Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.12: Reaktion auf Informationssicherheitsvorfälle

Die Kontrollmaßnahme A.3.12 verpflichtet Organisationen, auf Informationssicherheitsvorfälle mit personenbezogenen Daten gemäß dokumentierten Verfahren zu reagieren. Diese Kontrollmaßnahme gewährleistet, dass die Reaktion im Falle einer Datenschutzverletzung strukturiert, zeitnah und gemäß ISO 27701:2025 erfolgt.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.12?

Die Reaktion auf Informationssicherheitsvorfälle im Zusammenhang mit der Verarbeitung personenbezogener Daten erfolgt gemäß den dokumentierten Verfahren.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) und arbeitet Hand in Hand mit A.3.11 Vorfallmanagement, was Planung und Vorbereitung umfasst. Wo A.3.11 Vorfallmanagement A.3.12 stellt sicher, dass Sie einen Plan haben, und stellt sicher, dass Sie diesen auch befolgen, wenn ein tatsächlicher Vorfall eintritt.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.12) enthält separate Leitlinien für Verantwortliche und Auftragsverarbeiter:

Für PII-Controller

  • Bewertung des Verstoßes — Ein Vorfall mit personenbezogenen Daten sollte eine Überprüfung auslösen, um festzustellen, ob eine Datenschutzverletzung vorliegt, die eine formelle Reaktion erfordert.
  • Benachrichtigungen löschen — Benachrichtigungen an Aufsichtsbehörden und betroffene Personen sollten klar formuliert sein, eine Kontaktstelle für weitere Informationen enthalten, Art und Folgen des Verstoßes beschreiben und die ergriffenen oder vorgeschlagenen Maßnahmen darlegen.
  • Umfassende Aufzeichnung von Datenschutzverletzungen — Führen Sie ein Protokoll mit folgenden Angaben: Beschreibung des Verstoßes, Zeitraum, Folgen, wer den Verstoß gemeldet hat, ergriffene Maßnahmen zur Behebung des Problems und die betroffenen personenbezogenen Daten.

Für PII-Prozessoren

  • Vertragsgesteuerte Benachrichtigung — Die im Vertrag des Kunden (Verantwortlichen) vereinbarten Benachrichtigungsvorschriften sind zu beachten.
  • Umfangsbeschränkungen Die Benachrichtigungspflicht erstreckt sich nicht auf Verstöße, die vom Kunden (Verantwortlichen) selbst verursacht wurden.
  • Definierte Reaktionszeiten — Reaktionsfristen für die Meldung von Datenschutzverletzungen an den Verantwortlichen vereinbaren und dokumentieren

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.12 ist zugeordnet zu Datenschutz Artikel 33(1-5) regeln die Meldung von Datenschutzverletzungen an die Aufsichtsbehörden, Artikel 34(1-2) die Mitteilung solcher Verletzungen an die betroffenen Personen. Datenschutz verlangt, dass Meldungen über Datenschutzverletzungen Angaben zur Art der Datenschutzverletzung, zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den wahrscheinlichen Folgen sowie zu den zur Behebung der Datenschutzverletzung ergriffenen Maßnahmen enthalten.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung in Abschnitt 6.13.1.5 behandelt, der die Reaktion auf Informationssicherheitsvorfälle regelte. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.12 bei, wobei die Verantwortlichkeiten von Verantwortlichen und Auftragsverarbeitern in den Leitlinien zu B.3.12 klarer getrennt werden. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.12 achten die Prüfer typischerweise auf Folgendes:

  • Verletzungsregister — Ein geführtes Protokoll aller Vorfälle im Zusammenhang mit personenbezogenen Daten, einschließlich derjenigen, die bewertet und als nicht meldepflichtige Datenschutzverletzung eingestuft wurden.
  • Benachrichtigungsdatensätze — Kopien der an die Aufsichtsbehörden und betroffenen Personen versandten Benachrichtigungen mit Zeitstempeln, die die Einhaltung der erforderlichen Fristen belegen
  • Bewertungsdokumentation — Aufzeichnungen, aus denen hervorgeht, wie jeder Vorfall hinsichtlich seiner Schwere bewertet wurde und ob er die Meldeschwelle erreichte.
  • Lessons learned — Nachweise dafür, dass Vorfälle nach ihrer Beilegung überprüft werden und dass Verbesserungen in den Vorfallmanagementprozess zurückfließen.
  • Prozessorbenachrichtigungen — Gegebenenfalls Aufzeichnungen über von oder an Auftragsverarbeiter gesendete Benachrichtigungen über Datenschutzverletzungen mit Nachweisen über die Einhaltung der vertraglichen Fristen

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.11 Einsatzplanung Legt die dokumentierten Verfahren fest, die gemäß A.3.12 einzuhalten sind.
A.3.14 Schutz von Aufzeichnungen Aufzeichnungen über Datenschutzverletzungen müssen vor Verlust, Zerstörung oder unberechtigtem Zugriff geschützt werden.
A.3.13 Rechtliche und vertragliche Anforderungen Die Meldepflichten ergeben sich aus den geltenden rechtlichen Bestimmungen.
A.3.10 Lieferantenvereinbarungen Die Fristen für die Benachrichtigung von Prozessoren bei Datenschutzverletzungen sollten in den Lieferantenverträgen festgelegt werden.
A.3.15 Unabhängige Überprüfung Bei den Überprüfungen sollte beurteilt werden, ob die Verfahren zur Reaktion auf Vorfälle wirksam sind.

