Zum Inhalt
ISMS.online

Wie man Lieferanten anhand der ISO 27701:2025 bewertet

Bei der Bewertung von Lieferanten gemäß ISO 27701 ist es entscheidend zu wissen, worauf es ankommt, um echte Datenschutzgarantien von einer bloßen Formalität zu unterscheiden. Dieser Leitfaden unterstützt Einkaufsteams bei der Beurteilung von Lieferantenzertifizierungen, der Angemessenheit des Leistungsumfangs und des Reifegrads im Bereich Datenschutz.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Warum sollten sich Einkaufsteams für ISO 27701 interessieren?

Jede Organisation, die personenbezogene Daten an einen Lieferanten weitergibt, geht ein Risiko ein. Datenschutzbestimmungen (DSGVO, LGPD, PDPA u. a.) verpflichten Verantwortliche zur Einhaltung der Datenschutzpraktiken ihrer Auftragsverarbeiter. Ein Verstoß eines Lieferanten wird in den Augen der Aufsichtsbehörden und der betroffenen Personen auch zu einem Verstoß Ihrerseits. Kosten der Nichteinhaltung plädiert für eine strenge Lieferantenbewertung.

Die ISO 27701-Zertifizierung ist ein unabhängiges, nachvollziehbares Signal dafür, dass ein Anbieter ein strukturiertes Managementsystem für Datenschutzinformationen implementiert hat. Doch nicht alle Zertifizierungen sind gleichwertig – Umfang, Akkreditierung und die fortlaufende Einhaltung der Vorschriften sind entscheidend. Dieser Leitfaden hilft Ihnen, die tatsächliche Qualität der Zertifizierung zu beurteilen.

Worauf sollte man bei einem ISO 27701-Zertifikat achten?

Ein ISO 27701-Zertifikat ist ein offizielles Dokument, das von einer Zertifizierungsstelle nach erfolgreichem Audit ausgestellt wird. Folgendes ist zu überprüfen:

Zertifikatselement Was zu überprüfen Warum es wichtig ist
Zertifizierungsstelle Ist die Einrichtung von einer anerkannten nationalen Akkreditierungsstelle (z. B. UKAS, ANAB, DAkkS) akkreditiert? Siehe unseren Leitfaden zu Auswahl einer Zertifizierungsstelle Nicht akkreditierte Zertifizierungen haben ein geringeres Gewicht und genügen möglicherweise nicht den von den Aufsichtsbehörden erwarteten strengen Anforderungen.
Standard Version Bezieht es sich auf ISO 27701:2019 oder ISO 27701:2025? Die Ausgabe 2025 ist die aktuelle Version. Lieferanten der Ausgabe 2019 sollten über eine Übergangsplan.
Geltungsbereichserklärung Umfasst der Geltungsbereich die für Ihren Vertrag relevanten Dienstleistungen und Datenverarbeitungen? Ein zu enger Anwendungsbereich kann dazu führen, dass die von Ihnen benötigten Verarbeitungstätigkeiten nicht berücksichtigt werden.
Rolle (Verantwortlicher/Auftragsverarbeiter) Ist der Lieferant als PII-Controller, -Verarbeiter oder beides zertifiziert? Stellen Sie sicher, dass die zertifizierte Rolle mit Ihrem Vertragsverhältnis übereinstimmt.
Gültigkeitsdaten Ist das Zertifikat gültig? Wann findet die nächste Überwachungsprüfung statt? Abgelaufene oder ungültig gewordene Zertifikate bieten keine Gewähr.
Erklärung zur Anwendbarkeit Welche Steuerungen von Anhang A Sind sie eingeschlossen oder ausgeschlossen? Ausgeschlossene Kontrollen können auf Lücken hinweisen, die für Ihre Datenverarbeitungsanforderungen relevant sind.

Wie beurteilt man, ob der Umfang angemessen ist?

Der Geltungsbereich ist das wichtigste Bewertungskriterium. Ein Lieferant kann zwar über ein gültiges ISO 27701-Zertifikat verfügen, dessen Geltungsbereich aber eng gefasst haben – sodass er nur einen Teil seines Geschäfts oder eine Untergruppe seiner Dienstleistungen abdeckt.

