Was erfordert die Kontrolle A.1.4.9?
Die Organisation muss über dokumentierte Richtlinien, Verfahren oder Mechanismen für die Entsorgung personenbezogener Daten verfügen.
Diese Steuerung befindet sich innerhalb der Minimierung von PII Ziel (A.1.4) und stellt sicher, dass PII, wenn es das Ende seines Lebenszyklus erreicht, sei es durch Ablauf der Aufbewahrungsfrist (A.1.4.8)Wenn die Erfüllung des Verarbeitungszwecks oder eine Anfrage des Betroffenen vorliegt, werden die Daten so vernichtet, dass eine Wiederherstellung ausgeschlossen ist.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.4.9) enthält folgende Hinweise:
- Stellen Sie sicher, dass personenbezogene Daten nicht wiederhergestellt werden können. Die Entsorgungsmethoden müssen gewährleisten, dass personenbezogene Daten nach der Entsorgung nicht wiederhergestellt, rekonstruiert oder aufgehoben werden können. Einfaches Löschen (Entfernen einer Datei aus einem Verzeichnis) ist in der Regel nicht ausreichend, da die Daten auf dem Speichermedium verbleiben können.
- Geeignete Entsorgungsmethoden auswählen — Die Methoden sollten auf das Speichermedium abgestimmt sein und Folgendes umfassen: sicheres Löschen (Überschreiben), physische Zerstörung der Medien (Schreddern, Entmagnetisieren, Verbrennen) und kryptografisches Löschen (Zerstörung der Verschlüsselungsschlüssel für verschlüsselte Daten).
- Dokumentierungsverfahren pro Medientyp — Die Entsorgungsmethode sollte für jeden von der Organisation verwendeten Speichermedientyp (Festplatten, SSDs, USB-Geräte, Papierakten, Cloud-Speicher, Sicherungsbänder) dokumentiert werden.
- Entsorgungsaufzeichnungen führen — Führen Sie Aufzeichnungen darüber, was, wann, von wem und mit welcher Methode entsorgt wurde. Diese Aufzeichnungen dienen als Prüfungsnachweis und zur Dokumentation der Verantwortlichkeit.
- Web Link A.1.4.2: Begrenzung der Inkassotätigkeit für damit zusammenhängende Anforderungen
- Web Link A.1.4.3: Begrenzung der Verarbeitung für damit zusammenhängende Anforderungen
Der entscheidende Grundsatz ist, dass die Vernichtung nachweisbar sein muss. Ein Prüfer sollte in der Lage sein, personenbezogene Daten von ihrem Aufbewahrungsplan bis hin zu einem Vernichtungsprotokoll zurückzuverfolgen, das die sichere Löschung bestätigt.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.4.9 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f) regelt den Grundsatz der Integrität und Vertraulichkeit und verlangt, dass personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung. Eine sichere Datenlöschung trägt unmittelbar dazu bei, indem sie sicherstellt, dass personenbezogene Daten nicht versehentlich durch unzureichende Löschmethoden offengelegt werden.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die ISO 29100 Prinzip von Nutzungs-, Aufbewahrungs- und OffenlegungsbeschränkungenInsbesondere die Anforderung, dass personenbezogene Daten sicher vernichtet werden müssen, sobald sie nicht mehr benötigt werden. Ohne eine sichere Datenlöschung sind die Kontrollen zur Begrenzung der Aufbewahrungsfrist unvollständig, da die Daten auch nach Ablauf der eigentlichen Aufbewahrungsfrist weiterhin existieren.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.4.9 achten die Prüfer typischerweise auf Folgendes:
- Entsorgungsrichtlinie — Eine dokumentierte Richtlinie, die den Umgang der Organisation mit der Entsorgung personenbezogener Daten regelt, einschließlich Verantwortlichkeiten, genehmigter Methoden und Verifizierungsanforderungen.
- Mediumspezifische Verfahren — Dokumentierte Entsorgungsverfahren für jeden Speichermedientyp: elektronisch (HDD, SSD, Cloud), Wechseldatenträger (USB, Sicherungsbänder) und physisch (Papier, gedruckte Dokumente)
- Entsorgungsaufzeichnungen — Ein Register oder Protokoll der Entsorgungstätigkeiten, aus dem hervorgeht, was, wann, von wem und mit welcher Methode entsorgt wurde.
- Veräußerungsvereinbarungen mit Dritten — Wird die Entsorgung ausgelagert (z. B. an ein Aktenvernichtungsunternehmen oder eine Firma für die Entsorgung von IT-Anlagen), sind Verträge erforderlich, die sichere Entsorgungsstandards und Vernichtungszertifikate festlegen.