Für wen gilt diese Regelung?

A.3.12 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten, allerdings mit unterschiedlichen Verantwortlichkeiten. Verantwortliche sind für die Beurteilung des Schweregrades von Datenschutzverletzungen, die Benachrichtigung der Aufsichtsbehörden und die Kommunikation mit den betroffenen Personen zuständig. Auftragsverarbeiter müssen ihre Verantwortlichen unverzüglich und innerhalb der vereinbarten Fristen benachrichtigen, sind aber in der Regel nicht für die direkte Benachrichtigung der Aufsichtsbehörden oder der betroffenen Personen verantwortlich. In einigen Rechtsordnungen kann es jedoch vorkommen, dass Auftragsverarbeiter verpflichtet sind, Aufsichtsbehörden über Datenschutzverletzungen personenbezogener Daten zu informieren.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für die Reaktion auf PII-Vorfälle?

ISMS.online bietet praktische Werkzeuge für den Umgang mit Datenschutzverletzungen von der Erkennung bis zur Behebung:

  • Geführte Arbeitsabläufe für Vorfälle — Schrittweise Reaktionsabläufe, die sicherstellen, dass nichts übersehen wird – von der ersten Sichtung über die Bewertung und Benachrichtigung bis hin zum Abschluss.
  • Verletzungsregister — Ein umfassendes Protokoll, das die Aufzeichnungspflichten des Standards erfüllt, einschließlich Beschreibung des Verstoßes, Zeitablauf, Folgen, betroffene personenbezogene Daten und Abhilfemaßnahmen
  • Benachrichtigungsfristverfolgung — Automatisierte Countdown-Timer für regulatorische Fristen wie die 72-Stunden-Frist der DSGVO mit Eskalationswarnungen
  • Beweissammlung — Fügen Sie jedem Vorfallbericht unterstützende Dokumente, Screenshots und Kommunikationsvorgänge bei, um einen vollständigen Prüfpfad zu gewährleisten.
  • Überprüfung nach dem Vorfall — Erfassen Sie die gewonnenen Erkenntnisse und verknüpfen Sie Korrekturmaßnahmen mit Ihrem Risikoregister und Ihrem Verbesserungsplan.
  • Controller-Prozessor-Koordination — Strukturierte Benachrichtigungs-Workflows zwischen Controllern und Prozessoren mit Zeitstempelverfolgung

Häufig gestellte Fragen

Worin besteht der Unterschied zwischen einem Vorfall mit personenbezogenen Daten und einer Datenschutzverletzung?

Ein Vorfall im Zusammenhang mit personenbezogenen Daten (PII) ist jedes Ereignis, das die Sicherheit personenbezogener Daten beeinträchtigen kann. Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten durch unbefugten Zugriff, Offenlegung, Veränderung, Verlust oder Zerstörung gefährdet wurden. Nicht jeder Vorfall führt zu einer Datenschutzverletzung. Der Bewertungsschritt in A.3.12 dient speziell dazu, festzustellen, ob ein Vorfall die Schwelle zu einer meldepflichtigen Datenschutzverletzung überschritten hat.

Was muss eine Meldung über einen Datenschutzverstoß enthalten?

Gemäß den Durchführungsrichtlinien und Artikel 33 Absatz 3 DSGVO sollte eine Meldung über eine Datenschutzverletzung Folgendes enthalten: eine Beschreibung der Art der Verletzung, eine benannte Kontaktstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung. Informationen können schrittweise bereitgestellt werden, falls nicht alle zum Zeitpunkt der ersten Meldung vorliegen.

Muss der Auftragsverarbeiter die betroffenen Personen direkt benachrichtigen?

Nein. Die Pflicht des Auftragsverarbeiters besteht darin, den Verantwortlichen unverzüglich zu benachrichtigen. Der Verantwortliche prüft anschließend die Datenschutzverletzung und entscheidet, ob eine Benachrichtigung der Aufsichtsbehörden und der betroffenen Personen erforderlich ist. Der Auftragsverarbeiter muss die Datenschutzverletzung und die an den Verantwortlichen gesendete Benachrichtigung dokumentieren und sollte im Auftragsverarbeitungsvertrag Reaktionsfristen vereinbart haben.

Verstehen Sie die vollen Kostenfolgen von Datenschutzvorfällen in unserem Kosten der Nichteinhaltung im Vergleich zur Zertifizierung Analyse.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die von den Prüfern erwartete Vorfallsdokumentation.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.