Was bedeutet Akkreditierung und warum ist sie wichtig?
Nicht alle Zertifizierungsstellen sind gleich. Der entscheidende Unterschied besteht darin, dass Beglaubigung — ob die Stelle unabhängig verifiziert wurde, dass sie ISO 27701-Audits nach einem international anerkannten Standard durchführt.
In Großbritannien, UKAS Der United Kingdom Accreditation Service (UKAS) ist die nationale Akkreditierungsstelle. Eine vom UKAS akkreditierte Zertifizierungsstelle wurde gemäß ISO/IEC 17021 (Anforderungen an Audit- und Zertifizierungsstellen) bewertet und hat insbesondere ihre Kompetenz in ISO 27701 nachgewiesen.
Warum das wichtig ist:
- Glaubwürdigkeit des Zertifikats Ein akkreditiertes Zertifikat genießt internationale Anerkennung durch gegenseitige Anerkennungsabkommen zwischen Akkreditierungsstellen weltweit. Ein nicht akkreditiertes Zertifikat wird von Kunden, Aufsichtsbehörden oder Beschaffungsteams möglicherweise nicht akzeptiert.
- Auditqualität — Akkreditierte Stellen unterliegen einer fortlaufenden Aufsicht. Ihre Prüfer müssen Kompetenzanforderungen erfüllen und standardisierte Prüfmethoden anwenden.
- Berufungsverfahren — Wenn Sie mit einem Prüfungsergebnis nicht einverstanden sind, stehen Ihnen bei akkreditierten Stellen formelle Beschwerde- und Berufungsverfahren zur Verfügung, die durch ihre Akkreditierung geregelt sind.
Überprüfen Sie die Akkreditierung immer direkt. In Großbritannien suchen Sie nach der UKAS-RegisterInternational sollten Sie sich bei der zuständigen nationalen Akkreditierungsstelle oder beim IAF (International Accreditation Forum) erkundigen.
Was sind die wichtigsten Auswahlkriterien?
| Kriterium | Was zu überprüfen | Warum es wichtig ist |
|---|---|---|
| Akkreditierungsumfang | Vergewissern Sie sich, dass die Stelle speziell für ISO/IEC 27701 akkreditiert ist, nicht nur für ISO 27001. | Die ISO 27001-Akkreditierung allein berechtigt die Stelle nicht zur Zertifizierung nach ISO 27701. |
| Bereitschaft für die Ausgabe 2025 | Fragen Sie nach, ob sie derzeit Zertifikate für die Ausgabe 2025 ausstellen. | Einige Organisationen sind möglicherweise noch dabei, ihre Prüfsysteme für die eigenständige Struktur 2025 |
| Expertise eines Datenschutzprüfers | Erkundigen Sie sich nach den Qualifikationen des leitenden Auditors: ISO 27701 Lead Auditor, DSGVO-Kenntnisse, IAPP-Zertifizierungen. | Ein Auditor, der sich mit Datenschutzbestimmungen (und nicht nur mit Managementsystemen) auskennt, wird Ihr PIMS effektiver beurteilen. |
| Branchenerfahrung | Fordern Sie Beispiele von Kunden aus Ihrer Branche an. | Ein mit dem Datenverarbeitungskontext Ihrer Branche vertrauter Wirtschaftsprüfer wird Ihre Kontroll- und Risikoentscheidungen schneller verstehen. |
| Geographische Abdeckung | Bestätigen Sie, dass sie alle Standorte in Ihrem Zertifizierungsbereich auditieren können. | Organisationen mit mehreren Standorten oder internationale Organisationen benötigen eine Stelle, die effizient Prüfungen über verschiedene Rechtsordnungen hinweg durchführen kann. |
| Integrierte Prüffähigkeit | Falls Sie auch über die ISO 27001-Zertifizierung verfügen, fragen Sie nach, ob kombinierte Audits durchgeführt werden können. | Eine kombinierte Prüfung reduziert die Gesamtzahl der Prüfungstage, die Reisekosten und die Störungen für Ihr Team. |
| Preistransparenz | Fordern Sie ein detailliertes Angebot an, das Phase 1, Phase 2, Überwachung und Rezertifizierung umfasst. | Manche Anbieter bieten niedrigere Einstiegspreise, dafür aber höhere Überwachungs- oder Rezertifizierungsgebühren. Leitfaden zu den Zertifizierungskosten beinhaltet typische Gebührenspannen nach Organisationsgröße |
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Wie funktioniert der Auditprozess nach ISO 27701:2025?
