Was umfassen ISO 27018 und ISO 29151?
ISO / IEC 27018 Die Richtlinie bietet Leitlinien zum Schutz personenbezogener Daten in öffentlichen Cloud-Computing-Umgebungen, insbesondere für Organisationen, die als Auftragsverarbeiter personenbezogener Daten fungieren. Sie wird von Cloud-Dienstleistern häufig genutzt, um ihr Engagement für den Datenschutz zu demonstrieren.
ISO / IEC 29151 bietet einen Verhaltenskodex für den Schutz personenbezogener Daten und zusätzliche Kontrollmechanismen und Leitlinien, die über die Inhalte der ISO 27002 hinausgehen. Er richtet sich in erster Linie an Verantwortliche für personenbezogene Daten und bietet praktische Umsetzungshinweise.
Anhang E der ISO 27701:2025 bietet eine Übersicht, die die Zusammenhänge zwischen den drei Normen aufzeigt. Dies ist besonders hilfreich für Organisationen, die bereits die ISO 27018 oder ISO 29151 erfüllen und wissen möchten, inwieweit ihre bisherigen Arbeiten auf die ISO 27701:2025 übertragbar sind.
Die vollständige Kontrollstruktur finden Sie unter Anhang A – ÜbersichtInformationen zur DSGVO-Konformität finden Sie unter Zuordnung von Anhang D der DSGVODie Datenschutzgrundsätze gemäß ISO 29100 finden Sie unter Anhang C.Die entsprechenden Werte für 2019 finden Sie unter Korrespondenztabelle im Anhang FEine Übersicht aller Änderungen finden Sie unter Was ist neu in ISO 27701:2025?.
Wie lassen sich die Klauseln des Managementsystems einander zuordnen?
Die Anforderungen an das Managementsystem in Klauseln 4 bis 10 Die Normen der ISO 27701:2025 haben keine direkten Entsprechungen in der ISO 27018 oder der ISO 29151, da keine dieser Normen ein Managementsystem definiert. Das bedeutet:
- Organisationen, die bereits die Anforderungen der ISO 27018 oder ISO 29151 erfüllen, müssen dennoch die Anforderungen an das PIMS-Managementsystem (Abschnitte 4–10) umsetzen, um die Zertifizierung nach ISO 27701:2025 zu erhalten.
- Der Wert der Zuordnung liegt primär in der Überschneidung auf Steuerungsebene, nicht auf Managementsystemebene.
Wie lassen sich gemeinsame Sicherheitskontrollen abbilden?
Die Gemeinsame Sicherheitskontrollen (Tabelle A.3) Sie weisen die größte Überschneidung mit ISO 27018 und ISO 29151 auf. Diese Kontrollen decken Grundlagen der Informationssicherheit ab, die von allen drei Normen behandelt werden. Jede der folgenden B.3-Referenzen bietet Implementierungshinweise für die entsprechende A.3-Kontrolle.
| Anhang B Anleitung | Anhang A-Kontrollen | ISO 27018 | ISO 29151 | Topic |
|---|---|---|---|---|
| B.3.3-B.3.16 | A.3.3 - durch Konsolidierung, A.3.16 | 5.1, 5.2, 5.12-36, A.10-A.11 | 5.1, 5.2, 5.12-36 | Sicherheitsrichtlinien, Rollen, Klassifizierung, Zugriff, Vorfälle, Compliance |
| B.3.17-B.3.18 | A.3.17, A.3.18 | 6.3, 6.6, A.11.1 | 6.3, 6.6 | Sensibilisierung, Schulung, Vertraulichkeitsvereinbarungen |
| B.3.19-B.3.21 | A.3.19, A.3.20, A.3.21 | 7.7, 7.10, 7.14, A.11.2-13 | 7.1 bis 7.14 | Physische Sicherheit, Medien, Entsorgung |
| B.3.22-B.3.31 | A.3.22 - durch Konsolidierung, A.3.31 | 8.1, 8.5, 8.13-33, A.11.6 | 8.1, 8.13-33 | Endgeräte, Authentifizierung, Datensicherung, Protokollierung, Kryptografie, Entwicklung |
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wie werden die Steuerelemente des PII-Controllers abgebildet?
