Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.1.4.6: Anonymisierung und Löschung personenbezogener Daten am Ende der Verarbeitung

Die Kontrollmaßnahme A.1.4.6 verpflichtet Organisationen, personenbezogene Daten entweder zu löschen oder zu anonymisieren, sobald der ursprüngliche Verarbeitungszweck erfüllt ist. Diese Kontrollmaßnahme schließt den Datenlebenszyklus ab.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.1.4.6?

Die Organisation muss personenbezogene Daten entweder löschen oder in eine Form bringen, die die Identifizierung oder Reidentifizierung der betroffenen Personen nicht zulässt, sobald die ursprünglichen personenbezogenen Daten für den/die festgelegten Zweck(e) nicht mehr benötigt werden.

Diese Steuerung befindet sich innerhalb der Minimierung von PII Ziel (A.1.4) und stellt die Verpflichtung zum Ende des Lebenszyklus dar. Sobald der Zweck der Erhebung und Verarbeitung personenbezogener Daten erfüllt ist und keine gesetzliche Aufbewahrungspflicht mehr besteht, dürfen die Daten nicht mehr in identifizierbarer Form vorliegen. Diese Kontrollmaßnahme arbeitet Hand in Hand mit A.1.4.8 (Retention) und A.1.4.9 (Entsorgung) um sicherzustellen, dass personenbezogene Daten ihren Zweck nicht verlieren.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.1.4.6) enthält folgende Hinweise:

  • Auslöser für Aktionen definieren — Identifizieren Sie die Ereignisse, die eine Anonymisierung oder Löschung auslösen sollten, darunter: Zweck erfüllt, Einwilligung widerrufen, Aufbewahrungsfrist abgelaufen oder Antrag der betroffenen Person auf Löschung personenbezogener Daten
  • Gewährleistung einer robusten Anonymisierung — Wird die Anonymisierung der Löschung vorgezogen, müssen die verwendeten Methoden resistent gegen eine Reidentifizierung sein. Die einfache Entfernung von Namen reicht möglicherweise nicht aus, wenn andere Datenpunkte eine Identifizierung durch Kombination ermöglichen.
  • Dokumentieren Sie den Prozess Die Verfahren zur Anonymisierung und Löschung sollten dokumentiert werden, einschließlich der verwendeten Methoden, der angewendeten Auslöser und der Verifizierungsschritte.
  • Wirksamkeit überprüfen — Nach der Anonymisierung oder Löschung sollte die Organisation überprüfen, ob die Maßnahme wirksam war und ob personenbezogene Daten nicht wiederhergestellt oder erneut identifiziert werden können.
  • Referenz ISO/IEC 20889 — Die Leitlinien verweisen ausdrücklich auf ISO/IEC 20889 (Datenschutzverbessernde Verfahren zur Datenanonymisierung) als Quelle für Anonymisierungsmethoden
  • Web Link A.1.4.3: Begrenzung der Verarbeitung für damit zusammenhängende Anforderungen
  • Web Link A.1.4.4: Genauigkeit und Qualität für damit zusammenhängende Anforderungen

Die beiden Optionen (Löschung oder Anonymisierung) bieten Organisationen Flexibilität. Wenn die zugrunde liegenden Daten analytischen Wert besitzen, die Personen aber nicht mehr identifizierbar sein müssen, ermöglicht die Anonymisierung die weitere Nutzung. Besteht kein weiterer Verwendungszweck, ist die Löschung die sauberere Vorgehensweise.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.1.4.6 ist mehreren Funktionen zugeordnet Datenschutz Bestimmungen:

