Zum Inhalt
ISMS.online

ISO 27701 – Abschnitt 5.4 – Planung

Abschnitt 27701 der ISO/IEC 5.4 beschreibt die Planungsanforderungen für ein Datenschutz-Informationsmanagementsystem (PIMS). Dabei liegt der Schwerpunkt auf der Bewertung und Behandlung von Datenschutzrisiken sowie der Festlegung messbarer Datenschutzziele, die mit den Organisationszielen und der DSGVO-Konformität in Einklang stehen.

Autorin
Toby Cane
Aktualisiert September 19, 2025
4 / 5 Sterne

Planung der Datenschutzkonformität: Erläuterung von ISO 27701 Abschnitt 5.4

Es ist wichtig, dass sich Organisationen vor der Implementierung eines PIMS ein klares Bild davon machen, was ihre spezifischen Datenschutz-/PII-Ziele auf allen Ebenen ihrer Informationssicherheitsoperation sind.

Die Risikobewertung sollte ein Schlüsselelement aller organisationsweiten Datenschutzprotokolle sein, einschließlich eines Verständnisses für die Bewertung und Analyse von Risiken sowie der „Risikobehandlung“ – dem Prozess der Risikoänderung durch eine Reihe technischer Maßnahmen.

Was in ISO 27701 Abschnitt 5.4 behandelt wird

ISO 27701 5.4 befasst sich mit den Schritten, die Unternehmen bei der Planung eines PIMS oder einer Datenschutzrichtlinie unternehmen müssen.

ISO 27701 5.4 stützt sich auf die Leitlinien von ISO 27001 6.1 (Maßnahmen zur Bewältigung von Risiken und Chancen) und enthält weitere Leitlinien in vier Hauptunterabschnitten:

  • ISO 27701 Abschnitt 5.4.1.1 (Referenzen ISO 27001 Kontrolle 6.1.1)
  • ISO 27701 Abschnitt 5.4.1.2 (Referenzen ISO 27001 Kontrolle 6.1.2)
  • ISO 27701 Abschnitt 5.4.1.3 (Referenzen ISO 27001 Kontrolle 6.1.3)
  • ISO 27701 Abschnitt 5.4.2 (Referenzen ISO 27001 Kontrolle 6.2)

Zwei Unterabschnitte (5.4.1.2 und 5.4.1.3) enthalten beide Leitlinien, die sich direkt auf Artikel 32 beziehen Datenschutz, genauer gesagt, Abschnitte (1)(b), (2).

Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 5.4.1.1 – Allgemein

Referenzen ISO 27001-Steuerung 6.1.1

Im Allgemeinen müssen Organisationen bei der Planung eines PIMS einen risikospezifischen Ansatz verfolgen, der:

  1. Arbeitet am Aufbau eines PIMS, das eine Reihe spezifischer Datenschutzziele erreicht.
  2. Ziel ist es, etwaige nachteilige Auswirkungen entweder vollständig zu beseitigen oder zu minimieren.
  3. Strebt nach der kontinuierlichen Weiterentwicklung und schrittweisen Verbesserung von PII- und Datenschutzaktivitäten.

Bei der Ausarbeitung eines Plans müssen Organisationen Folgendes tun:

  1. Berücksichtigen Sie die spezifischen Maßnahmen, die zur Bewältigung etwaiger Risiken erforderlich sind, und implementieren Sie diese in ein PIMS.
  2. Bewerten Sie ihren Ansatz ständig.

Relevante ISO 27001-Kontrollen

Die in ISO 27701 5.4.1.1 enthaltenen Leitlinien stehen in engem Zusammenhang mit der Fähigkeit einer Organisation, ihre Anforderungen sowie die Erwartungen interner und externer Mitarbeiter und PII-Personen, deren Daten die Organisation verwaltet, zu verstehen.

  • ISO 27001 4.1 – Die Organisation und ihren Kontext verstehen.
  • ISO 27001 4.2 – Verständnis der Bedürfnisse und Erwartungen interessierter Parteien.

ISO 27701 Abschnitt 5.4.1.2 – Bewertung des Informationssicherheitsrisikos

Referenzen ISO 27001-Steuerung 6.1.2

Organisationen sollten einen Risikobewertungsprozess für den Datenschutz entwerfen und implementieren, der:

  • Enthält Risikoakzeptanzkriterien für die Durchführung von Datenschutzbewertungen.
  • Bietet einen Rahmen für die vergleichbare Analyse aller Datenschutzbewertungen.
  • Identifiziert Datenschutzrisiken (und deren Eigentümer).
  • Berücksichtigt die Gefahren und Risiken, die mit dem Verlust der „Vertraulichkeit, Verfügbarkeit und Integrität“ personenbezogener Daten verbunden sind.
  • Analysiert Datenschutzrisiken anhand von drei Faktoren:
    • Ihre möglichen Konsequenzen.
    • Die Wahrscheinlichkeit, dass sie auftreten.
    • Ihre Schwere.
  • Analysiert und priorisiert alle identifizierten Risiken entsprechend ihrer Risikostufe.

