Wie funktioniert das Zertifizierungsaudit nach ISO 27701:2025?
Die ISO 27701:2025 Zertifizierungsaudit Es folgt dem gleichen zweistufigen Ansatz, der für alle ISO-Managementsystemnormen verwendet wird. Wenn Sie verstehen, was jede Stufe beinhaltet, beseitigen Sie die Unsicherheit und können sich mit Zuversicht vorbereiten.
Der Prozess wird von einem akkreditierten Unternehmen durchgeführt. ZertifizierungsstelleZiel der Prüfer ist es nicht, Sie zu überführen, sondern zu bestätigen, dass Ihr Datenschutzinformationsmanagementsystem (PIMS) den Anforderungen der Norm entspricht und in der Praxis effektiv funktioniert.
Phase 1: Dokumentenprüfung
Phase 1 wird auch als „Bereitschaftsprüfung“ bezeichnet. Der Auditor beurteilt, ob Ihre Dokumentation und Ihr Managementsystemkonzept für den Übergang zu Phase 2 ausreichend sind. Diese Phase wird in der Regel remote durchgeführt, obwohl einige Zertifizierungsstellen auch Vor-Ort-Besuche durchführen.
In Phase 1 prüft der Auditor Folgendes:
- Ihr PIMS-Geltungsbereich und Erklärung zur Anwendbarkeit
- Datenschutzrichtlinie, Ziele und Risikobewertungsmethodik
- Die Anforderungen an das Managementsystem (Klauseln 4–10) und wie Sie mit ihnen umgegangen sind
- Ihr internes Prüfungsprogramm und Ihre Managementbewertungsaufzeichnungen
- Nachweis, dass Ihr PIMS seit ausreichendem Zeitraum (in der Regel mindestens drei Monate) in Betrieb ist
Der Auditor erstellt einen Bericht der Phase 1, in dem alle Problembereiche aufgeführt werden. Dabei handelt es sich nicht um formale Abweichungen, sondern um Hinweise auf Bereiche, die vor Phase 2 Aufmerksamkeit erfordern.
Phase 2: Bewertung der Umsetzung
Phase 2 ist das Hauptaudit. Es bestätigt, dass Ihr PIMS nicht nur dokumentiert, sondern auch tatsächlich implementiert und wirksam ist. Phase 2 wird je nach Zertifizierungsstelle und Organisationsstruktur vor Ort oder in einer Kombination aus Vor-Ort- und Fernsitzungen durchgeführt.
Der Abschlussprüfer wird:
- Befragen Sie Mitarbeiter aus verschiedenen Abteilungen, um das Bewusstsein und das Verständnis zu überprüfen.
- Beispielhafte Nachweise für die Umsetzung von Kontrollmaßnahmen (Richtlinien, Verfahren, Aufzeichnungen, Systemkonfigurationen)
- Prüfen Sie, ob Risiken identifiziert und angemessen behandelt wurden.
- Bewerten Sie die Wirksamkeit Ihrer Anhang A Datenschutzbestimmungen
- Prüfen Sie die Korrekturmaßnahmen aus Ihrer internen Revision und der Managementbewertung.
Worauf achten Wirtschaftsprüfer eigentlich?
Die Prüfer beurteilen Ihr PIMS anhand der Anforderungen von ISO 27701:2025Doch über die bloße Einhaltung der Vorschriften hinaus suchen sie nach Beweisen dafür, dass Ihr Datenschutzmanagementsystem tatsächlich in die Arbeitsweise Ihrer Organisation integriert ist.
