Welche Nachweise erwarten Auditoren für ISO 27701:2025?
Die Zertifizierungsaudits nach ISO 27701:2025 folgen einem strukturierten, evidenzbasierten Ansatz. Die Auditoren verlassen sich nicht allein auf Ihre Aussagen – sie benötigen dokumentierte Nachweise dafür, dass Ihr Datenschutzinformationsmanagementsystem (PIMS) alle geltenden Anforderungen der Norm erfüllt.
Die Beweismittel lassen sich in drei große Kategorien einteilen:
- Dokumentarische Beweise — Richtlinien, Verfahren, Prozessdokumente, Risikobewertungen und die Anwendbarkeitserklärung
- Aufzeichnungen und Protokolle — Besprechungsprotokolle, Schulungsnachweise, Prüfberichte, Vorfallsprotokolle, Datenverarbeitungsprotokolle und Protokolle zu Korrekturmaßnahmen
- Nachgewiesene Praxis — Interviews mit Mitarbeitern, Live-Systembegehungen und Beobachtung von Prozessen in der Praxis
Die Ausgabe 2025 ist nun eine eigenständiger zertifizierbarer StandardDas bedeutet, dass Ihre Beweismittelsammlung den gesamten Sachverhalt abdecken muss. Anforderungen an das Managementsystem in den Abschnitten 4 bis 10 sowie die anwendbaren Anhang A-Kontrollen.
Welche Nachweise sind für jeden Klauselbereich erforderlich?
Jede Klausel der ISO 27701:2025 erfordert bestimmte Nachweisarten. Die folgende Tabelle listet die wichtigsten Nachweiselemente auf. Rechnungsprüfers suchen Sie nach jeder Klausel des Managementsystems.
| Klausel | Gebiet | Erforderliche wichtige Nachweise |
|---|---|---|
| Klausel 4 | Kontext der Organisation | Geltungsbereichsbeschreibung, Analyse der betroffenen Parteien, Kontext der Verarbeitung personenbezogener Daten, Dokumentation der Grenzen des PIMS |
| Klausel 5 | Leadership | Datenschutzerklärung (unterzeichnet von der Geschäftsleitung), Matrix der Rollen und Verantwortlichkeiten, Verpflichtungsdokumente des Managements |
| Klausel 6 | Planung | Methodik zur Bewertung von Datenschutzrisiken, Risikoregister, Risikobehandlungsplan, Anwendungsbereichserklärung, Datenschutzziele |
| Klausel 7 | Unterstützung | Kompetenznachweise, Schulungsprotokolle, Nachweise über Sensibilisierungsprogramme, dokumentiertes Informationskontrollverfahren |
| Klausel 8 | Produktion | Aufzeichnungen zur operativen Planung, Ergebnisse der Risikobewertung, Nachweise zur Umsetzung von Risikobehandlungsmaßnahmen |
| Klausel 9 | Leistungsbeurteilung | Ergebnisse der Überwachung und Messung, interne Prüfberichte, Protokolle der Managementbewertung |
| Klausel 10 | Verbesserung | Aufzeichnungen über Abweichungen und Korrekturmaßnahmen, Nachweise über kontinuierliche Verbesserungsaktivitäten |
Über die Klauseln zum Managementsystem hinaus bewerten die Wirtschaftsprüfer auch die Nachweise für jede in Anhang A angegebene Kontrollmaßnahme, die Sie in Ihrem Dokument als anwendbar erklärt haben. Erklärung zur AnwendbarkeitDies umfasst controllerspezifische Steuerungen, prozessorspezifische Steuerungen und gemeinsame Sicherheitssteuerungen.
Worin unterscheiden sich die Nachweisanforderungen der Phasen 1 und 2?
