Was sagt Anhang D aus?
Anhang D ist ein informativer Anhang, der die Klauseln und Kontrollen der ISO 27701:2025 den Artikeln 5 bis 35 und 44 bis 49 (mit Ausnahme der Artikel 36 bis 43) der Norm zuordnet. EU-Datenschutzgrundverordnung (DSGVO)Es zeigt, wie die Einhaltung der Anforderungen und Kontrollen der Norm für die Erfüllung relevant sein kann. DSGVO-Verpflichtungen.
Wichtig: Diese Zuordnung dient lediglich der Orientierung. Es obliegt der Organisation, ihre eigenen rechtlichen Verpflichtungen zu prüfen und zu entscheiden, wie sie diese erfüllen kann. Die Implementierung von Kontrollen gemäß ISO 27701:2025 garantiert nicht automatisch die Einhaltung der DSGVO, bietet aber einen strukturierten Rahmen, um nachzuweisen, dass die wichtigsten Anforderungen erfüllt wurden.
Einen umfassenderen Überblick über die wichtigsten Änderungen finden Sie unter Was ist neu in ISO 27701:2025?Informationen zur Zuordnung zu anderen Frameworks finden Sie unter Anhang C (ISO 29100) und Anhang E (ISO 27018/29151)Die entsprechenden Werte für 2019 finden Sie unter Korrespondenztabelle im Anhang F.
Wie werden die Klauseln des Managementsystems der DSGVO zugeordnet?
die Anforderungen des Standards an das Managementsystem (Klauseln 4 bis 10) beziehen sich hauptsächlich auf Artikel der DSGVO zu Datenschutzverantwortung, Zertifizierung, Folgenabschätzungen und Konsultation der Aufsichtsbehörden.
| ISO 27701:2025 Abschnitt | Wichtige DSGVO-Artikel | Topic |
|---|---|---|
| 4.1 Die Organisation verstehen | Art. 24, 25, 28, 32 | Datenschutzverantwortung, Verhaltenskodizes, Zertifizierung |
| 4.2 Bedürfnisse der Interessengruppen | Kunst. 31, 35 | Zusammenarbeit mit der Aufsichtsbehörde, Konsultation zur Datenschutz-Folgenabschätzung |
| 4.3-4.4 Geltungsbereich und PIMS | Art. 32 | Sicherheit der Verarbeitung |
| 5.2 Datenschutzrichtlinie | Art. 24 | Verantwortung des Verantwortlichen |
| 5.3 Rollen und Verantwortlichkeiten | Art. 27, 37-39 | Vertreter von Nicht-EU-Organisationen, Benennung des Datenschutzbeauftragten und Aufgaben |
| 6.1.2-6.1.3 Risikobewertung und Behandlung | Kunst. 32, 35 | Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung |
Wie lassen sich die Kontrollmechanismen für PII-Verantwortliche (B.1) der DSGVO zuordnen?
Die PII-Controller Die Umsetzungshinweise in Anhang B orientieren sich weitgehend an den Kernprinzipien und den Rechten der betroffenen Personen der DSGVO. Jede Kontrollmaßnahme gemäß Abschnitt B.1 enthält Umsetzungshinweise für die entsprechende Anhang A Kontrolle mit der gleichen Nummerierung (z. B. B.1.2.2 ist die Anleitung für A.1.2.2).
