Was erfordert die Kontrolle A.3.27?
Es werden Regeln für die sichere Entwicklung von Software und Systemen im Zusammenhang mit der Verarbeitung personenbezogener Daten festgelegt und angewendet.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) verpflichtet Organisationen, den Schutz personenbezogener Daten von Anfang an in den Softwareentwicklungszyklus zu integrieren, anstatt Datenschutzmaßnahmen nachträglich einzuführen. Dies ist die praktische Umsetzung des Prinzips „Datenschutz durch Technikgestaltung“: Entwicklungsteams benötigen klare, umsetzbare Regeln, die sie beim Erstellen von Systemen unterstützen, die personenbezogene Daten standardmäßig schützen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.27) enthält detaillierte Hinweise zur Integration des Datenschutzes in die Entwicklung:
- PII-orientierte Entwicklungspolitiken — Die Richtlinien für die Systementwicklung und -gestaltung sollten Leitlinien für die Verarbeitung personenbezogener Daten durch die Organisation enthalten, basierend auf den Verpflichtungen gegenüber den Betroffenen und den geltenden rechtlichen Anforderungen.
- Datenschutz von Design und Standard — Bei politischen Entscheidungen sollten folgende Aspekte berücksichtigt werden:
- Leitfaden zum Schutz personenbezogener Daten und zur Umsetzung der Datenschutzgrundsätze (gemäß ISO/IEC 29100) im Softwareentwicklungszyklus
- Anforderungen an den Datenschutz und den Schutz personenbezogener Daten in der Entwurfsphase, die auf den Ergebnissen einer Datenschutzrisikobewertung oder einer Datenschutzfolgenabschätzung basieren können.
- Kontrollpunkte zum Schutz personenbezogener Daten innerhalb von Projektmeilensteinen
- Erforderliche Kenntnisse im Bereich Datenschutz und Schutz personenbezogener Daten für Entwicklungsteams
- Standardmäßig wird die Verarbeitung personenbezogener Daten minimiert.
- Web Link A.3.29: Sichere Systemarchitektur und technische Prinzipien für damit zusammenhängende Anforderungen
- Web Link A.3.31: Testinformationen für damit zusammenhängende Anforderungen
Die Leitlinien sind in fünf Handlungsfelder gegliedert, die Entwicklungsteams in ihre bestehenden Prozesse integrieren können. Besonders wichtig ist die standardmäßige Minimierung der Verarbeitung personenbezogener Daten: Systeme sollten so konzipiert sein, dass sie nur die für den jeweiligen Zweck unbedingt notwendigen personenbezogenen Daten erfassen und verarbeiten.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.27 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 25 (1) — Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, wodurch Verantwortliche verpflichtet werden, geeignete technische und organisatorische Maßnahmen zu ergreifen, die darauf abzielen, die Datenschutzgrundsätze umzusetzen und die notwendigen Garantien sowohl bei der Festlegung der Verarbeitungsmittel als auch bei der Verarbeitung selbst zu integrieren.
Artikel 25 ist einer der Datenschutzdie zukunftsweisendsten Bestimmungen, und A.3.27 bietet eine strukturierte Möglichkeit, die Einhaltung nachzuweisen, indem Datenschutzanforderungen in Entwicklungsprozesse eingebettet werden.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.11.2.1 (Richtlinie für sichere Entwicklung) enthalten. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.27 bei und bietet in B.3.27 erweiterte Implementierungshinweise, die einen klareren Fünf-Punkte-Rahmen für die Integration von Datenschutz in die Entwicklung bereitstellen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.27 achten die Prüfer typischerweise auf Folgendes:
- Richtlinie für sichere Entwicklung — Eine dokumentierte Richtlinie, die PII-spezifische Anforderungen für jede Phase des Entwicklungslebenszyklus (Design, Entwicklung, Test, Bereitstellung, Wartung) enthält.
- Datenschutz-Folgenabschätzungen — Nachweise dafür, dass Datenschutz-Folgenabschätzungen (PIA) oder Datenschutz-Folgenabschätzungen (DSFA) während der Entwurfsphase für neue Systeme oder wesentliche Änderungen an Systemen, die personenbezogene Daten verarbeiten, durchgeführt werden.
- Kontrollpunkte zum Schutz personenbezogener Daten — Nachweise dafür, dass Projektmeilensteine Datenschutzprüfungen oder -freigaben beinhalten, wie z. B. Datenschutz-Checklisten in Sprint-Reviews oder Release-Checklisten
- Entwicklerschulung — Nachweise, die belegen, dass die Mitglieder des Entwicklungsteams in Bezug auf Anforderungen zum Schutz personenbezogener Daten, Datenschutzgrundsätze und sichere Programmierpraktiken geschult wurden
- Nachweise zur Datenminimierung — Nachweise dafür, dass die Systeme so konzipiert sind, dass sie nur die minimal erforderlichen personenbezogenen Daten erfassen und verarbeiten, wie z. B. Konstruktionsdokumente, aus denen hervorgeht, welche Datenfelder berücksichtigt wurden und warum jedes einzelne erforderlich ist
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.2.6 Datenschutzfolgenabschätzung | Datenschutz-Folgenabschätzungen (PIAs) fließen in den Entwicklungsprozess ein. |
| A.1.4.5 Ziele zur Minimierung personenbezogener Daten | Die Entwicklung sollte standardmäßig eine Datenminimierung implementieren. |
| A.3.28 Anforderungen an die Anwendungssicherheit | Sicherheitsanforderungen für Anwendungen ergänzen die Regeln für eine sichere Entwicklung. |
| A.3.17 Bewusstsein und Schulung | Datenschutzschulungen für Entwickler unterstützen sichere Entwicklungspraktiken |
| A.1.2.2 Zweck ermitteln und dokumentieren | Dokumentierte Verarbeitungszwecke definieren, welche personenbezogenen Daten das System erfassen soll. |
Für wen gilt diese Regelung?
