Warum ist ISO 27701:2025 für CISOs relevant?
Datenschutz ist keine rein rechtliche Angelegenheit mehr, die außerhalb des Zuständigkeitsbereichs des CISO liegt. Angesichts der weltweit zunehmenden Ausweitung der Datenschutzbestimmungen erwarten Vorstände immer häufiger, dass der CISO neben der Informationssicherheit auch die operative Verantwortung für den Datenschutz übernimmt. Management-Buy-in ist ein entscheidender erster Schritt. ISO 27701:2025 bietet den Rahmen für das Managementsystem, um dies effektiv umzusetzen.
Die Version 2025 stellt eine deutliche Verbesserung für CISOs dar, da sie nun als … fungiert. eigenständiger StandardWährend die Ausgabe von 2019 lediglich eine Erweiterung der ISO 27001 war, enthält die Version von 2025 eigene, vollständige Anforderungen an das Managementsystem. Klauseln 4 bis 10Dies gibt CISOs zwei Möglichkeiten:
- Integrierter Ansatz — Erweitern Sie Ihr bestehendes ISO 27001 ISMS um die Datenschutzbestimmungen nach ISO 27701 und betreiben Sie beide als einheitliches Managementsystem.
- Eigenständiger Ansatz — Implementieren Sie ISO 27701 eigenständig, wenn Ihre Organisation eine Datenschutzzertifizierung ohne vollständige Informationssicherheitszertifizierung benötigt.
Für die meisten CISOs, die bereits ein nach ISO 27001 zertifiziertes ISMS verwalten, bietet der integrierte Ansatz die größte Effizienz. Die Managementsystemklauseln weisen dieselbe übergeordnete Struktur auf, sodass Sie auf bestehenden Prozessen aufbauen, anstatt neue zu erstellen.
In welchem Verhältnis steht ISO 27701:2025 zu ISO 27001?
Das Verständnis des Zusammenhangs zwischen diesen Standards ist für CISOs bei der Planung ihrer Vorgehensweise von entscheidender Bedeutung:
| Gebiet | ISO 27001 | ISO 27701:2025 | Integrationsmöglichkeit |
|---|---|---|---|
| Geltungsbereich | Informationssicherheit | Datenschutz und Schutz personenbezogener Daten | Definieren Sie einen einheitlichen Geltungsbereich, der sowohl Sicherheit als auch Datenschutz umfasst. |
| Risikobewertung | Informationssicherheitsrisiken | Datenschutzrisiken für personenbezogene Daten | Erweitern Sie Ihre Risikobewertungsmethodik um die Dimensionen der Auswirkungen auf den Datenschutz. |
| Steuerelemente | 93 Anhang A Kontrollen | Spezielle Datenschutzeinstellungen gemäß Anhang A in 5 Kategorien | Überlappende Steuerelemente ordnen und datenschutzspezifische hinzufügen |
| Erklärung zur Anwendbarkeit | Umfasst ISO 27001 Anhang A | Deckt ISO 27701 ab Anhang A | Separate SoAs pflegen oder ein kombiniertes Dokument erstellen |
| Interne Anhörung | ISMS-Auditprogramm | PIMS-Auditprogramm | Zusammenfassen in einem einzigen Prüfplan, der beide Bereiche abdeckt |
| Managementbewertung | ISMS-Leistungsüberprüfung | PIMS-Leistungsüberprüfung | Einzelmanagementprüfung, die Sicherheits- und Datenschutzkennzahlen umfasst |
Die wichtigste Erkenntnis für CISOs ist, dass ISO 27701:2025 ISO 27001 nicht ersetzt, sondern ergänzt. Ihre Informationssicherheitskontrollen bleiben unerlässlich – ISO 27701 ergänzt sie um datenschutzspezifische Kontrollen und Prozesse, die regeln, wie personenbezogene Daten erhoben, verarbeitet, weitergegeben und gespeichert werden.
Welche Ressourcen und welches Budget werden benötigt?
CISOs müssen drei Ressourcenkategorien einplanen:
Menschen:
- Ein Datenschutzbeauftragter oder PIMS-Manager koordiniert die Implementierung (dies kann der/die DSB(eine eigens dafür eingestellte Person oder ein Mitglied des bestehenden Sicherheitsteams)
- Prozessverantwortliche im gesamten Unternehmen, die die Verarbeitung personenbezogener Daten verwalten
- Interne Prüfungsfähigkeit im Bereich Datenschutz
- Rechtliche Unterstützung bei der Auslegung geltender Datenschutzgesetze
Zeit:
- Wenn Sie bereits über eine ISO 27001-Zertifizierung verfügen, dauert die Implementierungsphase für die Erweiterung auf ISO 27701 in der Regel 3 bis 6 Monate.