Ohne fundierte Kenntnisse zu der Auditprozess hilft Ihnen dabei, sich effektiv vorzubereiten und Erwartungen mit Ihrem Team abzustimmen:
Phase-1-Audit (Dokumentenprüfung)
Der Auditor prüft Ihre PIMS-Dokumentation, um festzustellen, ob Ihr Managementsystem den Anforderungen entspricht. Anforderungen der ISO 27701:2025Zu den wichtigsten Dokumenten gehören:
- PIMS-Geltungsbereich und Kontextdokumentation (Abschnitte 4.1–4.4)
- Datenschutzrichtlinie (Klausel 5.2)
- Risikobewertung und Behandlungsplan für Datenschutzrisiken (Abschnitte 6.1.2–6.1.3)
- Erklärung zur Anwendbarkeit Referenzierung Anhang A-Kontrollen
- Internes Prüfungsprogramm und Ergebnisse (Abschnitt 9.2)
- Managementbewertungsberichte (Klausel 9.3)
Phase 1 dauert in der Regel 1–2 Tage. Der Prüfer wird alle Bedenken ansprechen, die vor Phase 2 geklärt werden müssen.
Phase-2-Audit (Implementierungsaudit)
Dies ist das Hauptaudit. Der Auditor überprüft, ob Ihr PIMS implementiert ist und effektiv funktioniert – und nicht nur dokumentiert ist. Er wird:
- Befragen Sie die Mitarbeiter, um deren Kenntnis und Verständnis der Datenschutzbestimmungen zu bestätigen.
- Musteranfrage Nachweise für implementierte Kontrollen (Richtlinien zur Kenntnis genommen, Risiken geprüft, Vorfälle bearbeitet)
- Vergewissern Sie sich, dass Ihre Anwendbarkeitserklärung Ihre Kontrollmaßnahmen korrekt widerspiegelt.
- Beurteilen Sie die Effektivität Ihrer Managementbewertungs- und kontinuierlichen Verbesserungsprozesse.
Phase 2 dauert in der Regel 2 bis 8 Tage, abhängig von der Größe und dem Umfang Ihrer Organisation.
Prüfungsergebnisse
| Typ finden | Was es bedeutet | Auswirkungen auf die Zertifizierung |
|---|---|---|
| Schwerwiegende Nichtkonformität | Eine Anforderung wird nicht erfüllt, oder eine Kontrollmaßnahme fehlt oder ist grundlegend unwirksam. | Muss vor der Zertifizierung geklärt werden. Gegebenenfalls ist ein Nachprüfungsbesuch erforderlich. |
| Kleinere Abweichung | Eine Anforderung wird nur teilweise erfüllt oder die Umsetzung ist inkonsistent. | Die Angelegenheit muss innerhalb eines vereinbarten Zeitraums (in der Regel 90 Tage) geklärt werden. Anschließend kann die Zertifizierung erfolgen. |
| Möglichkeit zur Verbesserung | Ein Verbesserungsvorschlag für Ihr PIMS, keine Anforderungsverletzung | Keine Auswirkungen auf die Zertifizierung. Die Behandlung erfolgt nach eigenem Ermessen. |
Überwachung und Rezertifizierung
Nach der Erstzertifizierung finden jährliche Überwachungsaudits (kürzere, fokussierte Prüfungen) und alle drei Jahre ein vollständiges Rezertifizierungsaudit statt. Ihre Zertifizierungsstelle sollte Ihnen von Anfang an einen klaren Zeitplan hierfür zur Verfügung stellen.
Welche Fragen sollten Sie sich vor einer Zusage stellen?