  • Artikel 5 Absatz 1 Buchstabe c — Datenminimierungsprinzip
  • Artikel 5(1)(e) — Speicherbegrenzung: Daten sollten nur so lange in identifizierbarer Form aufbewahrt werden, wie es erforderlich ist.
  • Artikel 6(4)(e) — Berücksichtigt bei der Beurteilung der Kompatibilität der Weiterverarbeitung das Vorhandensein geeigneter Schutzmaßnahmen, wozu Verschlüsselung oder Pseudonymisierung gehören können.
  • Artikel 11 (1) — Sofern die Zwecke keine Identifizierung mehr erfordern, ist der Verantwortliche nicht verpflichtet, identifizierende Daten zu speichern.
  • Artikel 32 (1) (a) — Pseudonymisierung und Verschlüsselung als geeignete technische Maßnahmen

Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Dieses Steuerelement unterstützt zwei ISO 29100 Prinzipien:

  • Datenminimierung — Die Anonymisierung reduziert personenbezogene Daten auf die minimal erforderliche identifizierbare Form.
  • Nutzungs-, Aufbewahrungs- und Offenlegungsbeschränkungen — Die Löschung oder Anonymisierung am Ende der Verarbeitung setzt die Aufbewahrungsfristen direkt durch.


Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.1.4.6 achten die Prüfer typischerweise auf Folgendes:

  • Anonymisierung und Löschverfahren — Dokumentierte Verfahren, die die angewandten Methoden, die Verantwortlichen und die Überprüfung der Wirksamkeit festlegen.
  • Triggerdefinitionen — Klare Dokumentation darüber, welche Ereignisse die Anonymisierung oder Löschung jeder Kategorie personenbezogener Daten auslösen
  • Ausführungsprotokolle — Protokolle oder Aufzeichnungen, die belegen, dass die Anonymisierungs- und Löschaktivitäten planmäßig durchgeführt wurden.
  • Wirksamkeitsprüfung — Nachweise dafür, dass die Anonymisierung auf ihre Resistenz gegenüber Reidentifizierung getestet wurde, insbesondere bei Datensätzen mit höherem Risiko.
  • Technische Methodendokumentation — Beschreibung der verwendeten spezifischen Anonymisierungstechniken (k-Anonymität, differentielle Privatsphäre, Tokenisierung usw.) und der Gründe für deren Auswahl
  • Ausnahmebehandlung — Dokumentation aller Fälle, in denen personenbezogene Daten über den ursprünglichen Zweck hinaus aufbewahrt wurden, mit Begründung (z. B. rechtliche Aufbewahrungspflicht, behördliche Aufbewahrungspflicht)

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.4.5 Ziele zur Minimierung von PII Die Anonymisierung ist ein Schlüsselmechanismus innerhalb der Minimierungsstrategie.
A.1.4.8 Retention Aufbewahrungsfristen legen fest, wann die Anonymisierung oder Löschung ausgelöst werden soll.
A.1.4.9 Entsorgung Entsorgungsverfahren ergänzen die Löschverfahren für physische Datenträger.
A.1.4.7 Temporäre Dateien Temporäre Dateien, die personenbezogene Daten enthalten, müssen ebenfalls gelöscht werden.
A.1.4.2 Begrenzung der Inkasso Weniger Datenerfassung bedeutet weniger Daten, die eine Behandlung am Lebensende erfordern.
A.1.2.2 Zweck ermitteln und dokumentieren Die Zweckdokumentation definiert, wann personenbezogene Daten „nicht mehr erforderlich“ sind.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurden Anonymisierung und Löschung unter Abschnitt 7.4.5 (Anonymisierung und Löschung personenbezogener Daten nach Abschluss der Verarbeitung) behandelt. Die Regelung für 2025 ist im Wesentlichen unverändert und bietet weiterhin die beiden Optionen (Löschen oder Anonymisieren). Die Implementierungshinweise enthalten nun einen expliziteren Verweis auf ISO/IEC 20889 für Anonymisierungsverfahren und legen größeren Wert auf die Überprüfung der Wirksamkeit der Anonymisierung. Siehe dazu die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Kontakt


Warum sollten Sie sich ISMS.online zur Verwaltung der Anonymisierung und Löschung personenbezogener Daten?