Fragen zur Beurteilung der Angemessenheit des Untersuchungsgegenstands

  • Umfasst der Zertifizierungsumfang explizit die von Ihnen bezogenen Dienstleistungen?
  • Beinhaltet es alle Orte, an denen Ihre Daten verarbeitet, gespeichert oder abgerufen werden?
  • Deckt es den gesamten Datenlebenszyklus ab – Erfassung, Verarbeitung, Speicherung, Übertragung und Löschung?
  • Sind Unterauftragnehmer, die vom Lieferanten eingesetzt werden, im Geltungsbereich enthalten oder ausgeschlossen?
  • Wenn der Lieferant in mehreren Rechtsordnungen tätig ist, deckt der Geltungsbereich alle relevanten Rechtsordnungen ab?

Lautet die Antwort auf eine dieser Fragen „nein“ oder „unklar“, benötigen Sie weitere Absicherung – entweder durch zusätzliche Unterlagen des Lieferanten oder durch Ihre eigene Sorgfaltsprüfung.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Welche Fragen sollten Sie zertifizierten Lieferanten stellen?

Über das Zertifikat selbst hinaus hilft Ihnen eine Reihe gezielter Fragen dabei, den tatsächlichen Reifegrad des Anbieters im Bereich Datenschutz zu verstehen:

Fragen zum Managementsystem

  • Wann fand Ihre letzte Überwachungs- oder Rezertifizierungsprüfung statt und was waren die Ergebnisse?
  • Wie viele Abweichungen wurden bei Ihrem letzten Audit festgestellt? Wie wurden diese behoben?
  • Wie häufig führen Sie interne Audits Ihres PIMS durch?
  • Wer ist Ihr Datenschutzbeauftragter und wie berichtet er an die Geschäftsleitung?
  • Können Sie uns Ihre aktuellsten Ergebnisse der Managementbewertung zukommen lassen (gegebenenfalls geschwärzt)?

Operative Fragen

  • Wie gehen Sie mit Auskunftsersuchen betroffener Personen bezüglich Daten um, die in unserem Auftrag verarbeitet werden?
  • Wie sieht Ihr Prozess zur Meldung von Datenschutzverletzungen und welcher Zeitplan wird eingehalten?
  • Wie handhaben Sie Änderungen an Unterauftragnehmern, und wie werden wir benachrichtigt?
  • Welche Datenaufbewahrungs- und Löschverfahren gelten für unsere Daten bei Vertragsbeendigung?
  • Können Sie bereitstellen? Nachweis Ihrer letzten Datenschutzrisikobewertung?

Technische Fragen

  • Wie werden unsere Daten von den Daten anderer Kunden getrennt?
  • Welche Verschlüsselungsstandards werden im Ruhezustand und während der Übertragung angewendet?
  • Wie wird der Zugriff auf unsere Daten kontrolliert und protokolliert?
  • Wo werden unsere Daten physisch gespeichert und finden Übermittlungen außerhalb unserer festgelegten Zuständigkeitsbereiche statt?

Was sind die Warnsignale bei Datenschutzprüfungen von Anbietern?

Nicht jeder Anbieter, der mit Datenschutzversprechen wirbt, verdient Vertrauen. Achten Sie auf diese Warnsignale:

rote Flagge Was es nahelegt
Zertifikat einer nicht akkreditierten Stelle Das Audit könnte an Gründlichkeit mangeln. Die Akkreditierung gewährleistet, dass die Zertifizierungsstelle internationale Standards für Kompetenz und Unparteilichkeit erfüllt.
Der Leistungsumfang umfasst Ihre Dienstleistungen nicht. Der Anbieter hat möglicherweise einen anderen Teil seines Geschäfts zertifiziert. Ihre Daten profitieren unter Umständen nicht von dem zertifizierten PIMS.
Zurückhaltung, die Erklärung zur Anwendbarkeit Die SoA zeigt, welche Kontrollen in den Geltungsbereich fallen. Die Weigerung, sie (auch geschwärzte) offenzulegen, kann auf unangenehme Ausschlüsse hindeuten.
Kein klarer Prozess zur Meldung von Datenschutzverletzungen Kann der Lieferant seinen Zeitplan für die Reaktion auf Vorfälle und seinen Eskalationsweg nicht darlegen, ist sein PIMS möglicherweise noch nicht ausgereift.
Immer noch auf ISO 27701:2019 ohne Übergangsplan Die Ausgabe 2025 bringt bedeutende Änderungen mit sich. Lieferanten ohne Übergangsplan riskieren, ihren Status zu verlieren, wenn die Ausgabe 2019 zurückgezogen wird.
Unterprozessoren können nicht benannt werden Kann ein Lieferant keine aktuelle Liste seiner Unterauftragnehmer vorlegen, verfügt er möglicherweise nicht über die im Standard vorgeschriebene Aufsicht.
Keine Anzeichen für eine kontinuierliche Verbesserung Ein PIMS, das zwar für die Prüfung eingerichtet wurde, aber nicht aktiv verwaltet wird, bietet mit der Zeit immer weniger Sicherheit.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Wie sollten Sie ISO 27701 in Ihren Beschaffungsrahmen integrieren?