Nutzen Sie diese Fragen bei der Bewertung von Zertifizierungsstellen:
- Sind Sie nach ISO/IEC 27701 von UKAS akkreditiert? — Prüfen Sie den spezifischen Standard, nicht nur ISO 27001.
- Stellen Sie Zertifikate für die Ausgabe 2025 aus? — Einige Institutionen befinden sich möglicherweise noch in der Umstellungsphase ihrer Prüfsysteme.
- Wer wird mein leitender Auditor sein und welche Kenntnisse im Bereich Datenschutz hat er/sie? — Die Kompetenz des Wirtschaftsprüfers beeinflusst unmittelbar die Qualität Ihres Prüfungserlebnisses.
- Können Sie mir einen detaillierten Kostenvoranschlag für den gesamten Dreijahreszeitraum zukommen lassen? — Vergleichen Sie die Gesamtkosten (Phase 1 + Phase 2 + 2 Überwachungen + Rezertifizierung), nicht nur die anfängliche Auditgebühr.
- Können Sie ein kombiniertes ISO 27001/27701-Audit durchführen? — Falls zutreffend, spart dies Zeit und Geld.
- Wie lautet Ihre Richtlinie zur Rotation der Wirtschaftsprüfer? Manche Organisationen bevorzugen Beständigkeit, andere schätzen neue Perspektiven. Klären Sie, ob Sie während des gesamten Prüfungszyklus denselben Prüfer haben werden.
- Wie gehen Sie mit schwerwiegenden Abweichungen um? — Informieren Sie sich über den Zeitrahmen für die Problemlösung und darüber, ob für einen Folgebesuch zusätzliche Gebühren anfallen.
- Was ist Ihre Verfügbarkeit? — Gängige Zertifizierungsstellen haben möglicherweise Vorlaufzeiten von 2–3 Monaten. Berücksichtigen Sie dies bei Ihrer Zertifizierungsplanung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie vergleicht man Angebote fair?
Holen Sie Angebote von mindestens drei akkreditierten Stellen ein und vergleichen Sie diese auf vergleichbarer Basis:
| Werbebuchung | Körper A | Körper B | Körper C |
|---|---|---|---|
| Phase-1-Audit (Tage / Kosten) | - | - | - |
| Phase-2-Audit (Tage / Kosten) | - | - | - |
| Überwachungsjahr 1 (Tage / Kosten) | - | - | - |
| Überwachungsjahr 2 (Tage / Kosten) | - | - | - |
| Rezertifizierung Jahr 3 (Tage / Kosten) | - | - | - |
| Zertifikatsausstellungs-/UKAS-Gebühr | - | - | - |
| Reisekosten | - | - | - |
| Gesamtkosten für 3 Jahre | - | - | - |
Das günstigste Angebot ist nicht immer das beste. Berücksichtigen Sie die Expertise des Prüfers, den Ruf des Unternehmens und ob kombinierte Prüfungen (falls zutreffend) angeboten werden. Ein erfahrenerer Prüfer kann echte Verbesserungspotenziale aufdecken, anstatt nur Checklisten abzuhaken. Wenn Sie außerdem einen Berater, um sicherzustellen, dass sie und die Zertifizierungsstelle völlig unabhängig sind.
Warum sollten Sie sich ISMS.online für ISO 27701:2025?
- Auditbereit vom ersten Tag an — Vorgefertigtes Framework mit allen Anforderungen der ISO 27701:2025 und die in Anhang A aufgeführten Kontrollen sind kartiert und nachverfolgbar
- Saubere Beweiskette — Verknüpfte Risiken, Kontrollen, Richtlinien und Nachweise geben den Prüfern einen klaren Handlungspfad vor, wodurch die Prüfungsdauer und die Ergebnisse reduziert werden.
- Automatisierte SoA — Erstellen Sie Ihre Anwendbarkeitserklärung aus Ihren Kontrollauswahlen, inklusive Begründungen und Nachweisverknüpfungen, die zur Überprüfung durch den Wirtschaftsprüfer bereitstehen.
