Was bedeutet eigenständige Zertifizierung?
Die ISO 27701:2025 ist ein vollständiger, in sich abgeschlossener Standard für Managementsysteme. Im Gegensatz zur Ausgabe von 2019, die eine Erweiterung der ISO 27001 darstellte und nur zusammen mit dieser zertifiziert werden konnte, enthält die ISO 27701:2025 einen eigenen vollständigen Katalog von Anforderungen an Managementsysteme. Klauseln 4 bis 10.
Das bedeutet, dass Organisationen die ISO 27701:2025-Zertifizierung nun eigenständig erlangen können, ohne zuvor die ISO 27001 implementieren oder sich danach zertifizieren lassen zu müssen. Dies ist eine der bedeutendsten Änderungen der Ausgabe 2025 und verändert grundlegend, wer von der Norm profitieren kann.
Warum wurde diese Änderung vorgenommen?
Die Ausgabe von 2019 verpflichtete Organisationen, zunächst ISO 27001 (Informationssicherheit) zu implementieren, bevor sie ISO 27701 (Datenschutz) hinzufügen konnten. Dies war zwar für Organisationen, die bereits Informationssicherheit praktizierten, sinnvoll, stellte aber eine erhebliche Hürde für folgende Bereiche dar:
- Organisationen, die eine Datenschutzzertifizierung benötigten, aber keinen unmittelbaren Bedarf an einem vollständigen ISMS hatten.
- Kleinere Organisationen, für die die kombinierten Kosten und der Aufwand für zwei Standards unerschwinglich wären
- Unternehmen, denen der Datenschutz am Herzen lag und deren Hauptanliegen der Nachweis der Einhaltung des Datenschutzes war.
- Organisationen in Sektoren, in denen Datenschutzbestimmungen der Hauptantrieb sind (Gesundheitswesen, Bildung, Personaldienstleistungen).
Durch die Ausgliederung der ISO 27701:2025 in eine eigenständige Norm wird diese für ein viel breiteres Spektrum von Organisationen zugänglich, die ein effektives Datenschutzmanagement durch eine international anerkannte Zertifizierung nachweisen möchten.
Wer profitiert von einer eigenständigen Zertifizierung?
Eine eigenständige Zertifizierung ist besonders wertvoll für:
- Startups mit Fokus auf Datenschutz — Unternehmen, deren Geschäftsmodell auf Datenverarbeitungsdiensten basiert und die ihren Kunden Vertrauenswürdigkeit beweisen müssen.
- KMU mit begrenzten Ressourcen — Organisationen, die eine Datenschutzzertifizierung ohne den Aufwand eines vollständigen Informationssicherheitsmanagementsystems wünschen
- Datenverarbeiter — Cloud-Service-Anbieter, SaaS-Unternehmen und Outsourcing-Dienstleister, die nachweisen müssen Datenschutz Einhaltung der Kundenvorgaben
- Regulierte Industrie — Gesundheitsdienstleister, Finanzdienstleistungsunternehmen und Bildungseinrichtungen, bei denen der Datenschutz das vorrangige regulatorische Anliegen ist
- Organisationen mit bestehenden Sicherheitsrahmen — Unternehmen, die SOC 2, NIST oder andere Sicherheitsframeworks verwenden und eine dedizierte Datenschutzzertifizierung wünschen.
Organisationen, die bereits über eine ISO 27001-Zertifizierung verfügen, können beide Systeme dennoch integrieren. Die Standards sind so konzipiert, dass sie zusammenwirken, und ein kombinierter Ansatz gewährleistet ein umfassendes Informationssicherheits- und Datenschutzmanagement.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Was beinhaltet der Zertifizierungsprozess?
Der Zertifizierungsprozess für ISO 27701:2025 folgt dem Standardansatz für die Zertifizierung von Managementsystemen nach ISO-Normen:
Ihre Anwendbarkeitserklärung wird sich auf Folgendes beziehen: Tabelle A.1 Reglersteuerungen, Tabelle A.2 Prozessorsteuerungen und Tabelle A.3 Gemeinsame Sicherheitskontrollen.
