Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.1.4.8: Aufbewahrung

Kontrollmaßnahme A.1.4.8 verpflichtet Organisationen, personenbezogene Daten nicht länger aufzubewahren, als es für die Zwecke ihrer Verarbeitung erforderlich ist. Das Aufbewahrungsmanagement gehört zu den am häufigsten geprüften Bereichen der Datenschutzkonformität.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.1.4.8?

Die Organisation darf personenbezogene Daten nicht länger speichern, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

Diese Steuerung befindet sich innerhalb der Minimierung von PII Ziel (A.1.4) und berücksichtigt die zeitliche Dimension der Datenminimierung. A.1.4.2 Begrenzung der Inkasso beschränkt, was Sie sammeln und A.1.4.3 Grenzverarbeitung A.1.4.8 beschränkt die Verwendungsmöglichkeiten, A.1.4.8 die Aufbewahrungsdauer. Zusammen bilden diese Kontrollen ein vollständiges Minimierungsframework.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.1.4.8) enthält folgende Hinweise:

  • Aufbewahrungsfristen festlegen — Definieren Sie für jede Kategorie personenbezogener Daten Aufbewahrungsfristen auf der Grundlage des Verarbeitungszwecks und aller anwendbaren rechtlichen Anforderungen (z. B. Aufbewahrungspflichten für Steuerunterlagen, Arbeitsrecht oder branchenspezifische Vorschriften).
  • Aufbewahrungsfristen implementieren — Formale Aufbewahrungsfristen erstellen und pflegen, die den Aufbewahrungszeitraum, das Auslöseereignis (z. B. Vertragsende, Dienstzeitende) und die bei Ablauf zu ergreifende Maßnahme (Löschung oder Anonymisierung) festlegen.
  • Überprüfen Sie regelmäßig die gespeicherten personenbezogenen Daten. — Überprüfen Sie regelmäßig die gespeicherten personenbezogenen Daten anhand der Aufbewahrungsfristen, um Daten zu identifizieren, die hätten gelöscht werden müssen oder deren Aufbewahrungsfrist bald abläuft.
  • Aufbewahrungsfristen kommunizieren — Die Verantwortlichen für die Verarbeitung personenbezogener Daten (PII) über die Aufbewahrungsfristen ihrer Daten informieren, in der Regel durch Datenschutzerklärungen, um die Transparenzanforderungen zu erfüllen A.1.3.3 Informationen für PII-Verantwortliche

Das Aufbewahrungsmanagement ist keine einmalige Angelegenheit. Es erfordert eine kontinuierliche Steuerung, um sicherzustellen, dass Zeitpläne eingehalten, Ausnahmen gerechtfertigt und neue Kategorien personenbezogener Daten im Zuge der Weiterentwicklung der Verarbeitungstätigkeiten einbezogen werden.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.1.4.8 ist folgenden Elementen zugeordnet Datenschutz Transparenzbestimmungen:

  • Artikel 13 (2) (a) — Verpflichtet den Verantwortlichen, die betroffenen Personen zum Zeitpunkt der Erhebung über die Dauer der Speicherung ihrer personenbezogenen Daten oder die Kriterien zur Bestimmung dieser Dauer zu informieren.
  • Artikel 14 (2) (a) — Die gleiche Anforderung gilt auch für Daten, die indirekt (nicht von der betroffenen Person) erhoben werden.

