Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.24: Datensicherung

Die Kontrollmaßnahme A.3.24 verpflichtet Organisationen, Sicherungskopien personenbezogener Daten sowie der zur Verarbeitung personenbezogener Daten verwendeten Software und Systeme zu erstellen und regelmäßig zu testen. Diese gemeinsame Kontrollmaßnahme gewährleistet, dass personenbezogene Daten nach einem Systemausfall, einem Angriff oder einer Katastrophe wiederhergestellt werden können.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.24?

Sicherungskopien von personenbezogenen Daten sowie von Software und Systemen, die mit der Verarbeitung personenbezogener Daten zusammenhängen, müssen aufbewahrt und regelmäßig getestet werden.

Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) befasst sich mit der Verfügbarkeitsdimension des Schutzes personenbezogener Daten. Während viele Datenschutzmaßnahmen darauf abzielen, unberechtigten Zugriff oder die Offenlegung personenbezogener Daten zu verhindern, stellt A.3.24 sicher, dass personenbezogene Daten im Falle eines Systemausfalls wiederhergestellt werden können. Ohne geprüfte Datensicherungen könnten ein Ransomware-Angriff, ein Hardwareausfall oder eine Naturkatastrophe zu einem dauerhaften Verlust personenbezogener Daten führen.

Was besagt der Umsetzungsleitfaden für Anhang B?

Anhang B (Abschnitt B.3.24) enthält ausführliche Hinweise:

  • Backup- und Löschrichtlinie — Die Organisation sollte über eine Richtlinie verfügen, die die Sicherung, Wiederherstellung und den Erhalt personenbezogener Daten regelt, einschließlich aller vertraglichen oder rechtlichen Anforderungen an die Löschung personenbezogener Daten in Sicherungsdaten.
  • Kunden Kommunikation Die Verantwortlichkeiten für die Datensicherung personenbezogener Daten können vom Kunden abhängen. Das Unternehmen sollte sicherstellen, dass die Kunden über die Grenzen des Dienstes hinsichtlich der Datensicherung informiert werden.
  • Transparenz des Backup-Dienstes — Wenn Backup- und Wiederherstellungsdienste explizit für Kunden angeboten werden, sollte das Unternehmen klare Informationen über seine Fähigkeiten bereitstellen.
  • Zuständigkeitsanforderungen — Einige Rechtsordnungen schreiben spezifische Anforderungen hinsichtlich der Häufigkeit von Datensicherungen, Überprüfungen und Tests sowie der Wiederherstellungsverfahren für personenbezogene Daten vor. Organisationen, die in diesen Rechtsordnungen tätig sind, müssen die Einhaltung dieser Anforderungen nachweisen.
  • Integrität der PII-Wiederherstellung — Wenn personenbezogene Daten aus einer Datensicherung wiederhergestellt werden, müssen Prozesse sicherstellen, dass die personenbezogenen Daten in einen Zustand wiederhergestellt werden, in dem die Integrität gewährleistet ist oder in dem Ungenauigkeiten oder Unvollständigkeiten identifiziert und behoben werden (was die betroffene Person betreffen kann).
  • Wiederherstellungsprotokollierung Die Organisation sollte ein Verfahren und ein Protokoll für die Wiederherstellungsmaßnahmen personenbezogener Daten führen, in dem mindestens der Name der verantwortlichen Person und eine Beschreibung der wiederhergestellten personenbezogenen Daten erfasst werden.
  • Backups von Subunternehmern — Die Nutzung von Subunternehmern zur Speicherung replizierter oder Sicherungskopien von personenbezogenen Daten ist durch die Lieferantenmanagementkontrollen abgedeckt (B.3.10, B.3.20).
  • Web Link A.3.22: Benutzerendgeräte für damit zusammenhängende Anforderungen
  • Web Link A.3.25: Protokollierung für damit zusammenhängende Anforderungen

Ein besonders wichtiger Punkt ist das Spannungsverhältnis zwischen der Aufbewahrung von Backups und der Löschung personenbezogener Daten: Organisationen müssen die Notwendigkeit, Backups für die Wiederherstellung aufzubewahren, mit der Verpflichtung zur Löschung personenbezogener Daten in Einklang bringen, wenn Aufbewahrungsfristen ablaufen oder wenn betroffene Personen ihr Recht auf Löschung ausüben.

