Prüfung von Datenschutzkontrollen nach ISO 27701 für GDPR

Das Freitags-Datenschutzaudit, das das eigentliche Problem sichtbar machte
Es ist Freitag, 15:40 Uhr, als Maria, Chief Information Security Officer (CISO) eines schnell wachsenden SaaS-Unternehmens, einem Videoanruf mit dem leitenden Beschaffungsverantwortlichen eines großen Unternehmenskunden beitritt.
Ihr Team hat monatelang am Datenschutz-Informationsmanagementsystem (PIMS) gearbeitet. Die Richtlinien sind freigegeben. Das Verzeichnis von Verarbeitungstätigkeiten existiert. Das Unternehmen verfügt über einen Plan für die Auditbereitschaft nach ISO 27701. Der Datenschutzbeauftragte hat Workflows für Betroffenenanfragen eingerichtet. Die Rechtsabteilung hat die Auftragsverarbeitungsverträge aktualisiert. Engineering bestätigt, dass der Zugriff auf Produktionsumgebungen beschränkt ist.
Der Beschaffungsverantwortliche beginnt höflich, aber direkt.
„Vielen Dank für die Dokumentation, Maria. Das Zertifikat und das Richtlinienpaket sind ein guter Ausgangspunkt. Unser Due-Diligence-Team wird nächsten Monat vor Ort sein. Es möchte Ihren DSAR-Prozess in der Praxis sehen, Datenminimierungskontrollen für unsere Testkonten verifizieren, Zugriffsprotokolle aus der Produktionsumgebung prüfen und Nachweise einsehen, dass Datenschutzkontrollen geprüft und nicht nur dokumentiert sind.“
Wenige Minuten später erhält Maria zwei weitere Nachrichten.
Der Datenschutzbeauftragte fragt, ob die neue Analytics-Funktion durch das Verzeichnis von Verarbeitungstätigkeiten, die Bewertung der Rechtsgrundlage, den Aufbewahrungsplan und die weitergegebenen Pflichten für Auftragsverarbeiter abgedeckt ist.
Der Compliance-Manager fragt, ob die Readiness-Prüfung nach ISO 27701:2025 belegen kann, dass die PIMS-Kontrollen operativ wirksam sind.
Genau an diesem Punkt geraten viele Datenschutzprogramme ins Wanken. Die Organisation verfügt über Datenschutzdokumente, aber nicht über belastbare Datenschutznachweise. Es gibt Workflows, aber keine stichprobenbasierten Nachweise. Es gibt Verträge, aber schwache Überwachungsaufzeichnungen. Es gibt internes Vertrauen, aber keinen belastbaren Audit-Trail.
Diese Lücke unterscheidet Papierkonformität von nachweisbarer Rechenschaftspflicht.
GDPR macht das Problem ausdrücklich. Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss diese Einhaltung nachweisen können. Personenbezogene Daten müssen rechtmäßig, fair und transparent, für festgelegte Zwecke, auf das erforderliche Maß beschränkt, sachlich richtig, nur so lange wie erforderlich aufbewahrt und durch geeignete technische und organisatorische Maßnahmen geschützt verarbeitet werden.
ISO 27701:2025 liefert Organisationen die Struktur für das Datenschutzmanagement. ISO/IEC 27001:2022 liefert das ISMS-Rückgrat für Geltungsbereich, Risikobehandlung, operative Steuerung, internes Audit, Managementbewertung und kontinuierliche Verbesserung. GDPR begründet die rechtliche Rechenschaftspflicht. NIS2, DORA, NIST CSF 2.0, COBIT 2019-orientierte Assurance und Kunden-Sicherheitsprüfungen erhöhen den Druck, die Wirksamkeit von Kontrollen nachzuweisen.
Die Sicht von Clarysec ist einfach: Die Prüfung von Datenschutzkontrollen darf keine jährliche Suche nach Screenshots sein. Sie muss ein PIMS-Nachweissystem sein, das Verarbeitungstätigkeiten, anwendbare Kontrollen, Risiken, Stichproben, technische Prüfungen, Feststellungen, CAPA und Managementbewertung in einem nachvollziehbaren Modell verbindet.
Genau hier werden Clarysecs PIMS-Richtliniensatz, Zenith Blueprint: An Auditor’s 30-Step Roadmap und Zenith Controls: The Cross-Compliance Guide zu operativen Werkzeugen statt zu Regalunterlagen.
Die Prüfung von Datenschutzkontrollen verbindet Richtlinien mit Rechenschaftspflicht
Ein Test einer Datenschutzkontrolle beantwortet drei praktische Fragen:
- Ist die Kontrolle so konzipiert, dass sie die Datenschutzverpflichtung erfüllt oder das Datenschutzrisiko reduziert?
- Ist die Kontrolle im relevanten Prozess, System, Team, Lieferanten- oder Produkt-Workflow umgesetzt?
- Funktioniert die Kontrolle über einen Zeitraum operativ wirksam, mit Nachweisen, die einen Auditor, Kunden, eine Aufsichtsbehörde oder einen Risikoausschuss des Leitungsorgans überzeugen würden?
Ein SaaS-Unternehmen kann angeben, Löschanträge zu unterstützen. Ein Designtest prüft, ob Löschrichtlinie, Verfahren zur Identitätsprüfung, Verantwortlichkeitsmodell, Koordination mit Auftragsverarbeitern, Aufbewahrungsausnahmen und Umgang mit Backups definiert sind. Ein Test der operativen Wirksamkeit zieht Stichproben abgeschlossener Löschanträge, vergleicht Zeitstempel, prüft Genehmigungen, überprüft Systemprotokolle, verifiziert Benachrichtigungen an nachgelagerte Auftragsverarbeiter und bestätigt Abschlussnachweise.
Die PIMS Monitoring, Audit and Improvement Policy macht daraus eine auditierbare Anforderung:
[Beide] Der interne Auditor/Compliance-Prüfer MUSS den Umsetzungsstatus anwendbarer PIMS-Kontrollen während jedes PIMS-Audits gegen REG03 prüfen.