| Anhang B Anleitung | Anhang A Kontrolle | Wichtige DSGVO-Artikel | Topic |
|---|---|---|---|
| B.1.2.2 | A.1.2.2 Zweck ermitteln und dokumentieren | Art. 5(1)(b), 32(4) | Zweckbegrenzung |
| B.1.2.3 | A.1.2.3 Rechtmäßige Grundlage ermitteln | Art. 5(1)(a), 6(1)-(4), 8, 9, 10, 17, 18, 22 | Rechtmäßigkeit, besondere Kategorien, strafrechtliche Daten, Einwilligung von Kindern |
| B.1.2.4-5 | A.1.2.4 Einwilligung feststellen, A.1.2.5 Einwilligung einholen und protokollieren | Art. 7, 8, 9(2)(a) | Bedingungen für die Einwilligung |
| B.1.2.6 | A.1.2.6 Datenschutzfolgenabschätzung | Art. 35 | Datenschutz-Folgenabschätzung und vorherige Konsultation |
| B.1.2.9 | A.1.2.9 Aufzeichnungen über die Verarbeitung | Art. 5(2), 24, 30 | Rechenschaftspflicht, Aufzeichnungen über Verarbeitungstätigkeiten |
| B.1.3.3-4 | A.1.3.3 Informationen für PII-Verantwortliche, A.1.3.4 Bereitstellung von Informationen | Art. 11-15, 18, 21 | Transparenz, Information der betroffenen Personen |
| B.1.3.5 | A.1.3.5 Widerruf der Einwilligung | Art. 7(3), 13, 14, 18 | Recht auf Widerruf der Einwilligung, Einschränkung der Verarbeitung |
| B.1.3.6 | A.1.3.6 Widerspruch gegen die Verarbeitung | Art. 13, 14, 21 | Widerspruchsrecht |
| B.1.3.7 | A.1.3.7 Zugang, Berichtigung oder Löschung | Art. 5(1)(d), 13, 14, 16, 17 | Recht auf Auskunft, Berichtigung, Löschung |
| B.1.3.9 | A.1.3.9 Bereitstellung einer Kopie der personenbezogenen Daten | Art. 15(3-4), 20 | Recht auf Datenübertragbarkeit |
| B.1.3.10 | A.1.3.10 Bearbeitung von Anfragen | Art. 12(3-6), 15 | Verfahren zur Ausübung von Rechten |
| B.1.3.11 | A.1.3.11 Automatisierte Entscheidungsfindung | Art. 13, 14, 22 | Automatisierte individuelle Entscheidungsfindung, Profilerstellung |
| B.1.4.2-3 | A.1.4.2 Begrenzung der Inkasso, A.1.4.3 Begrenzung der Verarbeitung | Art. 5(1)(bc), 25(2) | Zweckbindung, Datenminimierung, Datenschutz durch Technikgestaltung |
| B.1.4.6 | A.1.4.6 Anonymisierung und Löschung | Kunst. 5(1)(ce), 6(4)(e), 11, 32 | Datenminimierung, Speicherbegrenzung, Pseudonymisierung |
| B.1.5.2 | A.1.5.2 Grundlage für internationale Überweisungen | Art. 15, 30, 44-49 | Transfers in Drittländer, Angemessenheit, Schutzmaßnahmen, BCRs, Ausnahmen |
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wie lassen sich die Kontrollmechanismen für PII-Verarbeiter (B.2) der DSGVO zuordnen?
Die PII-Prozessor Die Implementierungshinweise folgen der gleichen Nummerierungskonvention. Jeder Verweis auf B.2 entspricht der zugehörigen Kontrollmaßnahme in A.2.
| Anhang B Anleitung | Anhang A Kontrolle | Wichtige DSGVO-Artikel | Topic |
|---|---|---|---|
| B.2.2.2 | A.2.2.2 Kundenvereinbarung | Kunst. 28, 35 | Auftragsverarbeiterpflichten, Unterstützung der Datenschutz-Folgenabschätzung |
| B.2.2.3 | A.2.2.3 Zwecke der Organisation | Art. 5(1)(ab), 28(3)(a), 29, 32 | Verarbeitung unter der Aufsicht des Verantwortlichen |
| B.2.2.4 | A.2.2.4 Marketing und Werbung | Art. 7(4) | Einwilligung nicht an Dienstleistung geknüpft |
| B.2.2.7 | A.2.2.7 Aufzeichnungen über die Verarbeitung | Art. 30(2-5) | Aufzeichnungen über Verarbeitungstätigkeiten (Auftragsverarbeiter) |
| B.2.3.2 | A.2.3.2 Pflichten gegenüber PII-Auftraggebern | Art. 15(3), 17(2), 28(3)(e) | Unterstützung des Verantwortlichen bei Anfragen von betroffenen Personen |
| B.2.4.3 | A.2.4.3 Rückgabe oder Entsorgung von personenbezogenen Daten | Art. 28(3)(g), 30(1)(f) | Löschung oder Rückgabe nach Beendigung der Dienstleistung |
| B.2.5.2 | A.2.5.2 Internationale Transfers | Art. 44, 46, 48, 49 | Übermittlungen in Drittländer (Auftragsverarbeiter) |
| B.2.5.7 | A.2.5.7 Offenlegung von Subunternehmern | Art. 28(2) | Unterauftragnehmergenehmigung |
| B.2.5.8 | A.2.5.8 Beauftragung von Subunternehmern | Art. 28(2-4) | Vertragliche Anforderungen an Unterauftragnehmer |
| B.2.5.9 | A.2.5.9 Wechsel des Subunternehmers | Art. 28(2) | Benachrichtigung über Änderungen des Unterprozessors |
Wie lassen sich gemeinsame Sicherheitskontrollen (B.3) der DSGVO zuordnen?