Wie lässt sich das mit der DSGVO vereinbaren?

Steuerung A.3.24 ist folgenden Elementen zugeordnet Datenschutz Artikel:

  • Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit, der den Schutz vor versehentlichem Verlust oder Zerstörung personenbezogener Daten umfasst.
  • Artikel 32 Absatz 1 Buchstabe c — Die Anforderung, die Fähigkeit zur zeitnahen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls zu gewährleisten.

Artikel 32(1)(c) hebt ausdrücklich die Wiederherstellungsfähigkeit hervor, wodurch getestete Backups zu einem direkten Bestandteil werden. Datenschutz Eine Notwendigkeit und nicht nur eine gute Praxis.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 wurde diese Anforderung in Abschnitt 6.9.3.1 (Datensicherung) behandelt. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.24 bei und erweitert sie. Der Abschnitt B.3.24 enthält deutlich detailliertere Implementierungshinweise zu Wiederherstellungsprotokollen, behördlichen Anforderungen und dem Spannungsverhältnis zwischen Datensicherung und Datenlöschung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.24 achten die Prüfer typischerweise auf Folgendes:

  • Sicherungsrichtlinie — Eine dokumentierte Richtlinie, die Umfang, Häufigkeit, Aufbewahrungsfristen, Verschlüsselung, Testpläne und Verantwortlichkeiten für Systeme mit personenbezogenen Daten abdeckt.
  • Sicherungstestdatensätze — Nachweise über regelmäßige Backup-Wiederherstellungstests, einschließlich Testdatum, Umfang, Ergebnisse und aller festgestellten und behobenen Probleme
  • Wiederherstellungsprotokolle — Ein Protokoll aller Ereignisse zur Wiederherstellung personenbezogener Daten, in dem die verantwortliche Person, eine Beschreibung der wiederhergestellten personenbezogenen Daten und etwaige festgestellte Integritätsprobleme aufgeführt sind.
  • Abgleich von Backup und Löschung — Nachweise dafür, dass die Organisation die Löschung personenbezogener Daten in Sicherungsdaten geregelt hat, sei es durch technische Maßnahmen oder durch dokumentierte Begründung für die Aufbewahrung.
  • Kunden Kommunikation — Für Prozessoren: Nachweis, dass die Kunden über Backup-Funktionen und -Einschränkungen informiert wurden.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.1.4.8 Retention Die Aufbewahrungsfristen für Backups müssen mit den Aufbewahrungsfristen für personenbezogene Daten übereinstimmen.
A.1.4.6 Anonymisierung und Löschung Die Anforderungen an die Löschung personenbezogener Daten führen zu Spannungen mit der Datensicherungsaufbewahrung.
A.3.20 Speichermedien Sicherungsmedien müssen während ihres gesamten Lebenszyklus verwaltet werden.
A.3.26 Einsatz von Kryptographie Sicherungsdaten sollten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden.
A.3.10 Lieferantenvereinbarungen Drittanbieter von Backup-Lösungen müssen durch entsprechende Verträge gebunden sein.

Für wen gilt diese Regelung?

A.3.24 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Verantwortliche müssen sicherstellen, dass ihre personenbezogenen Daten gesichert und wiederherstellbar sind. Verarbeiter haben darüber hinaus die Pflicht, ihre Kunden über die Möglichkeiten und Grenzen der Datensicherung zu informieren und klare Informationen über die Wiederherstellungsmöglichkeiten bereitzustellen, sofern Datensicherungsdienste Teil des Leistungsangebots sind.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online für das Backup-Compliance-Management?

