Warum wurde ISO 27701 überarbeitet?
ISO 27701:2019 wurde als Erweiterung von ISO 27001 und ISO 27002 veröffentlicht und ergänzte bestehende Informationssicherheitsmanagementsysteme um datenschutzspezifische Anforderungen und Kontrollen. Dieser Ansatz war zwar grundsätzlich sinnvoll, führte aber zu praktischen Problemen: Organisationen benötigten eine ISO-27001-Zertifizierung, bevor sie sich nach ISO 27701 zertifizieren lassen konnten; die Datenschutzkontrollen waren über mehrere Abschnitte verteilt, und die Struktur entsprach nicht eindeutig der tatsächlichen Vorgehensweise von Organisationen im Umgang mit Datenschutz.
Die Revision von 2025 behandelt all diese Punkte. ISO 27701:2025 ist eine Standard für eigenständiges Managementsystem mit eigenen vollständigen Anforderungen in den Abschnitten 4 bis 10, ein neu gestaltetes Anhang A mit 78 klar kategorisierten Datenschutzeinstellungen und neuen Mapping-Anhängen, die den Standard mit DatenschutzISO 29100 und ihre Vorgängerversion von 2019. Eine vollständige Übersicht der Änderungen finden Sie in unserem Leitfaden zu Was ist neu in ISO 27701:2025?.
Wie hat sich die Struktur verändert?
Die grundlegendste Änderung besteht darin, dass ISO 27701:2025 kein Erweiterungsstandard mehr ist. Es handelt sich um einen vollständigen, in sich geschlossenen Standard für ein Managementsystem für datenschutzrelevante Informationen (PIMS).
| Aspekt | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Standard-Typ | Erweiterung zu ISO 27001/ISO 27002 | Standard für eigenständiges Managementsystem |
| Voraussetzung | ISO 27001-Zertifizierung erforderlich | Keine Voraussetzungen; eigenständige Zertifizierung möglich |
| Klauseln zum Managementsystem | Ergänzende Abschnitte 4 bis 10 der ISO 27001 | Enthält die vollständigen Klauseln 4 bis 10. |
| Datenschutzeinstellungen Standort | Abschnitte 7 (Steuerung) und 8 (Prozessor) mit integrierten Steuerungen | Anhang A mit drei Tabellen: A.1 Controller, A.2 Prozessor, A.3 Gemeinsam |
| Implementierungsleitfaden | Eingestreut mit normativen Kontrollen | Ausgegliedert in Anhang B (normativ) |
| Risikobewertung | Erweiterter ISO 27001 Informationssicherheitsrisikoprozess | Spezielle Datenschutzrisikobewertung in Klausel 6 |
| Erklärung zur Anwendbarkeit | Erweiterung der ISO 27001 SoA | Eigenständige SoA, die die Kontrollen gemäß Anhang A abdeckt |
| Klimawandel | Nicht angesprochen | Inbegriffen Klauseln 4.1 und 4.2 Kontextbetrachtungen |
| Zertifizierung | Immer in Kombination mit ISO 27001 | Ob eigenständig oder kombiniert, die Entscheidung liegt bei der Organisation. |
Diese strukturelle Änderung bedeutet, dass Organisationen, die eine Datenschutzzertifizierung anstreben, nicht mehr zuerst ein vollständiges Informationssicherheitsmanagementsystem implementieren müssen. Einzelheiten zur eigenständigen Zertifizierung finden Sie in unserer [Website/Dokumentation/etc.]. Leitfaden zur eigenständigen Zertifizierung.
Abschnitte 4 bis 10: Anforderungen an ein eigenständiges Managementsystem
In der Ausgabe von 2019 ergänzten die Abschnitte 5 bis 8 die entsprechenden Abschnitte der ISO 27001. Die Ausgabe von 2025 enthält vollständig in sich abgeschlossene Abschnitte:
- Klausel 4 (Kontext) — Legt den Anwendungsbereich des PIMS unabhängig fest, einschließlich der neuen Anforderung, die Relevanz des Klimawandels zu berücksichtigen.
- Klausel 5 (Führung) — Definiert die Verantwortlichkeiten des Top-Managements für den Datenschutz, einschließlich einer Datenschutzrichtlinie und der Zuweisung von Rollen
- Abschnitt 6 (Planung) — Führt einen separaten Prozess zur Bewertung und Behandlung von Datenschutzrisiken ein, der vom Informationssicherheitsrisikomanagement getrennt ist.