Die gemeinsame Sicherheitskontrollen Die Zuordnung erfolgt primär zu Artikel 5 Absatz 1 Buchstabe f DSGVO (Integrität und Vertraulichkeit) und Artikel 32 DSGVO (Sicherheit der Verarbeitung). Jeder Verweis in B.3 entspricht der entsprechenden Kontrollmaßnahme in A.3.
| Anhang B Anleitung | Anhang A-Kontrollen | Wichtige DSGVO-Artikel | Topic |
|---|---|---|---|
| B.3.5-9 | A.3.5 Klassifizierung, A.3.6 Beschriftung, A.3.7 Transfer, A.3.8 Identität, A.3.9 Zugang | Art. 5 Abs. 1 lit. f | Grundsatz der Integrität und Vertraulichkeit |
| B.3.10, B.3.13 | A.3.10 Lieferantenvereinbarungen, A.3.13 Rechtliche Anforderungen | Kunst. 28, 32 | Pflichten des Auftragsverarbeiters, Sicherheit der Verarbeitung |
| B.3.11-12 | A.3.11 Vorfallmanagement, A.3.12 Reaktion auf Vorfälle | Kunst. 33-34 | Benachrichtigung über Datenschutzverletzungen (an die Aufsichtsbehörde und die betroffenen Personen) |
| B.3.14, B.3.16 | A.3.14 Schutz von Aufzeichnungen, A.3.16 Einhaltung | Art. 5(2), 24, 32 | Rechenschaftspflicht, Überprüfung der Einhaltung |
| B.3.19-25 | A.3.19 Aufräumen des Schreibtisches, A.3.20 Speichermedien, A.3.21 Entsorgung, A.3.22 Endpunkte, A.3.23 Authentifizierung, A.3.24 Backup, A.3.25 Protokollierung | Art. 5(1)(f), 32(1)(a) | Integrität, Vertraulichkeit, Verschlüsselung und Pseudonymisierung |
| B.3.26 | A.3.26 Einsatz von Kryptographie | Art. 32 Abs. 1 Buchstabe a | Verschlüsselung und Pseudonymisierung |
| B.3.27-29 | A.3.27 Sichere Entwicklung, A.3.28 Anwendungssicherheit, A.3.29 Systemarchitektur | Art. 25(1) | Datenschutz durch Technikgestaltung |
| B.3.31 | A.3.31 Testinformationen | Art. 5(1)(f), 32 | Schutz personenbezogener Daten in Testumgebungen |
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie lässt sich dieses Mapping in der Praxis anwenden?
Die Zuordnung nach Anhang D ist ein Ausgangspunkt, keine Checkliste zur Einhaltung der Vorschriften. So nutzen Sie sie effektiv:
- Lückenanalyse: Wenn Sie die Kontrollen gemäß ISO 27701:2025 implementiert haben, verwenden Sie die Zuordnung, um festzustellen, welche Artikel der DSGVO Sie bereits abgedeckt haben und wo noch Lücken bestehen.
- Prüfungsnachweise: Verweisen Sie auf die Zuordnung, wenn Sie Aufsichtsbehörden oder Prüfern nachweisen, dass Ihr PIMS die DSGVO-Konformität unterstützt.
- Rahmenübergreifende Berichterstattung: Nutzen Sie die Zuordnung, um einheitliche Compliance-Berichte zu erstellen, die zeigen, wie ein Satz von Kontrollen mehrere regulatorische Anforderungen erfüllt.
- Unterstützung der Datenschutz-Folgenabschätzung: Die Zuordnung zu Artikel 35 hilft Ihnen dabei, Ihre Datenschutz-Folgenabschätzungen zu verknüpfen (Steuerung A.1.2.6) zu den Datenschutz-Folgenabschätzungsanforderungen der DSGVO
- Übergangsplanung: Wenn Sie von ISO 27701:2019 wechseln, verwenden Sie die Zuordnung zusammen mit Übergangsleitfaden um zu prüfen, ob die DSGVO-Abdeckung unter der neuen Kontrollstruktur gilt
Beachten Sie, dass die Einhaltung der DSGVO Verpflichtungen mit sich bringt, die über den Rahmen einzelner Normen hinausgehen (z. B. die Benennung einer federführenden Aufsichtsbehörde, die Reaktion auf behördliche Maßnahmen). Die Übersicht zeigt, wo ISO 27701:2025 strukturierte Unterstützung bietet, nicht aber, wo die Einhaltung garantiert ist.
Warum sollten Sie sich ISMS.online zur Angleichung an DSGVO und ISO 27701?