| Praktikum | Was ist loss | Typische Dauer |
|---|---|---|
| Vorbereitung | PIMS implementieren: Kontext schaffen, Risiken bewerten, Kontrollen implementieren, Dokumentation erstellen | 3 zu 12 Monate |
| Stufe 1-Audit | Die Zertifizierungsstelle prüft die Dokumentation und die Bereitschaft. Sie identifiziert alle Bereiche, die vor Phase 2 Aufmerksamkeit erfordern. | . |
| Stufe 2-Audit | Vor-Ort- (oder Fern-)Bewertung der Implementierung und Wirksamkeit des PIMS. Die Prüfer befragen die Mitarbeiter, prüfen die Nachweise und testen die Kontrollen. | . |
| Zertifizierungsentscheidung | Die Zertifizierungsstelle prüft die Ergebnisse des Audits und entscheidet über die Ausstellung des Zertifikats. | 2 bis 4 Wochen |
| Überwachungsaudits | Jährliche Audits zur Überprüfung, ob das PIMS weiterhin die Anforderungen erfüllt. | 1 bis 2 Tage jährlich |
| Rezertifizierung | Vollständige Neubewertung am Ende des dreijährigen Zertifizierungszyklus | . |
Wie verhält sich dies im Vergleich zum Ansatz von 2019?
| Aspekt | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Voraussetzung | ISO 27001-Zertifizierung erforderlich | Keine Voraussetzungen erforderlich, eigenständige Zertifizierung verfügbar |
| Klauseln zum Managementsystem | Ergänzende Abschnitte 4 bis 10 der ISO 27001 | Enthält die vollständigen Klauseln 4 bis 10. |
| Risikobewertung | Erweiterter ISO 27001 Informationssicherheitsrisikoprozess | Spezieller Prozess zur Bewertung von Datenschutzrisiken |
| Erklärung zur Anwendbarkeit | Erweiterung der ISO 27001 SoA | Eigenständige SoA, die ISO 27701 abdeckt Anhang A Steuerung |
| Umfang der Zertifizierung | Immer in Kombination mit ISO 27001 | Ob eigenständig oder kombiniert, die Entscheidung liegt bei der Organisation. |
| Prüfungsaufwand | Zusätzliche Audittage zusätzlich zu ISO 27001 | Kann eine einzelne, fokussierte Datenschutzprüfung sein. |
Wie sieht der Zeitplan für den Übergang aus?
Organisationen, die derzeit nach ISO 27701:2019 zertifiziert sind, müssen bis zum [Datum einfügen] auf die Ausgabe 2025 umsteigen. Oktober 2028Wichtige Termine:
- Umstellen — ISO 27701:2025 ist veröffentlicht und die Zertifizierungsstellen bereiten ihre Akkreditierung vor.
- 2025 bis 2026 — Zertifizierungsstellen beginnen mit der Durchführung von ISO 27701:2025-Zertifizierungsaudits.
- Oktober 2028 Alle ISO 27701:2019-Zertifikate sind abgelaufen. Organisationen müssen auf die Ausgabe 2025 umgestellt haben.
Für Organisationen, die ISO 27701 neu anwenden, besteht keine Übergangspflicht. Sie sollten die Ausgabe 2025 direkt implementieren. Ausführliche Hinweise zum Übergang finden Sie in unserer [Website/Dokumentation/Richtlinien einfügen]. Übergangsleitfaden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Lässt sich ISO 27701 noch mit ISO 27001 kombinieren?
Absolut. Obwohl mittlerweile auch eine eigenständige Zertifizierung möglich ist, können Organisationen, die bereits nach ISO 27001 zertifiziert sind oder dies anstreben, die beiden Normen weiterhin integrieren. Tatsächlich bietet dies erhebliche Vorteile:
- Gemeinsames Managementsystem - Viele Klausel 4 bis zu 10 Anforderungen überschneiden sich, wodurch Doppelarbeit reduziert wird
- Integriertes Risikomanagement — Informationssicherheits- und Datenschutzrisiken durch einen einzigen, koordinierten Prozess bewerten
- Kombinierte Prüfungen — Reduzierung der Auditmüdigkeit durch die Kombination von Überwachungs- und Rezertifizierungsaudits.
- Umfassende Berichterstattung — Informationssicherheit und Datenschutz in einem einzigen Rahmenwerk vereinen, das sowohl Kunden als auch Regulierungsbehörden anspricht.
Die Wahl zwischen einer eigenständigen und einer integrierten Zertifizierung hängt von den Bedürfnissen Ihrer Organisation, bestehenden Zertifizierungen und den Kundenerwartungen ab.
