Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.14: Schutz von Aufzeichnungen

Die Kontrollmaßnahme A.3.14 verpflichtet Organisationen, Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten vor Verlust, Zerstörung, Verfälschung und unberechtigtem Zugriff zu schützen. Die Führung zuverlässiger Aufzeichnungen ist für die Rechenschaftspflicht gemäß ISO 27701:2025 unerlässlich.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.14?

Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten müssen vor Verlust, Zerstörung, Verfälschung, unbefugtem Zugriff und unbefugter Weitergabe geschützt werden.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) behandelt eine grundlegende Anforderung an die Unternehmensführung: Die Aufzeichnungen, die Ihre Einhaltung der Datenschutzbestimmungen belegen, müssen selbst sicher sein. Wenn Aufzeichnungen verloren gehen, verändert oder unbefugt abgerufen werden können, verlieren sie ihre Wertigkeit als Nachweis der Einhaltung der Bestimmungen.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.14) enthält folgende Hinweise:

  • Historischer Politiküberblick — Eine Überprüfung sowohl aktueller als auch historischer Richtlinien kann in bestimmten Situationen erforderlich sein, beispielsweise bei der Beilegung von Kundenstreitigkeiten oder bei der Beantwortung von Untersuchungen durch Aufsichtsbehörden.
  • Bewahren Sie Kopien der Datenschutzdokumente auf. — Bewahren Sie Kopien der Datenschutzrichtlinien und -verfahren für den im Aufbewahrungsplan der Organisation festgelegten Zeitraum auf, einschließlich älterer Versionen, wenn die Richtlinien aktualisiert werden.

Die Leitlinien betonen, dass der Schutz von Datensätzen nicht nur aktuelle Dokumente betrifft. Organisationen müssen unter Umständen nachweisen, welche Richtlinien zu einem bestimmten Zeitpunkt galten – beispielsweise um zu belegen, dass zum Zeitpunkt einer Datenschutzverletzung angemessene Schutzmaßnahmen vorhanden waren, oder um auf eine Beschwerde einer betroffenen Person zu reagieren, die sich auf die Verarbeitung älterer Daten bezieht.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.14 ist zugeordnet zu Datenschutz Artikel 5 Absatz 2 (Rechenschaftspflicht) und Artikel 24 Absatz 2 (Umsetzung angemessener Datenschutzrichtlinien) regeln die Rechenschaftspflicht. Diese verpflichtet Verantwortliche, die Einhaltung der Vorschriften nachzuweisen, was vollständig von zuverlässigen und geschützten Datensätzen abhängt. Gehen Datensätze verloren oder werden sie manipuliert, kann die Organisation dieser Verpflichtung nicht nachkommen.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.15.1.3 (Schutz von Aufzeichnungen) enthalten. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.14 bei, wobei die Kontrollaussage und die Umsetzungshinweise in B.3.14 klarer voneinander getrennt sind. Die Beibehaltung älterer Versionen von Datenschutzrichtlinien bleibt ein zentrales Merkmal der Leitlinien. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.14 achten die Prüfer typischerweise auf Folgendes:

  • Richtlinie zur Aufbewahrung von Datensätzen — Eine dokumentierte Richtlinie, die festlegt, wie lange Datensätze zur Verarbeitung personenbezogener Daten aufbewahrt werden, einschließlich Mindestaufbewahrungsfristen für verschiedene Datensatzkategorien.
  • Versionskontrolle — Nachweis, dass frühere Versionen von Datenschutzrichtlinien, -verfahren und Verarbeitungsaufzeichnungen aufbewahrt und zugänglich sind, mit klarer Versionsnummerierung und Datumsangabe.
  • Zugangskontrollen — Beschränkungen hinsichtlich des Zugriffs, der Änderung und der Löschung von Datenschutzdatensätzen, einschließlich der Protokollierung aller Änderungen
  • Sicherung und Wiederherstellung — Nachweis, dass Datensätze gesichert werden und im Falle eines Systemausfalls oder Datenverlusts wiederhergestellt werden können.
  • Integritätskontrollen — Mechanismen zur Erkennung und Verhinderung der Fälschung von Datensätzen, wie z. B. Prüfprotokolle, digitale Signaturen oder manipulationssichere Speicherung

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.9 Zugriffsrechte Der Zugriff auf Datenschutzdaten muss auf autorisiertes Personal beschränkt werden.
A.3.12 Reaktion auf Vorfälle Aufzeichnungen über Datenschutzverletzungen müssen als Teil des Dokumentenmanagements der Organisation geschützt werden.
A.3.13 Rechtliche und vertragliche Anforderungen Aufbewahrungsfristen können durch gesetzliche Verpflichtungen bedingt sein.
A.3.15 Unabhängige Überprüfung Die Prüfer benötigen Zugriff auf historische Aufzeichnungen, um die fortlaufende Einhaltung der Vorschriften zu überprüfen.
A.3.16 Einhaltung der Richtlinien Die Einhaltung der Datenschutzpraktiken sollte im Rahmen von Compliance-Prüfungen überprüft werden.