- Von Grund auf sollten Sie je nach organisatorischer Komplexität 6 bis 12 Monate einplanen.
- Das Zertifizierungsaudit verlängert die Dauer um 4 bis 8 Wochen.
Budget:
- Gebühren der Zertifizierungsstelle für das Audit (inkrementell, wenn es mit ISO 27001 kombiniert wird)
- Plattform- oder Werkzeugkosten für die Verwaltung des PIMS
- Schulung für Mitarbeiter, die an Datenschutzprozessen beteiligt sind
- unsere digitalen Möglichkeiten Beratung für eine Gap-Analyse oder fachkundige Beratung
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Wie sollten CISOs den Datenschutz in das Sicherheitsprogramm integrieren?
Am effektivsten ist es, Ihr bestehendes ISMS zu erweitern, anstatt ein paralleles Datenschutzmanagementsystem aufzubauen. Hier ist ein praktischer Integrationsplan:
Phase 1: Umfang- und Lückenanalyse (Wochen 1 bis 4)
- Erfassen Sie Ihre aktuellen Aktivitäten zur Verarbeitung personenbezogener Daten im gesamten Unternehmen.
- Identifizieren Sie welche Anhang A-Kontrollen auf Ihren Verarbeitungsbereich anwenden
- Führen Sie eine gründliche Durchführung durch Lückenanalyse um die bestehenden Kontrollen anhand der Anforderungen der ISO 27701 zu bewerten
- Entscheiden Sie, ob Sie eine eigenständige oder eine integrierte Zertifizierung anstreben.
Phase 2: Verlängerung der Risikobewertung (Wochen 5 bis 8)
- Erweitern Sie Ihre Risikobewertungsmethodik um die Dimension des Datenschutzrisikos (Auswirkungen auf personenbezogene Daten, nicht nur organisatorische Auswirkungen).
- Identifizieren Sie datenschutzspezifische Risiken, die Ihre Informationssicherheitsrisikobewertung derzeit möglicherweise nicht erfasst.
- Entwicklung von Risikobehandlungsplänen für identifizierte Datenschutzrisiken
Phase 3: Umsetzung der Kontrollmaßnahmen (Wochen 9 bis 20)
- Implementieren oder verbessern Sie die Kontrollen, um die Anforderungen von ISO 27701 Anhang A zu erfüllen.
- Richtlinien aktualisieren, um datenschutzspezifische Anforderungen zu berücksichtigen
- Prozesse zur Rechte betroffener Personen einführen oder formalisieren
- Implementieren Sie datenschutzfreundliche Voreinstellungen.
- Überprüfung und Aktualisierung von Drittvereinbarungen zur Verarbeitung personenbezogener Daten
Phase 4: Betrieb und Prüfung (Wochen 21 bis 24)
- Führen Sie das integrierte Managementsystem für eine Mindestbetriebsdauer aus.
- Führen Sie interne Audits durch, die den Datenschutzbereich abdecken
- Managementbewertung unter Einbeziehung von Daten zur Datenschutzleistung durchführen
- Beheben Sie alle festgestellten Abweichungen.
Wie sollten CISOs dem Vorstand über die Einhaltung der Datenschutzrichtlinien berichten?