- Klausel 7 (Unterstützung) — Umfasst Ressourcen, Kompetenzen, Sensibilisierung, Kommunikation und dokumentierte Informationen für das PIMS
- Klausel 8 (Betrieb) — Operative Planung und Steuerung von Datenschutzprozessen
- Klausel 9 (Leistungsbeurteilung) — Überwachung, Messung, interne Prüfung und Managementbewertung des PIMS
- Klausel 10 (Verbesserung) — Umgang mit Abweichungen, Korrekturmaßnahmen und kontinuierliche Verbesserung
Das bedeutet, dass eine Organisation ein vollständiges Datenschutzinformationsmanagementsystem aufbauen und zertifizieren lassen kann, ohne ISO 27001 überhaupt zu berücksichtigen. Eine detaillierte Anleitung finden Sie in unserem Leitfaden zu den Anforderungen der ISO 27701:2025.
Wie wurde die Kontrollstruktur gemäß Anhang A neu organisiert?
Die Fassung von 2019 integrierte Datenschutzbestimmungen in die Klauseln 7 und 8 und vermischte normative Anforderungen mit Umsetzungshinweisen. Dies erschwerte die Unterscheidung zwischen verbindlichen und empfehlenden Bestimmungen und komplizierte die Erstellung einer Anwendungsbeschreibung.
ISO 27701:2025 verfolgt einen völlig anderen Ansatz. Alle Datenschutzmaßnahmen befinden sich nun in Anhang A, organisiert in drei übersichtlichen Tabellen:
| Tisch | Geltungsbereich | Anzahl der Kontrollen | Gilt für |
|---|---|---|---|
| Tabelle A.1 | PII-Controller-Steuerungen | 31 | Organisationen, die als Datenverantwortliche fungieren |
| Tabelle A.2 | PII-Prozessorsteuerung | 18 | Organisationen, die als Datenverarbeiter fungieren |
| Tabelle A.3 | Gemeinsame Steuerelemente | 29 | Alle Organisationen unabhängig von der Rolle |
Die Umsetzungshinweise wurden in Anhang B verschoben. Dieser Anhang ist normativ und verwendet Formulierungen wie „sollte“, um Empfehlungen für die Umsetzung zu geben. Durch diese Trennung wird die Überprüfung des Standards vereinfacht und die Umsetzung für Organisationen verständlicher, da genau ersichtlich ist, welche Kontrollen verpflichtend sind und welche Hinweise diese unterstützen.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Was ist mit den über 150 Steuerelementen der Ausgabe von 2019 geschehen?
Die Ausgabe von 2019 enthielt Kontrollen, die sich auf die Abschnitte 6, 7 und 8 verteilten (etwa 49 datenschutzspezifische Kontrollen in den Abschnitten 7 und 8 sowie über 90 sicherheitsrelevante Unterabschnitte in Abschnitt 6, die sich auf personenbezogene Daten beziehen). Viele dieser Kontrollen waren Erweiterungen der ISO-27002-Kontrollen. Die Ausgabe von 2025 umfasst 78 Kontrollen in Anhang A. Dies bedeutet keine Reduzierung des Anwendungsbereichs. Vielmehr wurden die Kontrollen konsolidiert, restrukturiert und in vielen Fällen, in denen Überschneidungen bestanden, zusammengefasst.
Wesentliche Veränderungen in der Kontrolllandschaft:
- Konsolidierung — Die im Jahr 2019 auf mehrere Klauseln verteilten Kontrollmaßnahmen wurden im Jahr 2025 zu einer einzigen, umfassenden Kontrollmaßnahme zusammengeführt.
- Klarere Kategorisierung — Die Steuerelemente werden nun explizit den Kategorien „Controller“, „Prozessor“ oder „gemeinsam genutzt“ zugeordnet, wodurch Unklarheiten beseitigt werden.
- Duplikate entfernt Die Ausgabe von 2019 enthielt Kontrollen, die Anforderungen der ISO 27002 duplizierten. Die Ausgabe von 2025 verfügt über einen eigenen, dedizierten Kontrollsatz, wodurch unnötige Überschneidungen vermieden werden.
