Welche Anforderungen stellt die ISO 27701:2025 an Managementsysteme?
ISO 27701:2025 verwendet die Harmonisierte Struktur (HS), der gemeinsame Rahmen aller modernen ISO-Managementsystemnormen. Die Abschnitte 4 bis 10 definieren die Kernanforderungen, die jede Organisation erfüllen muss, um ein Datenschutzinformationsmanagementsystem (PIMS) einzurichten, zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern.
Eine wichtige Änderung in der Ausgabe von 2025 besteht darin, dass ISO 27701 nun ein Standard für eigenständiges ManagementsystemISO 27001 ist nicht mehr Voraussetzung, sodass Organisationen ISO 27701:2025 eigenständig implementieren und sich zertifizieren lassen können. Erfahren Sie mehr dazu in unserem Leitfaden zur eigenständigen Zertifizierung.
Wie sind die Klauseln aufgebaut?
Die sieben Klauseln des Managementsystems folgen einer logischen Abfolge – vom Verständnis des jeweiligen Kontextes bis hin zur kontinuierlichen Verbesserung. Zusammen bilden sie den PDCA-Zyklus (Planen, Durchführen, Überprüfen, Anpassen), der ein effektives Datenschutzmanagement ermöglicht.
| Klausel | Titel | PDCA-Phase | Zusammenfassung |
|---|---|---|---|
| Klausel 4 | Kontext der Organisation | Planen | Machen Sie sich mit Ihrer Organisation, den beteiligten Parteien, dem Geltungsbereich und den Grenzen des PIMS vertraut. |
| Klausel 5 | Leadership | Planen | Verpflichtung des Top-Managements, Datenschutzrichtlinie und organisatorische Rollen |
| Klausel 6 | Planung | Planen | Datenschutzrisikobewertung, Risikobehandlung, Ziele und Änderungsplanung |
| Klausel 7 | Unterstützung | Do | Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Informationen |
| Klausel 8 | Produktion | Do | Operative Planung, Bewertung von Datenschutzrisiken und Durchführung von Risikobehandlungsmaßnahmen |
| Klausel 9 | Leistungsbeurteilung | Einblick in das | Überwachung, interne Revision und Managementbewertung |
| Klausel 10 | Verbesserung | Handlung | Kontinuierliche Verbesserung und Korrekturmaßnahmen |
In welchem Verhältnis stehen diese Klauseln zu den Kontrollen gemäß Anhang A?
Die Klauseln (4 bis 10) zum Managementsystem definieren wie Sie führen Ihr PIMS aus, während die Anhang A-Kontrollen definieren was Die von Ihnen implementierten Datenschutzmaßnahmen. Klausel 6.1.3 (Behandlung von Datenschutzrisiken) stellt die Verbindung zwischen den beiden her: Ihr Risikobehandlungsprozess bestimmt, welche Anhang A Es gelten die entsprechenden Kontrollen, die in Ihrer Anwendbarkeitserklärung (Statement of Appropriation, SoA) dokumentiert sind.
Die Kontrollen gemäß Anhang A sind in drei Tabellen unterteilt:
- Tabelle A.1 — PII-Controller-Steuerungen
- Tabelle A.2 — PII-Prozessorsteuerung
- Tabelle A.3 — Gemeinsame Sicherheitskontrollen, die für beide Rollen gelten
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was ist anders als in der Ausgabe von 2019?
Die Anforderungen an das Managementsystem in ISO 27701:2025 beinhalten im Vergleich zur Ausgabe von 2019 mehrere wichtige Änderungen:
- Standalone-Standard Die Klauseln bilden nun ein vollständiges, in sich geschlossenes Managementsystem. ISO 27001 ist keine Voraussetzung mehr.
- Fokus auf Datenschutzrisiken - Klausel 6 bezieht sich nun explizit auf die Bewertung und Behandlung von Datenschutzrisiken, anstatt sich auf die Informationssicherheitsrisikoprozesse der ISO 27001 zu stützen.
- Klimawandel — Die Klauseln 4.1 und 4.2 enthalten neue Anforderungen, den Klimawandel bei der Bestimmung des Kontextes und der Erwartungen der Interessengruppen als relevanten Faktor zu berücksichtigen.
- Harmonisierte Strukturausrichtung Die Klauseln entsprechen den neuesten HS-Anforderungen, einschließlich aktualisierter Terminologie und Struktur.
