CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.34

Privatsphäre und Schutz personenbezogener Daten

ISO 27001DSGVOTISAXNIS2

Die Organisation muss die Anforderungen an Privatsphäre und den Schutz personenbezogener Daten gemäß geltenden Gesetzen, Vorschriften und vertraglichen Anforderungen identifizieren und erfüllen.

Was fordert dieses Control?

Die Organisation muss die Anforderungen an Privatsphäre und den Schutz personenbezogener Daten gemäß geltenden Gesetzen, Vorschriften und vertraglichen Anforderungen identifizieren und erfüllen.

Warum ist das wichtig?

Datenschutz ist gesetzlich verpflichtend und eng mit Informationssicherheit verzahnt. Verstöße führen zu hohen Bußgeldern und Vertrauensverlust.

Cross-Standard-Mapping

StandardControl-IDRelevanz
DSGVOArt. 5/24/32Direkt
TISAX8.1.1Indirekt
NIS2Art. 21Indirekt

Was der Auditor erwartet

  1. 1Umsetzung der DSGVO-Anforderungen
  2. 2Verzeichnis von Verarbeitungstätigkeiten (VVT)
  3. 3Technische und organisatorische Maßnahmen (TOM)

Audit-Checkliste

Dokumente

  • Datenschutzkonzept / VVT

    Verarbeitungstätigkeiten, Rechtsgrundlagen und TOM

Nachweise

  • AVV und Betroffenenrechte-Prozess

    Umsetzung von Auftragsverarbeitung und Betroffenenanfragen

Interviews

  • Datenschutzverantwortliche

    Zusammenspiel von Datenschutz und ISMS

Praxis-Tipps zur Umsetzung

1

VVT pflegen

Das Verzeichnis von Verarbeitungstätigkeiten aktuell und vollständig halten.

2

Mit ISMS verzahnen

TOM aus dem ISMS direkt für den Datenschutznachweis nutzen.

3

Betroffenenrechte regeln

Prozesse für Auskunft, Löschung und Datenpannen bereithalten.

Häufige Fehler

Datenschutz isoliert

Datenschutz und Informationssicherheit laufen unverbunden nebeneinander.

VVT veraltet

Das Verarbeitungsverzeichnis ist unvollständig oder nicht gepflegt.

Häufig gestellte Fragen

Wie hängen DSGVO und ISO 27001 zusammen?

Die TOM der ISO 27001 erfüllen weitgehend die Sicherheitsanforderungen der DSGVO, beide ergänzen sich.

Brauchen wir einen Datenschutzbeauftragten?

Abhängig von Art und Umfang der Verarbeitung. Bei umfangreicher oder sensibler Verarbeitung ist er Pflicht.

Was ist ein VVT?

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, eine zentrale Nachweispflicht.

So hilft CompliantDesk bei A.5.34

Das VVT-Modul führt Verarbeitungstätigkeiten mit Rechtsgrundlagen und verknüpft sie mit Risiken, Kontrollen und Richtlinien des ISMS.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.31

Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen

A.5.33

Schutz von Aufzeichnungen

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen