Was erfordert die Kontrolle A.3.21?
Geräte, die Speichermedien mit personenbezogenen Daten enthalten, müssen überprüft werden, um sicherzustellen, dass alle sensiblen Daten und lizenzierten Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) befasst sich mit einem kritischen Risiko am Ende des Produktlebenszyklus: Personenbezogene Daten, die auf Speichermedien in ausgemusterten oder weiterverwendeten Geräten verbleiben, können mithilfe gängiger forensischer Tools wiederhergestellt werden. Ohne verifizierte Datenvernichtung riskieren Unternehmen jedes Mal erhebliche Datenschutzverletzungen, wenn sie Hardware entsorgen, verkaufen, spenden oder weiterverwenden.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.21) enthält folgende Hinweise:
- Gewährleisten Sie die Sicherheit bei der Umlagerung. — Wenn Speicherplatz neu zugewiesen wird, dürfen personenbezogene Daten, die sich zuvor auf diesem Speicherplatz befanden, für den neuen Benutzer oder das neue System nicht zugänglich sein.
- Herausforderungen im Zusammenhang mit der Löschleistung angehen Die explizite Löschung personenbezogener Daten kann aufgrund von Systemleistungsbeschränkungen unpraktisch sein, wodurch das Risiko entsteht, dass ein anderer Benutzer auf die personenbezogenen Daten zugreifen kann. Dieses Risiko sollte durch spezifische technische Maßnahmen vermieden werden.
- Standardmäßig werden alle Medien so behandelt, als enthielten sie personenbezogene Daten Geräte, die Speichermedien enthalten, die möglicherweise personenbezogene Daten (PII) enthalten, sollten so behandelt werden, als ob sie tatsächlich PII enthielten. Dabei ist sicherzustellen, dass sichere Entsorgungsverfahren angewendet werden, unabhängig davon, ob das Vorhandensein von PII bestätigt wurde.
- Web Link A.3.5: Klassifizierung von Informationen für damit zusammenhängende Anforderungen
- Web Link A.3.6: Kennzeichnung von Informationen für damit zusammenhängende Anforderungen
Der in den Leitlinien enthaltene Vorsichtsansatz ist von Bedeutung: Anstatt von den Organisationen zu verlangen, festzustellen, ob jedes einzelne Gerät tatsächlich personenbezogene Daten enthält (was schwierig und fehleranfällig sein kann), empfiehlt der Standard, alle Geräte mit Speichermedien so zu behandeln, als ob sie personenbezogene Daten enthielten.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.21 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit, der eine angemessene Sicherheit personenbezogener Daten erfordert, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung
Die unsachgemäße Entsorgung von Geräten ist eine der häufigsten und sichtbarsten Arten, wie Organisationen gegen Artikel 5(1)(f) verstoßen, was oft zu Durchsetzungsmaßnahmen und erheblichen Geldstrafen führt.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.8.2.7 (Sichere Entsorgung oder Wiederverwendung von Geräten) enthalten. Die Ausgabe von 2025 behält die Kernanforderungen von A.3.21 bei und enthält Umsetzungshinweise in B.3.21. Der Grundsatz, alle Datenträgergeräte so zu behandeln, als enthielten sie personenbezogene Daten, bleibt eine zentrale Empfehlung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.21 achten die Prüfer typischerweise auf Folgendes:
- Richtlinie zur Datenvernichtung — Eine dokumentierte Richtlinie, die festlegt, wie Geräte, die personenbezogene Daten enthalten, vor der Entsorgung oder Wiederverwendung zu bereinigen sind, einschließlich zugelassener Methoden (z. B. kryptografische Löschung, Entmagnetisierung, physische Zerstörung).
- Vernichtungsbescheinigungen — Schriftliche Bestätigung von internen Teams oder externen Entsorgungsunternehmen über die abgeschlossene Datenvernichtung, idealerweise unter Angabe spezifischer Anlagen- oder Seriennummern
- Anlagenveräußerungsregister — Ein Verzeichnis aller ausgemusterten oder umverteilten Geräte, in dem die Geräte-ID, das Ausmusterungsdatum, die Methode der Datenvernichtung und die verantwortliche Person aufgeführt sind
- Entsorgungsverträge mit Dritten — Bei ausgelagerter Datenentsorgung sind Verträge erforderlich, die Standards für die Datenvernichtung und die Haftung festlegen, sowie Nachweise über die Sorgfaltspflicht des Entsorgungsunternehmens.
