Viele Unternehmen lesen ISO 27001 Anforderung A.5.34 und denken zuerst: "Datenschutz, dafür haben wir doch die DSGVO." Genau deshalb ist diese Maßnahme im ISO-27001-Audit so interessant. Die ISO 27001 verlangt nämlich in puncto Datenschutz nicht nur gute Absichten, sondern dass die Organisation die geltenden gesetzlichen, behördlichen und vertraglichen Anforderungen zum Schutz personenbezogener Daten ermittelt und erfüllt. Genau damit ist der Auditor berechtigt, beim Thema Datenschutz genauer hinzusehen.
Das heißt aber nicht automatisch, dass aus einem ISO-27001-Audit eine vollständige DSGVO-Prüfung wird. Dafür reicht die Auditzeit in aller Regel nicht. In der Praxis läuft es eher auf gut sichtbare Nachweise hinaus: Gibt es ein Verzeichnis der Verarbeitungstätigkeiten? Wie funktionieren Betroffenenrechte intern? Sind Mitarbeiter informiert? Ist die Website beim Thema Cookies sauber? Und liegen dort, wo echte Auftragsverarbeitung vorliegt, passende Verträge vor?
Die kurze Antwort
Anforderung A.5.34 ist im Audit oft das Einfallstor in die Datenschutzpraxis des Unternehmens. Der Auditor prüft hier meistens nicht jedes Detail der DSGVO, aber er schaut, ob das Unternehmen die wichtigsten Pflichten erkannt, organisiert und nachweisbar umgesetzt hat. Besonders häufig landen Auditoren bei fünf Themen:
- Verzeichnis der Verarbeitungstätigkeiten,
- Betroffenenrechte,
- Datenschutzinformationen,
- Website-Tracking und
- Auftragsverarbeitung.
Wer hier nur mit einem Datenschutzordner wedelt, aber operative Fragen nicht beantworten kann, hat ein Problem. A.5.34 fragt nämlich nicht nach Papier, sondern nach gelebter Steuerung. Genau das ist der Punkt, an dem ISO 27001 und Datenschutz sehr praktisch zusammenlaufen.
A.5.34 gibt dem Auditor einen legitimen Einstieg in die DSGVO
Der Wortlaut der Maßnahme ist weit. Es geht nicht nur um „Datensicherheit“ im engeren Sinn, sondern um Privatsphäre und den Schutz personenbezogener Daten unter Berücksichtigung der geltenden Gesetze, Vorschriften und vertraglichen Anforderungen. Damit ist der Einstieg in die DSGVO praktisch schon eingebaut.
Für das Audit heißt das: Der Auditor muss nicht jedes Datenschutzthema bis ins letzte Detail ausermitteln. Aber er darf sehr wohl prüfen, ob die Organisation ihre datenschutzrechtlichen Pflichten identifiziert hat und ob dafür belastbare Prozesse existieren. Genau deshalb reichen ein paar sehr typische Fragen oft schon aus, um zu sehen, ob das Thema wirklich im Griff ist. Diese Auditlogik ist eine naheliegende Folge des Controls und der zugrundeliegenden Datenschutzpflichten.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Datenschutz ist Sache des Datenschutzbeauftragten, also nicht wirklich Thema des ISMS."
Schlechte Antwort. Datenschutzpflichten werden im Alltag nicht nur durch den Datenschutzbeauftragten erfüllt, sondern durch HR, Vertrieb, Marketing, IT, Einkauf, Entwicklung und die Fachbereiche. Wenn Betroffenenrechte nicht beantwortet werden, wenn Cookies vor Einwilligung feuern oder wenn ein Dienstleister ohne passenden Vertrag personenbezogene Daten verarbeitet, dann ist das kein Theoriedefizit, sondern ein Steuerungsdefizit. Genau deshalb passt A.5.34 so gut in ISO 27001.
Fünf Stellen, an denen Auditoren gern anfangen
1. Gibt es ein Verzeichnis der Verarbeitungstätigkeiten?
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist einer der naheliegendsten Startpunkte. Die Art. 30 DSGVO verlangt grundsätzlich dokumentierte Aufzeichnungen über Verarbeitungstätigkeiten; die Dokumentation muss in Schriftform, also auch elektronisch, geführt werden und aktuell bleiben.
Formal gibt es für kleinere Organisationen Ausnahmen. Diese greifen aber gerade dann nicht, wenn Verarbeitungen nicht nur gelegentlich stattfinden, Risiken für Rechte und Freiheiten bestehen oder sensible Daten verarbeitet werden. Für die meisten normalen Unternehmen ist ein aktuelles VVT deshalb kein Luxus, sondern der praktischste Nachweis, dass sie ihre Datenverarbeitungen überhaupt kennen.