Die Berichterstattung des Aufsichtsrats zum Thema Datenschutz muss strategisch, prägnant und risikoorientiert sein. CISOs sollten die Datenschutz-Governance als geschäftliches und nicht als technisches Risiko darstellen. Eine effektive Berichterstattung an den Aufsichtsrat umfasst Folgendes:
| Metrikkategorie | Beispielmetriken | Relevanz des Vorstands |
|---|---|---|
| Regulatorisches Engagement | Anzahl der Gerichtsbarkeiten, anhängige Gesetzesänderungen, Korrespondenz der Aufsichtsbehörden | Quantifiziert die rechtliche Risikolandschaft |
| Kontrollreife | Prozentsatz der implementierten und nachgewiesenen ISO 27701-Kontrollen | Zeigt Fortschritte in Richtung Zertifizierungsreife |
| Vorfalltrends | Datenschutzvorfälle, Beinaheunfälle, Beschwerden betroffener Personen, Meldungen von Datenschutzverletzungen | Zeigt die operative Wirksamkeit der Datenschutzmaßnahmen an. |
| Drittparteienrisiko | Bewertung der Prozessoren, ausstehende Sorgfaltsprüfungen, Vertragserfüllungsquoten | Hebt das Datenschutzrisiko in der Lieferkette hervor |
| Betroffenenrechte | Anfragevolumen, Antwortzeiten, Abschlussquoten | Nachweis der operativen Einhaltung der DSGVO-Vorgaben |
| Zertifizierungsstatus | Prüfungsergebnisse, offene/geschlossene Abweichungen, nächster Prüftermin | Gewährleistet, dass die externe Validierung planmäßig verläuft. |
Stellen Sie diese Kennzahlen im Kontext der Geschäftsergebnisse dar: Kundenbindung, Vertragsabschlüsse, regulatorisches Vertrauen und Risikominderung. Eine fertige Präsentation für den Vorstand finden Sie hier: Zusammenfassung für VorstandsmitgliederDie Vorstände reagieren auf die Sprache der Risiken und Chancen, nicht auf technische Details der Einhaltung von Vorschriften.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche zentralen Herausforderungen stellen sich CISOs bei der Anwendung von ISO 27701?
Aufgrund gemeinsamer Implementierungserfahrungen sollten sich CISOs auf diese Herausforderungen vorbereiten:
- Kulturwandel Sicherheitsteams denken in Kategorien organisatorischer Risiken. Datenschutz erfordert jedoch die Berücksichtigung der Auswirkungen auf Einzelpersonen. Dieser Perspektivwechsel braucht Zeit und Schulung.
- Funktionsübergreifende Koordination Datenschutz betrifft jede Abteilung, die personenbezogene Daten verarbeitet. CISOs müssen daher nicht nur die IT-Abteilung, sondern auch die Bereiche Personalwesen, Marketing, Vertrieb, Kundenservice und Produktentwicklung einbeziehen.
- Rechtsauslegung — ISO 27701 verpflichtet Organisationen zur Identifizierung der geltenden Datenschutzgesetze. CISOs benötigen Zugang zu juristischer Expertise, um die Anforderungen in verschiedenen Rechtsordnungen zu interpretieren.
- Komplexität der Datenzuordnung — Zu verstehen, wohin personenbezogene Daten fließen, wer sie verarbeitet und auf welcher Rechtsgrundlage, ist oft komplexer als erwartet. Beginnen Sie frühzeitig und optimieren Sie Ihre Prozesse iterativ.
- Balance zwischen Sicherheit und Datenschutz Sicherheitsmaßnahmen stehen mitunter im Widerspruch zu Datenschutzprinzipien (beispielsweise umfangreiche Protokollierung zur Sicherheitsüberwachung versus Datenminimierung). CISOs müssen hier das richtige Gleichgewicht finden.
Für CISOs, die Organisationen verwalten, die personenbezogene Daten verarbeiten, die sich auf KI-, IoT- oder biometrische SystemeZusätzliche Datenschutzmaßnahmen könnten erforderlich sein, um automatisierte Entscheidungsfindung, Profilerstellung und Daten besonderer Kategorien zu berücksichtigen.
Warum sollten Sie sich ISMS.online für ISO 27701:2025?
ISMS.online bietet CISOs eine einheitliche Plattform zur Verwaltung von Informationssicherheit und Datenschutz:
- Integriertes Managementsystem — ISO 27001 und ISO 27701 auf einer gemeinsamen Plattform mit gemeinsamen Prozessen, Richtlinien und gegebenenfalls Nachweisen anwenden
- Vorkonfiguriertes Framework — Beginnen Sie damit, dass alle Klauseln der ISO 27701:2025 und die Kontrollen des Anhangs A erfasst und zur Implementierung bereit sind, wodurch das Problem der leeren Seite beseitigt wird.
- Einheitliches Risikoregister — Informationssicherheits- und Datenschutzrisiken in einem einzigen Register mit unterschiedlichen Auswirkungskategorien für organisatorische und individuelle Schäden verwalten
- Kombiniertes Prüfungsprogramm — Audits gemäß beiden Standards planen und verfolgen, um die Auditbelastung zu reduzieren und eine umfassende Abdeckung sicherzustellen
- Dashboards für die Vorstandsberichterstattung — Erstellen Sie Berichte zur Datenschutzgovernance, die Kontrolldaten in die von den Vorständen erwartete Risikosprache übersetzen.