Aus Abschnitt „PIMS internal audit programme“, Richtlinienklausel 4.2.5.
Die Formulierung „gegen REG03“ ist zentral. Die Prüfung ist kein freies Interview. REG03 dient als Referenz für Anwendbarkeit und Umsetzung von PIMS-Kontrollen. Es zeigt, was anwendbar ist, warum es anwendbar ist und welche Nachweise vorliegen sollten.
Dieselbe Richtlinie ergänzt:
[Beide] Der interne Auditor/Compliance-Prüfer MUSS die ausgewählte Nachweisstichprobe zur Verarbeitung personenbezogener Daten während jedes PIMS-Audits in REG12 erfassen.
Aus Abschnitt „PIMS internal audit programme“, Richtlinienklausel 4.2.6.
Das ist der Kern der Prüfung von Datenschutzkontrollen nach ISO 27701:2025. Ein PIMS-Audit ohne Stichprobe ist ein Gespräch. Ein PIMS-Audit mit ausgewählten Nachweisen, Kontrollzuordnung, Ausnahmen, Korrekturmaßnahmen und Nachvollziehbarkeit bis zur Managementbewertung ist Rechenschaftspflicht.
Mit Geltungsbereich, Rolle und tatsächlicher Verarbeitung beginnen
Die meisten schwachen Datenschutzaudits scheitern, bevor die Prüfung beginnt. Sie wählen generische Kontrollen aus, ohne zu bestätigen, welche personenbezogenen Daten verarbeitet werden, wo sie liegen, welche Systeme und Lieferanten sie berühren und ob die Organisation als Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher oder Unterauftragsverarbeiter handelt.
GDPR-Verpflichtungen hängen stark von der Rolle ab. Ein Verantwortlicher, der entscheidet, warum und wie personenbezogene Daten verarbeitet werden, hat andere Pflichten als ein Auftragsverarbeiter, der auf Grundlage dokumentierter Kundenweisungen handelt. Auch die Sensitivität der Daten ist relevant. Personenbezogene Daten von Beschäftigten, Kundenkontodaten, Telemetriedaten, Finanzdaten, biometrische Verifikation, Gesundheitsdaten, Sanktionslistenprüfungen und Daten zu Straftaten tragen nicht dasselbe Risiko.
Ein wirksames Prüfprogramm nach ISO 27701:2025 beginnt mit einer sauberen Abgrenzung des Geltungsbereichs.
| Frage zum Geltungsbereich | Zu prüfende Nachweise | Warum dies relevant ist |
|---|---|---|
| Welche Verarbeitungstätigkeiten mit personenbezogenen Daten liegen im Geltungsbereich? | Verzeichnis von Verarbeitungstätigkeiten, Datenflussübersicht, Systeminventar, Lieferantenregister | Die Prüfung muss reale Verarbeitung stichprobenartig prüfen, nicht abstrakte Richtlinienaussagen |
| Welche PIMS-Rolle gilt? | Zuordnung zu Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher, Unterauftragsverarbeiter | GDPR-Pflichten und PIMS-Kontrollen unterscheiden sich je nach Rolle |
| Welche rechtlichen, vertraglichen und regulatorischen Verpflichtungen gelten? | GDPR-Bewertung, Kunden-DPAs, branchenspezifische Vorgaben, Übermittlungsbewertungen | Das Kontrolldesign muss tatsächliche Verpflichtungen abbilden |
| Welche Systeme und Lieferanten verarbeiten personenbezogene Daten? | Asset-Inventar, Cloud-Inventar, Auftragsverarbeiterliste, Berechtigungsmatrix | Operative Tests benötigen technische Nachweise und Nachweise Dritter |
| Welche Änderungen wirken sich auf die Verarbeitung personenbezogener Daten aus? | Produktänderungsaufzeichnungen, DPIA-Auslöser, Release Notes, Architekturprüfungen | Datenschutz durch Technikgestaltung muss vor der Einführung geprüft werden, nicht erst nach Beschwerden |
ISO/IEC 27001:2022 unterstützt diesen integrierten Ansatz durch Anforderungen an den Kontext der Organisation, Anforderungen interessierter Parteien, rechtliche und vertragliche Verpflichtungen, den Geltungsbereich des Managementsystems, operative Planung und Risikobehandlung. Für den Datenschutz bedeutet dies, dass die Verarbeitung personenbezogener Daten nicht in einer isolierten Tabelle stehen darf. Sie muss Teil des Betriebsmodells von ISMS und PIMS sein.
Die Privacy Information Management System Policy verknüpft Datenschutzprüfungen direkt mit Governance:
[Alle] Die oberste Leitung MUSS PIMS-Leistung, Datenschutzziele, offene Risiken, Nichtkonformitäten, Korrekturmaßnahmen und Verbesserungsentscheidungen jährlich in REG12 überprüfen.
Aus Abschnitt „PIMS governance“, Richtlinienklausel 6.1.1.
Wenn eine Prüfung eine Datenschutzlücke identifiziert, ist dies nicht nur eine Auditnotiz. Es ist eine Eingabe für das Managementsystem, die Risikobehandlung, Prioritäten, Ressourcen und Entscheidungen der Leitung beeinflussen muss.
Designwirksamkeit versus operative Wirksamkeit
Wenn ein Kunde fragt, ob Datenschutzkontrollen geprüft werden, meint er in der Regel operative Wirksamkeit. Auditoren werden jedoch auch die Designwirksamkeit betrachten.
