Zum Inhalt
ISMS.online

ISO 27701:2025 Kontrolle A.3.4: Informationssicherheitsrollen und -verantwortlichkeiten

Kontrollmaßnahme A.3.4 verpflichtet Organisationen, Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten zu definieren und zuzuweisen. Klare Verantwortlichkeiten sind für eine effektive Datenschutz-Governance unerlässlich.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was erfordert die Kontrolle A.3.4?

Die Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten werden entsprechend den organisatorischen Erfordernissen definiert und zugewiesen.

Diese Steuerung befindet sich innerhalb der gemeinsame Sicherheitskontrollen (Tabelle A.3), gilt sowohl für PII-Controller als auch für PII-Prozessoren. Es baut auf auf A.3.3 Informationssicherheitsrichtlinien indem sichergestellt wird, dass die dort definierten Richtlinien klare Zuständigkeiten und Verantwortlichkeiten aufweisen.

Was besagt der Umsetzungsleitfaden?

Anhang B (Abschnitt B.3.4) enthält detaillierte Hinweise zu den einzurichtenden Rollen:

  • Kundenkontaktstelle — Benennen Sie einen Ansprechpartner für Kunden in Bezug auf die Verarbeitung personenbezogener Daten.
  • PII Hauptkontaktpunkt — Benennung einer Kontaktstelle für Betroffene, an die sich die Verantwortlichen für die Verarbeitung personenbezogener Daten wenden können, damit diese ihre Rechte ausüben und Bedenken äußern können.
  • Inhaber des Datenschutzprogramms — Benennen Sie eine oder mehrere Personen, die für das Datenschutzprogramm verantwortlich sind, z. B. einen Datenschutzbeauftragten (DSB).
  • Die verantwortliche Person sollte sein unabhängigmit der Befugnis, ihre Rolle ohne Interessenkonflikte auszuüben
  • Die verantwortliche Person sollte haben Expertenwissen des Datenschutzrechts und der Datenschutzpraxis
  • Die verantwortliche Person sollte als die Kontakt für Aufsichtsbehörden
  • Web Link A.3.13: Rechtliche und regulatorische Anforderungen für damit zusammenhängende Anforderungen
  • Web Link A.3.15: Unabhängige Überprüfung der Informationssicherheit für damit zusammenhängende Anforderungen

Die Leitlinien stimmen weitgehend mit folgenden überein: Datenschutz Die Anforderungen an den Datenschutzbeauftragten werden erfüllt, jedoch ist die Formulierung in einer länderneutralen Sprache gehalten, sodass sie unabhängig davon anwendbar ist, welchen Datenschutzgesetzen die Organisation unterliegt.

Wie lässt sich das mit der DSGVO vereinbaren?

Die Steuerung A.3.4 wird (über Abschnitt 5.3 der ISO 27701) abgebildet auf Datenschutz Artikel 37–39 (verwandte Bestimmungen, die nicht förmlich in Anhang D aufgeführt sind):

  • Artikel 37 — Benennung des Datenschutzbeauftragten, einschließlich der Umstände, unter denen ein Datenschutzbeauftragter ernannt werden muss
  • Artikel 38 — Position des Datenschutzbeauftragten, einschließlich Unabhängigkeit, Ressourcen und Berichtslinie
  • Artikel 39 — Aufgaben des Datenschutzbeauftragten, einschließlich Information, Beratung, Überwachung der Einhaltung und Ansprechpartner für die Aufsichtsbehörde

Organisationen, die der DSGVO unterliegen und einen Datenschutzbeauftragten ernennen müssen, werden feststellen, dass die Erfüllung von A.3.4 ihre Datenschutzbeauftragtenpflichten weitgehend abdeckt, vorausgesetzt, die ernannte Person erfüllt die spezifischen Anforderungen der DSGVO an Fachkompetenz und Unabhängigkeit.

In welchem ​​Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?

Als gemeinsame Sicherheitskontrolle unterstützt A.3.4 die umfassendere ISO 29100 Rahmenwerk. Eine klare Zuordnung von Rollen und Verantwortlichkeiten ist ein grundlegender Governance-Mechanismus, der den Rechenschaftspflichtgrundsatz untermauert und sicherstellt, dass für jeden Aspekt des Schutzes personenbezogener Daten jemand verantwortlich gemacht werden kann.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von A.3.4 achten die Prüfer typischerweise auf Folgendes:

  • Rollendefinitionen — Dokumentierte Beschreibungen aller datenschutzbezogenen Rollen, einschließlich Aufgabenbereich, Befugnisse und Berichtslinien
  • Terminaufzeichnungen — Nachweis, dass Aufgaben formell namentlich genannten Personen zugewiesen wurden (z. B. Ernennungsschreiben des Datenschutzbeauftragten, Beschluss des Vorstands).
  • Unabhängigkeitsnachweis — Nachweis, dass der Inhaber des Datenschutzprogramms keinen Interessenkonflikt hat (z. B. dass er nicht auch die Zwecke der Verarbeitung personenbezogener Daten bestimmt).
  • Kompetenznachweise — Nachweis der Fachkenntnisse der benannten Person im Bereich Datenschutz (Qualifikationen, Ausbildungsnachweise, Erfahrung)
  • Kontaktpunktdokumentation — Veröffentlichte Kontaktdaten für Verantwortliche und Kunden im Zusammenhang mit personenbezogenen Daten, abrufbar über Datenschutzhinweise oder die Website der Organisation.

Welche Steuerungselemente gehören dazu?