Ein Auditor schaut hier nicht nur darauf, ob es "eine Liste“ gibt. Er schaut auch, ob sie plausibel und aktuell ist. Viele Unternehmen haben sich im Rahmen der "Scharfschaltung des DSGVO" am 28.05.2028 ein VVT zugelegt und es seitdem nicht mehr geändert. Das ist mindestens unplausibel.
2. Wie werden Betroffenenrechte intern abgewickelt?
Betroffenenrechte (Kapitel III Abschnitt 1 ab Artikel 12 DSGVO) klingen in vielen Unternehmen größer, als sie sind. Im Audit werden daraus meist sehr einfache Fragen: Wer erkennt eine Anfrage? Wer prüft die Identität? Wer sammelt die Informationen? Wer antwortet? Und wie wird sichergestellt, dass die Frist gehalten wird? Nach der DSGVO müssen Informationen und Mitteilungen transparent, verständlich und leicht zugänglich sein; auf Auskunftsersuchen ist unverzüglich und grundsätzlich innerhalb eines Monats zu reagieren.
Genau hier fallen viele Unternehmen auf, obwohl sie "eigentlich Datenschutz machen". Nicht, weil sie die Rechtslage nie gehört haben, sondern weil intern niemand sauber festgelegt hat, was bei einer eingehenden Anfrage passiert. Für A.5.34 ist das relevant, weil daran sichtbar wird, ob Datenschutzpflichten wirklich erfüllt werden oder nur theoretisch existieren.
3. Gibt es gegenüber Mitarbeitern eine saubere Datenschutzinformation?
Auch Mitarbeiter müssen informiert werden, wenn ihre personenbezogenen Daten verarbeitet werden. Art. 13 DSGVO verlangt bei der Datenerhebung unter anderem Angaben zum Verantwortlichen, zu Zwecken, Rechtsgrundlagen, Empfängern, möglichen Drittlandtransfers, Speicherdauer, Betroffenenrechten und Beschwerdemöglichkeiten. Genau deshalb sind Mitarbeiter-Datenschutzhinweise ein typischer Auditpunkt.
Für das Audit ist die Fragestellung simpel: Wenn ein Unternehmen Mitarbeiterdaten verarbeitet, sollte es auch sauber erklären können, was es damit tut.
Übrigens: Betroffenenrechte gibt es pro Verarbeitung, die ein Unternehmen durchführt. Bei der Frage nach den Betroffenenrechten der Arbeitnehmer ist der Verweis auf die Datenschutzerklärung der eigenen Webseite völliger Unsinn und zeigt Ihrem Auditor, dass Sie das Thema nicht verstanden haben.
4. Setzt die Website Cookies oder Tracking, bevor jemand eingewilligt hat?
Das ist ein Klassiker, weil man ihn schnell prüfen kann. § 25 TDDDG sagt, dass das Speichern von Informationen in Endgeräten oder der Zugriff auf bereits gespeicherte Informationen grundsätzlich nur mit Einwilligung zulässig ist. Das betrifft nicht nur Cookies betrifft, sondern alle Zugriffe auf Endgeräte, und dass der Betreiber die technische Notwendigkeit eines Cookies nachweisen können muss. Beispiele für technisch notwendige Cookies sind etwa Warenkorb- oder Spracheinstellungs-Cookies.
Deshalb ist die Frage im Audit so praktisch und lässt sich in einem schnell geöffneten anonymen Browserfenster beantworten: Lädt die Website schon Tracking oder Marketing-Technologien, bevor jemand mit dem Banner interagiert? Wenn ja, ist das nicht nur ein Webseitendetail, sondern ein sichtbarer Hinweis darauf, dass Datenschutzanforderungen nicht sauber umgesetzt wurden.
5. Gibt es dort, wo es nötig ist, AV-Verträge?
Wenn ein Verantwortlicher einen Auftragsverarbeiter einsetzt, braucht es einen schriftlichen Vertrag oder ein anderes Rechtsinstrument. Die Anforderungen daran ergeben sich aus Art. 28 DSGVO; ein solcher Vertrag muss unter anderem regeln, dass der Auftragsverarbeiter nur auf dokumentierte Weisung handelt. Die EU-Kommission hat dafür sogar Standardvertragsklauseln für Controller-Processor-Verträge erlassen, die die Anforderungen von Art. 28 Abs. 3 und 4 erfüllen.
Wichtig ist aber die saubere Abgrenzung: Nicht jeder Lieferant ist automatisch Auftragsverarbeiter. Der EDPB betont, dass die Rollen von Verantwortlichem und Auftragsverarbeiter funktional anhand der tatsächlichen Rolle der Parteien zu bestimmen sind. Im Audit ist also nicht nur interessant, ob AV-Verträge vorhanden sind, sondern auch, ob das Unternehmen überhaupt verstanden hat, wo wirklich Auftragsverarbeitung vorliegt und wo nicht. Viele Unternehmen sind hier überparanoid und behandeln jeden Emailwechsel zwischen Unternehmen und "da draußen" als Fall für einen AVV - das stimmt so nicht.
