Zum Inhalt
ISMS.online

ISO 27701:2025 Anwendbarkeitserklärung: Was muss enthalten sein und wie wird sie erstellt?

Die Anwendbarkeitserklärung ist eines der wichtigsten Dokumente für Ihre ISO 27701:2025-Zertifizierung. Dieser Leitfaden erläutert ihren Inhalt, wie Sie sie effizient erstellen und welche Fehler zu Beanstandungen im Audit führen.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was ist die Anwendbarkeitserklärung und warum ist sie wichtig?

Die Anwendbarkeitserklärung (Statement of Appropriation, SoA) ist ein Dokument, das alle Kontrollen auflistet von Anhang A Sie erfassen die Anforderungen der ISO 27701:2025 und geben an, ob jede einzelne für Ihr Unternehmen relevant ist. Für jede relevante Kontrolle dokumentieren Sie den Implementierungsstatus. Für jede ausgeschlossene Kontrolle liefern Sie eine Begründung.

Das ist aus drei Gründen wichtig:

  • Es definiert den Umfang Ihres PIMS. — Die SoA sagt dir Zertifizierungsstelle Welche Kontrollmaßnahmen Sie genau implementiert haben und warum andere ausgeschlossen wurden, ist die Grundlage Ihres Zertifizierungsaudits.
  • Es handelt sich um eine zwingende Anforderung. — Abschnitt 6.1.3 e) der ISO 27701:2025 verlangt ausdrücklich eine Anwendbarkeitserklärung, die die notwendigen Kontrollen, eine Begründung für deren Einbeziehung, die Information darüber, ob sie umgesetzt werden, und eine Begründung für den Ausschluss von Kontrollen gemäß Anhang A enthält.
  • Es ist Ihr Audit-Fahrplan — Der Prüfer verwendet Ihre Handlungsanweisung als primäre Referenz während des Phase-2-Audits. Jede als zutreffend gekennzeichnete Kontrollmaßnahme wird auf Nachweise ihrer Umsetzung hin überprüft.

Was muss die Erklärung enthalten?

Gemäß ISO 27701:2025 muss Ihre Systemanalyse (SoA) für jede Kontrollmaßnahme nach Anhang A Folgendes enthalten:

Erforderliches Element Beschreibung Beispiel
Kontrollreferenz Kontrollnummer und Titel des Anhangs A A.1.2 — Datenschutzhinweis
Anwendbarkeitsstatus Ob die Regelung für Ihre Organisation anwendbar ist Zutreffend / Nicht zutreffend
Implementierungsstatus Für anwendbare Kontrollen: ob die Kontrolle vollständig, teilweise oder geplant umgesetzt wurde. Umgesetzt
Begründung für die Einbeziehung Warum diese Kontrollmaßnahme für Ihr PIMS notwendig ist (typischerweise im Zusammenhang mit Ihrer Risikobewertung) Erforderlich zur Behebung des Risikos R-014 (unzureichende Transparenz gegenüber den betroffenen Personen)
Begründung für den Ausschluss Für ausgeschlossene Kontrollen: Warum die Kontrolle für Ihre Datenverarbeitungsaktivitäten nicht anwendbar ist Nicht zutreffend – die Organisation fungiert nicht als PII-Verarbeiter.

Inwiefern unterscheidet sich die Strategie 2025 von der Strategie 2019?

Wenn Sie mit der Ausgabe von 2019 vertraut sind, werden Sie feststellen, dass sich die Struktur der SoA deutlich verändert hat:

Aspekt 2019 edition 2025 edition
Steuerquelle Abschnitte 6, 7 und 8 (Erweiterungen zu ISO 27002) Anhang A (78 eigenständige Steuerelemente verteilt auf 3 Tabellen)
Struktur SoA umfasste sowohl ISO 27001 Anhang A als auch ISO 27701 Klauselergänzungen. ISO 27701:2025 hat eine eigene, dedizierte Erklärung der Konformität (SoA), die ausschließlich Anhang A abdeckt.
Steuertabellen Organisiert nach der Klauselstruktur von ISO 27002 Drei Tabellen: A.1 (Steuerung, 31 Steuerelemente), A.2 (Prozessor, 18 Steuerelemente), A.3 (gemeinsam genutzt, 29 Steuerelemente)
Bezug zur ISO 27001 SoA Kombiniert oder querverwiesen Separates Dokument. Wenn Sie beide Zertifizierungen besitzen, führen Sie zwei SoAs.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Wie sollte man beim Aufbau der SoA vorgehen?