- Planung von Änderungen — Klausel 6.3 fügt eine explizite Anforderung hinzu, Änderungen am PIMS strukturiert zu planen.
Einen detaillierten Vergleich finden Sie in unserem Anhang F Korrespondenzleitfaden und Was ist neu in ISO 27701:2025?.
Für wen gelten diese Anforderungen?
Die Klauseln (4 bis 10) zum Managementsystem gelten für alle Organisationen Die Umsetzung der ISO 27701:2025 ist unabhängig davon erforderlich, ob die Unternehmen als Verantwortliche für die Verarbeitung personenbezogener Daten (PII), als Auftragsverarbeiter oder in beiden Funktionen agieren. Die Unterscheidung zwischen den Rollen von Verantwortlichen und Auftragsverarbeitern wird durch die Kontrollen in Anhang A und nicht durch die Klauseln zum Managementsystem geregelt.
Dadurch gelten die Anforderungen für Organisationen jeder Größe und Branche, die personenbezogene Daten verarbeiten und durch Zertifizierung oder Selbsterklärung ein effektives Datenschutzmanagement nachweisen möchten.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Warum sollten Sie sich ISMS.online zur Einhaltung der ISO 27701:2025?
ISMS.online bietet eine integrierte Plattform zur Umsetzung jeder Klausel der ISO 27701:2025:
- Vorkonfiguriertes PIMS-Framework — Struktur nach einzelnen Klauseln mit Vorlagen, Richtlinien und Verfahren, die individuell angepasst werden können
- Datenschutzrisikomanagement — Integriertes Risikoregister mit Bewertungs- und Behandlungsabläufen, die auf die Klauseln 6 und 8 abgestimmt sind
- Richtlinien- und Dokumentenkontrolle — Versionskontrollierte Dokumentation mit Genehmigungsworkflows für die Anforderungen gemäß Klausel 7.5
- Revisionsmanagement — Interne Audits planen, durchführen und nachverfolgen, einschließlich der Sammlung von Nachweisen gemäß Klausel 9.2
- Managementbewertung — Strukturierte Prüfvorlagen mit Eingabeverfolgung und Maßnahmenmanagement für Klausel 9.3
Häufig gestellte Fragen
Kann ISO 27701:2025 ohne ISO 27001 implementiert werden?
Ja. Die Ausgabe 2025 ist ein eigenständiger Standard für Managementsysteme mit eigenen, vollständigen Anforderungen in den Abschnitten 4 bis 10. Eine ISO-27001-Zertifizierung ist nicht mehr erforderlich. Organisationen, die bereits über eine ISO-27001-Zertifizierung verfügen, können jedoch beide Systeme integrieren, um ein kombiniertes Informationssicherheits- und Datenschutzmanagement zu gewährleisten.
In welchem Verhältnis stehen die Klauseln zu den Kontrollen in Anhang A?
Die Klauseln legen fest, wie Ihr Datenschutzmanagementsystem (PIMS) geführt wird (Governance, Risikomanagement, Dokumentation, Auditierung), während Anhang A die konkreten Datenschutzmaßnahmen enthält, die zu implementieren sind. Klausel 6.1.3 verbindet beides durch den Risikobehandlungsprozess, in dem Sie anhand Ihrer Datenschutzrisikobewertung bestimmen, welche Maßnahmen aus Anhang A Anwendung finden.
Müssen alle sieben Klauseln für die Zertifizierung vollständig umgesetzt werden?
Ja. Die Klauseln 4 bis 10 enthalten zwingende Anforderungen (gekennzeichnet durch das Wort „muss“). Jede Anforderung muss für die Zertifizierung erfüllt sein. Im Gegensatz zu den Kontrollen gemäß Anhang A, die gegebenenfalls durch die Anwendbarkeitserklärung ausgeschlossen werden können, ist dies bei den Klauseln zum Managementsystem nicht möglich.
Beginnen Sie mit a strukturierte Lückenanalyse um Ihr aktuelles PIMS mit diesen Anforderungen zu vergleichen.
Für einen realistischen Zeitrahmen lesen Sie bitte Der schnellste Weg zur ISO 27701:2025-Zertifizierung.
Ihre Erklärung zur Anwendbarkeit Dokumente, welche Kontrollen gelten und warum – ein entscheidendes Ergebnis der Wirtschaftsprüfung.
Überprüfen Sie die die häufigsten Implementierungsfehler Bevor Sie beginnen.