Die Datenschutz Der in Artikel 5(1)(e) genannte Grundsatz der Speicherbegrenzung bildet die primäre Grundlage für diese Kontrolle. Die Transparenzbestimmungen unterstützen die Pflicht, den einzelnen Personen die Aufbewahrungsfristen mitzuteilen.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Dieses Steuerelement unterstützt direkt die ISO 29100 Prinzip von Nutzungs-, Aufbewahrungs- und OffenlegungsbeschränkungenDies erfordert, dass personenbezogene Daten nur so lange gespeichert werden, wie es zur Erfüllung der angegebenen Zwecke notwendig ist. Der Grundsatz sieht außerdem vor, dass Aufbewahrungsfristen auf Grundlage des jeweiligen Zwecks festgelegt und den Betroffenen mitgeteilt werden.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.1.4.8 achten die Prüfer typischerweise auf Folgendes:

  • Aufbewahrungsplan — Ein formelles Dokument, in dem jede Kategorie personenbezogener Daten, ihre festgelegte Aufbewahrungsfrist, das auslösende Ereignis, die Rechtsgrundlage für die Frist (falls zutreffend) und die Löschmaßnahmen aufgeführt sind.
  • Akten prüfen — Nachweis regelmäßiger Überprüfungen gespeicherter personenbezogener Daten anhand des Aufbewahrungsplans mit dokumentierten Ergebnissen und etwaigen Korrekturmaßnahmen
  • Entsorgungsnachweise — Aufzeichnungen, die belegen, dass personenbezogene Daten nach Ablauf ihrer Aufbewahrungsfrist vernichtet wurden, mit Bezug auf A.1.4.9 Entsorgung Verfahren
  • Ausnahmeregister — Dokumentation der Aufbewahrung personenbezogener Daten über den planmäßigen Aufbewahrungszeitraum hinaus mit Begründung (z. B. gesetzliche Aufbewahrungspflicht, laufende Rechtsstreitigkeiten, behördliche Ermittlungen)
  • Inhalt der Datenschutzhinweise — Nachweise dafür, dass Aufbewahrungsfristen oder -kriterien den Verantwortlichen für die Verarbeitung personenbezogener Daten durch Datenschutzhinweise mitgeteilt werden
  • Systemkonfigurationen — Technische Einstellungen, die Aufbewahrungsfristen erzwingen oder unterstützen (automatische Archivierung, automatische Löschung, Ablaufkennzeichen)

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.4.6 Anonymisierung und Löschung Legt fest, was mit personenbezogenen Daten geschieht, wenn die Aufbewahrungsfrist abläuft.
A.1.4.9 Entsorgung Bietet Informationen zu den sicheren Entsorgungsmethoden, die am Ende der Aufbewahrungsfrist angewendet werden.
A.1.4.7 Temporäre Dateien Temporäre Dateien haben ihre eigenen kurzen Aufbewahrungsfristen.
A.1.4.5 Ziele zur Minimierung von PII Aufbewahrungspläne setzen die zeitliche Dimension von Minimierungszielen um.
A.1.2.2 Zweck ermitteln und dokumentieren Die Aufbewahrungsfristen leiten sich aus den dokumentierten Verarbeitungszwecken ab.
A.1.3.3 Ermittlung von Informationen für personenbezogene Datenverantwortliche Die Aufbewahrungsfristen müssen den Betroffenen mitgeteilt werden.

Was hat sich gegenüber ISO 27701:2019 geändert?

In der Ausgabe von 2019 wurde die Aufbewahrung unter Klausel 7.4.7 (Aufbewahrung) behandelt. Die Kontrollregelung von 2025 enthält dieselbe Kernanforderung. Die umstrukturierte Anhang ADas /B-Format trennt die Kontrollerklärung deutlicher von den Durchführungshinweisen. Die Hinweise legen nun größeren Wert auf die Kommunikation von Aufbewahrungsfristen an die Verantwortlichen für personenbezogene Daten und stärken so den Zusammenhang zwischen Aufbewahrungsmanagement und Transparenzpflichten. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Verwaltung der Aufbewahrung personenbezogener Daten?