Warum sollten Sie sich ISMS.online für die ISO 27701:2025-Zertifizierung?
ISMS.online wurde speziell entwickelt, um Ihren Weg zur Zertifizierung zu beschleunigen:
Zu den wichtigsten Kontrollmaßnahmen zur Vorbereitung gehören: A.1.2.6 Datenschutz-Folgenabschätzung und A.1.2.9 Aufzeichnungen über die Verarbeitung.
- Vorkonfiguriertes PIMS-Framework — Beginnen Sie mit einer vollständigen ISO 27701:2025-Struktur inklusive aller Klauseln und Kontrollen gemäß Anhang A, die Sie individuell anpassen können
- Ersteller der Anwendbarkeitserklärung — Erstellen und pflegen Sie Ihre Handlungsempfehlung (SoA) mit Begründungen, Implementierungsstatus und entsprechenden Nachweisverknüpfungen.
- Risikomanagement — Integriertes Datenschutzrisikoregister mit Bewertungs- und Behandlungsabläufen, die auf den Standard abgestimmt sind
- Prüfungsbereitschaft — Zentralisierte Nachweiserfassung, Dokumentenverwaltung und Prüfprotokollierung, damit Sie jederzeit zertifizierungsbereit sind
- Kompetente Beratung — Integrierte Anleitungen für jede Klausel und Kontrollmaßnahme, die Ihrem Team helfen, die Anforderungen ohne externe Beratung zu verstehen
Häufig gestellte Fragen
Muss ich die ISO 27001-Zertifizierung aufgeben, um eine eigenständige ISO 27701-Zertifizierung zu erhalten?
Nein. Eine eigenständige Zertifizierung bedeutet lediglich, dass ISO 27001 keine Voraussetzung mehr ist, nicht, dass Sie nicht beide Zertifizierungen besitzen können. Wenn Sie bereits über ISO 27001 verfügen, können Sie diese beibehalten und ISO 27701:2025 als eigenständige oder integrierte Zertifizierung hinzufügen. Die eigenständige Option bietet Organisationen die Flexibilität, sich nach ISO 27701 zertifizieren zu lassen, ohne ISO 27001 zu benötigen, falls dies ihren Bedürfnissen besser entspricht.
Wird eine eigenständige Zertifizierung von den Aufsichtsbehörden im Rahmen der DSGVO anerkannt?
Die ISO-27701-Zertifizierung (ob eigenständig oder integriert) ist kein offizieller Zertifizierungsmechanismus gemäß Artikel 42 DSGVO. Sie wird jedoch von Aufsichtsbehörden und der Branche weithin als starker Nachweis für ein effektives Datenschutzmanagement anerkannt. Viele Organisationen nutzen die ISO-27701-Zertifizierung, um ihre Rechenschaftspflicht gemäß Artikel 5 Absatz 2 DSGVO nachzuweisen und die Sorgfaltspflichten gegenüber Kunden im Zusammenhang mit Datenverarbeitungsvereinbarungen gemäß Artikel 28 DSGVO zu erfüllen.
Wie lange dauert es, eine eigenständige ISO 27701-Zertifizierung zu erhalten?
Bei einer gut vorbereiteten Organisation dauert die Implementierungsphase typischerweise 3 bis 6 Monate für kleinere und 6 bis 12 Monate für größere oder komplexere Organisationen. Der Auditprozess dauert zusätzlich 4 bis 8 Wochen. Die Nutzung einer Plattform wie ISMS.online kann die Implementierungszeit erheblich verkürzen, indem vorgefertigte Frameworks, Vorlagen und Anleitungen bereitgestellt werden, die es überflüssig machen, bei Null anzufangen.
Eine detaillierte Kostenaufschlüsselung nach Unternehmensgröße finden Sie unter Wie viel kostet die ISO 27701:2025-Zertifizierung?.
In unserem Ratgeber gehen wir der Frage nach, ob sich die Investition lohnt: Lohnt sich die ISO 27701:2025-Zertifizierung?.
Besorgt über die Bezahlbarkeit? Lesen Sie weiter. Ist ISO 27701:2025 für KMU zu teuer? für realistische Budgets.
Noch unentschlossen? Unser Leitfaden bietet Ihnen alles Wissenswerte. ob Sie eine ISO 27701:2025-Zertifizierung benötigen basierend auf Ihrer Branche und Situation.
