Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.22: Benutzerendgeräte

Die Kontrollmaßnahme A.3.22 verpflichtet Organisationen zum Schutz personenbezogener Daten, die auf Endgeräten von Nutzern gespeichert, von diesen verarbeitet oder über diese zugänglich sind. Diese gemeinsame Kontrollmaßnahme trägt der wachsenden Angriffsfläche Rechnung, die durch Laptops, Smartphones, Tablets und andere tragbare Geräte entsteht, die zum Zugriff auf personenbezogene Daten verwendet werden.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.22?

Personenbezogene Daten, die auf Endgeräten von Benutzern gespeichert, von diesen verarbeitet oder über diese zugänglich sind, müssen geschützt werden.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) befasst sich mit einem der größten Risikobereiche bei der modernen Verarbeitung personenbezogener Daten: Endgeräte. Laptops, Smartphones, Tablets und andere mobile Geräte bieten eine große und weitverzweigte Angriffsfläche. Sie können verloren gehen oder gestohlen, in unsicheren Netzwerken verwendet, an Unbefugte weitergegeben oder durch Schadsoftware kompromittiert werden. A.3.22 verpflichtet Organisationen zur Implementierung von Kontrollmechanismen, die personenbezogene Daten unabhängig von Ort und Art der Nutzung der Endgeräte schützen.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.22) enthält folgende Hinweise:

  • Kompromittierung mobiler Geräte verhindern Die Organisation sollte sicherstellen, dass die Nutzung mobiler Geräte nicht zu einer Gefährdung personenbezogener Daten führt.
  • Web Link A.3.24: Datensicherung für damit zusammenhängende Anforderungen
  • Web Link A.3.25: Protokollierung für damit zusammenhängende Anforderungen

Die Implementierungshinweise sind zwar kurz gefasst, der Anwendungsbereich der Kontrollmaßnahme jedoch weitreichend. Der Schutz personenbezogener Daten auf Endgeräten erfordert eine Kombination aus technischen Maßnahmen (Verschlüsselung, Fernlöschung, Bildschirmsperre), Richtlinien (Nutzungsrichtlinien, BYOD-Regeln) und Sensibilisierungsmaßnahmen (Schulung der Mitarbeiter zur sicheren Gerätenutzung). Die Kontrollmaßnahme gilt für alle drei Szenarien: lokal auf dem Gerät gespeicherte personenbezogene Daten, personenbezogene Daten, die aktiv vom Gerät verarbeitet werden, und personenbezogene Daten, die über das Gerät aus der Ferne zugänglich sind.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.22 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit, der eine angemessene Sicherheit personenbezogener Daten erfordert, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust

Verlorene oder gestohlene Geräte gehören zu den am häufigsten gemeldeten Arten von Datenschutzverletzungen. DatenschutzDie Implementierung eines robusten Endpunktschutzes ist ein praktischer und nachweisbarer Weg, um Artikel 5(1)(f) zu erfüllen.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.8.2.8 (unbeaufsichtigte Benutzergeräte) geregelt. Die Ausgabe von 2025 fasst diese in Abschnitt A.3.22 zusammen und erweitert den Anwendungsbereich von mobilen Geräten auf alle Benutzerendgeräte. Dies trägt der Tatsache Rechnung, dass die Unterscheidung zwischen mobilen und stationären Endpunkten an Bedeutung verloren hat. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.22 achten die Prüfer typischerweise auf Folgendes:

  • Endpunktsicherheitsrichtlinie — Eine dokumentierte Richtlinie, die die zulässige Nutzung, Verschlüsselungsanforderungen, Bildschirmsperreinstellungen, Patch-Management und Fernlöschfunktionen für alle Gerätetypen abdeckt
  • Mobile Device Management (MDM) — Nachweis, dass eine zentralisierte MDM- oder Endpoint-Management-Lösung eingesetzt wird, deren Konfigurationsprofile Sicherheitsgrundlagen durchsetzen
  • Vollständige Festplattenverschlüsselung — Nachweis, dass auf allen Endpunkten mit personenbezogenen Daten eine vollständige Festplattenverschlüsselung aktiviert ist (z. B. BitLocker, FileVault oder geräteeigene Verschlüsselung)
  • Remote-Löschfunktion — Nachgewiesene Fähigkeit, verlorene oder gestohlene Geräte aus der Ferne zu löschen oder zu sperren
  • BYOD-Steuerung — Wenn die Nutzung privater Geräte am Arbeitsplatz gestattet ist, sollte eine BYOD-Richtlinie (Bring Your Own Device) erstellt werden, die Sicherheitsanforderungen, Containerisierung und das Recht des Unternehmens zur Löschung von Unternehmensdaten festlegt.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.19 Aufgeräumter Schreibtisch und aufgeräumter Bildschirm Anforderungen an die Bildschirmsperre auf Endgeräten implementieren Regeln zum Löschen des Bildschirms
A.3.23 Sichere Authentifizierung Authentifizierungskontrollen schützen den Zugriff auf personenbezogene Daten über Endgeräte.
A.3.26 Einsatz von Kryptographie Die Verschlüsselung des Endpunktspeichers ist eine wichtige Schutzmaßnahme.
A.3.20 Speichermedien Wechseldatenträger, die mit Endgeräten verwendet werden, müssen den Regeln für die Medienverwaltung entsprechen.
A.3.21 Sichere Entsorgung oder Wiederverwendung Endgeräte müssen vor der Entsorgung oder Weiterverwendung sicher gelöscht werden.