Zusätzliche PIMS- und PII-Anleitungen

Organisationen sollten Risikobewertungsaktivitäten konzentrieren, die nicht nur die Informationssicherheit betreffen, sondern auch die Implementierung eines PIMS sowie die Verarbeitung und Speicherung personenbezogener Daten ergänzen.

Organisationen sollten nicht nur die Konsequenzen für das Unternehmen selbst, sondern auch für alle PII-Prinzipien im Auge behalten, wenn Probleme auftreten.

Anwendbare DSGVO-Artikel

  • Artikel 32 – Sicherheit der Verarbeitung
    • Anwendbare Abschnitte – (1)(b), (2)


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 5.4.1.3 – Behandlung von Informationssicherheitsrisiken

Referenzen ISO 27001-Steuerung 6.1.3

Organisationen sollten einen Datenschutz-/PII-„Risikobehandlungsprozess“ entwerfen und implementieren, der:

  1. einen „Risikobehandlungsplan“ zum Schutz der Privatsphäre umsetzen.
  2. legt anhand einer Reihe von Bewertungsergebnissen fest, wie ein PIMS mit einzelnen Risikostufen umgehen soll.
  3. hebt eine Reihe von Kontrollen hervor, die zur Umsetzung der Behandlung von Datenschutzrisiken erforderlich sind.
  4. Vergleichen Sie alle identifizierten Kontrollen mit der umfassenden Liste der ISO in Anhang A von ISO 27001.
  5. Dokumentieren und begründen Sie die Verwendung aller verwendeten Kontrollen in einer formellen „Anwendbarkeitserklärung“.
  6. Holen Sie die Zustimmung aller Risikoeigentümer ein, bevor Sie einen Plan zur Behandlung von Datenschutzrisiken fertigstellen, der alle „verbleibenden“ Datenschutz- und PII-Risiken umfasst.

Anwendbare DSGVO-Artikel

  • Artikel 32 – Sicherheit der Verarbeitung
    • Anwendbare Abschnitte – (1)(b), (2)

ISO 27701 Abschnitt 5.4.2 – Informationssicherheitsziele und Planung zu deren Erreichung

Referenzen ISO 27001-Steuerung 6.2

Organisatorische Datenschutzziele sollten:

  • Halten Sie sich an andere Richtlinien zur Informationssicherheit.
  • Für Berichts- und Bewertungszwecke quantifizierbar sein.
  • Integrieren Sie Daten aus Risikobewertungen und Risikobehandlungen.
  • Sie müssen allen relevanten Mitarbeitern und betroffenen Personen zur Verfügung gestellt werden.
  • Kontinuierliche Verbesserung und Aktualisierung entsprechend den Betriebsergebnissen und realen Ereignissen.
  • Seien Sie dokumentiert.

Während des gesamten Planungsprozesses müssen Organisationen Folgendes festlegen:

  1. Alle Ressourcen, die benötigt werden.
  2. Wem wird das Eigentum an den Zielen ganz oder teilweise übertragen?
  3. Wenn die erklärten Ziele einer Organisation erreicht werden.
  4. Wie Daten analysiert werden sollen.

Unterstützende Kontrollen von ISO 27001 und DSGVO

ISO 27701-Klauselkennung Name der ISO 27701-Klausel ISO 27001-Anforderung Zugehörige DSGVO-Artikel
5.4.1.1 Allgemein
6.1.1 – Allgemeine Aspekte der Risikoplanung für ISO 27001 		Non
5.4.1.2 Risikobewertung der Informationssicherheit
6.1.2 – Bewertung des Informationssicherheitsrisikos für ISO 27001 		Artikel (32)
5.4.1.3 Behandlung von Informationssicherheitsrisiken
6.1.3 – Behandlung von Informationssicherheitsrisiken für ISO 27001 		Artikel (32)
5.4.2 Informationssicherheitsziele und Planung zu deren Erreichung
6.2 – Informationssicherheitsziele und Planung zu deren Erreichung für ISO 27001 		Non

Wie ISMS.online hilft

Sie müssen ein Datenschutz-Informationsmanagementsystem (PIMS) erstellen, um ISO 27701 zu erfüllen. Mit unserem vorgefertigten Datenschutz-Informationsmanagementsystem (PIMS) können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und effizient organisieren und verwalten, um die ISO 27701-Anforderungen zu erfüllen.

Datenschutzbewertungen können ganz einfach eingerichtet und durchgeführt werden und reichen von Datenschutz-Folgenabschätzungen bis hin zu Prüfungen zur Regulierungs- oder Compliance-Bereitschaft.

Sehen Sie sich unser gesamtes Funktionsspektrum an eine Demo buchen.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

LinkedIn

ISO 27701-Klauseln

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter - Herbst 2025
Leistungsstarke Kleinunternehmen – Herbst 2025, Großbritannien
Regionalleiter – Herbst 2025 Europa
Regionalleiter – Herbst 2025 EMEA
Regionalleiter – Herbst 2025, Großbritannien
High Performer – Herbst 2025, Europa, Mittelstand

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Kristall

Bereit, um loszulegen?

Demo buchen