Schritt 1: Bestimmen Sie Ihre Rolle(n)

ISO 27701:2025 unterscheidet zwischen PII-Verantwortlichen und PII-Verarbeitern. Ihre Rolle bestimmt, welche Tabellen aus Anhang A Anwendung finden:

  • Nur PII-Controller — Tabelle A.1 (31 Kontrollen) + Tabelle A.3 (29 Kontrollen) = 60 Kontrollen
  • Nur PII-Prozessor — Tabelle A.2 (18 Kontrollen) + Tabelle A.3 (29 Kontrollen) = 47 Kontrollen
  • Sowohl Controller als auch Prozessor — Alle drei Tabellen = 78 Steuerelemente

Viele Organisationen fungieren sowohl als Verantwortlicher (für Mitarbeiterdaten) als auch als Auftragsverarbeiter (für Kundendaten). Trifft dies auf Sie zu, fallen alle 78 Kontrollmaßnahmen in den Anwendungsbereich.

Schritt 2: Verknüpfen Sie die Kontrollmaßnahmen mit Ihrer Risikobewertung

Jede anwendbare Kontrollmaßnahme sollte auf ein in Ihrer Datenschutzrisikobewertung identifiziertes Risiko zurückgeführt werden können. Dieser Zusammenhang ist das, was Prüfungoder um zu überprüfen, ob Ihre Kontrollauswahl risikobasiert und nicht willkürlich ist. Wenn eine Kontrolle ein von Ihnen identifiziertes Risiko abdeckt, sollte sie anwendbar sein. Wenn kein Risiko die Kontrolle rechtfertigt und Ihre Datenverarbeitung sie nicht erfordert, können Sie sie mit einer dokumentierten Begründung ausschließen.

Schritt 3: Den Implementierungsstatus ehrlich dokumentieren

Für jede zutreffende Kontrollmaßnahme ist deren aktueller Status zu erfassen:

  • Umgesetzt — Die Kontrollmaßnahmen sind nachweislich voll funktionsfähig.
  • Teilweise umgesetzt — Einige Elemente sind vorhanden; es bleibt noch zu tun
  • Geplant Die Steuerung ist in Ihrem Implementierungsplan enthalten, aber noch nicht betriebsbereit.

Seien Sie ehrlich bezüglich einer teilweisen Umsetzung. Prüfer schätzen Transparenz und arbeiten mit Ihnen an einem Zeitplan für Korrekturmaßnahmen. Behaupten Sie nicht, die vollständige Umsetzung bereits vor der Prüfung der Ergebnisse zu beanspruchen. Beweis ist ein dünnes Gebilde ein schneller Weg zu einer gravierenden Nichtkonformität.

Schritt 4: Verfassen Sie vertretbare Ausschlussgründe

Für jede ausgeschlossene Kontrollmaßnahme müssen Sie begründen, warum diese in Ihrem spezifischen Datenverarbeitungskontext nicht anwendbar ist. Allgemeine Begründungen wie „nicht relevant“ reichen nicht aus. Beispiele für vertretbare Ausschlüsse:

  • „Kontrolle A.2.x ist nicht anwendbar, da die Organisation nicht als PII-Verarbeiter für Dritte fungiert.“
  • „Kontrolle A.1.x (Direktmarketing) ist nicht anwendbar, da die Organisation keine personenbezogenen Daten für Direktmarketingzwecke verarbeitet.“
  • „Kontrolle A.3.x (physische Datenträger) ist nicht anwendbar, da die Organisation personenbezogene Daten ausschließlich in digitaler Form und ohne physische Aufzeichnungen verarbeitet.“

Welche Fehler führen zu Beanstandungen im Rahmen der Prüfung der Vermögensübersicht?