- Neue Steuerung — In einigen Bereichen wurden neue oder deutlich erweiterte Kontrollen eingeführt, insbesondere im Bereich der automatisierten Entscheidungsfindung (A.1.3.11 Automatisierte Entscheidungsfindung), Anonymisierung und Anonymisierung (A.1.4.6 Anonymisierung und Löschung), und sichere Entwicklungspraktiken (A.3.27 Sicherer Entwicklungslebenszyklus)
Eine detaillierte Zuordnung zwischen den Kontrollsätzen von 2019 und 2025 ist in ISO 27701:2025 enthalten. Anhang F, die eine vollständige Entsprechungstabelle enthält, die zeigt, wie jede Kontrollmaßnahme aus dem Jahr 2019 ihrer entsprechenden Maßnahme aus dem Jahr 2025 zugeordnet wird.
Welche neuen Anhänge wurden hinzugefügt?
Die Ausgabe 2025 enthält aktualisierte Kartenanhänge und einen völlig neuen Anhang (Anhang F) sowie die überarbeiteten Anhänge A und B:
| Anbau | Titel | Typ | Zweck |
|---|---|---|---|
| A | Datenschutzkontrollen | Vorschriften | 78 obligatorische Kontrollen in 3 Tabellen (Controller, Prozessor, Shared) |
| B | Implementierungsleitfaden | Vorschriften | Detaillierte Anleitung zur Umsetzung jeder Kontrollmaßnahme gemäß Anhang A |
| C | Zuordnung zu ISO/IEC 29100 | Informativ | Verknüpft die Kontrollmechanismen mit den 11 Datenschutzprinzipien der ISO 29100 |
| D | Zuordnung zur DSGVO | Informativ | Die Steuerungselemente werden den relevanten Artikeln der DSGVO zugeordnet, um die Einhaltung der Vorschriften zu gewährleisten. |
| E | Zuordnung zu ISO 27018 und ISO 29151 | Informativ | Übereinstimmung mit Cloud-Datenschutz- und PII-Schutzstandards |
| F | Übereinstimmung mit ISO 27701:2019 | Informativ | Vollständige Zuordnung der Kontrollmechanismen zwischen 2019 und 2025 für die Übergangsplanung |
Die Einbeziehung von Anhang D Die Zuordnung der DSGVO-Vorgaben ist insbesondere für europäische Organisationen von Bedeutung, da sie eine offizielle Referenz dafür bietet, wie die Kontrollen der ISO 27701 mit spezifischen Artikeln der DSGVO übereinstimmen. Dies erleichtert die Verwendung der ISO 27701-Zertifizierung als Nachweis der DSGVO-Konformität erheblich.
Welche praktischen Unterschiede bestehen im Wesentlichen bei der Umsetzung?
Neben den strukturellen Änderungen gibt es mehrere praktische Unterschiede, die sich auf die Umsetzung des Standards durch Organisationen auswirken:
- Datenschutzrisikobewertung — Klausel 6 erfordert nun ein gesondertes Verfahren zur Bewertung von Datenschutzrisiken, das von der Bewertung von Informationssicherheitsrisiken getrennt ist. Dieses Verfahren muss sich speziell mit Risiken für personenbezogene Daten (betroffene Personen) befassen und nicht nur mit Risiken für die Organisation.
- Erklärung zur Anwendbarkeit Sie müssen eine Leistungsbeschreibung (SoA) für die Kontrollen gemäß Anhang A erstellen, in der dokumentiert ist, welche Kontrollen anwendbar sind, Ihre Begründung für die Einbeziehung oder den Ausschluss jeder einzelnen Kontrolle sowie der Implementierungsstatus. Dies ist nun eine explizite Anforderung und keine übernommene Anforderung aus ISO 27001.
- Klimawandel — Nach der Änderung aller ISO-Managementsystemnormen im Jahr 2024 fordern die Abschnitte 4.1 und 4.2 Organisationen nun auf, zu prüfen, ob der Klimawandel für das PIMS relevant ist. Es handelt sich dabei um eine kurze Betrachtung, nicht um eine detaillierte Umweltbewertung.
- Klarere Prüfprotokollierung Die Trennung der normativen Kontrollen (Anhang A) von den Durchführungshinweisen (Anhang B) vereinfacht die Prüfungsvorbereitung. Die Prüfer beurteilen anhand von Anhang A; Anhang B liefert den Kontext.