Kontrollieren Beziehung
A.3.3 Richtlinien zur Informationssicherheit Richtlinien definieren, was zu tun ist; Rollen definieren, wer dafür verantwortlich ist.
A.3.8 Identitätsverwaltung Rollenbasierter Zugriff beruht auf klar definierten Rollen und Verantwortlichkeiten.
A.1.3.3 Informationen für PII-Verantwortliche Ermittlung von Informationen für personenbezogene Datenverantwortliche Die Ansprechpartner für die Verantwortlichen für den Umgang mit personenbezogenen Daten müssen als Teil der ihnen zur Verfügung gestellten Informationen mitgeteilt werden.
A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten In den Verarbeitungsprotokollen sollten die für jede Verarbeitungstätigkeit verantwortlichen Personen aufgeführt sein.
A.3.5 Klassifizierung von Informationen Informationseigentümer (eine definierte Rolle) sind für Klassifizierungsentscheidungen verantwortlich.

Was hat sich gegenüber ISO 27701:2019 geändert?

Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.

In der Ausgabe von 2019 war diese Anforderung in Klausel 6.3.1.1 enthalten. Die Fassung von 2025 fasst die Leitlinien in einer übersichtlicheren Struktur unter A.3.4/B.3.4 zusammen und legt einen stärkeren Schwerpunkt auf die Rolle des Datenschutzbeauftragten. Die Anforderungen an Unabhängigkeit, Fachkompetenz und Kontakt zur Aufsichtsbehörde sind nun prominenter dargestellt. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Definition von Datenschutzrollen und -verantwortlichkeiten?

ISMS.online bietet die Struktur, um Verantwortlichkeiten innerhalb Ihres Datenschutzprogramms zu definieren, zuzuweisen und zu verfolgen:

  • Organisationsstruktur-Mapping — Definieren Sie Datenschutzrollen mit klaren Beschreibungen, Geltungsbereich und Befugnissen und weisen Sie diese namentlich genannten Personen innerhalb der Plattform zu.
  • RACI-Matrizen — Erstellen Sie eine Übersicht, wer für jede Datenschutz- und Verarbeitungsaktivität verantwortlich, rechenschaftspflichtig, konsultiert und informiert ist.
  • Aufgabenzuweisung und -verfolgung — Weisen Sie den jeweiligen Rolleninhabern spezifische Datenschutzaufgaben zu und überwachen Sie die Einhaltung der Fristen.
  • Kompetenznachweise — Führen von Schulungs- und Qualifikationsnachweisen für Inhaber von Datenschutzfunktionen zusammen mit ihren jeweiligen Aufgaben.
  • Revisionssicheres Reporting — Berichte erstellen, die alle Datenschutzrollen, deren Inhaber und die Nachweise ihrer Kompetenz und Unabhängigkeit aufzeigen.
  • Aufgabentrennung — Konfigurieren Sie die Zugriffskontrollen innerhalb der Plattform so, dass sie den Unabhängigkeitsanforderungen für den Datenschutzbeauftragten/Verantwortlichen für das Datenschutzprogramm entsprechen.

Häufig gestellte Fragen

Ist ein Datenschutzbeauftragter gemäß ISO 27701 zwingend erforderlich?

ISO 27701 fordert „eine oder mehrere für das Datenschutzprogramm verantwortliche Personen“, schreibt aber keine spezifische Bezeichnung wie Datenschutzbeauftragter (DSB) vor. Wenn die DSGVO jedoch für Ihre Organisation gilt und Sie die Kriterien in Artikel 37 erfüllen (öffentliche Stelle, großflächige Überwachung oder Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang), ist ein DSB zwingend erforderlich. Die ISO 27701 ist so konzipiert, dass sie die Anforderungen an einen DSB erfüllt, sofern diese bestehen, und gleichzeitig flexibel genug ist, um auch Rechtsordnungen ohne formale DSB-Pflicht zu berücksichtigen.

Was bedeutet Unabhängigkeit in der Praxis?

Die für das Datenschutzprogramm verantwortliche Person sollte keine Position innehaben, in der ihre anderen Verantwortlichkeiten einen Interessenkonflikt mit ihrer Datenschutzfunktion erzeugen. Beispielsweise wäre ein Chief Technology Officer, der die Zwecke und Mittel der Datenverarbeitung festlegt, nicht als unabhängig anzusehen. Der Datenschutzbeauftragte sollte an die Geschäftsleitung berichten, Zugriff auf die erforderlichen Ressourcen haben und keine Weisungen hinsichtlich der Ausübung seiner Datenschutzaufgaben erhalten.

Kann eine Person mehrere Datenschutzrollen innehaben?

Ja, vorausgesetzt, es besteht kein Interessenkonflikt und die Person verfügt über die erforderlichen Fähigkeiten und Kompetenzen, alle ihr übertragenen Aufgaben zu erfüllen. In kleineren Organisationen ist es üblich, dass eine Person sowohl als Kundenkontaktperson als auch als Hauptansprechpartner für personenbezogene Daten fungiert. Die Rolle des Datenschutzbeauftragten sollte jedoch nicht mit Rollen kombiniert werden, die die Zwecke und Mittel der Datenverarbeitung festlegen, da dies die Unabhängigkeit beeinträchtigen würde.

Datenschutzbeauftragte finden eine umfassende Übersicht ihrer Verantwortlichkeiten gemäß ISO 27701 in unserem Leitfaden für Datenschutzbeauftragte.

CISOs, die zwischen Sicherheits- und Datenschutzverantwortung abwägen, sollten unsere [Website/unseren Artikel] lesen. CISO-Leitfaden zu ISO 27701:2025.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.