  • Fehlende Begründungen für Ausschlüsse – Das ist der häufigste Befund. Jede ausgeschlossene Kontrollmaßnahme benötigt eine spezifische, dokumentierte Begründung. „Nicht zutreffend“ allein genügt nicht.
  • Als implementiert gekennzeichnete Kontrollen ohne Nachweis — Wenn Sie eine Kontrollmaßnahme als implementiert kennzeichnen, wird der Prüfer Nachweise verlangen. Stellen Sie sicher, dass vor Ihrer Prüfung Nachweise vorhanden und miteinander verknüpft sind.
  • Die SoA stimmt nicht mit der Risikobewertung überein — Wenn Ihre Risikobewertung ein Datenschutzrisiko feststellt, die entsprechende Kontrollmaßnahme jedoch in der SoA nicht aufgeführt ist, wird der Auditor dies als Nichtkonformität vermerken.
  • Unter Verwendung der Struktur von 2019 — Wenn Ihre Leistungsbeschreibung auf die Controller-/Prozessor-Ergänzungen gemäß Klausel 7/8 anstatt auf die Tabellen in Anhang A verweist, erfüllt sie die Anforderungen nicht. 2025 Anforderungen.
  • Keine Versionskontrolle — Die Handlungsanweisung (SoA) ist ein dynamisches Dokument. Fehlt eine Versionshistorie, die das Datum der letzten Überprüfung und Aktualisierung dokumentiert, könnte der Prüfer bezweifeln, ob sie den aktuellen Stand widerspiegelt.


Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Wie hält man die SoA auf dem neuesten Stand?

Ihre Handlungsanweisung ist kein einmaliges Dokument. Sie muss regelmäßig überprüft und aktualisiert werden:

  • Nach Änderungen der Risikobewertung — Neue Risiken erfordern möglicherweise zusätzliche Kontrollen; für nicht mehr benötigte Risiken können Ausnahmen zulässig sein.
  • Wenn sich Datenverarbeitungsaktivitäten ändern Neue Dienste, neue Datentypen oder neue Verarbeitungsbeziehungen können Einfluss darauf haben, welche Kontrollen anwendbar sind.
  • Vor jeder Prüfung — Stellen Sie sicher, dass die SoA Ihren aktuellen Implementierungsstatus korrekt widerspiegelt.
  • Im Rahmen der Managementbewertung — Die Währung der SoA als ständigen Tagesordnungspunkt aufnehmen

A Compliance-Plattform Dadurch, dass die Statusabfrage (SoA) aus Ihren Live-Steuerungsdaten generiert wird, geschieht dies automatisch statt manuell. Wenn Sie den Status einer Steuerung aktualisieren oder ein neues Risiko hinzufügen, spiegelt die Statusabfrage die Änderung sofort wider.

Warum sollten Sie sich ISMS.online für ISO 27701:2025?

  • Automatisierte SoA-Generierung — Erstellen Sie Ihre Anwendbarkeitserklärung anhand Ihrer Kontrollauswahl; Begründungen und Belegverweise werden automatisch eingefügt.
  • Alle 78 Steuerelemente gemäß Anhang A vorinstalliert — Controller, Prozessor und gemeinsame Steuerungen sind bereit zur Bewertung, mit entsprechenden Leitfäden für jeden einzelnen.
  • Rückverfolgbarkeit von Risiken zu Kontrollmaßnahmen — Verknüpfen Sie jede Kontrollmaßnahme mit den Risiken, die sie abdeckt, und liefern Sie den Prüfern die erwartete Beweiskette.
  • Live-Dokument — Ihre SoA wird automatisch aktualisiert, sobald Sie Kontrollstatus ändern, Risiken hinzufügen oder Ausschlussgründe modifizieren.
  • Versionsgeschichte — Vollständiges Prüfprotokoll der SoA-Änderungen, das die Anforderungen an die Versionskontrolle ohne manuelle Nachverfolgung erfüllt.
  • Exportfähig — Exportieren Sie Ihre SoA in einem professionellen Format für Ihre Zertifizierungsstelle, Kunden oder zur Managementprüfung.
  • Multi-Framework — Wenn Sie sowohl ISO 27001 als auch ISO 27701 pflegen, verwaltet die Plattform beide SoAs mit gemeinsam genutzten Kontrollen, die über verschiedene Frameworks hinweg abgebildet werden.