Das Zertifizierungsaudit nach ISO 27701:2025 ist in zwei Phasen unterteilt, die jeweils unterschiedliche Nachweisanforderungen stellen:
Phase 1: Dokumentenprüfung
Das Audit der Phase 1 konzentriert sich darauf, ob Ihr dokumentiertes PIMS angemessen ist. Die Auditoren überprüfen:
- Ihr PIMS-Geltungsbereich und Ihre Grenzen
- Datenschutzrichtlinie und Datenschutzziele
- Risikobewertungsmethodik und Risikobehandlungsplan
- Erklärung zur Anwendbarkeit
- Wichtige Verfahren und Prozessdokumentation
- Internes Prüfungsprogramm und Zeitplan für Managementbewertungen
Phase 1 dient in erster Linie der Überprüfung der Bereitschaft. Der Auditor bestätigt, dass Ihre Dokumentation ausreichend vollständig ist, um mit Phase 2 fortzufahren, und identifiziert alle Bereiche, die vor dem Implementierungsaudit noch Aufmerksamkeit erfordern.
Phase 2: Bewertung der Umsetzung
Phase 2 ist das vollständige Implementierungsaudit. Die Auditoren überprüfen, ob Ihr PIMS nicht nur dokumentiert, sondern auch tatsächlich funktionsfähig ist. Zu den Nachweisen in dieser Phase gehören:
- Abgeschlossene Risikobewertungen mit aktuellen Ergebnissen
- Schulungsnachweise, die belegen, dass die Mitarbeiter geschult und bewertet wurden
- Interne Prüfberichte mit behandelten Feststellungen
- Protokoll der Managementbesprechung mit Beschlussfassung
- Protokolle zur Reaktion auf Vorfälle (auch wenn keine Vorfälle eingetreten sind, muss der Prozess dokumentiert werden)
- Aufzeichnungen zur Bearbeitung von Anfragen betroffener Personen
- Lieferanten- und Verarbeitungsdokumentation
Weitere Einzelheiten zum vollständigen Zertifizierungsprozess finden Sie in unserem Zertifizierungsleitfaden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was sind die häufigsten Wissenslücken?
Bei Audits nach ISO 27701:2025 treten immer wieder bestimmte Lücken in den Nachweisen auf. Wer weiß, woran es bei Organisationen mangelt, kann dieselben Fehler vermeiden.
| Gemeinsame Lücke | Warum es passiert | Wie man es repariert |
|---|---|---|
| Keine Hinweise auf eine Managementprüfung | Besprechungen finden informell und ohne feste Dauer statt. | Planen Sie formelle Überprüfungen mit Tagesordnung, Teilnehmern und Protokollierung der Entscheidungen ein. |
| Fehlende oder unvollständige Schulungsnachweise | Das Training findet statt, wird aber nicht protokolliert. | Nutzen Sie ein Schulungsmanagementsystem, das den Abschluss und die Kompetenzbewertung erfasst. |
| Risikobewertung nicht aktuell | Erste Bewertung durchgeführt, aber nicht aktualisiert | Planen Sie regelmäßige Überprüfungen ein und aktualisieren Sie die Informationen nach wesentlichen Änderungen. |
| Keine internen Prüfungsnachweise | Die Organisation verlässt sich auf externe Berater und verzichtet auf interne Audits. | Führen Sie vor dem Zertifizierungsaudit mindestens einen vollständigen internen Auditzyklus durch. |
| Erklärung zur Anwendbarkeit: Fehlende Begründungen | Als nicht anwendbar gekennzeichnete Kontrollpunkte ohne Begründung | Dokumentieren Sie die Begründung für jeden Ausschluss im SoA. |
| Lieferantenverträge enthalten keine Datenschutzbestimmungen | Die Verträge stammen aus der Zeit vor der PIMS-Implementierung. | Lieferantenverträge prüfen und aktualisieren, um Bestimmungen zur Datenverarbeitung und zum Datenschutz aufzunehmen. |
| Reaktion auf den Vorfall nicht getestet | Da bisher keine Zwischenfälle aufgetreten sind, ist das Verfahren ungetestet. | Führen Sie Planspiele durch und protokollieren Sie die Ergebnisse. |
Wie sollten Sie Ihre Beweismittelsammlung organisieren?
