Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.20: Speichermedien

Mit Control A.3.20 sind Organisationen verpflichtet, Speichermedien, die personenbezogene Daten enthalten, während ihres gesamten Lebenszyklus, von der Anschaffung bis zur Entsorgung, gemäß ihrem Klassifizierungsschema und ihren Handhabungsvorschriften zu verwalten.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.20?

Speichermedien mit personenbezogenen Daten sind während ihres gesamten Lebenszyklus – von der Anschaffung über die Nutzung und den Transport bis zur Entsorgung – gemäß dem Klassifizierungsschema und den Handhabungsvorschriften der Organisation zu verwalten.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) behandelt den gesamten Lebenszyklus physischer oder austauschbarer Datenträger, die personenbezogene Daten speichern. Im Gegensatz zu rein digitalen Sicherheitsmaßnahmen konzentriert sich A.3.20 auf die konkreten Risiken des Verlusts, Diebstahls, Abfangens oder der unsachgemäßen Entsorgung von Datenträgern in jeder Phase ihres Weges durch die Organisation.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.20) enthält ausführliche Leitlinien zu mehreren Schlüsselbereichen:

  • Dokumentieren Sie die Verwendung aller Wechseldatenträger. — Die Organisation sollte jede Verwendung von Wechseldatenträgern oder -geräten zur Speicherung personenbezogener Daten dokumentieren und einen nachvollziehbaren Nachweis darüber erstellen, welche Datenträger vorhanden sind und wo sie verwendet werden.
  • Verschlüsseln Sie, wo immer möglich. Wechseldatenträger oder -geräte zur Speicherung personenbezogener Daten sollten die Verschlüsselung ermöglichen. Unverschlüsselte Datenträger sollten nur verwendet werden, wenn dies unvermeidbar ist, wobei kompensierende Maßnahmen wie manipulationssichere Verpackungen die Risiken minimieren.
  • Sichere Entsorgungsverfahren — Bei der Entsorgung von Wechseldatenträgern mit personenbezogenen Daten müssen sichere Entsorgungsverfahren dokumentiert und implementiert werden, um sicherzustellen, dass zuvor gespeicherte personenbezogene Daten nicht zugänglich sind.
  • Steuerung des physischen Medientransfers — Ein System sollte eingehende und ausgehende physische Datenträger mit personenbezogenen Daten protokollieren, einschließlich Datenträgertyp, autorisierter Absender, autorisierte Empfänger, Datum und Uhrzeit sowie Datenträgervolumen.
  • Verschlüsselung während des Transports — Wo möglich, sollten zusätzliche Maßnahmen wie Verschlüsselung sicherstellen, dass Daten nur am Zielort und nicht während der Übertragung abgerufen werden können.
  • Genehmigung vor Verlassen des Geländes erforderlich Physische Datenträger, die personenbezogene Daten enthalten, müssen vor Verlassen des Organisationsgeländes ein Autorisierungsverfahren durchlaufen, um sicherzustellen, dass personenbezogene Daten nur autorisierten Personen zugänglich sind.

Die Richtlinien betonen, dass Wechseldatenträger, die außerhalb der physischen Räumlichkeiten des Unternehmens verwendet werden, besonders anfällig für Verlust, Beschädigung und unbefugten Zugriff sind. Die Verschlüsselung von Wechseldatenträgern bietet eine wichtige Schutzebene, die die Sicherheits- und Datenschutzrisiken im Falle einer Kompromittierung der Datenträger verringert.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.20 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit, der angemessene Sicherheitsvorkehrungen einschließlich des Schutzes vor unbefugter Verarbeitung und versehentlichem Verlust erfordert.
  • Artikel 32 (1) (a) — Die Verpflichtung zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, einschließlich der Pseudonymisierung und Verschlüsselung personenbezogener Daten

Die DatenschutzDie explizite Erwähnung der Verschlüsselung in Artikel 32(1)(a) steht in direktem Einklang mit dem Schwerpunkt von A.3.20 auf der Verschlüsselung von Wechseldatenträgern, wo immer dies möglich ist.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung auf die Abschnitte 6.5.3.1 (Verwaltung von Wechseldatenträgern), 6.5.3.2 (Entsorgung von Datenträgern), 6.5.3.3 (physischer Datenträgertransfer) und 6.8.2.5 verteilt. Die Ausgabe von 2025 fasst all diese Abschnitte in einem einzigen Kontrollpunkt A.3.20 zusammen und bietet so eine einheitlichere Sicht auf den gesamten Lebenszyklus der Speichermedienverwaltung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Kontakt


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.20 achten die Prüfer typischerweise auf Folgendes:

  • Medieninventar — Ein Verzeichnis aller Wechseldatenträger und tragbaren Speichermedien, die für personenbezogene Daten verwendet werden, einschließlich Medientyp, Eigentümer, Klassifizierungsstufe und physischem Standort
  • Verschlüsselungsrichtlinie und Nachweise — Eine Richtlinie, die die Verschlüsselung von Wechseldatenträgern mit personenbezogenen Daten vorschreibt, mit Nachweisen, dass die Verschlüsselung auch durchgesetzt wird (z. B. BitLocker, hardwareverschlüsselte USB-Laufwerke).
  • Übertragungsprotokoll — Aufzeichnungen über physische Datenträgerübertragungen mit Angabe von Absender, Empfänger, Autorisierung, Datum und Medientyp
  • Entsorgungsaufzeichnungen — Vernichtungszertifikate oder Protokolle über die sichere Entsorgung von Datenträgern, die außer Betrieb genommen wurden
  • Autorisierungsverfahren — Ein dokumentiertes Verfahren zur Genehmigung der Entfernung von Datenträgern mit personenbezogenen Daten aus den Räumlichkeiten der Organisation.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.5 Klassifizierung von Informationen Die Anforderungen an die Datenträgerbehandlung richten sich nach der Klassifizierung der darauf enthaltenen personenbezogenen Daten.
A.3.6 Kennzeichnung von Informationen Speichermedien sollten entsprechend ihrer Klassifizierungsstufe gekennzeichnet werden.
A.3.21 Sichere Entsorgung oder Wiederverwendung Die Entsorgung von Geräten, die Speichermedien enthalten, muss gemäß sicheren Verfahren erfolgen.
A.3.26 Einsatz von Kryptographie Die Verschlüsselungsanforderungen für Medien werden durch die Kryptografierichtlinie geregelt.
A.3.7 Informationstransfer Die Übertragung auf physische Datenträger ist eine Form der Informationsübertragung, die von folgendem abgedeckt wird: A.3.7 Informationstransfer

Für wen gilt diese Regelung?

A.3.20 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Jede Organisation, die physische oder Wechseldatenträger für personenbezogene Daten verwendet, muss diese Datenträger während ihres gesamten Lebenszyklus verwalten. Dies ist insbesondere relevant für Organisationen, die personenbezogene Daten über Wechseldatenträger zwischen Standorten, an Dritte oder an Kunden übertragen.



Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für die Verwaltung von Speichermedien?

ISMS.online bietet praktische Werkzeuge für die Verwaltung von Speichermedien, die personenbezogene Daten enthalten:

  • Anlagenverzeichnis — Führen Sie ein zentrales Inventar aller Speichermedien, verknüpft mit Klassifizierungsstufen, Eigentümern und physischen Standorten, mit Lebenszyklusverfolgung von der Anschaffung bis zur Entsorgung.
  • Arbeitsabläufe übertragen — Physische Datenträgerübertragungen mithilfe von Genehmigungsworkflows protokollieren und autorisieren, um sicherzustellen, dass jeder Vorgang erfasst und nachvollziehbar ist
  • Entsorgungsverfolgung — Sichere Entsorgungsvorgänge mit Vernichtungszertifikaten erfassen, die zur vollständigen Rückverfolgbarkeit direkt mit dem Anlagenregister verknüpft sind
  • Richtlinienverwaltung — Veröffentlichen und verteilen Sie Richtlinien für Speichermedien mit Empfangsbestätigung, um nachweisen zu können, dass die Mitarbeiter die Anforderungen verstehen.
  • Prüfungsnachweispakete — Erstellen Sie vorgefertigte Nachweispakete für A.3.20, die Ihr Medieninventar, Transferprotokolle, Entsorgungsaufzeichnungen und Richtlinienbestätigungen zusammenführen

Häufig gestellte Fragen

Was zählt unter dieser Kontrolle als Speichermedium?

Speichermedien umfassen alle physischen Geräte, die Daten speichern können: USB-Sticks, externe Festplatten, SD-Karten, optische Datenträger (CDs, DVDs, Blu-rays), Magnetbänder, SSDs und sogar Papierdokumente. Die Regelung erstreckt sich sowohl auf Wechseldatenträger als auch auf in tragbare Geräte wie Laptops integrierte Speichermedien. Wenn die Datenträger personenbezogene Daten (PII) speichern und das Betriebsgelände verlassen können, fallen sie unter Abschnitt A.3.20.

Ist die Verschlüsselung für alle Wechseldatenträger obligatorisch?

Die Richtlinien besagen, dass Verschlüsselung nach Möglichkeit immer eingesetzt werden sollte. Unverschlüsselte Datenträger sollten nur verwendet werden, wenn dies unumgänglich ist und entsprechende Kontrollmechanismen vorhanden sein müssen. In der Praxis ermöglichen moderne hardwareverschlüsselte USB-Laufwerke und Festplattenverschlüsselungstools die Verschlüsselung in nahezu allen Anwendungsfällen. Prüfer erwarten eine klare Begründung für alle Fälle, in denen auf Verschlüsselung verzichtet wird.

Wie sollten Organisationen unter dieser Kontrolle mit Cloud-Speicher umgehen?

A.3.20 konzentriert sich speziell auf physische und Wechseldatenträger und nicht auf Cloud-Speicher. Cloud-Speicher werden durch andere Kontrollen abgedeckt, darunter A.3.10 Lieferantenvereinbarungen (Lieferantenvereinbarungen) und A.3.7 Informationstransfer (Informationsübertragung). Werden Daten jedoch aus einem Cloud-Speicher auf Wechseldatenträger heruntergeladen, fallen diese Datenträger sofort unter den Anwendungsbereich von A.3.20 und müssen entsprechend behandelt werden.

Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrem Implementierungsansatz.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.