Eine designwirksame Kontrolle ist geeignet, die Anforderung zu erfüllen, wenn sie wie vorgesehen ausgeführt wird. Eine operativ wirksame Kontrolle wird tatsächlich konsistent ausgeführt und durch Nachweise gestützt.
| Kontrollbereich | Test der Designwirksamkeit | Test der operativen Wirksamkeit |
|---|---|---|
| Erfassung von Einwilligungen | Richtlinie, Einwilligungstext, Regeln zur Rechtsgrundlage, UI-Anforderungen und Widerrufs-Workflow verifizieren | Einwilligungsdatensätze und Widerrufe stichprobenartig prüfen, Zeitstempel vergleichen, Unterdrückung nach Widerruf verifizieren |
| Zweckbindung | RoPA, Datenschutzhinweis, Produktanforderungen, Trennung von Einwilligungen und Datennutzungsregeln überprüfen | Benutzerdatensätze, Protokolle, Exporte und Analytics-Datenflüsse stichprobenartig prüfen, um zu bestätigen, dass personenbezogene Daten nicht für unbefugte Zwecke wiederverwendet werden |
| Zugriff auf personenbezogene Daten | Zugriffsrichtlinie, Rollenmodell, Eintritts-, Wechsel- und Austrittsverfahren sowie Genehmigungs-Workflow überprüfen | Benutzer mit Zugriff auf personenbezogene Daten stichprobenartig prüfen; Genehmigung, geschäftliche Notwendigkeit, MFA und aktuelle Berechtigungsüberprüfung verifizieren |
| Onboarding von Auftragsverarbeitern | Due-Diligence-Kriterien, DPA-Klauseln, Regeln für Unterauftragsverarbeiter und geeignete Garantien für Übermittlungen überprüfen | Einen Auftragsverarbeiter stichprobenartig prüfen; Bewertung, Vertrag, Sicherheitsprüfung und Nachweise zur Überwachung von Unterauftragsverarbeitern einsehen |
| Aufbewahrung und Löschung | Aufbewahrungsplan, Ausnahmeregeln, Löschverfahren und Systemfähigkeit überprüfen | Gelöschte Datensätze oder Löschanträge stichprobenartig prüfen; Protokolle, Tickets und Bestätigungen von Auftragsverarbeitern einsehen |
| Behandlung von Datenschutzverletzungen | Vorfallklassifizierung, Datenschutzeskalation und Kriterien für Meldungen an Behörden überprüfen | Vorfallsaufzeichnungen stichprobenartig prüfen; Triage, Entscheidungsbegründung, Meldungen und gewonnene Erkenntnisse verifizieren |
Die Audit and Compliance Monitoring Policy benennt den Zweck direkt:
Wirksamkeit von Sicherheits- und Datenschutzkontrollen validieren
Aus Abschnitt „Purpose“, Richtlinienklausel 1.1.1.
Die SME-Version hält dasselbe Assurance-Prinzip in operativer Sprache fest. Die Audit and Compliance Monitoring Policy - SME sagt:
Diese Richtlinie legt den Ansatz der Organisation für die Durchführung interner Audits, Überprüfungen von Sicherheitskontrollen und Compliance-Überwachung fest. Sie stellt sicher, dass alle Kontrollen, Richtlinien, Systeme und Dienstleister einer regelmäßigen und strukturierten Überprüfung unterliegen.
Aus Abschnitt „Purpose“, Richtlinienklausel 1.1.
Auditbereitschaft nach ISO 27701 ist keine Frage der Unternehmensgröße. Ein SaaS-Auftragsverarbeiter mit 30 Personen benötigt möglicherweise nicht dieselben Auditwerkzeuge wie eine globale Bank, muss aber dennoch nachweisen, dass Zugriff, Löschung, Vorfalleskalation, Governance für Unterauftragsverarbeiter und Nachweisaufbewahrung kontrolliert sind.
Die Clarysec-Nachweiskette: REG03, REG12, CAPA und Review
Clarysec strukturiert die Prüfung von Datenschutzkontrollen entlang einer einfachen Nachweiskette.
REG03 definiert anwendbare PIMS-Kontrollen und deren Umsetzungsstatus. REG12 erfasst Stichproben, Nachweise, Feststellungen, Lücken bei der Nachvollziehbarkeit, Verifikation von Korrekturmaßnahmen und Eingaben für die Managementbewertung. CAPA-Aufzeichnungen überführen Feststellungen in ursachenbasierte Verbesserungen. Die oberste Leitung überprüft PIMS-Leistung, Risiken, Nichtkonformitäten, Korrekturmaßnahmen und Verbesserungsentscheidungen.
Die PIMS Documented Information and Evidence Management Policy verlangt, dass Probleme der Nachweisqualität erfasst werden:
[Alle] Der interne Auditor/Compliance-Prüfer MUSS Lücken in Vollständigkeit, Richtigkeit oder Nachvollziehbarkeit von Nachweisen während jedes geplanten Audits oder jeder Compliance-Überprüfung in REG12 erfassen.
Aus Abschnitt „Evidence creation, naming, and quality“, Richtlinienklausel 4.3.4.
Dies ist relevant, weil nicht jede Feststellung ein vollständiges Kontrollversagen ist. Manchmal hat die Kontrolle funktioniert, aber der Nachweis ist unvollständig. Manchmal ist ein Lösch-Ticket geschlossen, aber kein Systemprotokoll belegt die Löschung. Manchmal nennt das Verzeichnis von Verarbeitungstätigkeiten das CRM, lässt aber den Export ins Data Warehouse aus. Manchmal existiert ein Lieferantenvertrag, aber die laufende Überwachung fehlt.
Die Audit and Compliance Monitoring Policy verlangt außerdem strukturierte interne Audits:
Interne Audits müssen einem dokumentierten Verfahren folgen, das Folgendes umfasst:
Aus Abschnitt „Policy Implementation Requirements“, Richtlinienklausel 6.1.1.
Und wenn Feststellungen auftreten:
Alle Feststellungen müssen zu einer dokumentierten CAPA führen, die Folgendes umfasst:
Aus Abschnitt „Policy Implementation Requirements“, Richtlinienklausel 6.2.1.
Die Risk Management Policy - SME verstärkt die Abschlussdisziplin:
Abschluss und Wirksamkeit von Behandlungsmaßnahmen müssen verifiziert werden.