Eine gut organisierte Beweismittelsammlung erleichtert Audits und verringert das Risiko von Feststellungen, die auf vorhandenen, aber nicht auffindbaren Beweismitteln beruhen. Beachten Sie folgende Grundsätze:
- Belege den Anforderungen zuordnen — Erstellen Sie eine Nachweismatrix, die jede Klausel und jede Kontrolle in Anhang A mit den spezifischen Dokumenten, Aufzeichnungen und Screenshots verknüpft, die die Einhaltung belegen.
- Verwenden Sie einheitliche Namenskonventionen — Benennen Sie die Dokumente eindeutig, damit die Prüfer sie ohne Ihre Hilfe identifizieren können (z. B. PIMS-Risikobewertung-2026-Q1.pdf)
- Behalten Sie die Versionskontrolle bei Jedes Dokument sollte seine Version, das Genehmigungsdatum und den Verantwortlichen enthalten. Die Prüfer werden kontrollieren, ob Sie mit aktuellen, genehmigten Dokumenten arbeiten.
- Führen Sie Aufzeichnungen mit Zeitstempel. Schulungsnachweise, Besprechungsprotokolle und Prüfberichte müssen das jeweilige Datum enthalten. Undatierte Dokumente sind für Prüfer schwer zu akzeptieren.
- Zentrale Speicherung — Verstreute Beweismittel in E-Mail-Postfächern, freigegebenen Laufwerken und auf einzelnen Laptops bergen ein Risiko. Verwenden Sie einen einzigen, kontrollierten Ort.
Organisationen, die ihre Beweise an den Zuordnung von Anhang D der DSGVO kann auch dasselbe Beweismaterial verwenden, um zu demonstrieren Reglery Compliance, wodurch Effizienz sowohl bei der Zertifizierung von Datenschutzbestimmungen als auch bei der Erfüllung datenschutzrechtlicher Verpflichtungen geschaffen wird.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Wie unterstützt ISMS.online das Management von Auditnachweisen?
ISMS.online wurde speziell entwickelt, um Organisationen bei der Erfassung, Organisation und Pflege der für die ISO 27701:2025-Zertifizierung erforderlichen Nachweise zu unterstützen. Zu den wichtigsten Funktionen gehören:
- Vorgefertigter Evidenzrahmen — Die Nachweisanforderungen sind jeder Klausel und jeder Kontrolle in Anhang A zugeordnet, sodass Sie genau wissen, was Sie benötigen, bevor der Prüfer eintrifft.
- Dokumentenverwaltung mit Versionskontrolle — Alle Richtlinien, Verfahren und zugehörigen Dokumente mit vollständigen Prüfprotokollen hochladen, genehmigen und nachverfolgen
- Risikomanagement — Risikobewertungen direkt in der Plattform durchführen und dokumentieren, mit Risikoregistern, die mit Behandlungsplänen und Kontrollmaßnahmen verknüpft sind.
- Schulungs- und Sensibilisierungs-Tracking — Schulungen zuweisen, deren Abschluss verfolgen und Kompetenzbewertungen mit Zeitstempel dokumentieren
- Internes Auditmanagement — Interne Audits planen, durchführen und protokollieren, wobei die Ergebnisse mit Korrekturmaßnahmen verknüpft sind
- Unterstützung bei Managementbewertungen — Strukturierte Prüfvorlagen, die Eingaben, Entscheidungen und Maßnahmen in einem von Prüfern erwarteten Format erfassen.
- Lieferantenmanagement — Prozessorverträge verfolgen, Sorgfaltsprüfungen durchführen und Aufsichtsaufzeichnungen führen
Anstatt ein Beweismaterialpaket von Grund auf neu zu erstellen, ISMS.online Sie erhalten eine vorgefertigte Struktur, die während der Implementierung Nachweise sammelt. Zum Zeitpunkt des Audits sind Ihre Nachweise bereits organisiert und zugänglich.
Um den gesamten Funktionsumfang Ihres PIMS zu verstehen, lesen Sie unseren Leitfaden zu Erste Schritte mit der Implementierung.
Warum sollten Sie ISMS.online für das Audit-Nachweismanagement wählen?