Für wen gilt diese Regelung?

A.3.22 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Jede Organisation, deren Mitarbeiter Endgeräte zum Speichern, Verarbeiten oder Abrufen personenbezogener Daten nutzen, muss geeignete Schutzmaßnahmen implementieren. Dies umfasst Organisationen mit Mitarbeitern im Homeoffice, Außendienstmitarbeitern, BYOD-Richtlinien oder jegliche Szenarien, in denen von außerhalb des Unternehmensnetzwerks auf personenbezogene Daten zugegriffen werden kann.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für die Verwaltung von Endgeräten?

ISMS.online bietet praktische Werkzeuge für die Verwaltung der Sicherheit von Endgeräten:

  • Geräteregistrierung — Führen Sie ein zentrales Verzeichnis aller Endgeräte mit Zugriff auf personenbezogene Daten, verknüpft mit Eigentümern, Sicherheitskonfigurationen und Compliance-Status.
  • Richtlinienverwaltung — Endpoint-Sicherheits- und BYOD-Richtlinien mit Empfangsbestätigungs- und Versionskontrolle veröffentlichen und verteilen
  • Risikobewertungen — Führen Sie gezielte Risikoanalysen für Endpunkt-bezogene Bedrohungen durch, mit vordefinierten Risikoszenarien für verlorene Geräte, unsichere Netzwerke und BYOD.
  • Incident Management — Geräteverlust oder -diebstahl protokollieren und verwalten mit integrierten Workflows zur Bewertung von Sicherheitsvorfällen und zur Benachrichtigung
  • Compliance-Dashboards — Überwachen Sie die Einhaltung der Endpunktsicherheitsrichtlinien in Ihrem gesamten Unternehmen mit Echtzeit-Einblicken in die Richtlinienkonformität und ausstehende Maßnahmen.

Häufig gestellte Fragen

Gilt diese Regelung auch für private Geräte, die für die Arbeit verwendet werden?

Ja. Werden private Geräte (BYOD) zum Speichern, Verarbeiten oder Abrufen personenbezogener Daten verwendet, fallen sie unter Abschnitt A.3.22. Unternehmen sollten eine BYOD-Richtlinie implementieren, die Mindestsicherheitsanforderungen wie Verschlüsselung, komplexe Passwörter, automatische Updates und das Recht zur Fernlöschung von Unternehmensdaten festlegt. Containerisierungslösungen können dazu beitragen, private und geschäftliche Daten auf demselben Gerät zu trennen.

Welche Gerätetypen gelten als Endgeräte?

Endgeräte umfassen alle Geräte, die von Einzelpersonen zum Zugriff auf, zur Verarbeitung oder Speicherung personenbezogener Daten verwendet werden: Laptops, Desktop-Computer, Smartphones, Tablets, Thin Clients und Wearables. Die Ausgabe 2025 verwendet bewusst den umfassenderen Begriff „Benutzerendgeräte“ anstelle von „Mobilgeräten“, um alle Gerätetypen zu erfassen, einschließlich fest installierter Arbeitsplätze, die sich an gemeinsam genutzten oder ungesicherten Standorten befinden können.

Wie sollten Organisationen mit verlorenen oder gestohlenen Geräten umgehen?

Organisationen sollten über ein dokumentiertes Verfahren für den Umgang mit verlorenen oder gestohlenen Geräten verfügen. Dieses sollte die Möglichkeit zum sofortigen Sperren und Löschen von Daten aus der Ferne, die Bewertung des Risikos personenbezogener Daten (unter Berücksichtigung des Verschlüsselungsstatus), die Benachrichtigung des Datenschutzteams und, falls erforderlich, die Benachrichtigung der Aufsichtsbehörde gemäß Artikel 33 DSGVO umfassen. Das Geräteinventar sollte entsprechend dem Verlust aktualisiert und die auf dem Gerät verwendeten Zugangsdaten widerrufen werden.

Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrem Implementierungsansatz.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.