ISMS.online bietet die Instrumente zur Verwaltung der Verpflichtungen am Ende des Produktlebenszyklus, die von Wirtschaftsprüfern genau geprüft werden:

  • Verwaltung von Aufbewahrungsauslösern — Definieren Sie Auslöser für die Anonymisierung und Löschung, die mit den Verarbeitungszwecken verknüpft sind, mit automatisierten Benachrichtigungen, wenn die Auslöser erreicht werden.
  • Entsorgungs- und Anonymisierungsprotokolle — Jede Anonymisierungs- und Löschmaßnahme ist mit Zeitstempeln, den verwendeten Methoden und den Ergebnissen der Überprüfung zu protokollieren.
  • Technikdokumentation — Dokumentieren Sie die auf jede Datenkategorie angewandten Anonymisierungsverfahren mit Begründung für die Auswahl der jeweiligen Technik.
  • Ausnahmeverfolgung — Alle Fälle, in denen personenbezogene Daten über ihren ursprünglichen Zweck hinaus aufbewahrt werden, sind zu protokollieren und zu begründen, wobei sicherzustellen ist, dass rechtliche Aufbewahrungspflichten und regulatorische Anforderungen ordnungsgemäß dokumentiert werden.
  • Compliance-Berichterstattung — Erstellung von Berichten zum Ende des Lebenszyklus, die belegen, dass die Verpflichtungen zur Anonymisierung und Löschung in allen PII-Kategorien erfüllt werden.

Häufig gestellte Fragen

Wann sollte man die Anonymisierung der Löschung vorziehen?

Die Anonymisierung ist angebracht, wenn die zugrundeliegenden Daten für sekundäre Zwecke (wie statistische Analysen, Forschung oder Trendberichte) noch von Wert sind, die betroffenen Personen aber nicht mehr identifizierbar sein müssen. Die Löschung ist angebracht, wenn kein weiterer Verwendungszweck für die Daten besteht. Die Entscheidung sollte dokumentiert werden, und die Anonymisierungsmethode muss ausreichend robust sein, um eine Reidentifizierung zu verhindern, insbesondere angesichts der Sensibilität der Daten.

Wie lässt sich die Wirksamkeit der Anonymisierung überprüfen?

Die Verifizierung umfasst die Prüfung, ob die anonymisierten Daten mithilfe der Daten selbst oder in Kombination mit anderen verfügbaren Datenquellen wieder mit Personen verknüpft werden können. Zu den Techniken gehören Tests mit motivierten Angreifern, die Bewertung der k-Anonymität und die Prüfung, ob Quasi-Identifikatoren (wie Geburtsdatum in Kombination mit Postleitzahl) eine Re-Identifizierung ermöglichen. ISO/IEC 20889 bietet detaillierte Anleitungen zu Anonymisierungstechniken und deren Bewertung.

Was geschieht mit personenbezogenen Daten in Backups, nachdem die Originaldaten gelöscht wurden?

Personenbezogene Daten in Backups bleiben relevant. Organisationen sollten eine Strategie für den Umgang mit personenbezogenen Daten in Backups entwickeln. Diese kann Folgendes umfassen: Verschlüsselung von Backups, sodass gelöschte Daten selbst bei weiterhin vorhandenen Daten nicht mehr zugänglich sind; Anwendung von Aufbewahrungsrichtlinien auf Backup-Zyklen, sodass ältere Backups überschrieben werden; oder Akzeptanz und Dokumentation des verbleibenden Risikos personenbezogener Daten in Backups mit entsprechenden Zugriffskontrollen. Der gewählte Ansatz sollte dokumentiert und nachvollziehbar sein.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Nachweise, die Prüfer hinsichtlich der Datenqualität und der Minimierungskontrollen erwarten.

Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Begründung für die Anwendbarkeit.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.