- Nachweise, die dem Standard zugeordnet wurden — Jede Klausel und jede Kontrollmaßnahme in Anhang A beinhaltet eine entsprechende Nachweispflicht, damit nichts übersehen wird.
- Automatisierte Prüfprotokolle Änderungen an Dokumenten, Risikobewertungen und Maßnahmen werden automatisch mit Zeitstempel und Benutzerzuordnung protokolliert.
- Zentralisierte, prüferfertige Nachweise — Alles, was Ihr Auditor benötigt, befindet sich an einem Ort und ist über sichere, rollenbasierte Berechtigungen zugänglich.
- Vorkonfigurierte Vorlagen — Richtlinien, Risikobewertungsmethoden und SoA-Vorlagen, die auf ISO 27701:2025 abgestimmt sind, reduzieren die Rüstzeit
- Nachverfolgung von Korrekturmaßnahmen — Verknüpfung von Abweichungen mit Korrekturmaßnahmen inklusive Fälligkeitsterminen, Verantwortlichen und Statusverfolgung
- Compliance-Dashboards in Echtzeit — Verschaffen Sie sich einen schnellen Überblick über Ihren Bereitschaftsstatus, identifizieren Sie Lücken und priorisieren Sie Ihre Aufgaben vor dem Audit.
- Tausende von Organisationen vertrauen uns. - ISMS.online unterstützt Unternehmen jeder Größe bei der Erlangung und Aufrechterhaltung der ISO-Zertifizierung
Häufig gestellte Fragen
Welche Mindestnachweise sind für die Zertifizierung nach ISO 27701:2025 erforderlich?
Sie benötigen mindestens dokumentierte Richtlinien, eine Risikobewertung und einen Risikobehandlungsplan, eine Anwendbarkeitserklärung, Ergebnisse interner Audits, Protokolle von Managementbewertungen sowie Aufzeichnungen, die die Wirksamkeit Ihrer Kontrollen gemäß Anhang A belegen. Der genaue Umfang hängt von Ihrer Organisation und den von Ihnen als anwendbar erklärten Kontrollen ab.
Wie weit zurück sollten die Prüfungsnachweise reichen?
Für die Erstzertifizierung verlangen Auditoren in der Regel Nachweise über mindestens drei Monate operative Tätigkeit, einschließlich eines vollständigen internen Auditzyklus und mindestens einer Managementbewertung. Bei Überwachungsaudits sollten die Nachweise den Zeitraum seit dem letzten Audit abdecken.
Können wir digitale Beweismittel verwenden oder müssen diese ausgedruckt sein?
Digitale Beweismittel werden von Prüfern uneingeschränkt akzeptiert und oft sogar bevorzugt. Screenshots, Systemexporte, zeitgestempelte Datensätze und Dokumente, die auf Plattformen wie … gespeichert sind, zählen dazu. ISMS.online Sie sind alle gültig. Die wichtigste Voraussetzung ist, dass die Nachweise authentisch, zugänglich und versionskontrolliert sind.
Was geschieht, wenn der Prüfer fehlende Nachweise feststellt?
Fehlende Nachweise führen in der Regel zu einer Abweichungsfeststellung. Bei geringfügigen Abweichungen können Sie die Nachweise innerhalb einer vereinbarten Frist (üblicherweise 90 Tage) nachreichen. Bei schwerwiegenden Abweichungen kann ein Nachprüfungsbesuch erforderlich sein, bevor die Zertifizierung erteilt werden kann.
Benötigen wir separate Nachweise für ISO 27701 und ISO 27001?
Besitzen Sie beide Zertifizierungen, überschneiden sich viele der Nachweise zum Managementsystem (Risikomanagement, interne Revision, Managementbewertung). ISO 27701 erfordert jedoch zusätzliche datenschutzspezifische Nachweise, wie z. B. Aufzeichnungen zur Verarbeitung personenbezogener Daten, Bearbeitung von Betroffenenanfragen und Datenschutz-Folgenabschätzungen. ISMS.online ermöglicht die Verwaltung beider Standards in einem integrierten System.