Aus Abschnitt „Policy Implementation Requirements“, Richtlinienklausel 6.3.2.
Die PIMS Monitoring, Audit and Improvement Policy schließt den Regelkreis:
[Alle] Der interne Auditor/Compliance-Prüfer MUSS die Wirksamkeit von Korrekturmaßnahmen innerhalb von 30 Tagen nach gemeldetem Abschluss der Korrekturmaßnahme in REG12 verifizieren.
Aus Abschnitt „Nonconformity and corrective action“, Richtlinienklausel 4.4.7.
Das ist der Unterschied zwischen dem Schließen eines Tickets und der Verbesserung eines Managementsystems.
Praxistest 1: Löschanträge und GDPR-Rechenschaftspflicht
Löschanträge sind eine der klarsten Möglichkeiten zu prüfen, ob Datenschutz-Rechenschaftspflicht in der Praxis funktioniert.
Angenommen, ein mittelständisches SaaS-Unternehmen handelt sowohl als Verantwortlicher als auch als Auftragsverarbeiter. Es kontrolliert Beschäftigtendaten, Marketingdaten und Abrechnungsdaten. Es verarbeitet Endnutzerdaten von Kunden im Auftrag von Unternehmenskunden. Die Organisation möchte prüfen, ob Löschkontrollen für ein Audit nach ISO 27701:2025 und für die Vertrauensbildung bei Kunden in Bezug auf GDPR bereit sind.
Schritt 1: Verarbeitungstätigkeit aus REG03 auswählen
Wählen Sie eine Verarbeitungstätigkeit mit realem Datenschutzrisiko, zum Beispiel „Endnutzer-Profildaten von Kunden, verarbeitet in der SaaS-Plattform“. Bestätigen Sie, ob die Organisation als Verantwortlicher, Auftragsverarbeiter oder in beiden Rollen handelt. Identifizieren Sie verknüpfte Kontrollen für die Bearbeitung von Betroffenenrechten, Validierung von Weisungen des Verantwortlichen, Aufbewahrung, Löschung, Zugriffskontrolle, Protokollierung, Umgang mit Backups und Lieferantenkoordination.
Schritt 2: Präzises Testziel definieren
Ein brauchbares Testziel ist spezifisch und nachweisorientiert:
„Verifizieren, dass Löschanträge für Endnutzer-Profildaten von Kunden entgegengenommen, authentifiziert oder hinsichtlich der Weisung validiert, innerhalb des definierten Workflows bearbeitet, protokolliert, technisch in Produktivsystemen abgeschlossen, bei Bedarf an relevante Unterauftragsverarbeiter weitergegeben und mit Nachweisen abgeschlossen werden.“
Schritt 3: Repräsentative Stichprobe ziehen
Wählen Sie fünf Löschanträge aus dem letzten Quartal aus. Berücksichtigen Sie einen Routineantrag, einen Antrag mit Beteiligung eines Kundenadministrators, einen Antrag auf Weisung eines Verantwortlichen, einen Antrag mit Aufbewahrungsausnahme und einen Antrag, der den Umgang mit Backups berührt.
Der Zenith Blueprint betont in der Phase Audit, Review & Improvement, Schritt 26: Audit Execution, Stichproben und Nachweiserhebung:
✓ Relevantes Personal befragen: Bitten Sie Personen, die für Prozesse verantwortlich sind, zu erläutern, wie sie die Anforderungen erfüllen. Fragen Sie zum Beispiel den Risikoverantwortlichen nach der letzten Risikobeurteilung oder HR, wie neue Mitarbeitende in Sicherheit geschult werden (zur Abdeckung von Maßnahme 6.3 zur Sensibilisierung).
✓ Dokumentation überprüfen: Prüfen Sie, ob Dokumente und Aufzeichnungen vorhanden und aktuell sind.
✓ Praktiken beobachten: Führen Sie nach Möglichkeit eine direkte Beobachtung durch.
✓ Stichproben und Spot Checks durchführen: Sie können nicht alles prüfen; nutzen Sie daher Stichproben.
Aus der Phase Audit, Review & Improvement, Schritt 26: Audit Execution (Durchführung eines internen Audits).
Schritt 4: Nachweise für jede Stichprobe prüfen
Erheben Sie für jeden stichprobenartig ausgewählten Antrag das Eingangsticket, die Rollenklassifizierung, Identitätsprüfung oder Kundenautorisierung, das System-Löschprotokoll, die Entscheidung zur Aufbewahrungsausnahme, die Erläuterung zum Umgang mit Backups, die Benachrichtigung des Unterauftragsverarbeiters, die Abschlusskommunikation, Zeitstempel und die Freigabe des Prüfers.
Schritt 5: Ergebnisse in REG12 erfassen
Erfassen Sie Stichprobe, Nachweisquelle, Kontrollergebnis, Ausnahme und Lücke bei der Nachvollziehbarkeit in REG12. Wenn die Löschung erfolgt ist, aber kein Produktionsprotokoll existiert, kann die Kontrolle funktioniert haben, der Nachweis ist jedoch schwach. Wenn sich der Antrag verzögert hat, weil die Lieferantenverantwortung unklar war, kann die Feststellung Governance für Drittparteien und vertragliche Weitergabepflichten betreffen.
Schritt 6: CAPA erstellen und Wirksamkeit verifizieren
Wenn die Ursache in unklaren Verantwortlichkeiten zwischen Support, Rechtsabteilung und Engineering liegt, kann die CAPA einen überarbeiteten Workflow, eine aktualisierte RACI, verpflichtende Nachweisfelder und monatliche Stichprobenprüfungen von Löschungen umfassen.
