Was erfordert die Kontrolle A.3.30?
Die Organisation leitet, überwacht und prüft die Aktivitäten im Zusammenhang mit der Entwicklung ausgelagerter Systeme zur Verarbeitung personenbezogener Daten.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) trägt der Tatsache Rechnung, dass viele Organisationen ihre Softwareentwicklung teilweise oder vollständig auslagern. Unabhängig davon, ob sie Auftragnehmer, Agenturen, Offshore-Teams oder Managed Service Provider einsetzen, bleibt die Organisation dafür verantwortlich, dass ausgelagerte Systeme personenbezogene Daten (PII) nach demselben Standard schützen wie intern entwickelte Systeme. Die drei Verben – anweisen, überwachen und prüfen – bilden einen umfassenden Rahmen für die Aufsicht.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.30) enthält folgende Hinweise:
- Datenschutz durch Technikgestaltung und Datenschutz durch Standardeinstellungen gewährleisten — Die gleichen Grundsätze des Datenschutzes durch Technikgestaltung und des Datenschutzes durch voreingestellte Einstellungen (siehe B.3.29) sollten gegebenenfalls auch auf ausgelagerte Informationssysteme angewendet werden.
Die Leitlinien sind bewusst kurz gefasst, da die vollständigen Entwicklungsprinzipien von A.3.29 Sichere Systemarchitektur Dies gilt gleichermaßen für ausgelagerte Arbeiten. Die praktische Konsequenz ist, dass Verträge für ausgelagerte Entwicklungsarbeiten die Sicherheitsprinzipien des Unternehmens enthalten müssen und dass das Unternehmen über Kontrollmechanismen verfügen muss, um die Einhaltung dieser Prinzipien während des gesamten Entwicklungsprozesses zu überprüfen.
Wie lässt sich das mit der DSGVO vereinbaren?
Die Steuerung A.3.30 hat keine direkte Verbindung. Datenschutz Artikelzuordnung in Anhang D. Sie unterstützt jedoch indirekt mehrere DSGVO-Verpflichtungen:
- Artikel 25 (1) — Datenschutz durch Technikgestaltung gilt unabhängig davon, ob die Entwicklung intern oder extern erfolgt.
- Artikel 28 — Wenn ein externer Entwickler als Auftragsverarbeiter fungiert, gelten die Anforderungen von Artikel 28 (Auftragsverarbeiterverträge, Weisungen, Sicherheitsmaßnahmen).
Die DSGVO stellt klar, dass Outsourcing keine Verantwortungsübertragung bewirkt. Der Verantwortliche bzw. Auftragsverarbeiter bleibt für den Datenschutz und die Sicherheit der in seinem Auftrag entwickelten Systeme verantwortlich.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.11.2.7 (ausgelagerte Entwicklung) enthalten. Die Ausgabe von 2025 behält die Kernanforderung als A.3.30 bei, wobei die Implementierungshinweise in B.3.30 nun explizit auf die Grundsätze „Datenschutz durch Technikgestaltung“ und „Datenschutz durch Standardeinstellungen“ in B.3.29 verweisen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.30 achten die Prüfer typischerweise auf Folgendes:
- Entwicklungsverträge mit Datenschutzanforderungen — Verträge mit externen Entwicklern, die Anforderungen an den Schutz personenbezogener Daten, sichere Entwicklungsgrundsätze, Pflichten im Umgang mit Daten und das Recht auf Überprüfung beinhalten
- Anweisungen und Aufsichtsdokumente — Nachweise darüber, wie die Organisation die Datenschutzanforderungen an externe Entwickler kommuniziert, einschließlich Spezifikationen, Richtlinien und Schulungsmaterialien
- Überwachungsaktivitäten — Aufzeichnungen über die laufende Überwachung, wie z. B. Code-Reviews, Sicherheitstests, Fortschrittsberichte und Compliance-Prüfungen, die während der Entwicklungsphase durchgeführt wurden
- Prüf- und Akzeptanzkriterien — Dokumentierte Prüfprozesse einschließlich datenschutzorientierter Abnahmetests, Freigabe durch Sicherheitsprüfung und Überprüfung, ob die Ergebnisse die Anforderungen an den Schutz personenbezogener Daten erfüllen.
- Datenverarbeitung während der Entwicklung — Nachweis, dass externe Entwickler keine echten personenbezogenen Daten für Tests verwenden (Verlinkung zu A.3.31 Testinformationenund dass jeglicher Zugriff auf personenbezogene Daten angemessen kontrolliert und protokolliert wird.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.29 Sichere Systemarchitektur | Ausgelagerte Entwicklungsarbeiten müssen denselben technischen Prinzipien folgen. |
| A.3.10 Lieferantenvereinbarungen | Entwicklungs-Outsourcing-Verträge müssen Klauseln zum Schutz personenbezogener Daten enthalten. |
| A.3.27 Sicherer Entwicklungslebenszyklus | Externe Entwickler sollten die SDLC-Anforderungen der Organisation befolgen. |
| A.3.31 Testinformationen | Bei ausgelagerten Entwicklungsprojekten dürfen keine echten personenbezogenen Daten für Tests verwendet werden. |
| A.3.18 Vertraulichkeitsvereinbarungen | Externe Entwickler müssen Vertraulichkeitsvereinbarungen unterzeichnen, die personenbezogene Daten abdecken. |
Für wen gilt diese Regelung?