ISMS.online Hilft Ihnen dabei, beide Frameworks auf einer einzigen Plattform zu verwalten:
- Integrierte Compliance-Ansichten — Sehen Sie in einem Dashboard, wie die Kontrollen der ISO 27701:2025 den Anforderungen der DSGVO entsprechen.
- Evidenzbibliothek — Fügen Sie die gleichen Nachweise (Richtlinien, Datenschutz-Folgenabschätzungen, Verfahren bei Datenschutzverletzungen) sowohl den ISO 27701-Kontrollen als auch den DSGVO-Anforderungen bei.
- Regulatorische Verfolgung — Bleiben Sie hinsichtlich der aktuellen Entwicklungen bei der Durchsetzung der DSGVO auf dem Laufenden und aktualisieren Sie Ihr PIMS entsprechend.
- Datenzuordnung — Dokumentieren Sie Ihre Verarbeitungstätigkeiten, Rechtsgrundlagen und internationalen Datentransfers in einem strukturierten Register.
- Verletzungsmanagement — Verfolgung von Vorfällen von der Erkennung bis zur Benachrichtigung, in Übereinstimmung mit Art. 33/34 und den Kontrollen A.3.11/A.3.12
Häufig gestellte Fragen
Bedeutet die Implementierung von ISO 27701:2025, dass ich DSGVO-konform bin?
Nicht automatisch. ISO 27701:2025 bietet einen Rahmen für Managementsysteme, der viele Anforderungen der DSGVO unterstützt. Die DSGVO-Konformität hängt jedoch von Ihren spezifischen Verarbeitungstätigkeiten, den Rechtsgrundlagen und der Implementierung und dem Betrieb Ihrer Kontrollen ab. Die Zuordnung in Anhang D dient lediglich der Orientierung und stellt keine Konformitätsbescheinigung dar. Detaillierte Informationen darüber, wie die Norm die DSGVO unterstützt, finden Sie unter [Link einfügen]. Leitfaden zur Einhaltung der DSGVO.
Welche Artikel der DSGVO werden in ISO 27701:2025 am umfassendsten abgedeckt?
Die Artikel 5 (Grundsätze), 6 (Rechtsgrundlage), 12–22 (Rechte der betroffenen Personen), 25 (Datenschutz durch Technikgestaltung), 28 (Pflichten des Auftragsverarbeiters), 30 (Verarbeitungsverzeichnisse), 32 (Sicherheit), 33–34 (Meldung von Datenschutzverletzungen) und 44–49 (internationale Datenübermittlung) weisen allesamt umfassende Entsprechungen zu den Kontrollen der ISO 27701:2025 auf. Steuerung die umfassendste Abdeckung gewährleisten und dabei die Rechte der betroffenen Personen, die Zweckbindung und die Anforderungen an die Rechtsgrundlage berücksichtigen.
Hat sich die DSGVO-Zuordnung gegenüber der Ausgabe von 2019 geändert?
Die Zuordnung wurde aktualisiert, um die neue Kontrollnummerierung widerzuspiegeln (Anhang A/B-Struktur anstelle der Klauseln 6–8), die zugrunde liegenden Artikel der DSGVO bleiben jedoch weitgehend gleich. Die Zuordnung für 2025 ist in einigen Bereichen aufgrund der neu strukturierten Kontrollgruppe detaillierter. Siehe die vollständiger Vergleich der Änderungen .
In welchem Verhältnis stehen Anhang A und Anhang B zueinander?
Anhang A definiert die Datenschutzmaßnahmen (was Sie tun müssen), und Anhang B enthält die entsprechenden Umsetzungshinweise (wie Sie diese umsetzen). Beide haben dieselbe Nummerierung: A.1.2.2 B.1.2.2 ist die Kontrollmaßnahme und B.1.2.2 die zugehörige Anleitung. Beide Anhänge sind in der Fassung von 2025 normativ. Die Zuordnung in Anhang D bezieht sich auf die Nummerierung der B-Anhänge, da sie die Umsetzungshinweise den Artikeln der DSGVO zuordnet; jede Kontrollmaßnahme der B-Anhänge hat jedoch ein direktes Gegenstück in Anhang A.
Praktische Hinweise zur Umsetzung von Kontrollen für grenzüberschreitende Geldtransfers finden Sie in unserem Leitfaden für grenzüberschreitende Datentransfers.
Verstehen Sie das vollständige finanzielle Bild in unserer Analyse der Kosten der Nichteinhaltung im Vergleich zur Zertifizierung.
Datenschutzbeauftragte finden in unserer Website eine fokussierte Perspektive auf diese Verpflichtungen. Leitfaden für Datenschutzbeauftragte.
