Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.11: Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen

Kontrollmaßnahme A.3.11 verpflichtet Organisationen zur Planung und Vorbereitung des Umgangs mit Informationssicherheitsvorfällen im Zusammenhang mit der Verarbeitung personenbezogener Daten. Eine effektive Vorfallsplanung ist unerlässlich, um die Meldefristen für Datenschutzverletzungen gemäß ISO 27701:2025 einzuhalten.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.11?

Die Organisation plant und bereitet sich auf den Umgang mit Informationssicherheitsvorfällen im Zusammenhang mit der Verarbeitung personenbezogener Daten vor, indem sie Prozesse, Rollen und Verantwortlichkeiten für das Vorfallsmanagement definiert, festlegt und kommuniziert.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) enthält die Pflichten sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Er konzentriert sich insbesondere auf die Planungs- und Vorbereitungsphase – um sicherzustellen, dass Ihre Organisation vor einem Vorfall handlungsfähig ist und nicht erst nach einer Datenschutzverletzung in Panik gerät.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.11) enthält folgende Hinweise:

  • Identifizierungs- und Aufzeichnungsverfahren festlegen — Definieren Sie klare Verantwortlichkeiten und Verfahren zur Identifizierung und Erfassung von Datenschutzverletzungen, einschließlich der Klassifizierung des Schweregrades eines Vorfalls.
  • Benachrichtigungsverfahren festlegen — Dokumentierte Verfahren zur Benachrichtigung der relevanten Parteien über Datenschutzverletzungen erstellen, einschließlich des Zeitpunkts der Benachrichtigungen.
  • Berücksichtigen Sie die rechtlichen Anforderungen — Beachten Sie die geltenden rechtlichen und regulatorischen Anforderungen an die Meldung von Datenschutzverletzungen, die je nach Gerichtsbarkeit unterschiedlich sind.
  • Zuständigkeitsbewusstsein — Einige Rechtsordnungen erlassen spezifische Vorschriften zur Reaktion auf Datenschutzverletzungen mit festgelegten Fristen und Inhaltsanforderungen für Benachrichtigungen.

Die Leitlinien betonen, dass die Notfallplanung nicht allgemein gehalten werden darf. Die Verfahren müssen die spezifischen Arten personenbezogener Daten berücksichtigen, die Ihr Unternehmen verarbeitet, die Rechtsordnungen, in denen Sie tätig sind, und die für Ihre Umstände geltenden Meldepflichten.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.11 ist mehreren Funktionen zugeordnet Datenschutz Artikel:

  • Artikel 5(1)(f) — Integrität und Vertraulichkeit, einschließlich der Fähigkeit, auf Verstöße zu reagieren
  • Artikel 33 (1) — Verantwortliche müssen die Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntniserlangung eines Verstoßes benachrichtigen.
  • Artikel 33(3)(ad) — Die Benachrichtigungen müssen die Art des Verstoßes, den Ansprechpartner, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen enthalten.
  • Artikel 33(4-5) — Die Informationen können in Phasen bereitgestellt werden; der Verantwortliche muss alle Verstöße dokumentieren.
  • Artikel 34(1-4) — Benachrichtigung der betroffenen Personen über Datenschutzverletzungen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Die 72-Stunde Datenschutz Aufgrund des kurzen Vorlaufs ist eine frühzeitige Planung unerlässlich. Ohne festgelegte Prozesse ist es äußerst schwierig, diese Frist einzuhalten.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung in Abschnitt 6.13.1.4 behandelt, der Verantwortlichkeiten und Verfahren für das Vorfallmanagement regelte. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.11 bei, bietet aber eine klarere Trennung zwischen der Kontrollaussage und den Umsetzungshinweisen in B.3.11. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.11 achten die Prüfer typischerweise auf Folgendes:

  • Richtlinien und Verfahren zum Umgang mit Zwischenfällen — Ein dokumentierter Plan zur Identifizierung, Klassifizierung, Eskalation und Meldung von Datenschutzverletzungen
  • Definierte Rollen und Verantwortlichkeiten — Klare Zuweisung der Aufgaben während eines Vorfalls, einschließlich eines benannten Vorfallmanagers und eines Benachrichtigungskoordinators
  • Benachrichtigungsvorlagen — Vorgefertigte Vorlagen zur Benachrichtigung von Aufsichtsbehörden, betroffenen Personen und Geschäftspartnern, abgestimmt auf die gesetzlichen Anforderungen
  • Register der gesetzlichen Anforderungen — Eine dokumentierte Liste der Meldepflichten bei Datenschutzverletzungen nach Rechtsordnung, einschließlich Fristen und Inhaltsanforderungen
  • Trainings- und Übungsaufzeichnungen — Nachweise dafür, dass die Einsatzteams geschult wurden und der Plan durch Planspiele oder Simulationen getestet wurde

