Alles, was Sie über das ISO 27701:2025-Standardupdate wissen müssen

Alles, was Sie über das ISO 27701:2025-Standard-Update wissen müssen

Von Christie Rae • 26 November 2025

Die Internationale Organisation für Normung (ISO) hat die aktualisierte Version veröffentlicht. ISO/IEC 27701-Standard für die Verwaltung von Datenschutzinformationen im Oktober 2025. Früher eine Erweiterung von ISO 27001 und ISO 27002, die Aktualisierung ISO 27701:2025 legt fest ISO 27701 als unabhängiger Standard.

In diesem Blogbeitrag gehen wir auf die Unterschiede zwischen ISO 27701:2025 und der Version von 2019 ein und erörtern, was diese für Ihr Unternehmen bedeuten.

Was hat sich in der Norm ISO 27701:2025 geändert?

Die Umwandlung der ISO 27701 von einer Erweiterung zu einem eigenständigen Standard geht mit einer neuen Bezeichnung einher; Informationssicherheit, Cybersicherheit und Datenschutz – Systeme zum Management von Datenschutzinformationen, was den neuen Status widerspiegelt. Dies ersetzt den vorherigen Titel. Sicherheitstechniken — Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 für das Management von Datenschutzinformationen.

Zu den wichtigsten Änderungen gehören:

ISO 27701 ist nun ein Standard und keine Erweiterung von ISO 27001 mehr.
Die Managementklauseln 4.1 bis 10.2 wurden hinzugefügt.
Die Nebengebäude wurden umbenannt und neu nummeriert.
Die Datenschutzbestimmungen bleiben unverändert, ebenso die Anforderungen.
Ein neuer Anhang mit 29 Informationssicherheitskontrollen wurde hinzugefügt
Neue Informationssicherheitskontrollen ersetzen Abschnitt 6 der ISO 27701:2019.

Wir werden diese Veränderungen genauer untersuchen.

Umstrukturierung der Klauseln von ISO 27701:2019 zu ISO 27701:2025

Der Standard wurde umstrukturiert, wobei die Managementklauseln 4.1 bis 10.2 in Übereinstimmung mit ISO 27001 und ISO 27002 eingeführt wurden.

Die vorherige Version der Norm, ISO 27701:2019, enthielt Klauseln, in denen PIMS-spezifische Anforderungen (Datenschutz-Managementsystem) in Bezug auf ISO 27001, PIMS-spezifische Anforderungen in Bezug auf ISO 27002, zusätzliche Hinweise für Verantwortliche für personenbezogene Daten (PII) und zusätzliche Hinweise für Auftragsverarbeiter von PII detailliert beschrieben wurden.

Klausel 1, Anwendungsbereich, bezieht sich nun auf die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines eigenständigen Datenschutzinformationsmanagementsystems (PIMS) und nicht mehr auf den Aufbau eines PIMS als Erweiterung von ISO 27001 und ISO 27002.

Klausel 2, normative Verweise, Enthält eine kürzere Liste von Referenzen, da ISO 27701 nun als Standard und nicht mehr als Erweiterung existiert. Das Update von 2025 verweist nur noch auf ISO/IEC 29100. Informationstechnologie — Sicherheitstechniken — Datenschutzrahmen.

Aus der Ausgabe 2019 entfernte Verweise umfassen:

ISO/IEC 27000, Informationstechnik – Sicherheitstechniken – Informationssicherheitsmanagementsysteme – Überblick und Vokabular
ISO/IEC 27001:2013, Informationstechnik — Sicherheitstechniken — Informationssicherheitsmanagementsysteme — Anforderungen
ISO/IEC 27002:2013, Informationstechnik — Sicherheitstechniken — Verhaltenskodex für Informationssicherheitskontrollen.

Klausel 3, Begriffe, Definitionen und Abkürzungen, wurde aufgrund des breiteren Anwendungsbereichs der Norm erweitert und enthält nun, in Übereinstimmung mit anderen ISO-Normen, Verweise auf Ziele, Interessengruppen usw.

Klausel 4 ist jetzt Kontext der Organisation. Diese Klausel verpflichtet Organisationen, interne und externe Faktoren zu ermitteln, die für die Erreichung der angestrebten Ergebnisse ihres PIMS relevant sind. Sie müssen außerdem die Bedürfnisse und Erwartungen der Interessengruppen bestimmen, den Anwendungsbereich ihres PIMS festlegen und dieses anschließend einrichten, implementieren, pflegen und verbessern.

Klausel 5 ist jetzt FührungswesenDiese Klausel ersetzt die PIMS-spezifischen Anforderungen der ISO 27001 aus der Norm von 2019. Sie soll sicherstellen, dass das Top-Management Führungsstärke und Engagement im Umgang mit dem PIMS beweist, eine geeignete Datenschutzrichtlinie festlegt und Rollen, Verantwortlichkeiten und Befugnisse angemessen delegiert.

Klausel 6 ist jetzt Planung, Diese Klausel ersetzt die PIMS-spezifischen Anforderungen der ISO 27002 aus der Norm von 2019. Sie konzentriert sich auf Maßnahmen zur Bewältigung von Risiken und Chancen, einschließlich der Bewertung und Behandlung von Datenschutzrisiken. Organisationen müssen zudem Datenschutzziele festlegen, deren Erreichung planen und Änderungen am PIMS einplanen.