Die ISO 27701-Zertifizierung funktioniert am besten als Teil eines strukturierten Lieferantenbewertungsprozesses und nicht als eigenständige Checkliste:

Gestufter Bewertungsansatz

  • Stufe 1 (hohes Risiko): Lieferanten, die große Mengen sensibler personenbezogener Daten verarbeiten. Verlangen Sie eine ISO 27701-Zertifizierung, überprüfen Sie die Leistungsbeschreibung, führen Sie eine detaillierte Sorgfaltsprüfung durch und planen Sie regelmäßige Neubewertungen ein.
  • Stufe 2 (mittleres Risiko): Lieferanten mit Zugriff auf personenbezogene Daten, aber begrenztem Verarbeitungsumfang. Die ISO 27701-Zertifizierung wird als primärer Nachweis akzeptiert, ergänzt durch gezielte Fragen zu Umfang und Reaktion auf Sicherheitsvorfälle.
  • Stufe 3 (geringes Risiko): Lieferanten mit minimalem Zugriff auf personenbezogene Daten. Eine Zertifizierung ist ein positives Signal, aber möglicherweise nicht verpflichtend. Der Fokus sollte auf vertraglichen Schutzmaßnahmen liegen.

Vertragliche Überlegungen

Nutzen Sie die ISO 27701-Zertifizierung des Lieferanten als vertragliche Grundlage, ergänzen Sie diese jedoch durch:

  • Die Zertifizierung muss während der gesamten Vertragslaufzeit aufrechterhalten werden.
  • Die Verpflichtung, Sie über jegliche Änderungen der Zertifizierung (Reduzierung des Geltungsbereichs, Abweichungen, Aussetzungen) zu informieren.
  • Prüfungsrechtklauseln für Situationen, in denen das Zertifikat allein nicht ausreicht
  • Festgelegte Fristen für die Meldung von Datenschutzverletzungen, abgestimmt auf Ihre regulatorischen Verpflichtungen
  • Anforderungen an die Datenlöschung bei Vertragsbeendigung, mit Nachweis

Wie stärkt Ihre eigene ISO 27701-Zertifizierung die Beschaffung?

Beschaffung ist ein wechselseitiger Prozess. Erreichen Sie Ihre eigenen Ziele ISO 27701: 2025 Zertifizierung Dies zeigt Lieferanten (und Aufsichtsbehörden), dass Sie Datenschutz ernst nehmen. Es bietet außerdem einen strukturierten Rahmen für das Management von Lieferantenrisiken im Rahmen Ihres Datenschutzmanagementsystems.

Innerhalb von ISMS.onlineDas Lieferantenmanagement ist direkt in Ihr PIMS integriert und verknüpft Lieferantenbewertungen mit Risiken, Kontrollen und Prüfungsergebnissen in einem einzigen System. Dadurch wird die Bewertung des Datenschutzes von Lieferanten zu einem kontrollierten, wiederholbaren Prozess und nicht zu einer Ad-hoc-Maßnahme.

Warum sollten Sie ISMS.online für das datenschutzkonforme Beschaffungsmanagement wählen?