- Nachweis — Unterlagen, die die Wirksamkeit der Entsorgung bestätigen, wie z. B. Vernichtungszertifikate, Überschreibungsverifizierungsberichte oder Bestätigungen von Cloud-Anbietern
- Schulung der Mitarbeiter — Nachweis, dass das mit der Entsorgung befasste Personal die Verfahren und die Bedeutung der sicheren Vernichtung versteht
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.4.8 Retention | Aufbewahrungsfristen legen fest, wann die Entsorgung ausgelöst werden soll. |
| A.1.4.6 Anonymisierung und Löschung | Löschung ist eine Form der Entsorgung; Anonymisierung ist die Alternative. |
| A.1.4.7 Temporäre Dateien | Temporäre Dateien müssen innerhalb ihrer festgelegten kurzen Aufbewahrungsfristen vernichtet werden. |
| A.1.4.5 Ziele zur Minimierung von PII | Die Entsorgung ist der letzte Mechanismus im Minimierungslebenszyklus |
| A.1.4.10 PII-Getriebesteuerung | An Dritte übermittelte personenbezogene Daten müssen unter Umständen auch beim Empfänger gelöscht werden. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde die Entsorgung unter Abschnitt 7.4.8 (Entsorgung) behandelt. Die Regelung von 2025 behält die Kernanforderung dokumentierter Entsorgungsrichtlinien, -verfahren oder -mechanismen bei. Die Implementierungshinweise legen nun mehr Wert auf die Notwendigkeit medienspezifischer Verfahren und die Wichtigkeit der Führung von Entsorgungsaufzeichnungen. Auch die kryptografische Löschung wird als Entsorgungsmethode stärker hervorgehoben. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung der Entsorgung personenbezogener Daten?
ISMS.online hilft Ihnen, den Datenlebenszyklus mit dokumentierten, nachvollziehbaren Entsorgungsprozessen zu schließen:
- Bibliothek für Entsorgungsverfahren — Dokumentierte Entsorgungsverfahren für jeden Speichermedientyp pflegen, inklusive Versionskontrolle und Genehmigungsworkflows.
- Entsorgungsprotokoll — Dokumentieren Sie jeden Entsorgungsvorgang mit Angabe des vernichteten Materials, der angewandten Methode, des durchführenden Mitarbeiters und des Zeitpunkts, um den von den Prüfern benötigten Prüfpfad zu erstellen.
- Verwaltung von Drittanbietern — Verfolgen Sie Entsorgungsdienstleister, deren Verträge, Vernichtungszertifikate und die Einhaltung Ihrer Entsorgungsstandards
- Kundenbindungsintegration — Automatische Auslösung von Entsorgungsvorgängen bei Ablauf von Aufbewahrungsfristen, wodurch Ihr Aufbewahrungsplan mit dem Entsorgungsprozess verknüpft wird
- Verknüpfung des Anlagenregisters — Verknüpfen Sie Entsorgungsprotokolle mit Ihrem IT-Anlagenregister und Datenbestand, um personenbezogene Daten von der Erfassung bis zur zertifizierten Vernichtung nachverfolgen zu können.
Häufig gestellte Fragen
Ist das Löschen einer Datei unter dieser Kontrollmaßnahme ausreichend?
Im Allgemeinen nein. Das standardmäßige Löschen von Dateien (Verschieben in den Papierkorb oder Entfernen des Verzeichniseintrags) entfernt die Daten nicht vom Speichermedium. Die Daten bleiben mithilfe forensischer Tools wiederherstellbar, bis sie überschrieben werden. Für eine sichere Datenlöschung ist das Überschreiben (bei HDDs), die Verwendung der herstellerspezifischen sicheren Löschbefehle (bei SSDs), die physische Zerstörung oder die kryptografische Löschung erforderlich. Die Methode sollte der Sensibilität der personenbezogenen Daten und dem Wiederherstellungsrisiko angemessen sein.
Wie sollte die Entsorgung von in der Cloud gespeicherten personenbezogenen Daten gehandhabt werden?
Bei Cloud-Speichern ist die physische Zerstörung von Datenträgern in der Regel keine Option. Stattdessen sollte die Organisation: die sicheren Lösch-APIs des Cloud-Anbieters nutzen; anhand der Nutzungsbedingungen oder Zertifizierungen des Anbieters überprüfen, ob gelöschte Daten nicht wiederhergestellt werden können; kryptografisches Löschen in Betracht ziehen (Verschlüsselung der Daten mit einem eindeutigen Schlüssel und anschließende sichere Vernichtung des Schlüssels); und sich vom Anbieter bestätigen lassen, dass die Daten von allen Replikaten und Backups entfernt wurden. Das Entsorgungsverfahren sollte in Ihrem Cloud-Datenverarbeitungsvertrag dokumentiert werden.
Müssen die Entsorgungsprotokolle selbst aufbewahrt werden?
Ja. Vernichtungsprotokolle dienen als Nachweis für die sichere Vernichtung personenbezogener Daten. Sie sollten ausreichend lange aufbewahrt werden, um die Einhaltung der Vorschriften bei Audits nachzuweisen und Anfragen von Betroffenen oder Aufsichtsbehörden zum Verbleib ihrer Daten zu beantworten. Vernichtungsprotokolle dürfen die personenbezogenen Daten selbst nicht enthalten, sondern lediglich Metadaten zur Vernichtung (Kategorie, Zeitpunkt, Art und Weise, Verantwortlicher). Die übliche Aufbewahrungsfrist für Vernichtungsprotokolle entspricht Ihrem Auditzyklus zuzüglich etwaiger Verjährungsfristen.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Nachweise, die Prüfer hinsichtlich der Datenqualität und der Minimierungskontrollen erwarten.
Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Begründung für die Anwendbarkeit.