Klausel 7 ist jetzt Unterstützung, Diese Klausel ersetzt die zusätzlichen Leitlinien der ISO 27002 für Verantwortliche für personenbezogene Daten. Sie verpflichtet Organisationen sicherzustellen, dass angemessene Ressourcen, Kompetenzen, Sensibilisierung, Kommunikation und dokumentierte Informationen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung des PIMS zur Verfügung stehen.

Klausel 8 ist jetzt BetriebDiese Klausel ersetzt die zusätzlichen ISO-27002-Richtlinien für Verarbeiter personenbezogener Daten. Sie verpflichtet Organisationen, die zur Erfüllung der Compliance-Anforderungen notwendigen Prozesse zu planen, umzusetzen und zu kontrollieren. Darüber hinaus müssen Organisationen Datenschutzrisikobewertungen durchführen und Maßnahmen zur Behandlung von Datenschutzrisiken implementieren.

Abschnitt 9, Leistungsbewertung ist eine neue Ergänzung des Standards. Diese Klausel konzentriert sich auf Überwachung, Messung, Analyse und Bewertung, einschließlich interner Audits und Managementbewertungen.

Klausel 10, Verbesserungist ebenfalls eine neue Ergänzung des Standards. Sie verpflichtet Organisationen, Maßnahmen zur kontinuierlichen Verbesserung ihres PIMS zu ergreifen.

Klausel 11, weitere Informationen zu den Anhängen, ist eine neue Ergänzung und enthält Informationen zu Anhang C, D, E und F.

Änderungen der Anhänge

Die Anhänge der ISO 27701 wurden umbenannt und neu nummeriert, die Datenschutzbestimmungen und -anforderungen bleiben jedoch unverändert. Anhang A wurde zu einem einzigen Anhang zusammengefasst; zuvor bestand er aus zwei separaten Anhängen für PII-Verarbeiter und PII-Verantwortliche.

Es wurden jedoch neue Informationssicherheitskontrollen eingeführt.

Neue Informationssicherheitskontrollen

Die 29 neuen Informationssicherheitskontrollen sind in Tabelle A.3 – Kontrollziele und Kontrollen für Verantwortliche und Verarbeiter personenbezogener Daten – aufgeführt. Zu den Kontrollen gehören:

Richtlinien zur Informationssicherheit
Klassifizierung von Informationen
Identitätsmanagement
Zugangsrechte
Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
Bewusstsein für Informationssicherheit, Aus- und Weiterbildung

Und mehr.

Ich bin bereits nach ISO 27701 zertifiziert, was bedeutet das für mich?

Die Frist für die Umstellung auf den neuen Standard ISO 27701 ist Oktober 2028. Viele der Informationssicherheitskontrollen der aktualisierten Norm ISO 27701:2025 sind jedoch direkt auf die Anforderungen der ISO 27001 abgestimmt. Daher dürfte der Wechsel zu ISO 27701:2025 als eigenständigem Standard für Organisationen, die bereits nach ISO 27701 als Erweiterung der ISO 27001 zertifiziert sind, relativ reibungslos verlaufen.

Stärken Sie noch heute Ihre Datenschutzstrategie.

Datenschutz ist ein Schlüsselelement im Compliance-Prozess von Informationssystemen: Informationssicherheit, Datenschutz und KI-Governance tragen alle zur organisatorischen Resilienz bei. Organisationen, die Cyberresilienz verankern, etablieren sich schnell als Branchenführer und erzielen Wettbewerbsvorteile. Die aktualisierte ISO 27701 unterstützt den Aufbau eines Managementsystems für Datenschutzinformationen und die ganzheitliche Verbesserung von Datenschutzpraktiken.

Die IO-Plattform und ihre Tools stehen Ihnen ab sofort zur Verfügung: Wir helfen Ihnen, die Änderungen zu verstehen, die Auswirkungen auf die Datenschutzziele Ihres Unternehmens zu prüfen, bieten Implementierungshilfen und unterstützen Sie bei der Umstellung Ihrer Zertifizierung. Sichern Sie sich noch heute Ihren Compliance-Vorteil! Buchen Sie Ihre Demo!

Christie Rae

Christie ist Content-Marketing-Spezialistin bei ISMS.online. Mit über sieben Jahren Erfahrung möchte sie informative, ansprechende Inhalte schreiben und hat in einer Reihe von Branchen gearbeitet, darunter Cybersicherheit, Software as a Service, Technologie und Pharmazie.

Lesen Sie mehr von Christie Rae

Internet-Sicherheit 29 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Rechtsbranche

Der Bericht „State of Information Security 2025“ verdeutlichte die komplexen Herausforderungen und Chancen im Bereich Cybersicherheit, mit denen sich Sicherheitsverantwortliche in den letzten 12 Jahren konfrontiert sahen.

Christie Rae

Internet-Sicherheit 17 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Fertigungs- und Versorgungsindustrie

Der diesjährige Bericht zum Stand der Informationssicherheit legte die vielfältigen Herausforderungen und Chancen offen, mit denen Sicherheitsverantwortliche in den letzten zwölf Monaten konfrontiert waren...

Christie Rae

Internet-Sicherheit 10 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Finanzbranche

Der dritte jährliche State of Information Security Report von IO enthüllte die wichtigsten Herausforderungen, denen sich Sicherheitsverantwortliche im Jahr 2025 gegenübersehen, von KI-gestützten Angriffen bis hin zu ...

Christie Rae