Der Zenith Blueprint erläutert in der Phase Audit, Review & Improvement, Schritt 29, die Erwartung an den Abschluss:
Planen Sie, wie Sie die Wirksamkeit jeder Korrekturmaßnahme verifizieren. Dies kann bedeuten, ein Follow-up-Audit oder eine Prüfung einzuplanen. Wenn Ihre Korrekturmaßnahme zum Beispiel darin bestand, IT-Mitarbeitende zu Zugriffskontrolle zu schulen, könnten Sie planen, neue Konten nach einem Monat zu überprüfen, um festzustellen, ob alle ordnungsgemäß genehmigt wurden (Verifikation).
Aus der Phase Audit, Review & Improvement, Schritt 29: Continual Improvement (Korrekturmaßnahmen und Lessons Learned).
Für Löschungen kann Verifikation bedeuten, die nächsten fünf Löschanträge nach Produktivsetzung des überarbeiteten Workflows stichprobenartig zu prüfen. Erst dann sollte die CAPA geschlossen werden.
Praxistest 2: Zweckbindung und Datenminimierung
Ein zweiter besonders wertvoller Test betrifft die Zweckbindung. Er ist besonders nützlich vor Kunden-Due-Diligence, Analytics-Einführungen, KI-Anreicherungen, Data-Warehouse-Erweiterungen oder Änderungen an der Marketingautomatisierung.
Marias SaaS-Plattform erhebt Benutzerdaten von Kunden zur Leistungserbringung. Das Kontrollziel besteht darin sicherzustellen, dass personenbezogene Daten nur für festgelegte und berechtigte Zwecke verwendet und nicht für Marketing-Analytics wiederverwendet werden, sofern der Nutzer nicht, soweit erforderlich, eine ausdrückliche und getrennte Einwilligung erteilt hat.
| Nachweisart | Konkrete Artefakte |
|---|---|
| Dokumentation | Richtlinie zu Datenschutz und Privatsphäre, RoPA, Kunden-DPA, Datenschutzhinweise, Aufzeichnungen zum Einwilligungsmanagement |
| Technische Konfiguration | Regeln zur Datenverarbeitung in Anwendungen, Datenbankschemata, API-Konfigurationen, Einstellungen von ETL-Jobs |
| Protokolle und Aufzeichnungen | Anwendungs-Zugriffsprotokolle, Datenbankabfrageprotokolle, Änderungshistorie von Einwilligungen, Kampagnen-Exportaufzeichnungen |
| Personennachweise | Interviews mit Product Owner, leitendem Entwickler, Datenbankadministrator, Datenschutzverantwortlichem |
Ein starker operativer Test endet nicht bei der Richtlinie. Er prüft Nutzer, die Marketing zugestimmt haben, und Nutzer, die nicht zugestimmt haben, stichprobenartig. Er verfolgt nach, ob der Einwilligungsstatus in den Kerndatenbanken der Anwendung, Data-Warehouse-Tabellen, Kampagnenwerkzeugen, Dashboards und Exporten korrekt abgebildet ist. Wenn Nutzer ohne Einwilligung in einer Marketingzielgruppe erscheinen, liegt eine konkrete Nichtkonformität vor.
Die SME-Audit and Compliance Monitoring Policy vermittelt anhand eines technischen Prüfbeispiels die richtige Haltung:
Technische Kontrollverifikation (z. B. Backup-Status, Zugriffskontrollkonfiguration, Patch-Aufzeichnungen)
Aus Abschnitt „Policy Implementation Requirements“, Richtlinienklausel 6.1.1.2.
Für den Datenschutz umfasst die technische Kontrollverifikation Prüfungen der Einwilligungssynchronisierung, Zugriffskontroll-Exporte, Löschprotokolle, Verschlüsselungseinstellungen, Tests zur Datenmaskierung, DLP-Warnmeldungen, Backup-Beschränkungen, Überwachungsereignisse und Lieferantennachweise.
Zuordnung von Datenschutzprüfungen zu ISO/IEC 27001:2022 und Clarysec Cross-Compliance
Datenschutzkontrollen funktionieren nicht isoliert. Der Schutz personenbezogener Daten hängt von Asset-Inventar, Klassifizierung, Zugriffskontrolle, Cloud-Governance, Datenmaskierung, Informationsübermittlung, Protokollierung, Überwachung, Löschung, Schutz von Aufzeichnungen, Lieferantenaufsicht und unabhängiger Prüfung ab.
In Zenith Controls: The Cross-Compliance Guide wird ISO/IEC 27001:2022 Annex A Maßnahme 5.34, Datenschutz und Schutz personenbezogener Daten, als präventive Kontrolle zugeordnet, ausgerichtet auf Vertraulichkeit, Integrität und Verfügbarkeit, mit den Cybersicherheitskonzepten Identify und Protect sowie operativen Fähigkeiten in Information Protection plus Legal and Compliance.
Der Bezug zum Inventar ist direkt:
Ein Inventar von Informationswerten (5.9) sollte Bestände personenbezogener Daten enthalten (Kundendatenbanken, HR-Dateien). Dies unterstützt 5.34, indem sichergestellt wird, dass die Organisation weiß, welche personenbezogenen Daten sie besitzt und wo sie sich befinden; dies ist der erste Schritt zu deren Schutz.
Aus Zenith Controls, Privacy and Protection of PII, Maßnahme 5.34.
Für Auditprüfungen bedeutet dies: Der Datenschutzauditor sollte nicht allein mit dem Datenschutzhinweis beginnen. Er sollte mit dem PII-Inventar, dem Verzeichnis von Verarbeitungstätigkeiten, Datenflüssen, Asset-Inventar und Lieferanteninventar beginnen. Wenn das Inventar unvollständig ist, können nachgelagerte Datenschutzkontrollen nicht vollständig verlässlich sein.
Der Guide ordnet ISO/IEC 27001:2022 Annex A Maßnahme 5.34 außerdem verwandten Kontrollen zu, etwa 5.9 Inventar von Informationen und anderen zugehörigen Assets, 5.12 Klassifizierung von Informationen, 5.14 Informationsübermittlung, 5.15 Zugriffskontrolle, 5.16 Identitätsmanagement, 5.23 Informationssicherheit bei Nutzung von Cloud-Diensten, 5.33 Schutz von Aufzeichnungen, 8.11 Datenmaskierung, 8.12 Verhinderung von Datenabfluss und 8.10 Löschen von Informationen.
