(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Der Schutz der Privatsphäre und personenbezogener Daten ist ein zentraler Bestandteil der Informationssicherheit und unterliegt besonderen rechtlichen, regulatorischen und gesellschaftlichen Anforderungen. Personenbezogene Daten sind besonders schützenswert, da ihre unbefugte Verarbeitung, Offenlegung oder Manipulation erhebliche Auswirkungen auf betroffene Personen und Organisationen haben kann. Dieses Control stellt sicher, dass personenbezogene Daten rechtskonform, sicher und verantwortungsvoll verarbeitet werden.

Zweck des Controls

A 5.34 soll gewährleisten, dass der Schutz der Privatsphäre und personenbezogener Daten systematisch in das Informationssicherheitsmanagement integriert ist. Ziel ist es, sicherzustellen, dass personenbezogene Daten im Einklang mit geltenden Datenschutzgesetzen, regulatorischen Vorgaben und internen Richtlinien verarbeitet werden und dass geeignete technische und organisatorische Maßnahmen zum Schutz dieser Daten umgesetzt sind.

Anforderungen und Maßnahmen

1. Identifikation personenbezogener Daten und Verarbeitungstätigkeiten

Organisationen müssen personenbezogene Daten und relevante Verarbeitungstätigkeiten identifizieren, insbesondere:

• Arten personenbezogener Daten (z. B. Mitarbeiter-, Kunden-, Lieferantendaten)
• Zwecke und Rechtsgrundlagen der Verarbeitung
• betroffene Systeme, Anwendungen und Prozesse
• beteiligte interne und externe Parteien

Diese Identifikation muss dokumentiert und aktuell gehalten werden.

2. Einhaltung rechtlicher und regulatorischer Anforderungen

Die Verarbeitung personenbezogener Daten muss gesetzlichen und regulatorischen Vorgaben entsprechen, zum Beispiel:

• Datenschutzgesetzen (z. B. DSGVO)
• branchenspezifischen Datenschutzanforderungen
• vertraglichen Datenschutzverpflichtungen
• behördlichen Auflagen oder Leitlinien

Die Einhaltung dieser Anforderungen muss nachweisbar sein.

3. Umsetzung geeigneter technischer und organisatorischer Maßnahmen

Zum Schutz personenbezogener Daten müssen geeignete Maßnahmen umgesetzt werden, unter anderem:

• Zugriffskontrollen und Berechtigungsmanagement
• Verschlüsselung und Pseudonymisierung
• Protokollierung und Überwachung
• Schutz vor Verlust, Manipulation und unbefugter Offenlegung

Die Maßnahmen müssen dem Schutzbedarf der Daten entsprechen.

4. Berücksichtigung von Privacy by Design und Privacy by Default

Der Schutz der Privatsphäre muss bereits bei der Gestaltung von Prozessen und Systemen berücksichtigt werden:

• datenschutzfreundliche Voreinstellungen
• Minimierung der verarbeiteten personenbezogenen Daten
• Einschränkung von Zugriffs- und Verarbeitungsmöglichkeiten
• Integration von Datenschutzanforderungen in Projekte

Dies reduziert Risiken von Beginn an.

5. Regelung von Rollen und Verantwortlichkeiten

Die Zuständigkeiten für Datenschutz und Privatsphäre müssen klar geregelt sein:

• Benennung verantwortlicher Rollen (z. B. Datenschutzbeauftragte)
• Abgrenzung von Verantwortlichkeiten und Befugnissen
• Integration in das ISMS und andere Managementsysteme
• klare Eskalations- und Entscheidungswege

So wird eine wirksame Governance sichergestellt.

6. Umgang mit Rechten betroffener Personen

Organisationen müssen Verfahren für die Wahrnehmung von Betroffenenrechten bereitstellen:

• Auskunft, Berichtigung und Löschung
• Einschränkung der Verarbeitung
• Widerspruch und Datenübertragbarkeit
• fristgerechte Bearbeitung und Dokumentation

Die Verfahren müssen bekannt und praktikabel sein.

7. Umgang mit Datenschutzverletzungen

Datenschutzverletzungen müssen angemessen behandelt werden:

• Integration in Incident-Management-Prozesse
• Bewertung von Risiken für betroffene Personen
• Einhaltung von Meldepflichten gegenüber Behörden und Betroffenen
• Dokumentation der Vorfälle und Maßnahmen

Dies unterstützt Transparenz und rechtliche Compliance.

8. Schulung, Sensibilisierung und Überprüfung

Mitarbeitende müssen für den Schutz personenbezogener Daten sensibilisiert werden:

• regelmäßige Datenschutzschulungen
• Awareness-Maßnahmen zur Privatsphäre
• Überprüfung der Einhaltung durch Audits und Kontrollen
• kontinuierliche Verbesserung der Maßnahmen

So wird der Datenschutz nachhaltig im Arbeitsalltag verankert.

Zusammenfassung

A 5.34 fordert, dass Organisationen den Schutz der Privatsphäre und personenbezogener Daten systematisch in ihr Informationssicherheitsmanagement integrieren. Durch Identifikation von Verarbeitungstätigkeiten, Einhaltung rechtlicher Vorgaben, Umsetzung geeigneter technischer und organisatorischer Maßnahmen, Berücksichtigung von Privacy by Design und Default sowie Schulung der Mitarbeitenden wird sichergestellt, dass personenbezogene Daten rechtskonform und sicher verarbeitet werden. Das Control ist ein zentraler Baustein für Vertrauen, Compliance und verantwortungsvolle Informationsverarbeitung.