Was erfordert die Kontrolle A.3.15?
Der Ansatz der Organisation zur Verwaltung der Informationssicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten und deren Umsetzung, einschließlich der beteiligten Personen, Prozesse und Technologien, wird in geplanten Abständen oder bei wesentlichen Änderungen unabhängig überprüft.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) und geht auf die Notwendigkeit einer objektiven Prüfung ein. Selbstbewertung ist wichtig, aber eine unabhängige Überprüfung schafft die Glaubwürdigkeit, die Kunden, Aufsichtsbehörden und Geschäftspartner benötigen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.15) konzentriert sich insbesondere auf den Prozessorkontext:
- Unpraktikabilität individueller Prüfungen — Wo individuelle Kundenprüfungen unpraktisch sind oder die Sicherheitsrisiken erhöhen könnten (z. B. durch die Offenlegung von Daten anderer Kunden), sollten Auftragsverarbeiter stattdessen unabhängige Nachweise für die Kunden bereitstellen.
- Nachweise vor und während des Vertragsverhältnisses — Den Kunden sollten sowohl vor als auch während der Vertragslaufzeit unabhängige Nachweise zur Verfügung gestellt werden, um eine fortlaufende Qualitätssicherung zu gewährleisten.
- Zulässige Prüfungsnachweise — Eine relevante unabhängige Prüfung (wie zum Beispiel ISO Zertifizierung 27001 Eine Zertifizierung nach ISO 27701 sollte normalerweise ausreichen, um dem Interesse eines Kunden an der Überprüfung der Geschäftstätigkeit des Prozessors gerecht zu werden.
- Web Link A.3.3: Richtlinien für die Informationssicherheit für damit zusammenhängende Anforderungen
- Web Link A.3.4: Rollen und Verantwortlichkeiten im Bereich Informationssicherheit für damit zusammenhängende Anforderungen
Dies ist besonders relevant für Cloud-Service-Anbieter und SaaS-Plattformen, bei denen Hunderte von Kunden jeweils ein vertragliches Recht auf Auditierung haben können – was individuelle Audits aus operativer Sicht unmöglich macht.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.15 ist zugeordnet zu Datenschutz Artikel 32(1)(d), der ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen vorschreibt, und Artikel 32(2), der bei der Bewertung des angemessenen Sicherheitsniveaus die Risiken für die betroffenen Personen berücksichtigt.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.15.2.1 (Unabhängige Überprüfung der Informationssicherheit) enthalten. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.15 bei, wobei die Kontrollbeschreibung und die Umsetzungshinweise in B.3.15 klarer voneinander getrennt sind. Die praktischen Hinweise zur Nutzung unabhängiger Audits zur Erfüllung der Kundenerwartungen bleiben ein zentrales Element. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.15 achten die Prüfer typischerweise auf Folgendes:
- Internes Auditprogramm — Ein dokumentierter Zeitplan unabhängiger Überprüfungen, der den PIMS-Geltungsbereich abdeckt, einschließlich Häufigkeit und Auswahlkriterien
- Unabhängigkeit des Abschlussprüfers — Nachweis, dass die Prüfer unabhängig von den zu prüfenden Bereichen sind, seien es interne Prüfer aus einer anderen Abteilung oder externe Wirtschaftsprüfungsgesellschaften
- Prüfungsberichte — Abgeschlossene Prüfberichte mit Ergebnissen, Risikobewertungen und Handlungsempfehlungen
- Nachverfolgung von Korrekturmaßnahmen — Nachweis, dass die festgestellten Mängel durch dokumentierte Korrekturmaßnahmen mit zugewiesenen Verantwortlichen und Zielterminen behoben werden.
- Triggerbasierte Bewertungen — Nachweise dafür, dass zusätzliche Überprüfungen durchgeführt werden, wenn wesentliche Änderungen eintreten, und nicht nur in geplanten Abständen.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.16 Einhaltung der Richtlinien | A.3.15 bietet unabhängige Gewissheit; A.3.16 Einhaltung der Richtlinien umfasst die Prüfung der Einhaltung der betrieblichen Vorschriften |
| A.3.13 Rechtliche und vertragliche Anforderungen | Unabhängige Prüfungen sollten die Einhaltung der festgestellten rechtlichen Verpflichtungen bestätigen. |
| A.3.10 Lieferantenvereinbarungen | Lieferantenverträge können Prüfrechte beinhalten, die von unabhängigen Prüfungen erfüllt werden können. |
| A.3.14 Schutz von Aufzeichnungen | Prüfberichte und -ergebnisse müssen als Nachweise für die Einhaltung von Vorschriften geschützt werden. |
| A.3.9 Zugriffsrechte | Unabhängige Prüfungen sollten bewerten, ob die Zugriffskontrollen für personenbezogene Daten wirksam sind. |
Für wen gilt diese Regelung?