Zwei weitere ISO/IEC 27001:2022 Annex A-Kontrollen sind besonders relevant:
| ISO/IEC 27001:2022-Kontrolle | Relevanz für Datenschutzprüfungen | Beispielnachweise |
|---|---|---|
| 5.34 Datenschutz und Schutz personenbezogener Daten | Bestätigt, dass Anforderungen an Datenschutz und Schutz personenbezogener Daten auf Grundlage von Gesetzen, Vorschriften und Verträgen umgesetzt sind | Verzeichnis von Verarbeitungstätigkeiten, DPIAs, Aufzeichnungen zur Rechtsgrundlage, DSR-Nachweise, Aufbewahrungsprotokolle |
| 5.35 Unabhängige Prüfung der Informationssicherheit | Bietet eine objektive Validierung, dass Sicherheitsvorkehrungen, einschließlich datenschutzrelevanter Kontrollen, unabhängig überprüft werden | Interne Auditberichte, Ergebnisse externer Prüfungen, REG12-Stichproben, CAPA-Aufzeichnungen |
| 5.36 Einhaltung von Richtlinien, Regeln und Normen für Informationssicherheit | Bestätigt die laufende Einhaltung interner Regeln und Normen | Überprüfungen der Richtlinieneinhaltung, Zugriffsprüfungen, Überwachungsergebnisse, Ausnahmeprotokolle |
Die Data Protection and Privacy Policy verlangt:
Ein internes Datenschutz-Compliance-Audit ist jährlich oder bei wesentlichen organisatorischen oder regulatorischen Änderungen durchzuführen. Der Auditumfang muss Folgendes umfassen:
Aus Abschnitt „Governance Requirements“, Richtlinienklausel 5.4.
Sie umfasst außerdem:
Wirksamkeit technischer und organisatorischer Maßnahmen
Aus Abschnitt „Governance Requirements“, Richtlinienklausel 5.4.1.
Die Data Protection and Privacy Policy - SME hält dieselbe Erwartung praxisnah fest:
Regelmäßige Datenschutzaudits oder Kontrollprüfungen müssen durchgeführt und protokolliert werden
Aus Abschnitt „Governance Requirements“, Richtlinienklausel 5.3.3.
Warum GDPR-Rechenschaftspflicht heute ein Thema der Cyber-Governance ist
Datenschutznachweise werden nicht mehr nur von Datenschutzauditoren angefordert. Dieselben Nachweise können von einem Auditor nach ISO 27701:2025, einem Auditor nach ISO/IEC 27001:2022, einem GDPR-Prüfer, einer zuständigen Behörde nach NIS2, einem DORA-regulierten Kunden, einem NIST CSF-Assessor oder einem Risikoausschuss des Leitungsorgans angefordert werden.
NIS2 Article 21 verlangt von wesentlichen und wichtigen Einrichtungen die Umsetzung geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen für das Management von Cybersicherheitsrisiken. Article 21(2)(f) umfasst ausdrücklich Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken. NIS2 macht außerdem Leitungsorgane für die Genehmigung und Überwachung von Maßnahmen zum Management von Cybersicherheitsrisiken verantwortlich.
DORA gilt ab dem 17. Januar 2025 für Finanzunternehmen und legt ein detailliertes Regelwerk zur digitalen operationalen Resilienz fest. Es verlangt IKT-Risikomanagement, Aufsicht durch das Leitungsorgan, internes Audit, Behebung kritischer Feststellungen, Vorfallklassifizierung und -meldung, Resilienztests, IKT-Drittparteienrisikomanagement, vertragliche Kontrollen, Register von IKT-Dienstleistungsvereinbarungen und Exit-Strategien. IKT-Anbieter, die Finanzunternehmen bedienen, sollten mit DORA-getriebenen Nachweisanfragen im Rahmen der Vertrauensbildung bei Kunden rechnen.
NIST CSF 2.0 bietet eine hilfreiche Übersetzungsebene. Seine GOVERN-Funktion erwartet, dass Organisationen Erwartungen von Interessenträgern, Abhängigkeiten sowie rechtliche, regulatorische, vertragliche, Datenschutz- und Bürgerrechtsverpflichtungen verstehen. Der Profilansatz hilft, aktuelle Ergebnisse mit Zielergebnissen zu vergleichen, Lücken zu identifizieren und Aktionspläne zu priorisieren.
| Anforderungsdruck | Was die Prüfung von Datenschutzkontrollen erzeugen sollte | Clarysec-Anker |
|---|---|---|
| GDPR-Rechenschaftspflicht | Nachweise, dass Grundsätze, Rechtsgrundlage, Rechte, Sicherheit, Aufbewahrung und Pflichten von Auftragsverarbeitern nachweisbar erfüllt sind | PIMS-Richtlinien, REG03, REG12, CAPA |
| Auditbereitschaft nach ISO 27701:2025 | Geprüfte PIMS-Kontrollen, rollenbasierte Anwendbarkeit, Nachweisqualität, internes Audit, Managementbewertung | PIMS Monitoring, Audit and Improvement Policy |
| Assurance nach ISO/IEC 27001:2022 | Nachvollziehbarkeit der Risikobehandlung, SoA-Begründung, operative Steuerung, Audit, Review, Verbesserung | Zenith Blueprint, Zenith Controls Cross-Compliance Guide |
| NIS2-Governance | Wirksamkeitsbewertung, Vorfallsbereitschaft, Lieferantenkontrollen, Überwachung durch das Management | Zuordnung zu ISO/IEC 27001:2022 Annex A-Kontrollen 5.35 und 5.36 |
| DORA-Assurance | Prüfung von IKT-Kontrollen, Resilienztests, Nachweise Dritter, Aufzeichnungen zum Vorfallslebenszyklus | Rahmenwerksübergreifend zugeordnetes Modell für Auditnachweise |
| NIST CSF 2.0 | Ist-Profil, Zielprofil, Lückenanalyse, priorisierte Verbesserung | Zenith Blueprint Schritte 24, 26, 29 |
Der Zenith Blueprint verstärkt in Schritt 24 die Nachvollziehbarkeit:
Ihre SoA sollte mit Ihrem Risikoregister und Risikobehandlungsplan konsistent sein. Prüfen Sie nochmals, dass jede Kontrolle, die Sie als Risikobehandlung ausgewählt haben, in der SoA als „anwendbar“ markiert ist. Umgekehrt sollten Sie für jede Kontrolle, die in der SoA als „anwendbar“ markiert ist, eine Begründung haben – üblicherweise ein zugeordnetes Risiko, eine rechtliche/regulatorische Anforderung oder einen geschäftlichen Bedarf.