A.3.30 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Jede Organisation, die die Entwicklung von Systemen zur Verarbeitung personenbezogener Daten auslagert, muss die ausgelagerten Entwicklungsaktivitäten steuern, überwachen und überprüfen. Dies gilt für vollständige Outsourcing-Vereinbarungen, einzelne Auftragnehmer, Entwicklungsagenturen und jede andere Form der Beauftragung Dritter.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für die Überwachung ausgelagerter Entwicklungsprojekte?
ISMS.online bietet praktische Werkzeuge für das Management von Outsourcing-Entwicklungsbeziehungen:
- Lieferantenmanagement — Verfolgen Sie externe Entwicklungsdienstleister mit Vertragsunterlagen, Compliance-Status, Risikobewertungen und Prüfplänen an einem Ort
- Anforderungen an die Kommunikation — Datenschutzanforderungen und Sicherheitsprinzipien der Softwareentwicklung können über die Plattform mit externen Entwicklern geteilt werden, inklusive Bestätigungsverfolgung.
- Arbeitsabläufe überprüfen — Strukturierte Prüfprozesse für Code-Reviews, Sicherheitsbewertungen und Abnahmetests mit Freigabeverfolgung erstellen
- Risikobewertungen — Führen Sie Risikobewertungen durch, die speziell auf ausgelagerte Entwicklungsszenarien zugeschnitten sind, einschließlich Risiken im Zusammenhang mit dem Datenzugriff, der Codequalität und den Subunternehmerrisiken.
- Audit-Trail — Führen Sie ein vollständiges Prüfprotokoll aller Aufsichtsaktivitäten, Kommunikationen und Prüfungsergebnisse, um die Einhaltung der Vorschriften nachzuweisen.
Häufig gestellte Fragen
Was sollte in einem Vertrag über die Auslagerung von Entwicklungsprojekten enthalten sein?
Der Vertrag sollte Folgendes beinhalten: Anforderungen an den Schutz personenbezogener Daten und die Sicherheitsprinzipien des Unternehmens; Pflichten zur Datenverarbeitung (einschließlich Einschränkungen bei der Verwendung realer personenbezogener Daten zu Testzwecken); Vertraulichkeitsverpflichtungen; das Recht zur Überprüfung des Quellcodes und der Sicherheitsmaßnahmen; Anforderungen an Sicherheitstests; Pflichten zur Meldung von Sicherheitsvorfällen; Bestimmungen zum geistigen Eigentum und zum Eigentum am Quellcode; sowie Anforderungen an die Datenlöschung nach Beendigung des Projekts. Sofern der Entwickler Zugriff auf personenbezogene Daten erhält, sollte der Vertrag auch die Anforderungen gemäß Artikel 28 DSGVO für Auftragsverarbeiter regeln.
Wie sollten Organisationen die ausgelagerte Entwicklung überwachen?
Das Monitoring sollte Folgendes umfassen: regelmäßige Code-Reviews mit Fokus auf den Umgang mit personenbezogenen Daten; Sicherheitstests (SAST, DAST, Penetrationstests) zu festgelegten Meilensteinen; Fortschrittsberichte einschließlich der Einhaltung der Datenschutzbestimmungen; Überprüfung, dass Testumgebungen keine echten personenbezogenen Daten enthalten; Überprüfung der Zugriffsprotokolle aller Entwicklungsumgebungen mit personenbezogenen Daten; und regelmäßige Bewertung der Sicherheitspraktiken der Entwickler. Der Umfang des Monitorings sollte der Sensibilität der personenbezogenen Daten und der Kritikalität des Systems angemessen sein.
Gilt diese Regelung auch für die Verwendung von Open-Source-Komponenten?
A.3.30 behandelt speziell ausgelagerte Entwicklungsbeziehungen, bei denen ein Dritter Systeme im Auftrag der Organisation entwickelt. Open-Source-Komponenten fallen naturgemäß unter diese Kategorie. A.3.28 Anwendungssicherheit (Anwendungssicherheitsanforderungen), wonach die Organisation die Sicherheitseignung von Drittanbieterkomponenten bewerten sollte. Beauftragt eine Organisation jedoch einen Dritten mit der Entwicklung oder Anpassung einer Open-Source-Komponente zur Verarbeitung personenbezogener Daten, fällt dieser Auftrag unter A.3.30.
SaaS-Plattformen finden in unserem Angebot maßgeschneiderte Beratung. Leitfaden für SaaS-Plattformen.
Dokumentieren Sie diese Kontrolle in Ihrem Erklärung zur Anwendbarkeit.
