass verarbeitete personenbezogene Daten korrekt, vollständig, aktuell, angemessen und für den Verwendungszweck relevant sein müssen. Das Prinzip verlangt außerdem, dass die Zuverlässigkeit personenbezogener Daten während ihres gesamten Lebenszyklus gewährleistet ist.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.4.4 achten die Prüfer typischerweise auf Folgendes:
- Datenqualitätspolitik — Eine dokumentierte Richtlinie, die die Genauigkeitsanforderungen für jede Kategorie personenbezogener Daten festlegt, einschließlich akzeptabler Genauigkeitsschwellenwerte pro Zweck.
- Validierungskontrollen — Technische Kontrollen an den Erfassungsstellen (Formatvalidierung, Verifizierungsschritte, Bestätigungs-E-Mails), die von Anfang an zur Genauigkeit beitragen
- Aufzeichnungen zur Datenqualitätsprüfung — Nachweise über regelmäßige Datenqualitätsprüfungen, einschließlich der verwendeten Kennzahlen, der erzielten Ergebnisse und der ergriffenen Korrekturmaßnahmen.
- Selbstbedienungsmechanismen — Nachweise dafür, dass die Verantwortlichen für personenbezogene Daten auf ihre eigenen Daten zugreifen und diese korrigieren können, wie z. B. Kontoprofilseiten, Aktualisierungsanfrageformulare oder Kundenportale.
- Korrekturprotokolle — Aufzeichnungen über vorgenommene Genauigkeitskorrekturen, unabhängig davon, ob diese von der Organisation oder von den PII-Verantwortlichen veranlasst wurden
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.3.7 Zugang, Berichtigung oder Löschung | Ermöglicht es Einzelpersonen, ihre eigenen personenbezogenen Daten zu überprüfen und zu korrigieren. |
| A.1.3.11 Automatisierte Entscheidungsfindung | Die Genauigkeit der Eingangsdaten ist entscheidend für faire automatisierte Entscheidungen. |
| A.1.4.2 Begrenzung der Inkasso | Weniger zu verwaltende Daten bedeuten einfachere Genauigkeitssicherung |
| A.1.4.8 Retention | Eine kürzere Aufbewahrungsdauer verringert das Zeitfenster, in dem Daten ungenau werden können. |
| A.1.4.10 PII-Getriebesteuerung | Datenintegrität während der Übertragung schützt die Genauigkeit |
| A.1.2.9 Aufzeichnungen über die Verarbeitung | Die Verarbeitungsprotokolle sollten den Genauigkeitsanforderungen für jede Aktivität entsprechen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurden Genauigkeit und Qualität unter Abschnitt 7.4.3 (Genauigkeit und Qualität personenbezogener Daten) behandelt. Die Regelung von 2025 behält die Kernanforderung bei, legt aber explizit Wert auf die Dokumentation der Genauigkeit während des gesamten Lebenszyklus der personenbezogenen Daten. Die Implementierungshinweise in Abschnitt B.1.4.4 sind ebenfalls strukturierter und trennen die Genauigkeitsmaßnahmen zum Zeitpunkt der Erfassung und zum Zeitpunkt der Speicherung klarer. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung der Genauigkeit und Qualität personenbezogener Daten?
ISMS.online unterstützt Sie bei der Erfüllung Ihrer Verpflichtungen zur Datenqualität mit praktischen, in Ihr Datenschutzmanagementsystem integrierten Werkzeugen:
- Datenqualitätsrahmen — Für jede Kategorie personenbezogener Daten und jeden Verarbeitungszweck Genauigkeitsschwellenwerte definieren und so einen dokumentierten Standard schaffen, den Prüfer überprüfen können.
- Überprüfungsplanung — Richten Sie wiederkehrende Datenqualitätsprüfungen mit automatisierten Erinnerungen ein, um sicherzustellen, dass die Genauigkeitsprüfungen planmäßig erfolgen.
- Nachverfolgung von Korrekturmaßnahmen — Alle Korrekturanforderungen und durchgeführten Maßnahmen protokollieren und so den von den Prüfern erwarteten Prüfpfad aufrechterhalten.
- Verknüpfte Steuerelemente — Verknüpfung von Genauigkeitsanforderungen mit Zugriffs- und Korrekturrechten, automatisierten Entscheidungssicherungen und Aufbewahrungsfristen in einem einzigen System
- Beweismittelexport — Erstellen Sie Datenqualitätsberichte und Korrekturprotokolle als Teil Ihrer Zertifizierungsnachweise.
Häufig gestellte Fragen
Was bedeutet „so genau wie nötig“ in der Praxis?
Der Standard verzichtet bewusst auf Perfektion. Stattdessen muss die Genauigkeit dem Zweck angemessen sein. Die Postanschrift eines Kunden für Marketingmailings kann kleinere Ungenauigkeiten tolerieren, während die Finanzdaten desselben Kunden für Kreditentscheidungen absolute Genauigkeit erfordern. Das Unternehmen sollte dokumentieren, was „ausreichend genau“ für jeden Verarbeitungszweck bedeutet, und entsprechende Kontrollmechanismen implementieren.
Wie sollten Organisationen mit personenbezogenen Daten umgehen, bei denen sie den Verdacht haben, dass diese unrichtig sind?
Bei Verdacht auf Ungenauigkeiten sollte die Organisation angemessene Maßnahmen zur Datenüberprüfung ergreifen, entweder durch Abgleich mit einer zuverlässigen Quelle oder durch Kontaktaufnahme mit der betroffenen Person. Während der Überprüfung sollten die Daten als nicht verifiziert gekennzeichnet und, soweit möglich, die Verarbeitung, die von ihrer Richtigkeit abhängt, ausgesetzt werden. Hat die betroffene Person eine Berichtigung beantragt, ist diese gemäß den geltenden Korrekturverfahren umgehend zu bearbeiten.
Ist für diese Kontrollmaßnahme eine automatisierte Datenvalidierung erforderlich?
Die Norm schreibt keine spezifischen technischen Maßnahmen vor. Eine automatisierte Validierung (Formatprüfung, Bereichsprüfung, Duplikaterkennung) wird jedoch dringend empfohlen, um die Genauigkeit auch bei großen Datenmengen zu gewährleisten. Die Auswahl der Kontrollmaßnahmen sollte dem Umfang und der Sensibilität der personenbezogenen Daten sowie den Genauigkeitsanforderungen für den jeweiligen Verarbeitungszweck angemessen sein.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Nachweise, die Prüfer hinsichtlich der Datenqualität und der Minimierungskontrollen erwarten.