ISMS.online bietet praktische Werkzeuge für das Management der PII-Backup-Compliance:

  • Backup-Zeitplanverwaltung — Datensicherungspläne für alle Systeme zur Verarbeitung personenbezogener Daten dokumentieren und verfolgen, mit automatisierten Erinnerungen für anstehende Tests und Überprüfungen
  • Testergebnisverfolgung — Protokollierung der Ergebnisse des Wiederherstellungstests mit Status (bestanden/nicht bestanden), identifizierten Problemen und Behebungsmaßnahmen, wodurch ein vollständiger Prüfpfad erstellt wird
  • Wiederherstellungsprotokoll — Führen Sie das erforderliche Protokoll der PII-Wiederherstellungsereignisse mit den Feldern für die verantwortliche Person, die Beschreibung und die Integritätsbewertung.
  • Richtlinienverwaltung — Backup-Richtlinien mit Versionskontrolle und Mitarbeiterbestätigungs-Tracking veröffentlichen
  • Aufbewahrungsverwaltung — Verknüpfen Sie die Aufbewahrungsfristen für Backups mit Ihrem Datenaufbewahrungsplan und heben Sie hervor, wo die Backup-Aufbewahrung mit den Verpflichtungen zur Löschung personenbezogener Daten in Konflikt geraten könnte.

Häufig gestellte Fragen

Wie gehen Sie mit Löschanfragen um, wenn personenbezogene Daten in den Backups vorhanden sind?

Dies ist einer der anspruchsvollsten Aspekte der Sicherung personenbezogener Daten. Die meisten Organisationen können einzelne Datensätze nicht selektiv aus Sicherungssätzen löschen, ohne die gesamte Sicherung wiederherzustellen. Gängige Ansätze sind: das Führen eines Löschregisters, das bei jeder Wiederherstellung einer Sicherung angewendet wird; die Verwendung von ausreichend kurzen Aufbewahrungsfristen, um sicherzustellen, dass gelöschte personenbezogene Daten automatisch gelöscht werden; oder die Implementierung von Sicherungslösungen, die eine granulare Löschung unterstützen. Der gewählte Ansatz sollte in der Sicherungsrichtlinie dokumentiert und den betroffenen Personen bei der Beantwortung von Löschungsanfragen mitgeteilt werden.

Wie oft sollte die Wiederherstellung von Backups getestet werden?

Der Standard schreibt regelmäßige Tests vor, legt jedoch keine Testfrequenz fest. Branchenüblich ist es, kritische Systeme mit personenbezogenen Daten mindestens vierteljährlich und weniger kritische Systeme mindestens jährlich zu testen. Einige Länder und Regionen können spezifische Testfrequenzen vorschreiben. Die Tests sollten sowohl die technische Fähigkeit zur Datenwiederherstellung als auch die Integrität der wiederhergestellten personenbezogenen Daten überprüfen. Die Testergebnisse sind zu dokumentieren, und etwaige Fehler müssen umgehend behoben werden.

Was sollte das PII-Wiederherstellungsprotokoll enthalten?

Das Protokoll muss mindestens den Namen der für die Wiederherstellung verantwortlichen Person und eine Beschreibung der wiederhergestellten personenbezogenen Daten enthalten. Es empfiehlt sich, zusätzlich Datum und Uhrzeit der Wiederherstellung, den Grund für die Wiederherstellung, die verwendete Datensicherung, alle während der Wiederherstellung festgestellten Integritätsprobleme und die zu deren Behebung ergriffenen Maßnahmen anzugeben. Einige Länder und Regionen schreiben weitere Protokollinhalte vor. Organisationen sollten daher die lokalen Anforderungen prüfen und die Einhaltung dokumentieren.

Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrem Implementierungsansatz.

Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.