  • Integriertes Lieferantenmanagement: Beurteilen, überwachen und verwalten Sie die Einhaltung der Datenschutzbestimmungen durch Ihre Lieferanten innerhalb Ihres PIMS – und nicht in einer separaten Tabelle.
  • Vorkonfiguriertes ISO 27701:2025-Framework: Die Anforderungen der Norm sind erfasst und einsatzbereit, einschließlich lieferantenbezogener Kontrollen.
  • Risikobezogene Lieferantenbewertungen: Verknüpfen Sie Lieferantenrisiken mit dem Risikoregister Ihres Unternehmens, damit Datenschutzlücken bei Lieferanten auf Managementebene sichtbar werden.
  • Beweisspur: Zertifikate, SoAs, Due-Diligence-Unterlagen und Korrespondenz sollten an einem revisionssicheren Ort aufbewahrt werden.
  • Automatisierte Überprüfungszyklen: Legen Sie Erinnerungen für den Ablauf von Zertifikaten, Termine für Überwachungsaudits und regelmäßige Neubewertungen fest.
  • Unterstützung für beide Seiten: Ob Sie Lieferanten bewerten oder sich auf Ihre eigene Zertifizierung vorbereiten, die Plattform deckt beide Szenarien ab.
  • Kooperativen Ansatz: Relevante Nachweise zur Einhaltung der Vorschriften können Sie direkt über die Plattform mit Kunden und Partnern teilen.

Sind Sie bereit, Ihre Bewertung des Datenschutzes im Beschaffungswesen zu verbessern? Kontakt um zu sehen wie ISMS.online macht die Lieferantenbewertung zu einem Bestandteil Ihres Datenschutzmanagementsystems.

Häufig gestellte Fragen

Sollten wir von allen Lieferanten eine ISO 27701-Zertifizierung verlangen?

Nicht unbedingt. Ein risikobasierter Ansatz ist praktikabler. Von Hochrisiko-Lieferanten, die große Mengen personenbezogener Daten verarbeiten, sollte eine Zertifizierung verlangt werden. Bei Lieferanten mit geringerem Risiko kann die Zertifizierung neben vertraglichen Schutzmaßnahmen und gezielten Sorgfaltsfragen als positives Signal dienen.

Worin besteht der Unterschied zwischen ISO 27701:2019 und 2025 im Hinblick auf Beschaffungszwecke?

Die Ausgabe 2025 kann erreicht werden als eigenständige Zertifizierung ohne die Anforderung von ISO 27001. Es beinhaltet außerdem aktualisierte Kontrollen und eine verbesserte Angleichung an aktuelle Datenschutzbestimmungen. Lieferanten, die nach der Ausgabe 2019 zertifiziert sind, sollten über eine dokumentierte Übergangsplan.

Kann ein Lieferant nach ISO 27701 zertifiziert sein und dennoch Datenschutzlücken aufweisen?

Ja. Eine Zertifizierung bietet innerhalb ihres definierten Geltungsbereichs Sicherheit, garantiert aber keine Fehlerfreiheit. Ein Anbieter kann einen eng gefassten Geltungsbereich haben, der bestimmte Dienstleistungen ausschließt, oder sein PIMS deckt möglicherweise nicht alle für Ihren Vertrag relevanten Verarbeitungsvorgänge ab. Daher ist die Prüfung der Geltungsbereichsbeschreibung und der Anwendbarkeitserklärung unerlässlich.

Wie oft sollten wir zertifizierte Lieferanten erneut überprüfen?

Die Gültigkeit des Zertifikats sollte mindestens jährlich überprüft werden (entsprechend den Zyklen der Überwachungsaudits). Bei Hochrisikolieferanten ist alle 12–18 Monate eine detailliertere Neubewertung durchzuführen, bei der Änderungen des Leistungsumfangs, Auditergebnisse, Vorfälle und Aktualisierungen von Unterauftragnehmern geprüft werden. ISMS.online Sie können diese Überprüfungserinnerungen in Ihrem PIMS automatisieren.

Was passiert, wenn ein Lieferant sich weigert, seine Anwendbarkeitserklärung offenzulegen?

Dies ist ein deutliches Warnsignal. Die SoA ist ein Standarddokument für Audits, und ihre Weitergabe (gegebenenfalls geschwärzt) ist gängige Praxis. Verweigert ein Lieferant die Herausgabe, fordern Sie eine Zusammenfassung der ausgeschlossenen Kontrollen und die Begründung für jeden Ausschluss an. Fehlt es weiterhin an Transparenz, prüfen Sie, ob der Lieferant Ihrem Risikoprofil entspricht.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.