Aus der Phase Audit, Review & Improvement, Schritt 24: Audit, Review & Improvement.
Für die Prüfung von Datenschutzkontrollen gilt dasselbe Prinzip für die PIMS-Anwendbarkeit. Jede anwendbare Datenschutzkontrolle sollte auf ein Verarbeitungsrisiko, eine rechtliche Verpflichtung, eine Kundenanforderung oder einen geschäftlichen Bedarf zurückführbar sein. Jeder Test sollte auf diese Kontrolle zurückverweisen.
Wie unterschiedliche Auditoren dieselbe Kontrolle beurteilen
Ein starkes Datenschutzprüfprogramm antizipiert die Perspektive des Auditors. Dieselbe Löschkontrolle, Zugriffskontrolle oder Onboarding-Kontrolle für Auftragsverarbeiter wird je nach Prüfungskontext unterschiedlich interpretiert.
| Auditor-Perspektive | Wahrscheinliche Auditfrage | Erwartete Nachweise |
|---|---|---|
| Auditor nach ISO 27701:2025 | Sind rollenbasierte PIMS-Kontrollen umgesetzt, bewertet und verbessert? | REG03-Anwendbarkeit, REG12-Stichproben, Verzeichnis von Verarbeitungstätigkeiten, Richtlinienzuordnung, Auditergebnisse |
| Auditor nach ISO/IEC 27001:2022 | Ist die datenschutzbezogene Kontrolle in Risikobehandlung, SoA, operative Steuerung, internes Audit und Managementbewertung integriert? | Risikoregister, SoA-Begründung, Behandlungsplan, Kontrollnachweise, Sitzungsprotokoll der Managementbewertung |
| GDPR-Prüfer | Kann der Verantwortliche die Einhaltung der GDPR-Grundsätze und -Pflichten nachweisen? | Rechtsgrundlage, Hinweise, DSR-Protokolle, DPIAs, Verträge, Aufzeichnungen zu Verletzungen, Aufbewahrungsnachweise |
| NIST CSF-Assessor | Kennt die Organisation ihre Verpflichtungen, definiert Zielergebnisse, misst Lücken und verbessert sich? | Ist- und Zielprofil, Lückenplan, Risikopriorisierung, Governance-Aufzeichnungen |
| DORA-orientierter Kunde oder Regulator | Werden IKT-Kontrollen geprüft, Vorfälle klassifiziert, Lieferanten überwacht und kritische Services resilient gehalten? | Testprogramm, Vorfallsaufzeichnungen, Lieferantenregister, Verträge, Exit-Pläne |
| ISACA- oder COBIT 2019-orientierter Auditor | Sind Ziele, Verantwortlichkeiten, Kennzahlen, Vorgangsabschluss und Governance-Aufsicht wirksam? | RACI, KPIs, Vorgangsprotokolle, CAPA-Verifikation, Managementberichterstattung |
Deshalb ist REG12 so wertvoll. Es überführt Datenschutz-Compliance in auditierbare Governance-Nachweise.
Häufige Feststellungen bei der Prüfung von PIMS-Kontrollen
Clarysec sieht immer wieder dieselben Datenschutzaudit-Feststellungen bei Organisationen, die sich auf eine Zertifizierung nach ISO 27701:2025, Vertrauensbildung bei Kunden zu GDPR oder Enterprise-Due-Diligence vorbereiten.
Das Verzeichnis von Verarbeitungstätigkeiten entspricht nicht der Systemrealität
Das Verzeichnis von Verarbeitungstätigkeiten nennt CRM- und Support-Plattformen, aber Engineering hat Analytics-Exporte, Observability-Protokolle, KI-Werkzeuge und Data-Warehouse-Tabellen ergänzt.
Testreaktion: Systeme aus Asset-Inventar und Cloud-Inventar stichprobenartig auswählen und mit dem Verzeichnis von Verarbeitungstätigkeiten abgleichen. Nutzen Sie die Beziehung zwischen ISO/IEC 27001:2022 Annex A-Kontrollen 5.9 und 5.34 als Auditbegründung.
Zugriff auf personenbezogene Daten ist genehmigt, wird aber nicht regelmäßig überprüft
Initiale Genehmigungen liegen vor, aber Überprüfungen privilegierter Zugriffe umfassen keine Support-Impersonation-Werkzeuge, Produktionsdatenbanken, BI-Dashboards oder Notfallkonten.
Testreaktion: Aktive Benutzer mit Zugriff auf personenbezogene Daten stichprobenartig prüfen und Rolle, geschäftliche Notwendigkeit, Genehmigung, MFA-Status, letzte Anmeldung und Nachweise der Überprüfung vergleichen.
Verträge mit Auftragsverarbeitern existieren, aber die Überwachung ist schwach
Der DPA ist unterzeichnet, aber der Lieferantenfragebogen ist veraltet. Änderungen bei Unterauftragsverarbeitern, Datenstandorte, Risikoprofil der Informationssicherheit oder Pflichten zur Vorfallmeldung wurden nicht überprüft.