A.3.27 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Jede Organisation, die Software und Systeme zur Verarbeitung personenbezogener Daten entwickelt oder in Auftrag gibt, muss sichere Entwicklungsregeln festlegen und anwenden. Dies umfasst interne Entwicklungsteams, externe Entwickler und Teams, die an kundenspezifischen Integrationen oder Anpassungen arbeiten. Informationen zur ausgelagerten Entwicklung finden Sie unter Kontrolle. A.3.30 Ausgelagerte Entwicklung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online für die Einhaltung der Vorschriften zur sicheren Entwicklung?
ISMS.online bietet praktische Werkzeuge zur Integration des Datenschutzes in Ihre Entwicklungsprozesse:
- DPIA-Workflows — Integrierte Vorlagen für Datenschutz-Folgenabschätzungen, die sich in Ihren Entwicklungsablauf integrieren lassen und sicherstellen, dass Datenschutzanforderungen bereits in der Entwurfsphase erfasst werden.
- Richtlinienverwaltung — Veröffentlichen Sie Richtlinien für eine sichere Entwicklung mit Versionskontrolle, Mitarbeiterbestätigung und Überprüfungsplanung.
- Trainingsmanagement — Verfolgung des Abschlusses von Datenschutzschulungen für Entwickler, mit automatischen Erinnerungen für überfällige oder ablaufende Zertifizierungen
- Projektmeilensteinverfolgung — Erstellen Sie Kontrollpunkte zum Schutz personenbezogener Daten innerhalb von Projektplänen mit Genehmigungsworkflows für Datenschutzprüfungen.
- Konformitätsnachweis — Sammeln und Organisieren von Nachweisen für eine sichere Entwicklungsumgebung, einschließlich Datenschutz-Folgenabschätzungen, Designprüfungen, Code-Review-Protokollen und Testergebnissen zur Vorbereitung auf Audits
Häufig gestellte Fragen
Was bedeutet standardmäßiger Datenschutz in der Praxis?
Datenschutz durch Standardeinstellungen bedeutet, dass bei der Bereitstellung eines Systems oder der Erstellung eines Benutzerkontos der höchste Datenschutzstandard gewährleistet sein sollte. Benutzer sollten aktiv zustimmen müssen, zusätzliche Daten freizugeben, anstatt die Datenerfassung deaktivieren zu müssen. Beispielsweise sollte ein System nur die für die Kernfunktion erforderlichen minimalen personenbezogenen Daten erfassen, wobei die Erfassung zusätzlicher Daten standardmäßig deaktiviert und nur dann aktiviert wird, wenn der Benutzer dies ausdrücklich wünscht.
Was sind PII-Schutz-Checkpoints?
PII-Schutz-Checkpoints sind definierte Punkte im Projektlebenszyklus, an denen Datenschutzanforderungen geprüft und verifiziert werden. Beispiele hierfür sind eine Datenschutzprüfung während der Architekturplanung, ein Code-Review-Checkpoint zur Überprüfung der Einhaltung der PII-Richtlinien, eine Datenschutzfreigabe vor der Veröffentlichung und eine Datenschutzverifizierung nach der Bereitstellung. Diese Checkpoints sollten im Entwicklungsprozess dokumentiert werden und klare Kriterien für Bestehen oder Nichtbestehen aufweisen.
Gilt diese Kontrolle auch für Standardsoftware?
A.3.27 gilt primär für Software und Systeme, die von der Organisation entwickelt oder in Auftrag gegeben wurden. Bei Standardsoftware sollte die Organisation während der Beschaffungs- und Konfigurationsphase prüfen, ob die Software die Anforderungen an den Schutz personenbezogener Daten erfüllt (siehe Abschnitt A.3.27). A.3.28 AnwendungssicherheitAllerdings sollten alle Anpassungen, Integrationen oder Konfigurationen von Standardsoftware, die die Verarbeitung personenbezogener Daten beeinflussen, den in Abschnitt A.3.27 festgelegten Regeln für die sichere Entwicklung entsprechen.
SaaS-Unternehmen sollten auch unseren Artikel lesen Leitfaden für SaaS-Plattformen für entwicklungsspezifische Datenschutzanforderungen.
Für KI-spezifische Entwicklungsüberlegungen siehe unsere Datenschutzgovernance für KI -Guide.
