Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.18: Vertraulichkeits- oder Geheimhaltungsvereinbarungen

Kontrollmaßnahme A.3.18 verpflichtet Organisationen, Vertraulichkeits- oder Geheimhaltungsvereinbarungen zum Schutz personenbezogener Daten zu identifizieren, zu dokumentieren und regelmäßig zu überprüfen. Diese Vereinbarungen stellen eine wichtige vertragliche Schutzmaßnahme gemäß ISO 27701:2025 dar.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.18?

Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die den Bedürfnissen der Organisation hinsichtlich des Schutzes personenbezogener Daten Rechnung tragen, werden ermittelt, dokumentiert, regelmäßig überprüft und von den Mitarbeitern sowie anderen relevanten Interessengruppen unterzeichnet.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) legt eine grundlegende vertragliche Schutzmaßnahme fest: Jeder, der Zugriff auf personenbezogene Daten hat, muss formell zur Vertraulichkeit verpflichtet sein. Dies schafft eine klare Rechtsgrundlage für die Durchsetzung der Datenschutzpflichten auf individueller Ebene.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.18) enthält folgende Hinweise:

  • Stellen Sie sicher, dass der Zugriff auf personenbezogene Daten den Vertraulichkeitsverpflichtungen unterliegt. Alle Personen, die Zugriff auf personenbezogene Daten haben, sollten einer Vertraulichkeitsverpflichtung unterliegen, sei es durch einen Arbeitsvertrag, eine separate Geheimhaltungsvereinbarung oder eine gleichwertige Vereinbarung.
  • Verpflichtungsdauer angeben — Geben Sie klar an, wie lange die Vertraulichkeitsverpflichtungen gelten; diese können über das Ende des Arbeitsverhältnisses oder die Vertragslaufzeit hinausgehen.
  • Prozessorspezifische Anforderungen — Für Auftragsverarbeiter sollte die Vertraulichkeitsvereinbarung sicherstellen, dass Mitarbeiter und Beauftragte die Datenschutzrichtlinien des Unternehmens einhalten.
  • Web Link A.3.19: Aufgeräumter Schreibtisch und aufgeräumter Bildschirm für damit zusammenhängende Anforderungen

Die Richtlinien stellen klar, dass Vertraulichkeit nicht nur eine kulturelle Erwartung ist – sie muss eine dokumentierte, unterzeichnete Verpflichtung mit einer festgelegten Dauer sein, damit die Verpflichtungen auch nach Rollenwechsel, Beendigung des Arbeitsverhältnisses und Vertragsablauf bestehen bleiben.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.18 ist mehreren Funktionen zugeordnet Datenschutz Artikel:

  • Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit erfordert angemessene Sicherheitsmaßnahmen, einschließlich des Schutzes vor unbefugter Offenlegung
  • Artikel 28 (3) (b) — Die Auftragsverarbeiter müssen sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
  • Artikel 38(5) (verwandte Bestimmung, nicht förmlich in Anhang D aufgeführt) Der Datenschutzbeauftragte ist hinsichtlich der Ausübung seiner Aufgaben zur Geheimhaltung verpflichtet.

Artikel 28(3)(b) ist von besonderer Bedeutung, da er Vertraulichkeitsverpflichtungen zu einem zwingenden Bestandteil von Auftragsverarbeitervereinbarungen macht – und nicht zu einer optionalen bewährten Vorgehensweise.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung in Klausel 6.10.2.4 (Vertraulichkeits- oder Geheimhaltungsvereinbarungen) geregelt. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.18 bei, wobei die Kontrollerklärung und die Umsetzungshinweise in B.3.18 klarer getrennt sind. Die Festlegung der Dauer der Verpflichtungen und die Sicherstellung der Einhaltung durch die Mitarbeiter des Auftragsverarbeiters bleiben zentral. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.18 achten die Prüfer typischerweise auf Folgendes:

  • Register für Geheimhaltungsvereinbarungen — Eine geführte Liste aller Personen, die Vertraulichkeitsvereinbarungen unterzeichnet haben, einschließlich des Unterzeichnungsdatums, der Version der Vereinbarung und des Ablauf- oder Überprüfungsdatums
  • Unterzeichnete Vereinbarungen — Kopien der unterzeichneten Vereinbarungen für alle Mitarbeiter und relevanten Interessengruppen mit Zugriff auf personenbezogene Daten
  • Inhalt der Vereinbarung — Diese Vereinbarungen legen den Umfang der Vertraulichkeit, die Arten der abgedeckten Informationen, die Dauer der Verpflichtungen und die Folgen eines Verstoßes fest.
  • Regelmäßige Überprüfung der Evidenz — Aufzeichnungen, die belegen, dass Vereinbarungen in geplanten Abständen überprüft und bei sich ändernden Anforderungen aktualisiert werden.
  • Abdeckung für alle Zugriffsarten — Vereinbarungen, die Festangestellte, Auftragnehmer, Zeitarbeiter, Berater und alle anderen Parteien mit Zugriff auf personenbezogene Daten betreffen

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.9 Zugriffsrechte Vor der Gewährung des Zugriffs auf personenbezogene Daten sollten Vertraulichkeitsvereinbarungen unterzeichnet werden.
A.3.17 Bewusstsein und Schulung Die Schulungen sollten die Verpflichtungen, zu denen sich die Mitarbeiter in ihren Vereinbarungen verpflichtet haben, bekräftigen.
A.3.10 Lieferantenvereinbarungen Lieferantenverträge sollten die Unterzeichnung von Vertraulichkeitsvereinbarungen durch das Lieferantenpersonal vorsehen.
A.3.13 Rechtliche und vertragliche Anforderungen Vertraulichkeitsverpflichtungen können durch rechtliche oder vertragliche Anforderungen bedingt sein.
A.3.14 Schutz von Aufzeichnungen Unterzeichnete Verträge müssen sicher aufbewahrt und für den entsprechenden Zeitraum archiviert werden.