Zu den wichtigsten Bereichen, auf die sich die Wirtschaftsprüfer konzentrieren, gehören:
| Gebiet | Was der Wirtschaftsprüfer prüft | Beweise, die sie erwarten |
|---|---|---|
| Führungsengagement | Ist das Topmanagement aktiv in die Datenschutzpolitik eingebunden? | Protokolle von Managementbesprechungen, Entscheidungen zur Ressourcenverteilung, Datenschutzziele |
| Risikobewertung | Werden Datenschutzrisiken systematisch identifiziert, bewertet und behandelt? | Risikoregister, Risikobehandlungsplan, Risikoakzeptanzkriterien |
| Betriebskontrollen | Sind die Kontrollmaßnahmen gemäß Anhang A umgesetzt und funktionieren sie? | Verfahrensprotokolle, Systemkonfigurationen, Schulungsunterlagen |
| Überwachung und Messung | Messen Sie, ob die Kontrollmaßnahmen wirksam sind? | KPIs, Vorfallberichte, Prüfungsergebnisse, Trendanalyse |
| Ständige Verbesserung | Werden Abweichungen thematisiert und daraus Lehren gezogen? | Aufzeichnungen zu Korrekturmaßnahmen, Ergebnisse von Managementbewertungen, Verbesserungspläne |
Auditoren verwenden üblicherweise ein Stichprobenverfahren. Sie überprüfen nicht jede einzelne Kontrollmaßnahme und befragen auch nicht jeden Mitarbeiter, aber sie sichten genügend Beweise, um eine fundierte Schlussfolgerung über die Wirksamkeit Ihres PIMS zu ziehen.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Wie sollten Sie Ihr Team auf das Audit vorbereiten?
Die häufigste Ursache für Beanstandungen bei Prüfungen ist nicht mangelhafte Dokumentation, sondern Mitarbeiter, die die für ihre Aufgaben geltenden Richtlinien und Verfahren nicht kennen. Die Vorbereitung Ihres Teams ist genauso wichtig wie die Vorbereitung Ihrer Nachweise.
Vor der Prüfung
- Informieren Sie alle Mitarbeiter, die möglicherweise befragt werden. Sie sollten den Anwendungsbereich des PIMS, ihre Rolle darin und die relevanten Richtlinien kennen.
- Führen Sie eine Probeprüfung durch. Simulieren Sie die Vorgehensweise des Prüfers, indem Sie Mitarbeiter befragen und Stichproben von Belegen sammeln. Dadurch werden Lücken aufgedeckt, bevor die eigentliche Prüfung stattfindet.
- Schichtannahme Die Beweise sind zugänglich. Die Prüfer sollten nicht warten müssen, während jemand nach Unterlagen sucht. Die Beweismittelpakete sollten nach Klausel und Kontrollgruppe geordnet sein.
- Einen Audit-Beauftragten benennen. Benennen Sie eine Person, die die Logistik koordiniert, Interviews plant und Anfragen der Prüfer beantwortet.
Während der Prüfung
- Beantworten Sie die gestellte Frage. Geben Sie nicht freiwillig Informationen preis, die über die vom Prüfer angeforderten Informationen hinausgehen.
- Seien Sie ehrlich. Wenn ein Prozess nicht vollständig umgesetzt ist, geben Sie dies an. Prüfer schätzen Transparenz weitaus mehr als Ausflüchte.
- Legen Sie umgehend Nachweise vor. Halten Sie Aufzeichnungen, Screenshots, Systemzugänge und Dokumente für die zu beurteilenden Bereiche bereit.
- Mitschreiben. Protokollieren Sie die Beobachtungen und Fragen des Prüfers – diese liefern wertvolle Anregungen für Verbesserungen nach der Prüfung.
ISMS.online Die Vorbereitung auf Audits wird dadurch deutlich vereinfacht, da alle Richtlinien, Kontrollen, Risikobewertungen, Nachweise und Auditprotokolle zentral gespeichert werden. Wenn der Auditor Nachweise anfordert, können Sie direkt zum entsprechenden Dokument navigieren, anstatt in freigegebenen Laufwerken und Tabellenkalkulationen zu suchen.
Was sind die häufigsten Prüfungsfeststellungen?