- Standardübergreifende Zuordnung — Sehen Sie, wie die Kontrollen den Anforderungen von ISO 27001, ISO 27701 und der DSGVO zugeordnet sind, wodurch Doppelarbeit vermieden wird.
- Gruppenarbeit — Weisen Sie Datenschutzaufgaben den Prozessverantwortlichen im gesamten Unternehmen zu, verfolgen Sie den Fortschritt und gewährleisten Sie die Verantwortlichkeit ohne E-Mail-Ketten oder Tabellenkalkulationen.
Häufig gestellte Fragen
Sollte der CISO für das PIMS verantwortlich sein oder sollte es beim DPO liegen?
Dies hängt von der Struktur Ihres Unternehmens ab. In vielen Organisationen ist der CISO für das Managementsystem (ISMS und PIMS) verantwortlich, während der Datenschutzbeauftragte (DSB) unabhängige Beratung und Überwachung übernimmt. Diese Trennung wahrt die Unabhängigkeit des DSB gemäß Artikel 38 DSGVO und stellt gleichzeitig sicher, dass das PIMS von der operativen Managementerfahrung des CISO profitiert. In kleineren Organisationen kann eine Person beide Funktionen ausüben; in diesem Fall sollten jedoch unabhängige Prüfverfahren eingerichtet werden.
Können wir im Rahmen unseres nächsten ISO 27001-Überwachungsaudits die ISO 27701-Zertifizierung erreichen?
Dies ist möglich, hängt jedoch von Ihrer Zertifizierungsstelle und deren Vorbereitung ab. Einige Zertifizierungsstellen bieten kombinierte Audits an, bei denen die ISO 27701-Zertifizierung zusammen mit einem Überwachungs- oder Rezertifizierungsaudit nach ISO 27001 bewertet werden kann. Voraussetzung ist ein vollständig implementiertes und betriebsbereites PIMS mit Nachweis über mindestens einen Managementbewertungs- und internen Auditzyklus. Klären Sie die Terminplanung frühzeitig mit Ihrer Zertifizierungsstelle ab.
Welche zusätzlichen Audittage sollten wir für ISO 27701 einplanen?
Für ein integriertes Audit nach ISO 27701 verlängert sich die Dauer Ihres ISO 27001-Audits in der Regel um 1 bis 3 Tage für die Erstzertifizierung und um 0.5 bis 1.5 Tage für Folgeaudits. Die genaue Dauer hängt von der Anzahl der Verarbeitungstätigkeiten personenbezogener Daten, der Anzahl der betroffenen Jurisdiktionen und der Komplexität Ihrer Datenflüsse ab. Ihre Zertifizierungsstelle erstellt Ihnen eine detaillierte Berechnung der Auditdauer auf Basis Ihres individuellen Umfangs.
Benötigen wir separate Richtlinien für ISO 27701 oder können wir unsere ISO 27001-Richtlinien erweitern?
In den meisten Fällen können Sie Ihre bestehenden Richtlinien erweitern. Ihre Informationssicherheitsrichtlinie lässt sich um Datenschutzziele und -verpflichtungen ergänzen. Auch Ihre Risikobewertungsmethodik kann um Datenschutzrisiken erweitert werden. Hierfür benötigen Sie jedoch einige datenschutzspezifische Dokumente, wie beispielsweise ein Verzeichnis der Verarbeitung personenbezogener Daten, Verfahren zu den Rechten betroffener Personen und Datenschutzerklärungen. ISMS.online stellt Vorlagen für alle erforderlichen Dokumente bereit.
Wie unterstützt ISO 27701 CISOs bei der Erfüllung ihrer Verpflichtungen im Bereich internationaler Datentransfers?
ISO 27701:2025 enthält spezifische Kontrollen zur Identifizierung und Dokumentation internationaler Übermittlungen personenbezogener Daten, zu den Rechtsgrundlagen für diese Übermittlungen sowie zu vertraglichen Schutzmaßnahmen mit den Empfängern. Für CISOs, die in mehreren Jurisdiktionen tätig sind, bietet der Standard einen strukturierten Ansatz zur Abbildung von Übermittlungsflüssen, zur Bewertung von Übermittlungsrisiken und zur Aufrechterhaltung angemessener Schutzmaßnahmen. Zuordnung von Anhang D der DSGVO Diese Kontrollen stehen in direktem Zusammenhang mit den Transferanforderungen gemäß Kapitel V.
