Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.2.4.4: PII-Getriebesteuerung

Kontrollmaßnahme A.2.4.4 verpflichtet Organisationen, personenbezogene Daten, die über Datenübertragungsnetze übermittelt werden, geeigneten Kontrollen zu unterziehen, die sicherstellen sollen, dass die Daten ihr Ziel erreichen. Dies schützt personenbezogene Daten während der Übertragung vor Abfangen, Fehlleitung und Kompromittierung.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.2.4.4?

Die Organisation unterwirft personenbezogene Daten, die über ein Datenübertragungsnetzwerk übermittelt werden, geeigneten Kontrollen, die sicherstellen sollen, dass die Daten ihr Ziel erreichen.

Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) befasst sich mit der Sicherheit personenbezogener Daten während der Übertragung. Wann immer personenbezogene Daten über Netzwerke übertragen werden, sei es zwischen Systemen innerhalb der Umgebung des Auftragsverarbeiters, zwischen dem Auftragsverarbeiter und dem Verantwortlichen oder zwischen dem Auftragsverarbeiter und einem Unterauftragnehmer, müssen sie vor Abfangen, Verändern und Fehlleitung geschützt werden.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.2.4.4) enthält folgende Hinweise:

  • Zugriffskontrolle — Sicherstellen, dass nur autorisierte Personen Zugriff auf Übertragungssysteme haben
  • Dokumentierte Prozesse — Befolgen Sie die entsprechenden Verfahren, einschließlich der Aufbewahrung von Prüfdaten, um die Einhaltung der Vorschriften nachzuweisen.
  • Integrität und Leistung — Sicherstellen, dass personenbezogene Daten ohne Kompromisse an die richtigen Empfänger übermittelt werden.
  • Vertragliche Anforderungen Die Übertragungsanforderungen können im Kundenvertrag festgelegt werden.
  • Kundenberatung — Sofern keine vertraglichen Verpflichtungen bestehen, sollte die Organisation vor der Übermittlung den Rat des Kunden einholen.
  • Web Link A.2.3.2: Verpflichtungen gegenüber den PII-Auftraggebern erfüllen für damit zusammenhängende Anforderungen
  • Web Link A.2.4.2: Temporäre Dateien für damit zusammenhängende Anforderungen

Die Leitlinien betonen, dass die Kontrolle der Datenübertragung nicht nur eine technische Angelegenheit ist. Der Auftragsverarbeiter muss sicherstellen, dass die richtigen Daten unversehrt den richtigen Empfänger erreichen. Dies erfordert eine Kombination aus Verschlüsselung, Zugriffskontrollen, Authentifizierungsmechanismen und Prüfprotokollen. Sofern der Kunde spezifische Übertragungsanforderungen hat, sollten diese im Vertrag dokumentiert werden.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.2.4.4 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 5(1)(f) – Integrität und Vertraulichkeit — Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung, und zwar unter Anwendung geeigneter technischer und organisatorischer Maßnahmen.

Der Grundsatz der Integrität und Vertraulichkeit verlangt, dass personenbezogene Daten sowohl während der Übertragung als auch im Ruhezustand geschützt werden. Die Übertragung personenbezogener Daten über Netzwerke ohne angemessene Sicherheitsvorkehrungen (wie z. B. Verschlüsselung) setzt die Daten dem Risiko des Abfangens und der Kompromittierung aus und verstößt somit direkt gegen diesen Grundsatz.

Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.4.4 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.4.4, die sich speziell mit dem Zugriff auf Übertragungssysteme, der Aufbewahrung von Prüfdaten und der Rolle von Kundenverträgen bei der Definition von Übertragungsanforderungen befassen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.2.4.4 achten die Prüfer typischerweise auf Folgendes:

  • Verschlüsselungsstandards — Nachweis, dass personenbezogene Daten während der Übertragung unter Verwendung aktueller, branchenüblicher Protokolle (wie z. B. TLS 1.2 oder höher für Daten während der Übertragung) verschlüsselt werden.
  • Zugangskontrollen — Dokumentation, die belegt, dass nur autorisierte Personen und Systeme Zugriff auf Übertragungsmechanismen haben
  • Buchungsprotokolle — Aufbewahrte Prüfdaten, die die erfolgreiche Übermittlung belegen, einschließlich Absender, Empfänger, Zeitstempel und Zustellbestätigung.
  • Vertragliche Spezifikationen — Vertragsklauseln, die die Übertragungsanforderungen des Kunden festlegen, einschließlich Verschlüsselungsstandards, zulässiger Kanäle und Verfahren zur Empfängerverifizierung.
  • Vorfallaufzeichnungen — Aufzeichnungen über jegliche Übertragungsausfälle oder Sicherheitsvorfälle, einschließlich Ursachenanalyse und ergriffener Korrekturmaßnahmen.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.2.5.2 Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen Grenzüberschreitende Übermittlungen erfordern sowohl technische Kontrollen als auch eine rechtliche Grundlage.
A.2.2.2 Kundenvereinbarung Die Übertragungsanforderungen sollten im Kundenvertrag festgelegt werden.
A.2.4.3 Rückgabe, Übertragung oder Entsorgung Die Rückgabe personenbezogener Daten an den Kunden ist eine Form der Übermittlung, die geeignete Kontrollmechanismen erfordert.
A.3 Gemeinsame Sicherheitskontrollen Netzwerksicherheit und kryptografische Kontrollen bilden die Grundlage für die Übertragungssicherheit.
A.2.5.3 Länder für die Übermittlung personenbezogener Daten Die Übertragungsziele müssen dokumentiert und offengelegt werden.