- Vereinfachte Dokumentation Da der Standard in sich abgeschlossen ist, müssen Organisationen nicht zwischen ISO 27001 und ISO 27002 vergleichen, um ihre Verpflichtungen zu verstehen. Alles ist in einem einzigen Dokument enthalten.
Auswirkungen auf die bestehende Dokumentation
Organisationen, die den Übergang von 2019 bis 2025 gestalten, sollten damit rechnen, mehrere wichtige Dokumente aktualisieren zu müssen:
- Datenschutzerklärung — Muss den eigenständigen Geltungsbereich des PIMS widerspiegeln und darf nicht auf das ISO 27001 ISMS verweisen.
- Methodik der Risikobewertung — Es müssen datenschutzspezifische Risiken für personenbezogene Daten berücksichtigt werden, nicht nur organisatorische Informationssicherheitsrisiken.
- Erklärung zur Anwendbarkeit — Muss anhand der 78 Kontrollen in Anhang A neu aufgebaut werden, wobei die Einbeziehung oder der Ausschluss jeder einzelnen Kontrolle zu begründen ist.
- Verarbeitungsdatensätze — Die Kontrollanforderungen für Verarbeitungsaufzeichnungen (A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten und A.2.2.7 Aufzeichnungen über die Verarbeitung personenbezogener Daten) werden im Jahr 2025 genauer definiert.
- Internes Auditprogramm Die Prüfungskriterien sollten sich auf die Struktur der Klausel 2025 und die Kontrollen in Anhang A beziehen.
Einen umfassenden Überblick über die Anforderungen für 2025 finden Sie in unserer Leitfaden zu den Anforderungen der ISO 27701:2025.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was bedeutet das für Organisationen, die derzeit nach 2019 zertifiziert sind?
Wenn Ihre Organisation bereits nach ISO 27701:2019 zertifiziert ist, erfordert der Übergang zur Norm 2025 zwar eine sorgfältige Planung, bedeutet aber nicht, dass Sie von vorne beginnen müssen. Viele Ihrer bisherigen Maßnahmen behalten ihre Gültigkeit. Ihre bestehenden Datenschutzrichtlinien, Verarbeitungsverzeichnisse und viele Ihrer betrieblichen Abläufe werden lediglich aktualisiert, müssen aber nicht vollständig ersetzt werden.
Die wichtigsten Bereiche, die Aufmerksamkeit erfordern, sind:
- Abweichungsanalyse gegenüber Anhang A — Ordnen Sie Ihre bestehenden Kontrollen aus dem Jahr 2019 den Kontrollen aus Anhang A Nr. 78 zu. Anhang F Als Referenz. Identifizieren Sie alle neuen Steuerelemente, die Sie bisher noch nicht berücksichtigt haben.
- Neubewertung des Datenschutzrisikos Ihre Risikobewertungsmethodik muss möglicherweise aktualisiert werden, um den Anforderungen von Klausel 6 Rechnung zu tragen, die sich speziell auf Risiken für personenbezogene Daten und nicht auf organisatorische Informationssicherheitsrisiken konzentrieren.
- SoA-Wiederaufbau Ihre Anwendbarkeitserklärung muss gemäß der neuen Struktur von Anhang A neu verfasst werden, wobei für jede der 78 Kontrollmaßnahmen eine Begründung erforderlich ist.
- Unabhängigkeitsprüfung — Wenn Sie beabsichtigen, ISO 27701:2025 als eigenständigen Standard zertifizieren zu lassen, stellen Sie sicher, dass Ihre PIMS-Dokumentation in sich abgeschlossen ist und nicht auf Verweise auf Ihr ISO 27001 ISMS für die Vollständigkeit angewiesen ist.
Wie sieht der Zeitplan für den Übergang aus?
Organisationen, die derzeit nach ISO 27701:2019 zertifiziert sind, müssen bis zum [Datum einfügen] auf die Ausgabe 2025 umsteigen. Oktober 2028Wichtige Meilensteine:
- Umstellen — ISO 27701:2025 ist veröffentlicht und kann implementiert werden
- 2025 bis 2026 — Die Zertifizierungsstellen schließen ihre Akkreditierung ab und beginnen mit der Durchführung von ISO 27701:2025-Audits.
- Oktober 2028 Alle ISO 27701:2019-Zertifikate laufen ab. Der Übergang muss abgeschlossen sein.