- Instrumente der internen Revision — Planung und Durchführung interner Audits vor der Zertifizierung inklusive Ergebnismanagement und Nachverfolgung von Korrekturmaßnahmen
- Unterstützung bei Managementbewertungen — Dashboards liefern die Informationen, die Prüfer in Ihren Management-Review-Berichten erwarten.
- Mehrrahmen für kombinierte Audits — Falls Ihre Zertifizierungsstelle ein kombiniertes ISO 27001/27701-Audit durchführt, präsentiert die Plattform beide Rahmenwerke an einem Ort
- Ständige Einsatzbereitschaft — Bleiben Sie zwischen den Überwachungsbesuchen durch Aufgabenmanagement, Prüfzyklen und Compliance-Dashboards jederzeit auditbereit.
Sind Sie bereit, sich auf Ihr Zertifizierungsaudit vorzubereiten? Kontakt und sehen, wie ISMS.online unterstützt Ihre ISO 27701: 2025 Zertifizierung Reise.
Häufig gestellte Fragen
Kann ich die Zertifizierungsstelle während des Zertifizierungszyklus wechseln?
Ja, durch ein Verfahren namens Zertifizierungsübertragung. Die neue Zertifizierungsstelle prüft Ihr bestehendes Zertifikat, Ihre Audithistorie und alle noch offenen Abweichungen, bevor sie die Übertragung akzeptiert. Dies ist in der Regel unkompliziert, kann aber zusätzliche Gebühren verursachen. Planen Sie die Übertragung am besten zeitgleich mit einem Überwachungs- oder Rezertifizierungsaudit, um Störungen zu minimieren.
Worin besteht der Unterschied zwischen einer UKAS- und einer Nicht-UKAS-Zertifizierung?
Die UKAS-Akkreditierung bedeutet, dass die Zertifizierungsstelle unabhängig nach internationalen Standards hinsichtlich ihrer Auditkompetenz bewertet wurde. Nicht UKAS-akkreditierte Zertifikate werden von Beschaffungsabteilungen, Aufsichtsbehörden oder internationalen Partnern möglicherweise nicht anerkannt. Für die meisten kommerziellen Zwecke ist ein UKAS-akkreditiertes (oder ein gleichwertiges nationales) Zertifikat unerlässlich.
Wie weit im Voraus sollte ich meinen Audit buchen?
Die meisten Zertifizierungsstellen benötigen für die Terminplanung 6–12 Wochen Vorlaufzeit. Bei besonders gefragten Stellen oder speziellen Anforderungen von Auditoren kann die Vorlaufzeit länger sein. Kontaktieren Sie Ihre bevorzugte Stelle frühzeitig in der Implementierungsphase, um einen vorläufigen Audittermin zu vereinbaren, und bestätigen Sie diesen, sobald Sie sich sicher fühlen, bereit zu sein.
Kann ich ein Fernaudit durchführen lassen?
Ja, Remote-Audits sind mittlerweile weit verbreitet, insbesondere aufgrund der in den Jahren 2020–2022 etablierten Praktiken. Die meisten Zertifizierungsstellen bieten vollständig virtuelle oder hybride Audits an. Remote-Audits können Reisekosten und Planungsaufwand reduzieren. Die Zertifizierungsstelle entscheidet jedoch anhand der Größe und Komplexität Ihres Unternehmens sowie des Umfangs des Audits, ob ein Remote-Audit für Sie geeignet ist.
Was passiert, wenn ich das Audit der Stufe 2 nicht bestehe?
Werden schwerwiegende Abweichungen festgestellt, wird die Zertifizierung bis zu deren Behebung ausgesetzt. Sie haben in der Regel 90 Tage Zeit, Korrekturmaßnahmen umzusetzen. Die Zertifizierungsstelle kann je nach Art der festgestellten Abweichungen einen Nachbesuch (gegen Aufpreis) verlangen oder den Nachweis der Behebung auch digital akzeptieren. Geringfügige Abweichungen verhindern die Zertifizierung nicht, müssen aber innerhalb der vereinbarten Frist behoben werden.