PII-Controller-Steuerungen Die Normen der ISO 27701:2025 sind primär auf die ISO 29151 übertragbar, welche einen auf PII-Controller ausgerichteten Verhaltenskodex bereitstellt. Die ISO 27018 deckt diesen Bereich nur begrenzt ab, da sie sich auf Prozessoren konzentriert. Jede B.1-Referenz bietet Implementierungshinweise für die entsprechende A.1-Kontrolle.
| Anhang B Anleitung | Anhang A-Kontrollen | ISO 27018 | ISO 29151 | Topic |
|---|---|---|---|---|
| B.1.2.2-3 | A.1.2.2, A.1.2.3 | N / A | A.4, A.4.1 | Zweckbestimmung, Rechtsgrundlage |
| B.1.2.4-5 | A.1.2.4, A.1.2.5 | N / A | A.3.1 | Einwilligung und Wahl |
| B.1.2.6 | A.1.2.6 Datenschutzfolgenabschätzung | N / A | A.11.2 | PIA-Anforderungen |
| B.1.3.2-10 | A.1.3.2 - durch Konsolidierung, A.1.3.10 | N / A | A.9, A.9.2, A.10 | Individuelle Beteiligung, Zugang, Transparenz |
| B.1.4.2-10 | A.1.4.2 - durch Konsolidierung, A.1.4.10 | N / A | A.5-A.8 | Datenerfassungsbeschränkung, Datenminimierung, Genauigkeit, Nutzungsbeschränkung |
| B.1.5.2-5 | A.1.5.2 - durch Konsolidierung, A.1.5.5 | N / A | A.7.4, A.13.2 | Übertragungssicherungen, Offenlegungsaufzeichnungen |
Wie werden die Steuerelemente des PII-Prozessors abgebildet?
PII-Prozessorsteuerung Die Anforderungen der ISO 27701:2025 weisen starke Überschneidungen mit der ISO 27018 auf, die speziell für Cloud-basierte PII-Verarbeiter entwickelt wurde. Jede B.2-Referenz bietet Implementierungshinweise für die entsprechende A.2-Kontrolle.
| Anhang B Anleitung | Anhang A Kontrolle | ISO 27018 | ISO 29151 | Topic |
|---|---|---|---|---|
| B.2.2.3 | A.2.2.3 Zwecke der Organisation | A.3.1 | N / A | Verarbeitung im Rahmen der Befugnis |
| B.2.2.4 | A.2.2.4 Marketing und Werbung | A.3.2 | N / A | Vermarktungsbeschränkungen |
| B.2.3.2 | A.2.3.2 Pflichten gegenüber PII-Auftraggebern | A.2.1 | N / A | Compliance-Unterstützung |
| B.2.4.2-4 | A.2.4.2, A.2.4.3, A.2.4.4 | A.5.1, A.10.3, A.12.2 | A.7.2, A.11.3 | Temporäre Dateien, Rückgabe personenbezogener Daten, Übermittlung |
| B.2.5.2-9 | A.2.5.2 - durch Konsolidierung, A.2.5.9 | A.6.1-2, A.8.1, A.12.1 | A.4.1, A.7.3-5, A.13.2 | Offenlegung, Unterauftragnehmer, internationale Datentransfers |
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wer profitiert am meisten von dieser Kartierung?
- Cloud-Dienstanbieter Unternehmen, die bereits nach ISO 27018 zertifiziert sind, können diese Zuordnung nutzen, um die Implementierung von ISO 27701:2025 zu beschleunigen, da viele Prozessorsteuerungen überlappen.
- Organisationen, die nach ISO 29151 zertifiziert sind können ihre bestehenden PII-Controller-Steuerungen der neuen ISO 27701:2025-Struktur zuordnen (siehe Übergangsleitfaden)
- Multistandard-Umgebungen Mithilfe dieser Zuordnung können gemeinsame Nachweise identifiziert und doppelte Compliance-Maßnahmen über verschiedene Standards hinweg vermieden werden.