- Überprüfungen — Nachweis, dass die Datenvernichtung überprüft wurde (z. B. Stichproben, Probenahmen oder automatisierte Prüfberichte von Datenlöschsoftware)
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.20 Speichermedien | Die Entsorgung ist die letzte Phase des Lebenszyklus von Speichermedien und wird verwaltet von A.3.20 Speichermedien |
| A.1.4.9 Entsorgung | Controllerspezifische Entsorgungsanforderungen für personenbezogene Daten, ergänzend zur Entsorgung physischer Geräte |
| A.1.4.6 Anonymisierung und Löschung | Anforderungen an die Datenlöschung, die vor der Geräteentsorgung erfüllt sein müssen |
| A.3.10 Lieferantenvereinbarungen | Drittanbieter von Entsorgungsdienstleistungen müssen an entsprechende Vertragsbedingungen gebunden sein. |
| A.3.14 Schutz von Aufzeichnungen | Entsorgungsbescheinigungen und -aufzeichnungen müssen als Nachweis aufbewahrt werden. |
Für wen gilt diese Regelung?
A.3.21 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Jede Organisation, die Geräte besitzt oder least, die personenbezogene Daten speichern können, muss die sichere Datenvernichtung gewährleisten, bevor diese Geräte den Besitzer wechseln – sei es durch Entsorgung, Verkauf, Spende, Rückgabe (nach Leasingende) oder interne Weiterverwendung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für die Entsorgung von Ausrüstung?
ISMS.online bietet praktische Werkzeuge für die sichere Entsorgung und Wiederverwendung von Geräten:
- Nachverfolgung des Anlagenlebenszyklus — Verfolgen Sie jedes einzelne Gerät von der Anschaffung bis zur Entsorgung, mit Statusaktualisierungen und Eigentumshistorie, die mit Ihrem Anlagenregister verknüpft sind.
- Entsorgungsabläufe — Entsorgungsprozesse auslösen, die eine Überprüfung der Datenvernichtung erfordern, bevor ein Asset als außer Betrieb genommen gekennzeichnet werden kann
- Zertifikatsspeicherung — Vernichtungszertifikate direkt mit Anlagendatensätzen hochladen und verknüpfen, um eine vollständige Prüfdokumentation zu erstellen.
- Lieferantenmanagement — Verwaltung externer Entsorgungsdienstleister inklusive Vertragsunterlagen, Due-Diligence-Dokumentation und Leistungsbeurteilungen
- Automatisierte Beweismittelpakete — Erstellung von prüfungsfertigen Nachweispaketen, die Anlagenverzeichnisse, Entsorgungsprotokolle und Vernichtungszertifikate für die Einhaltung von A.3.21 kombinieren
Häufig gestellte Fragen
Welche Datenvernichtungsmethoden sind akzeptabel?
Zulässige Methoden umfassen kryptografisches Löschen (Unlesbarkeit verschlüsselter Daten durch Zerstörung der Verschlüsselungsschlüssel), sicheres Überschreiben mithilfe von Industriestandardalgorithmen (z. B. gemäß NIST 800-88), Entmagnetisierung (bei magnetischen Speichermedien) und physikalische Zerstörung (Schreddern, Zerkleinern oder Verbrennen). Die gewählte Methode sollte der Sensibilität der personenbezogenen Daten und der Art des Speichermediums angemessen sein. Bei Solid-State-Drives (SSDs) werden kryptografisches Löschen oder physikalische Zerstörung bevorzugt, da herkömmliches Überschreiben möglicherweise nicht alle Speicherzellen erreicht.
Wie verhält es sich mit geleasten Geräten, die an den Leasinggeber zurückgegeben werden?
Gemietete Geräte müssen wie entsorgte Geräte behandelt werden: Alle personenbezogenen Daten müssen vor der Rückgabe sicher gelöscht werden. Der Mietvertrag sollte die Verantwortlichkeiten für die Datenlöschung festlegen und dem Unternehmen ermöglichen, die Datenlöschung durchzuführen oder zu überprüfen, bevor die Geräte das Gelände verlassen. Falls der Vermieter die Datenlöschung übernimmt, sind eine schriftliche Bestätigung und Vernichtungszertifikate einzuholen.
Sollten beschädigte oder defekte Geräte anders behandelt werden?
Beschädigte Geräte erfordern besondere Vorsicht, da eine softwarebasierte Datenlöschung unter Umständen nicht möglich ist. Sind die Speichermedien noch intakt, ist die physische Zerstörung in der Regel die sicherste Option. Wird das Gerät zur Reparatur eingeschickt, sollte die Organisation prüfen, ob personenbezogene Daten enthaltende Speichermedien vor Verlassen des Betriebsgeländes entfernt werden können. Es gilt das Vorsorgeprinzip der Implementierungsleitlinien: Behandeln Sie Geräte, die möglicherweise personenbezogene Daten enthalten, so, als ob sie diese enthielten.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