Für wen gilt diese Regelung?

A.3.14 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen Aufzeichnungen schützen, die ihre Einhaltung der Datenschutzgesetze belegen, darunter Verarbeitungsprotokolle, Einwilligungsprotokolle und Datenschutz-Folgenabschätzungen. Auftragsverarbeiter müssen Aufzeichnungen über im Auftrag von Verantwortlichen durchgeführte Verarbeitungstätigkeiten, Meldungen über Datenschutzverletzungen und Vertragsdokumente schützen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zum Schutz von Datensätzen zur Verarbeitung personenbezogener Daten?

ISMS.online bietet praktische Werkzeuge zur Führung sicherer, nachvollziehbarer Datenschutzaufzeichnungen:

  • Versionskontrollierte Dokumentenverwaltung — Jede Richtlinie, jedes Verfahren und jeder Datensatz wird versionskontrolliert mit vollständiger Änderungshistorie, sodass Sie jederzeit die jeweils gültige Version abrufen können.
  • Rollenbasierte Zugriffskontrollen — Den Zugriff auf vertrauliche Datensätze rollenbasiert einschränken, um sicherzustellen, dass nur autorisiertes Personal sensible Dokumente einsehen, bearbeiten oder exportieren kann.
  • Manipulationssicherer Prüfpfad — Alle Änderungen an Datensätzen werden mit Zeitstempeln und Benutzerkennungen protokolliert, wodurch die Integrität nachgewiesen wird.
  • Automatisiertes Retention Management — Legen Sie Aufbewahrungsfristen für verschiedene Datensatztypen fest und lassen Sie sich vor Ablauf benachrichtigen, um die Einhaltung Ihres Aufbewahrungsplans sicherzustellen.
  • Sicherer Cloud-Speicher — Datensätze werden sowohl im Ruhezustand als auch während der Übertragung verschlüsselt gespeichert und durch automatische Datensicherung und Notfallwiederherstellung geschützt.

Häufig gestellte Fragen

Warum ist es wichtig, frühere Versionen von Datenschutzrichtlinien aufzubewahren?

Aufsichtsbehörden oder Gerichte müssen unter Umständen die zu einem bestimmten Zeitpunkt geltenden Richtlinien überprüfen – beispielsweise zum Zeitpunkt eines Datenschutzverstoßes, der Verarbeitung personenbezogener Daten oder dem Eingang einer Beschwerde. Ohne historische Versionen kann die Organisation nicht nachweisen, welche Schutzmaßnahmen getroffen wurden. Die Aufbewahrung datierter, versionskontrollierter Kopien aller Datenschutzdokumente ist daher unerlässlich für die Rechenschaftspflicht.

Wie lange sollten Aufzeichnungen zur Verarbeitung personenbezogener Daten aufbewahrt werden?

Die Norm schreibt keine spezifische Aufbewahrungsfrist vor. Diese sollte im Aufbewahrungsplan des Unternehmens auf Grundlage geltender gesetzlicher Bestimmungen, vertraglicher Verpflichtungen und betrieblicher Erfordernisse festgelegt werden. Datenschutz Es werden keine genauen Aufbewahrungsfristen für Compliance-Unterlagen festgelegt, Organisationen sollten diese jedoch lange genug aufbewahren, um auf Untersuchungen von Aufsichtsbehörden und Beschwerden von betroffenen Personen reagieren zu können, die auch noch Jahre nach der Verarbeitung auftreten können.

Welche Arten von Datensätzen umfasst diese Kontrolle?

Dies umfasst alle Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich: Aufzeichnungen über Verarbeitungstätigkeiten, Datenschutzrichtlinien und -verfahren, Einwilligungsaufzeichnungen, Datenschutz-Folgenabschätzungen, Meldungen über Datenschutzverletzungen, Protokolle von Betroffenenanfragen, Lieferantenverträge, Schulungsnachweise und Prüfberichte. Gemeinsames Merkmal ist, dass alle Aufzeichnungen, die zum Nachweis der Einhaltung der Datenschutzbestimmungen verwendet werden, diesem Schutz unterliegen.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise Bildet die spezifischen Aufzeichnungen ab, die die Prüfer für jede Klausel und jeden Kontrollbereich erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.