Warum sollten Sie sich ISMS.online zur Einhaltung mehrerer Standards?
ISMS.online unterstützt Organisationen, die mehrere Datenschutz- und Sicherheitsstandards parallel anwenden:
- Rahmenübergreifende Ansichten — Erfahren Sie, wie eine einzige Kontrollimplementierung die Anforderungen von ISO 27701, ISO 27018, ISO 29151 und weiteren Normen erfüllt.
- Gemeinsame Beweise — Richtlinien, Verfahren und Aufzeichnungen mit mehreren Rahmenwerksanforderungen verknüpfen, ohne Duplikate zu verwenden
- Einheitliche Prüfungsvorbereitung — Erstellen Sie Nachweispakete, die mehrere Standards in einem einzigen Export abdecken
- Lückenidentifikation — Ermitteln Sie, wo bestehende Zertifizierungen bereits die Anforderungen der ISO 27701:2025 abdecken und wo neue Arbeiten erforderlich sind.
- Integriertes Managementsystem — Verwalten Sie ISO 27001, ISO 27701 und verwandte Normen auf einer Plattform
Häufig gestellte Fragen
Benötige ich zusätzlich zur ISO 27701-Zertifizierung noch eine weitere Zertifizierung, wenn ich nach ISO 27018 zertifiziert bin?
ISO 27018 und ISO 27701 dienen unterschiedlichen Zwecken. ISO 27018 bietet cloudspezifische Richtlinien für die Verarbeitung personenbezogener Daten, ist aber selbst kein zertifizierbarer Managementsystemstandard (sie erweitert ISO 27001). ISO 27701:2025 bietet ein vollständiges, eigenständiges Managementsystem für Datenschutzinformationen. Die beiden Standards ergänzen sich, und die Übersicht in Anhang E zeigt die Überschneidungen auf. Siehe auch Leitfaden zur Einhaltung der DSGVO für das DSGVO-spezifische Mapping.
Ersetzt ISO 27701:2025 ISO 27018 oder ISO 29151?
Nein. ISO 27018 und ISO 29151 bleiben eigenständige, gültige Normen. ISO 27701:2025 kann parallel dazu implementiert werden. Die Übersicht in Anhang E zeigt lediglich die Überschneidungen der Normen auf und hilft Organisationen, die mehrere Normen anwenden, Doppelarbeit zu vermeiden.
In welchem Verhältnis stehen Anhang A und Anhang B zueinander?
Anhang A Anhang A definiert die Datenschutzmaßnahmen (was Sie tun müssen), und Anhang B enthält die zugehörigen Implementierungshinweise (wie Sie diese umsetzen). Beide Anhänge sind gleich nummeriert: A.1.2.2 bezeichnet die Maßnahme, B.1.2.2 die zugehörige Anleitung. Beide Anhänge sind in der Ausgabe 2025 normativ. Die Tabellen auf dieser Seite beziehen sich auf die Nummerierung in Anhang B, da Anhang E die Implementierungshinweise den Normen ISO 27018 und ISO 29151 zuordnet. Jede Maßnahme in Anhang B hat jedoch ein direktes Gegenstück in Anhang A, das in der zweiten Spalte aufgeführt ist.
Warum wird bei einigen Steuerelementen in der Zuordnung „N/A“ angezeigt?
„N/A“ bedeutet, dass die ISO 27701:2025-Regelung kein direktes Äquivalent in dieser Norm hat. Beispielsweise wird für PII-Controller-Regelungen „N/A“ für ISO 27018 angezeigt, da ISO 27018 ausschließlich PII-Prozessoren abdeckt. Ebenso wird für einige Prozessor-Regelungen „N/A“ für ISO 29151 angezeigt, da diese Norm den Fokus auf PII-Controller legt.
Sie finden weitere Information in der Produktübersicht für Leitfaden zur Anwendbarkeitserklärung zur Dokumentation, wie diese Zuordnungen Ihre Auswahl der Steuerung beeinflussen.
SaaS-Unternehmen finden in unserem Angebot maßgeschneiderte Beratung. ISO 27701:2025 für SaaS-Plattformen -Guide.