Für wen gilt diese Regelung?

A.3.18 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen sicherstellen, dass ihre eigenen Mitarbeiter und Dritte zur Vertraulichkeit verpflichtet sind. Auftragsverarbeiter haben darüber hinaus die folgende Verpflichtung: Datenschutz Artikel 28(3)(b) sieht vor, dass alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind, wodurch diese Kontrolle zu einer vertraglichen Anforderung und nicht nur zu einer bewährten Vorgehensweise wird.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Verwaltung von Vertraulichkeitsvereinbarungen?

ISMS.online bietet praktische Werkzeuge zur Aufrechterhaltung von Vertraulichkeitsvereinbarungen in Ihrem gesamten Unternehmen:

  • Vereinbarungsregister — Führen eines zentralen Registers aller Vertraulichkeits- und Geheimhaltungsvereinbarungen mit Angaben zu den Unterzeichnern, Daten, Versionen und Überprüfungsplänen
  • Arbeitsabläufe für digitale Signaturen — Elektronische Erstellung, Nachverfolgung und Sammlung unterzeichneter Verträge mit automatischen Erinnerungen für ausstehende Unterschriften
  • Versionsverwaltung — Wenn Vertragsvorlagen aktualisiert werden, sollte nachverfolgt werden, welche Mitarbeiter die aktuelle Version verwenden, und gegebenenfalls eine erneute Unterzeichnung veranlasst werden.
  • Ablauf- und Überprüfungsbenachrichtigungen — Automatische Benachrichtigungen, wenn Verträge ihrem Überprüfungsdatum näher rücken oder Vertraulichkeitsfristen auslaufen.
  • Mit der Zugriffsverwaltung verknüpft — Verknüpfen Sie Vertraulichkeitsvereinbarungen mit Ihrem Zugangskontrollregister, sodass der Zugriff auf personenbezogene Daten nur nach Abschluss der Vereinbarungen gewährt wird.

Häufig gestellte Fragen

Wie lange sollten Vertraulichkeitsverpflichtungen gelten?

Die Umsetzungsrichtlinien verpflichten Organisationen, die Dauer der Verpflichtungen festzulegen. In vielen Fällen erstrecken sich Vertraulichkeitsverpflichtungen über das Ende des Arbeitsverhältnisses oder der Vertragslaufzeit hinaus – oft für zwei bis fünf Jahre oder bei besonders sensiblen Daten sogar unbefristet. Die Dauer sollte dem Schutzbedarf der personenbezogenen Daten und dem potenziellen Schaden durch Offenlegung angemessen sein. Um die Durchsetzbarkeit in den jeweiligen Rechtsordnungen sicherzustellen, kann Rechtsberatung erforderlich sein.

Können Klauseln in Arbeitsverträgen eigenständige Geheimhaltungsvereinbarungen ersetzen?

Ja, vorausgesetzt, der Arbeitsvertrag enthält ausreichend detaillierte Vertraulichkeitsbestimmungen, die personenbezogene Daten ausdrücklich abdecken, die Dauer der Verpflichtungen festlegen und der jeweiligen Rolle angemessen sind. Viele Organisationen nehmen eine allgemeine Vertraulichkeitsklausel in Arbeitsverträge auf und ergänzen diese durch eine detailliertere, auf personenbezogene Daten zugeschnittene Vereinbarung für Mitarbeiter in risikoreichen Positionen. Entscheidend ist, dass die Verpflichtungen dokumentiert und unterzeichnet sind, unabhängig vom Format des Dokuments.

Was passiert, wenn sich eine Person weigert, eine Vertraulichkeitsvereinbarung zu unterzeichnen?

Wenn sich eine Person weigert zu unterzeichnen und ihre Tätigkeit den Zugriff auf personenbezogene Daten erfordert, sollte ihr dieser Zugriff erst nach Abschluss der Vereinbarung gewährt werden. Für neue Mitarbeitende sollte die Unterzeichnung der Vertraulichkeitsvereinbarung Voraussetzung für die Einstellung oder zumindest für den Erhalt von Zugriffsrechten auf personenbezogene Daten sein. Bei bestehenden Mitarbeitenden sollte das Unternehmen gemeinsam mit der Personal- und Rechtsabteilung eine Lösung finden, die gegebenenfalls eine Versetzung der betroffenen Person in eine Position ohne Zugriffspflicht für personenbezogene Daten beinhaltet.

Dokumentieren Sie Ihre NDA-Anforderungen in Ihrem Erklärung zur Anwendbarkeit.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise was Prüfer im Bereich der Vertraulichkeitsnachweise erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.