Das Verständnis häufiger Feststellungen hilft Ihnen, diese zu beheben, bevor der Prüfer eintrifft. Viele dieser Feststellungen überschneiden sich mit häufige ImplementierungsfehlerDies sind die Probleme, die Zertifizierungsstellen am häufigsten melden:
| Erkenntnis | Warum es passiert | Wie man es vermeidet |
|---|---|---|
| Unvollständige Risikobewertung | Datenschutzrisiken werden getrennt von Informationssicherheitsrisiken behandelt, oder nicht alle Verarbeitungstätigkeiten werden berücksichtigt. | Stellen Sie sicher, dass Ihre Risikobewertung alle Verarbeitungstätigkeiten personenbezogener Daten abdeckt und mit Ihrem Datenbestand übereinstimmt. |
| Schwache Managementprüfung | Managementbewertungen sind oberflächlich oder berücksichtigen nicht die erforderlichen Aspekte. | Verwenden Sie eine strukturierte Agenda, die alle im Standard festgelegten Inputfaktoren abdeckt (Auditergebnisse, Risikoänderungen, Verbesserungsmöglichkeiten). |
| Fehlende interne Prüfungsnachweise | Interne Audits werden durchgeführt, aber nicht ordnungsgemäß dokumentiert. | Prüfpläne, Ergebnisse, Korrekturmaßnahmen und Folgemaßnahmen dokumentieren. ISMS.online bietet ein integriertes Audit-Management, um dies zu verfolgen |
| Wissenslücken beim Personal | Die Mitarbeiter dürfen die für ihre Aufgaben geltenden Richtlinien und Kontrollen nicht erläutern. | Führen Sie vor dem Audit Sensibilisierungsveranstaltungen durch und stellen Sie sicher, dass die Aufzeichnungen zur Richtlinienakzeptanz auf dem neuesten Stand sind. |
| Veraltete Dokumentation | Richtlinien oder Verfahren beziehen sich auf veraltete Prozesse oder Organisationsstrukturen. | Planen Sie regelmäßige Dokumentenprüfungen ein und verwenden Sie die Versionskontrolle, um Änderungen nachzuverfolgen. |
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Was geschieht nach dem Audit?
Nach Phase 2 präsentiert der Prüfer seine Ergebnisse in einer Abschlussbesprechung und erstellt einen formellen Prüfbericht. Mögliche Ergebnisse sind:
- Empfehlung zur Zertifizierung — Es wurden keine wesentlichen Abweichungen festgestellt. Kleinere Anmerkungen zur Verbesserung können vermerkt werden.
- Bedingte Empfehlung — Es wurden geringfügige Abweichungen festgestellt. Sie müssen innerhalb einer festgelegten Frist (in der Regel 90 Tage) Nachweise über Korrekturmaßnahmen einreichen.
- Zertifizierung nicht empfohlen — Es wurden schwerwiegende Abweichungen festgestellt. Nach Behebung der Mängel ist ein Folgeaudit erforderlich.
Nach der Zertifizierung ist Ihr Zertifikat drei Jahre gültig, vorbehaltlich jährlicher Überwachungsaudits. Diese sind kürzer als das ursprüngliche Zertifizierungsaudit und konzentrieren sich auf einen Teil der Anforderungen, um die fortlaufende Einhaltung zu bestätigen.
Überwachung und Rezertifizierung
| Prüfungstyp | Wenn die Funktion | Geltungsbereich |
|---|---|---|
| Überwachungsprüfung 1 | ca. 12 Monate nach der Zertifizierung | Teilmenge der Anforderungen sowie alle Bereiche, die bei der ersten Prüfung beanstandet wurden |
| Überwachungsprüfung 2 | ca. 24 Monate nach der Zertifizierung | Unterschiedliche Teilmenge der Anforderungen |
| Rezertifizierungsaudit | ca. 36 Monate (bis zum Ablaufdatum) | Vollständige Neubewertung, ähnlich der Erstzertifizierung |
ISMS.online Hilft Ihnen dabei, zwischen den Prüfungen stets auditbereit zu sein, indem eine kontinuierliche Aufzeichnung von Richtlinienüberprüfungen, Risikoaktualisierungen, Korrekturmaßnahmen und Ergebnissen der Managementbewertung geführt wird – sodass Sie nie in Hektik geraten, wenn die nächste Überwachungsprüfung ansteht.
Warum sollten Sie ISMS.online für Ihre Auditvorbereitung wählen?