Sind Sie bereit, Ihre Anwendbarkeitserklärung zu erstellen? Kontakt und sehen, wie ISMS.online macht dein ISO 27701: 2025 Zertifizierung SoA-Audit-fähig vom ersten Tag an.

Häufig gestellte Fragen

Wie viele Steuerelemente sollte mein SoA enthalten?

Ihre Erklärung zur Anwendbarkeit (SoA) muss alle 78 Kontrollen gemäß Anhang A (oder die für Ihre Rolle als Verantwortlicher, Auftragsverarbeiter oder beides relevante Teilmenge) auflisten. Jede Kontrolle ist entweder anwendbar oder mit Begründung ausgeschlossen. Die Anzahl der anwendbaren Kontrollen variiert je nach Organisation, aber die meisten Organisationen, die sowohl als Verantwortlicher als auch als Auftragsverarbeiter fungieren, haben 50–70 anwendbare Kontrollen.

Benötige ich eine separate SoA für ISO 27701 und ISO 27001?

Ja. Die ISO 27701 (Ausgabe 2025) verfügt über einen eigenen Anhang A mit datenschutzspezifischen Kontrollen, der von Anhang A der ISO 27001 getrennt ist. Wenn Sie beide Zertifizierungen besitzen, müssen Sie zwei Standards of Architects (SoA) verwalten. Eine Compliance-Plattform wie z. B. ISMS.online Verwaltet beides und ordnet gemeinsam genutzte Steuerelemente zu, sodass Sie keine doppelte Arbeit leisten müssen.

Kann ich eine ganze Tabelle aus Anhang A ausschließen?

Ja, sofern Ihre Rolle dies rechtfertigt. Wenn Sie beispielsweise ausschließlich personenbezogene Daten verarbeiten und niemals als Verantwortlicher agieren, können Sie alle Kontrollen gemäß Tabelle A.1 (Verantwortlicher) ausschließen, da Sie weder die Zwecke noch die Mittel der Verarbeitung personenbezogener Daten festlegen. Tabelle A.3 (Gemeinsame Kontrollen) gilt für alle Organisationen unabhängig von ihrer Rolle.

Welche Nachweise sollten mit den einzelnen Kontrollgruppen verknüpft werden?

Die Nachweise variieren je nach Kontrollart, umfassen aber typischerweise: Richtlinien (genehmigt und bestätigt), Verfahren (dokumentiert und eingehalten), Aufzeichnungen (Protokolle, Register, Besprechungsprotokolle) und technische Nachweise (Systemkonfigurationen, Zugriffskontrollen). Entscheidend ist der Nachweis, dass die Kontrolle nicht nur dokumentiert, sondern auch effektiv funktioniert.

Wie oft sollte die Handlungsanweisung (SoA) überprüft werden?

Überprüfen Sie die Systematik der Kontrollen (SoA) mindestens jährlich im Rahmen Ihres Management-Review-Zyklus und vor jedem Zertifizierungs- oder Überwachungsaudit. Aktualisieren Sie sie außerdem bei wesentlichen Änderungen Ihrer Datenverarbeitungsaktivitäten, Ihres Risikoprofils oder Ihrer Organisationsstruktur. Eine live generierte, plattformbasierte SoA bleibt automatisch auf dem neuesten Stand, sobald Sie Ihre Kontrollen aktualisieren.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.