Für wen gilt diese Regelung?

A.2.4.4 gilt ausschließlich für PII-ProzessorenAuftragsverarbeiter übermitteln im Rahmen ihrer Geschäftstätigkeit häufig personenbezogene Daten, sei es beim Empfang von Daten von Verantwortlichen, bei der Rückgabe verarbeiteter Ergebnisse, beim Datenaustausch mit Unterauftragnehmern oder bei der Datenreplikation zwischen Systemen. Jeder dieser Übertragungspunkte birgt ein potenzielles Risiko. Diese Kontrollmaßnahme stellt sicher, dass Auftragsverarbeiter geeignete Schutzmaßnahmen für alle während der Übertragung befindlichen personenbezogenen Daten implementieren.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für PII-Getriebesteuerungen?

ISMS.online bietet praktische Werkzeuge für das Management der Sicherheit der Übertragung personenbezogener Daten:

  • Richtliniendokumentation — Dokumentieren Sie Ihre Richtlinien zur Übertragungssicherheit, einschließlich Verschlüsselungsstandards, zulässiger Kanäle und Zugriffskontrollen, mit Versionskontrolle und Prüfplanung.
  • Asset-Mapping — Datenflüsse abbilden, die die Übertragung personenbezogener Daten beinhalten, Sender- und Empfängersysteme, Übertragungsmethoden und die jeweils angewandten Kontrollen identifizieren
  • Vertragsmanagement — Verfolgen Sie kundenspezifische Übertragungsanforderungen neben Ihren Standardkontrollen, um sicherzustellen, dass die vertraglichen Verpflichtungen erfüllt werden
  • Incident Management — Erfassung und Verwaltung von Übertragungssicherheitsvorfällen mit Ursachenanalyse, Korrekturmaßnahmen und gewonnenen Erkenntnissen
  • Prüfnachweis — Speichern von Übertragungsprüfungsdaten, Verschlüsselungszertifikaten und Zugriffskontrollprotokollen als strukturierte Nachweise für interne und externe Prüfungen.

Häufig gestellte Fragen

Welche Verschlüsselungsstandards sollten für die Übertragung personenbezogener Daten verwendet werden?

Der Standard schreibt keine spezifischen Verschlüsselungsprotokolle vor, jedoch empfiehlt die aktuelle Best Practice TLS 1.2 oder höher für Datenübertragungen über Netzwerke. Für E-Mail-Übertragungen sollten Sie S/MIME- oder PGP-Verschlüsselung in Betracht ziehen. Verwenden Sie für Dateiübertragungen SFTP oder SCP anstelle von unverschlüsseltem FTP. Für die API-Kommunikation ist HTTPS mit Zertifikatsvalidierung erforderlich. Die konkreten Anforderungen können auch im Kundenvertrag oder in geltenden Datenschutzbestimmungen festgelegt sein.

Was passiert, wenn der Kunde keine Übertragungsanforderungen angibt?

Gemäß Anhang B sollte die Organisation, sofern keine vertraglichen Verpflichtungen bestehen, vor der Übermittlung den Kunden konsultieren. Dies bedeutet in der Praxis, den Kunden proaktiv nach seinen bevorzugten Übermittlungsmethoden, Verschlüsselungsanforderungen und Verfahren zur Empfängerverifizierung zu befragen. Die Dokumentation dieser Konsultation und des vereinbarten Vorgehens schützt beide Parteien und dient als Nachweis bewährter Vorgehensweise gegenüber Prüfern.

Gilt diese Kontrolle auch für die interne Netzwerkübertragung?

Ja. Die Regelung gilt für personenbezogene Daten (PII), die über beliebige Datenübertragungsnetze, einschließlich interner Netzwerke, übertragen werden. Externe Übertragungen bergen zwar in der Regel ein höheres Risiko, aber auch der interne Netzwerkverkehr kann abgefangen werden, insbesondere in gemeinsam genutzten Umgebungen oder Cloud-Umgebungen. Es empfiehlt sich, personenbezogene Daten während der Übertragung zu verschlüsseln, unabhängig davon, ob es sich um ein internes oder externes Netzwerk handelt, und Netzwerksegmentierung sowie Zugriffskontrollen zu implementieren, um das Risiko zu minimieren.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die prozessorspezifischen Nachweise, die Prüfer benötigen.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.