- Zentralisierte Nachweise: Alle Richtlinien, Kontrollen, Risikobewertungen und Prüfberichte auf einer Plattform, bereit zur Überprüfung durch den Prüfer.
- Integriertes Auditmanagement: Interne Audits planen, durchführen und verfolgen, einschließlich der Feststellungen, Korrekturmaßnahmen und Nachbereitung – alles in Verbindung mit den entsprechenden Kontrollen.
- Einführung und Akzeptanz der Richtlinie: Verteilen Sie die Richtlinien an die Mitarbeiter, verfolgen Sie, wer sie gelesen und akzeptiert hat, und exportieren Sie Berichte über die Annahme für die Prüfer.
- Risikoregister mit Behandlungsplänen: Demonstrieren Sie einen systematischen Ansatz zum Umgang mit Datenschutzrisiken durch verknüpfte Kontrollen, Verantwortliche und Überprüfungstermine.
- Vorlagen für Managementbewertungen: Strukturierte Agenden und Ergebnisse, die alle im Standard geforderten Inputfaktoren abdecken.
- Kontinuierliche Überwachung: Dashboards und KPIs zeigen den aktuellen Zustand Ihres PIMS auf einen Blick und unterstützen so die Vorbereitung auf Überwachungsaudits.
- Versionskontrollierte Dokumentation: Die automatische Versionshistorie und Dokumentenprüfung gewährleisten, dass Prüfer immer die aktuelle, genehmigte Version sehen.
Häufig gestellte Fragen
Wie lange dauert das Zertifizierungsaudit nach ISO 27701:2025?
Phase 1 dauert in der Regel ein bis zwei Tage, Phase 2 zwei bis fünf Tage, abhängig von Größe und Komplexität Ihres Unternehmens. Zwischen Phase 1 und Phase 2 liegt üblicherweise ein Zeitraum von vier bis acht Wochen, um Ihnen Zeit zu geben, auf die Ergebnisse einzugehen.
Kann das Audit aus der Ferne durchgeführt werden?
Phase 1 wird üblicherweise online durchgeführt. Phase 2 erfordert in der Regel die Anwesenheit vor Ort, wobei viele Zertifizierungsstellen mittlerweile hybride Ansätze anbieten, die Online- und Vor-Ort-Prüfungen kombinieren. Ihre Zertifizierungsstelle wird das Verfahren im Planungsgespräch mit Ihnen abstimmen.
Was passiert, wenn wir eine schwerwiegende Abweichung erhalten?
Eine schwerwiegende Abweichung bedeutet, dass die Zertifizierung erst nach Behebung des Problems erteilt werden kann. Sie müssen Korrekturmaßnahmen umsetzen und ein Folgeaudit durchlaufen (oder ausreichende Nachweise erbringen), bevor die Zertifizierungsstelle eine Empfehlung aussprechen kann. Dies ist nicht ungewöhnlich und bedeutet nicht, dass Ihre Implementierung gescheitert ist.
Ist die Zertifizierung nach ISO 27001 Voraussetzung für ein Audit nach ISO 27701:2025?
ISO 27701:2025 kann nun als zertifiziert werden eigenständiger StandardDaher ist eine ISO 27001-Zertifizierung keine Voraussetzung mehr. Sollten Sie jedoch bereits über eine ISO 27001-Zertifizierung verfügen, konzentriert sich das Audit für ISO 27701 auf die datenschutzbezogenen Ergänzungen.
Wie sollten wir eine Zertifizierungsstelle auswählen?
Suchen Sie nach einer Zertifizierungsstelle, die von einer nationalen Akkreditierungsstelle (wie z. B. UKAS in Großbritannien) akkreditiert ist. Berücksichtigen Sie deren Erfahrung mit ISO 27701, die Verfügbarkeit ihrer Auditoren und ob sie integrierte Audits anbieten, falls Sie weitere ISO-Zertifizierungen besitzen. Fordern Sie Angebote von zwei oder drei Stellen an, um Vorgehensweise, Zeitplan und … zu vergleichen. kosten.