Testreaktion: Kritische Auftragsverarbeiter stichprobenartig prüfen und Due Diligence, Vertragsklauseln, Änderungen bei Unterauftragsverarbeitern, geeignete Garantien für Übermittlungen und Überwachungsaufzeichnungen einsehen. Dies unterstützt GDPR, Erwartungen an die Lieferkette nach NIS2 und Erwartungen an Drittparteienrisiken nach DORA.
Incident Response existiert, aber die Datenschutzklassifizierung ist inkonsistent
Sicherheitsvorfälle werden protokolliert, aber Datenschutzfolgen werden nicht immer bewertet. Kriterien für GDPR-Verletzungen werden nicht konsistent dokumentiert. Kundenbenachrichtigungspflichten werden informell behandelt.
Testreaktion: Vorfälle mit Datenexposition stichprobenartig prüfen und Klassifizierung, Datenschutzeskalation, rechtliche Prüfung, Meldeentscheidungen, Beweissicherung, Ursache und Lessons Learned einsehen.
CAPA wird ohne Wirksamkeitsverifikation geschlossen
Ein Verfahren wird aktualisiert und die Feststellung geschlossen. Niemand prüft, ob sich die nächste Stichprobe verbessert hat.
Testreaktion: Verifizieren Sie die Wirksamkeit von Korrekturmaßnahmen in REG12 innerhalb von 30 Tagen nach gemeldetem Abschluss, wie von der PIMS Monitoring, Audit and Improvement Policy gefordert.
Ein 90-Tage-Sprint zur Prüfung von Datenschutzkontrollen
Für Organisationen, die auf Auditbereitschaft nach ISO 27701:2025, Kunden-Due-Diligence oder eine Überprüfung der GDPR-Rechenschaftspflicht hinarbeiten, empfiehlt Clarysec einen fokussierten 90-Tage-Sprint.
| Zeitrahmen | Fokus | Ergebnisse |
|---|---|---|
| Tage 1 bis 15 | Geltungsbereich und Nachweismodell | PIMS-Rollen, Verzeichnis von Verarbeitungstätigkeiten, REG03-Anwendbarkeit, prioritäre Risiken, rechtliche Verpflichtungen, Lieferantenabhängigkeiten, Regeln zur Nachweisbenennung |
| Tage 16 bis 35 | Designtests | Richtlinienprüfung, RACI, Datenschutzhinweise, Rechtsgrundlage, DPIA-Auslöser, DSR-Workflows, Vorfallklassifizierung, Aufbewahrungspläne, Lieferantenkontrollen |
| Tage 36 bis 65 | Operative Tests | Stichproben für Zugriff, Löschung, Vorfälle, Auftragsverarbeiter, Übermittlungen, Aufbewahrung, Schulung, technische Überwachung, REG12-Nachweise |
| Tage 66 bis 80 | CAPA und Risikobehandlung | Ursache, Korrekturmaßnahme, Verantwortlicher, Fälligkeitstermin, Restrisiko, Verifikationsmethode |
| Tage 81 bis 90 | Bereitschaft für die Managementbewertung | PIMS-Leistungspaket, Ziele, offene Risiken, Nichtkonformitäten, Korrekturmaßnahmen, Lieferantenthemen, Verbesserungsentscheidungen |
Am Ende des Sprints sollte die Organisation die Fragen beantworten können, die Auditoren tatsächlich stellen:
- Welche personenbezogenen Daten verarbeiten Sie?
- In welcher Rolle?
- Welche Kontrollen gelten?
- Warum sind sie anwendbar?
- Welche Nachweise belegen ihre Umsetzung?
- Welche Stichprobe belegt ihre Funktion?
- Welche Lücken wurden festgestellt?
- Welche Korrekturmaßnahmen wurden ergriffen?
- Wer hat die Wirksamkeit verifiziert?
- Was hat die oberste Leitung überprüft und entschieden?
Von Datenschutz auf Papier zu nachweisbarer Rechenschaftspflicht
Ein ISO 27701-Zertifikat ist wertvoll, aber nicht das Endziel. Kunden, Aufsichtsbehörden, Leitungsorgane und Auditoren erwarten zunehmend Nachweise, dass Datenschutzkontrollen konzipiert, umgesetzt, überwacht, korrigiert und gesteuert werden.
Datenschutz-Compliance scheitert, wenn sie als Dokumentationsprojekt behandelt wird. Sie hält Prüfungen stand, wenn sie zu einem geprüften Nachweissystem wird.
Clarysec unterstützt Organisationen dabei, von behaupteter Einhaltung zu nachweisbarer Rechenschaftspflicht zu gelangen, indem PIMS-Richtlinien, REG03-Anwendbarkeit, REG12-Nachweisstichproben, CAPA-Verifikation, Managementbewertung und rahmenwerksübergreifende Zuordnung über Zenith Blueprint: An Auditor’s 30-Step Roadmap und Zenith Controls: The Cross-Compliance Guide verbunden werden.
Wenn Ihre Organisation sich auf eine Zertifizierung nach ISO 27701:2025, eine Überprüfung der GDPR-Rechenschaftspflicht, Vertrauensbildung bei Kunden im Datenschutz, Nachweise für NIS2-Governance oder DORA-getriebene Lieferanten-Due-Diligence vorbereitet, beginnen Sie mit einem fokussierten Workshop zur Prüfung von Datenschutzkontrollen.
Clarysec kann Sie dabei unterstützen, die REG03-Anwendbarkeit zuzuordnen, REG12-Auditstichproben aufzubauen, prioritäre PIMS-Kontrollen zu testen, Feststellungen mit CAPA zu verknüpfen und Ergebnisse für die Managementbewertung vorzubereiten, die einer Prüfung standhalten.
Ihr nächstes Datenschutzaudit sollte keine Suche nach Screenshots sein. Es sollte überzeugend zeigen, dass Datenschutz funktioniert, nachgewiesen, überprüft und kontinuierlich verbessert wird.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