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.12 Reaktion auf Vorfälle A.3.11 behandelt die Planung; A.3.12 Reaktion auf Sicherheitsvorfälle umfasst die tatsächliche Reaktion, wenn ein Vorfall eintritt
A.3.13 Rechtliche und vertragliche Anforderungen Fristen und Pflichten zur Meldung von Datenschutzverletzungen hängen von den geltenden rechtlichen Bestimmungen ab.
A.3.17 Bewusstsein und Schulung Die Mitarbeiter müssen wissen, wie sie potenzielle Vorfälle im Zusammenhang mit personenbezogenen Daten erkennen und melden können.
A.3.14 Schutz von Aufzeichnungen Vorfallsberichte müssen vor Verlust, Zerstörung oder unbefugtem Zugriff geschützt werden.
A.3.10 Lieferantenvereinbarungen Lieferantenverträge sollten Meldepflichten bei Vertragsverletzungen und Reaktionsfristen enthalten.

Für wen gilt diese Regelung?

A.3.11 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche tragen die primäre Pflicht, Aufsichtsbehörden und betroffene Personen zu benachrichtigen, während Auftragsverarbeiter über Verfahren verfügen müssen, um Datenschutzverletzungen unverzüglich zu erkennen und ihren Verantwortlichen zu melden. Beide Rollen benötigen dokumentierte und erprobte Notfallpläne.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für die Einsatzplanung?

ISMS.online bietet praktische Werkzeuge zum Aufbau und zur Aufrechterhaltung Ihrer Fähigkeit zur Reaktion auf PII-Vorfälle:

  • Workflows für das Vorfallmanagement — Vorkonfigurierbare Workflows, die Ihr Team durch die Schritte Identifizierung, Klassifizierung, Eskalation und Benachrichtigung führen.
  • Rollenzuweisung — Definieren Sie die Rollen und Verantwortlichkeiten im Falle eines Vorfalls mit klaren Eskalationswegen, damit jeder seinen Teil kennt, bevor ein Vorfall eintritt
  • Benachrichtigungsverfolgung — Überwachung der Meldungen an Aufsichtsbehörden und betroffene Personen im Hinblick auf gesetzliche Fristen, mit automatisierten Benachrichtigungen bei Annäherung an Fristen.
  • Verletzungsregister — Führen Sie ein vollständiges Protokoll aller Vorfälle mit personenbezogenen Daten (PII) mit Schweregradbewertungen, Reaktionsmaßnahmen und Ergebnissen, das die Dokumentationspflichten gemäß Artikel 33 Absatz 5 der DSGVO erfüllt.
  • Übungsmanagement — Planübungen und Planüberprüfungen planen und protokollieren, um die fortlaufende Einsatzbereitschaft nachzuweisen

Häufig gestellte Fragen

Wie detailliert sollten die Verfahren zur Reaktion auf Zwischenfälle sein?

Verfahren müssen so präzise sein, dass sie von Teammitgliedern auch unter Druck eindeutig befolgt werden können. Dies erfordert klar definierte Rollen (nicht nur Stellenbezeichnungen), konkrete Kontaktdaten, schrittweise Eskalationswege und vorgefertigte Benachrichtigungsvorlagen. Allgemeine Verfahren, die personenbezogene Daten (PII)-spezifische Anforderungen und melderechtliche Fristen nicht berücksichtigen, genügen den Anforderungen der Prüfer nicht.

Welche rechtlichen Faktoren beeinflussen die Planung der Meldung von Datenschutzverletzungen?

Die Meldepflichten variieren je nach Rechtsordnung erheblich. Die DSGVO sieht eine Frist von 72 Stunden für die Benachrichtigung der Aufsichtsbehörden vor. Andere Rechtsordnungen können abweichende Fristen, andere Schwellenwerte für die Meldepflicht und andere Anforderungen an den Inhalt der Meldungen haben. Ihr Notfallplan muss alle Rechtsordnungen berücksichtigen, in denen Sie personenbezogene Daten verarbeiten.

Wie oft sollten Notfallpläne getestet werden?

Es empfiehlt sich, mindestens einmal jährlich eine Planspielübung durchzuführen und diese bei wesentlichen Änderungen Ihrer Verarbeitungsprozesse, IT-Infrastruktur oder Organisationsstruktur zusätzlich zu überprüfen. Die Norm schreibt vor, dass Pläne in festgelegten Abständen oder bei wesentlichen Änderungen überprüft werden. Die Dokumentation der Ergebnisse jeder Übung und aller vorgenommenen Verbesserungen ist für die Prüfung unerlässlich.

Verstehen Sie die vollen Kostenfolgen von Datenschutzvorfällen in unserem Kosten der Nichteinhaltung im Vergleich zur Zertifizierung Analyse.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die von den Prüfern erwartete Vorfallsdokumentation.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.