Der dreijährige Übergangszeitraum ist großzügig bemessen, Organisationen sollten jedoch nicht bis zum letzten Moment warten. Wer frühzeitig handelt, profitiert von weniger Konkurrenz um die Verfügbarkeit von Auditoren und hat mehr Zeit, um etwaige während der Implementierung festgestellte Lücken zu schließen.
Organisationen, die ISO 27701 neu anwenden, sollten direkt die Ausgabe 2025 implementieren. Die Implementierung der Ausgabe 2019 bietet zum jetzigen Zeitpunkt keinen Vorteil, da diese nach Ablauf der Übergangsfrist zurückgezogen wird. Eine schrittweise Übergangsplanung finden Sie in unserem [Link einfügen]. Übergangsleitfaden.
Warum sollten Sie sich ISMS.online für Ihren Übergang?
ISMS.online wurde speziell entwickelt, um Organisationen beim Übergang von 2019 bis 2025 zu unterstützen und ihnen zu helfen, die Zertifizierung effizient zu erreichen:
- Vorkonfiguriertes ISO 27701:2025-Framework — Beginnen Sie mit der vollständigen Klauselstruktur, allen 78 Kontrollen aus Anhang A und den bereits abgebildeten Umsetzungshinweisen, die zur individuellen Anpassung bereit sind
- Tools zur Lückenanalyse — Ermitteln Sie genau, in welchen Bereichen Ihr bestehendes PIMS die Anforderungen von 2025 erfüllt und wo zusätzlicher Handlungsbedarf besteht.
- Ersteller der Anwendbarkeitserklärung — Erstellen und pflegen Sie Ihre Handlungsanweisungen (SoA) mit Kontrollbegründungen, Implementierungsstatus und verknüpften Nachweisen.
- Datenschutzrisikoregister — Integrierte Risikobewertungs- und Behandlungsabläufe, die auf die Anforderungen von Klausel 6 abgestimmt sind
- Dashboard für die Auditbereitschaft — Verfolgen Sie Ihre Fortschritte, zentralisieren Sie die Nachweise und stellen Sie sicher, dass Sie vor Ihrem Audittermin zertifizierungsbereit sind.
Häufig gestellte Fragen
Muss ich mich gemäß der Ausgabe 2025 neu zertifizieren lassen?
Ja. Alle ISO 27701:2019-Zertifikate müssen bis Oktober 2028 auf die Ausgabe 2025 umgestellt werden. Dies kann im Rahmen eines planmäßigen Überwachungs- oder Rezertifizierungsaudits oder durch ein separates Umstellungsaudit erfolgen. Ihre Zertifizierungsstelle wird Ihr Datenschutzmanagementsystem (PIMS) anhand der Anforderungen von 2025 bewerten, einschließlich der überarbeiteten Kontrollen in Anhang A und der neuen Anforderungen an die Datenschutzrisikobewertung gemäß Klausel 6.
Kann ich mein bestehendes ISO 27001 ISMS parallel zu ISO 27701:2025 verwenden?
Absolut. ISO 27701:2025 ist so konzipiert, dass sie sowohl als eigenständiger Standard als auch als Ergänzung zu ISO 27001 funktioniert. Wenn Sie bereits ein ISMS implementiert haben, können Sie Ihr PIMS integrieren und gemeinsame Managementsystemelemente wie Dokumentenlenkung, interne Audits und Managementbewertungen nutzen. Viele Organisationen wählen diesen Ansatz, um Doppelarbeit in den beiden Systemen zu vermeiden.
Welche Frist gilt für die Umstellung von ISO 27701:2019?
Die Übergangsfrist endet im Oktober 2028. Nach diesem Datum verlieren alle ISO 27701:2019-Zertifikate ihre Gültigkeit. Organisationen sollten ihren Übergang frühzeitig planen, um die Verfügbarkeit von Auditoren sicherzustellen und ausreichend Zeit für alle notwendigen Änderungen an ihrem Datenschutzmanagementsystem einzuplanen.
Identifizieren Sie mit unserem System genau, wo Ihr aktuelles PIMS Schwächen aufweist. Schritt-für-Schritt-Anleitung zur Gap-Analyse.
Weitere Informationen finden Sie auch in den Der schnellste Weg zur Zertifizierung für einen realistischen Zeitplan, basierend auf Ihrem Ausgangspunkt.
Lerne von anderen und überprüfe die die häufigsten Implementierungsfehler.