ISMS.online macht das Kundenbindungsmanagement praktisch, konsistent und revisionssicher:

  • Aufbewahrungsplan-Generator — Erstellen Sie formale Aufbewahrungsfristen mit Kategorien, Zeiträumen, Auslöseereignissen, Rechtsgrundlagen und Vernichtungsmaßnahmen, alles in einem strukturierten, durchsuchbaren Format
  • Automatische Ablaufbenachrichtigungen — Erhalten Sie Benachrichtigungen, wenn personenbezogene Daten sich der Aufbewahrungsfrist nähern oder diese erreichen, wodurch das Risiko einer übermäßigen Aufbewahrung reduziert wird.
  • Überprüfungszyklusmanagement — Regelmäßige Überprüfungen der Mitarbeiterbindung mit Aufgabenverteilung, Nachverfolgung des Abschlusses und Dokumentation der Ergebnisse einplanen
  • Ausnahmenverwaltung — Ausnahmen von der Aufbewahrungspflicht (rechtliche Aufbewahrungspflichten, regulatorische Anforderungen) mit Genehmigungsprozessen und zeitlich befristeten Verlängerungen dokumentieren und nachverfolgen.
  • Integration des Datenschutzhinweises — Verknüpfen Sie Aufbewahrungsfristen mit Ihren Datenschutzhinweisen, damit Änderungen der Aufbewahrungsfristen in der Kommunikation mit den Verantwortlichen für personenbezogene Daten berücksichtigt werden können.
  • Entsorgungskette — Verknüpfung von Aufbewahrungsfristen mit Entsorgungsverfahren gemäß A.1.4.9 Entsorgungwodurch ein durchgängiger Lebenszykluspfad erstellt wird

Häufig gestellte Fragen

Wie bestimmt man die richtige Aufbewahrungsfrist für jede Kategorie personenbezogener Daten?

Beginnen Sie mit dem Verarbeitungszweck: Wie lange werden die personenbezogenen Daten tatsächlich benötigt, um diesen Zweck zu erfüllen? Prüfen Sie anschließend, ob gesetzliche oder behördliche Aufbewahrungspflichten bestehen, die eine Mindestaufbewahrungsfrist vorschreiben (z. B. Steuerunterlagen, Personalakten, Finanzunterlagen). Die Aufbewahrungsfrist sollte die längere der beiden folgenden Fristen sein: die zweckbezogene Frist und die gesetzliche Mindestfrist. Sofern keine gesetzliche Vorgabe besteht, gilt ausschließlich die zweckbezogene Frist. Dokumentieren Sie die Begründung für jede Aufbewahrungsfrist.

Was löst den Beginn einer Aufbewahrungsfrist aus?

Der Auslöser hängt vom Verarbeitungskontext ab. Häufige Auslöser sind: Ende der Kundenbeziehung, Abschluss einer Transaktion, Ablauf eines Vertrags, Beendigung des Arbeitsverhältnisses, letzte Interaktion mit der betroffenen Person oder das Datum der Erhebung der personenbezogenen Daten. Der Auslöser sollte im Aufbewahrungsplan klar definiert sein, damit das Ablaufdatum eindeutig berechnet werden kann.

Können die Aufbewahrungsfristen für dieselben personenbezogenen Daten, die für verschiedene Zwecke verwendet werden, unterschiedlich sein?

Ja. Für dieselben personenbezogenen Daten können je nach Verwendungszweck unterschiedliche Aufbewahrungsfristen gelten. Beispielsweise kann die E-Mail-Adresse eines Kunden nach Beendigung der Kundenbeziehung 12 Monate lang für die Nachbearbeitung von Serviceanfragen, aber 6 Jahre lang für die Finanzbuchhaltung aufbewahrt werden. Die längste geltende Frist bestimmt, wann die personenbezogenen Daten gelöscht werden können. Die Verarbeitung für den jeweiligen Zweck sollte jedoch eingestellt werden, sobald die entsprechende Aufbewahrungsfrist abgelaufen ist.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Nachweise, die Prüfer hinsichtlich der Datenqualität und der Minimierungskontrollen erwarten.

Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Begründung für die Anwendbarkeit.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.