Datenschutz ist hier kein Nebenthema
A.5.34 ist kein exotischer Annex-A-Punkt für Spezialisten. In vielen Unternehmen ist er einer der praktischsten Kontrollpunkte überhaupt, weil er sehr schnell zeigt, ob regulatorische Anforderungen nur bekannt oder tatsächlich organisatorisch verankert sind. Genau deshalb schauen Auditoren gern auf Dinge, die man sehen und anfassen kann: Listen, Verträge, Banner, Hinweise, Prozesse.
Das ist übrigens auch der Grund, warum A.5.34 nicht bloß ein Rechtsabteilungsthema ist. Wer Datenschutz sauber regeln will, braucht brauchbare Zuständigkeiten, Schnittstellen und Nachweise. Sonst hängt alles an Einzelpersonen, und genau das fällt im Audit schnell auf.
Was will der Auditor sehen?
Ein Auditor will hier selten hören: "Das macht unser Datenschutzbeauftragter schon irgendwie." Er will sehen, dass die Organisation ihre Datenschutzanforderungen erkannt und in belastbare Abläufe übersetzt hat. Typische Nachweise sind ein aktuelles VVT, ein erkennbarer Prozess für Betroffenenrechte, Datenschutzinformationen für Mitarbeiter und andere Betroffene, eine sauber konfigurierte Website in Bezug auf Cookies und Tracking sowie AV-Verträge dort, wo Auftragsverarbeitung tatsächlich stattfindet.
Wenn Ihr Unternehmen besonders schützenswerte Daten verarbeitet oder einige andere Kriterien erfüllt kann auch die Frage aufkommen, ob eine Datenschutzfolgenabschätzung (DSFO) durchgeführt wurde.
Der Auditor will kein komplettes Datenschutzgutachten. Aber er will erkennen, dass das Unternehmen nicht blind verarbeitet, sondern weiß, was es tut, warum es das tut und wie es dabei die Pflichten erfüllt. Genau das ist die praktische Übersetzung von A.5.34 in ein ISO-27001-Audit.
FAQ
Praktisch bedeutet A.5.34, dass Ihr Unternehmen die Anforderungen zum Schutz personenbezogener Daten aus Gesetzen, Vorschriften und Verträgen erkennen und erfüllen muss. Im Alltag zeigt sich das meist an Prozessen, Dokumentation und sauber geregelten Verantwortlichkeiten.
Nein, normalerweise nicht vollständig. Aber A.5.34 eröffnet ihm einen legitimen Einstieg in datenschutzrelevante Themen, vor allem dort, wo die Umsetzung schnell sichtbar und prüfbar ist, etwa bei VVT, Betroffenenrechten, Datenschutzhinweisen, Cookies und AV-Verträgen.
Ja. Art. 30 DSGVO macht dokumentierte Verarbeitungstätigkeiten zum zentralen Nachweis. Zwar gibt es eng begrenzte Ausnahmen für kleinere Organisationen, aber bei regelmäßiger Verarbeitung oder sensiblen Daten greift diese Ausnahme gerade nicht. Deshalb ist ein aktuelles VVT für viele Unternehmen einer der wichtigsten Auditnachweise.
Ja. Die DSGVO verlangt transparente Kommunikation und eine Antwort auf Anfragen grundsätzlich innerhalb eines Monats. Ohne klaren internen Ablauf wird diese Pflicht schnell zum Zufallsprodukt.
Nein. Ein AV-Vertrag ist dort nötig, wo ein Dienstleister als Auftragsverarbeiter für Sie personenbezogene Daten verarbeitet. Ob das der Fall ist, hängt von der tatsächlichen Rolle ab, nicht von der bloßen Bezeichnung im Vertrag.
Grundsätzlich nein, wenn dafür Informationen im Endgerät gespeichert oder ausgelesen werden und keine Ausnahme greift. § 25 TDDDG verlangt dafür im Regelfall eine Einwilligung; nur technisch notwendige Vorgänge sind ausgenommen.
Unser Tipp
Machen Sie A.5.34 nicht zu einem theoretischen DSGVO-Mammutprojekt. Starten Sie mit fünf ganz nüchternen Prüfsteinen: VVT, Betroffenenrechte, Mitarbeiterinformationen, Website/Cookies und AV-Verträge. Wenn diese fünf Dinge sauber geregelt sind, haben Sie für ein ISO-27001-Audit schon sehr viel gewonnen.
Interesse geweckt?
Wenn Sie Datenschutz und den Schutz personenbezogener Daten im Rahmen einer ISO 27001-Einführung sauber regeln wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!