A.3.15 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche benötigen eine unabhängige Bestätigung, dass ihre Datenschutzmaßnahmen wirksam sind. Auftragsverarbeiter profitieren erheblich von dieser Kontrolle, da unabhängige Prüfnachweise (wie z. B. ISO 27701 oder …) vorliegen. ISO 27001 Die Zertifizierung kann die Auditanforderungen mehrerer Kunden gleichzeitig erfüllen und so den Aufwand für einzelne Kundenaudits reduzieren.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung unabhängiger Gutachten?
ISMS.online bietet praktische Werkzeuge für die Planung, Durchführung und Nachverfolgung unabhängiger Überprüfungen Ihres Datenschutzprogramms:
- Internes Auditprogramm — Audits planen und terminieren mit Definitionen des Prüfungsbereichs, Zuweisung von Prüfern und automatisierten Erinnerungen für anstehende Prüfungen
- Arbeitsabläufe im Auditmanagement — Prüfer mithilfe von Checklisten, Nachweisanforderungen und Vorlagen durch den Prüfprozess führen
- Nachverfolgung von Korrekturmaßnahmen — Ergebnisse mit Schweregradbewertungen protokollieren, Verantwortliche zuweisen, Fristen festlegen und den Fortschritt bis zum Abschluss verfolgen
- Erstellung von Beweismaterial — Zusammenstellung von Prüfungsnachweisen in strukturierten Paketen für externe Prüfer oder Kundenanfragen
- Zertifizierungsunterstützung — Erhalten Sie Ihren ISO 27701- und ISO 27001-Zertifizierungsstatus durch die Vorbereitung von Überwachungsaudits und die Durchführung von Gap-Analysen.
- Kundenportal — Relevante Prüfnachweise sicher mit Kunden teilen, wodurch der Bedarf an individuellen Vor-Ort-Prüfungen reduziert wird.
Häufig gestellte Fragen
Wie häufig sollten unabhängige Überprüfungen durchgeführt werden?
Die Norm schreibt Überprüfungen in geplanten Abständen oder bei wesentlichen Änderungen vor. Die meisten Organisationen führen jährlich formelle, unabhängige Überprüfungen durch, die auf ihren ISO-27001-Überwachungsauditzyklus abgestimmt sind. Wesentliche Änderungen wie eine umfassende Systemmigration, eine Umstrukturierung der Organisation oder eine neue Art der Verarbeitung personenbezogener Daten sollten jedoch eine zusätzliche Überprüfung außerhalb des geplanten Zeitplans auslösen.
Kann eine interne Revision das Unabhängigkeitserfordernis erfüllen?
Ja, vorausgesetzt, die Prüfer sind unabhängig von dem zu prüfenden Bereich. Ein internes Revisionsteam, das nicht der Geschäftsleitung des zu prüfenden Bereichs unterstellt ist, kann unabhängige Bestätigung liefern. Für Verarbeitungsunternehmen, die die Anforderungen von Kundenprüfungen erfüllen müssen, bieten externe Zertifizierungsstellen jedoch in der Regel den stärksten Nachweis der Unabhängigkeit.
Wie hilft dies den Bearbeitern bei der Verwaltung mehrerer Kundenprüfungsanfragen?
Die Implementierungsrichtlinien erkennen ausdrücklich an, dass individuelle Kundenaudits unpraktisch sein und die Sicherheitsrisiken erhöhen können. Durch die Aufrechterhaltung aktueller, unabhängiger Auditnachweise (wie z. B. ISO 27701- oder ISO 27001-Zertifizierungen) können Auftragsverarbeiter allen Kunden eine standardisierte Sicherheit bieten. Dies reduziert den Auditaufwand, schützt die Vertraulichkeit der Daten anderer Kunden und ermöglicht einen skalierbaren Ansatz für die Qualitätssicherung bei wachsendem Kundenstamm.
Eine vollständige Beschreibung des Zertifizierungsaudits finden Sie hier. Was Sie während Ihres ISO 27701:2025-Audits erwarten können.
Die Wahl des richtigen Wirtschaftsprüfers ist entscheidend – siehe Wie man eine Zertifizierungsstelle auswählt.
