Zum Inhalt
ISMS.online

ISO 27701:2025 Abschnitt 10: Verbesserung

Klausel 10 behandelt die „Aktionsphase“ des PDCA-Zyklus. Sie verpflichtet Ihr Unternehmen, das PIMS kontinuierlich zu verbessern und auf Abweichungen mit wirksamen Korrekturmaßnahmen zu reagieren, die die Ursachen beheben.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was verlangt Klausel 10?

Klausel 10 schließt den PDCA-Zyklus, indem sie Ihr Unternehmen verpflichtet, das Datenschutzinformationsmanagementsystem (PIMS) kontinuierlich zu verbessern und bei auftretenden Abweichungen wirksam zu handeln. Sie enthält zwei Unterklauseln: eine zur kontinuierlichen Verbesserung und eine zum Umgang mit Abweichungen und den entsprechenden Korrekturmaßnahmen.

Korrekturmaßnahmen können eine erneute Überprüfung erfordern Anhang A-Kontrollen und Aktualisierung der Anwendbarkeitserklärung.

10.1 Kontinuierliche Verbesserung

Die Organisation wird die Eignung, Angemessenheit und Effektivität des PIMS kontinuierlich verbessern.

Kontinuierliche Verbesserung ist ein Grundprinzip aller ISO-Managementsystemnormen. Für ein Datenschutzmanagementsystem (PIMS) bedeutet dies die systematische Identifizierung und Umsetzung von Möglichkeiten zur Verbesserung des Datenschutzes. Zu den Quellen für Verbesserungspotenziale gehören:

  • Ergebnisse von Überwachung und Messung (Klausel 9.1)
  • Ergebnisse der internen Revision (Klausel 9.2)
  • Entscheidungen im Rahmen der Managementbewertung (Klausel 9.3)
  • Änderungen bei Datenschutzrisiken, Vorschriften oder Technologien
  • Rückmeldungen von PII-Verantwortlichen, Kunden und anderen Interessenten
  • Lehren aus Datenschutzvorfällen
  • Branchenübliche Best Practices und Benchmarking

Verbesserungen bedeuten nicht immer grundlegende Veränderungen. Kleine, schrittweise Optimierungen von Prozessen, Kontrollen und Dokumentation können im Laufe der Zeit Ihre Datenschutzlage deutlich verbessern.

10.2 Nichtkonformität und Korrekturmaßnahmen

Tritt eine Abweichung auf, muss die Organisation Folgendes tun:

  • Auf die Nichtkonformität reagieren — Ergreifen Sie Maßnahmen, um das Problem zu kontrollieren und zu beheben, und gehen Sie mit den Folgen um.
  • Prüfen Sie, ob Handlungsbedarf besteht. — Prüfen Sie, ob Maßnahmen erforderlich sind, um die Ursache zu beseitigen, damit sie nicht erneut auftritt oder an anderer Stelle auftritt, indem Sie die Abweichung überprüfen, die Ursachen ermitteln und feststellen, ob ähnliche Abweichungen vorliegen oder potenziell auftreten könnten.
  • Führen Sie alle erforderlichen Maßnahmen durch — Korrekturmaßnahmen einleiten, um die Ursachen zu beheben
  • Überprüfung der Effektivität — Prüfen Sie, ob die ergriffenen Korrekturmaßnahmen wirksam waren, um ein erneutes Auftreten zu verhindern.
  • Nehmen Sie Änderungen am PIMS vor. — Falls erforderlich, aktualisieren Sie das Managementsystem, um die gewonnenen Erkenntnisse zu berücksichtigen.

Die Korrekturmaßnahmen müssen den Auswirkungen der festgestellten Abweichungen angemessen sein. Eine geringfügige Verfahrenslücke erfordert nicht dieselbe Intensität der Reaktion wie eine schwerwiegende Datenschutzverletzung.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Dokumentierte Informationsanforderungen

Die Organisation muss dokumentierte Informationen als Nachweis aufbewahren für:

  • Art der Abweichungen und alle daraufhin ergriffenen Maßnahmen
  • Die Ergebnisse jeglicher Korrekturmaßnahmen

Das bedeutet, klare Aufzeichnungen zu führen, die belegen, dass Sie über einen systematischen Prozess zur Problemlösung verfügen, bei dem es nicht nur darum geht, das unmittelbare Problem zu beheben, sondern auch darum, zu verstehen, warum es passiert ist und zu verhindern, dass es wieder auftritt.

Welchen Bezug hat das zur DSGVO?

  • Artikel 33 — Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Datenschutzvorfälle, die eine Nichteinhaltung der Vorschriften darstellen, können ebenfalls eine Meldung der Verletzung erfordern.
  • Artikel 34 — Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person, die eine Korrekturmaßnahme im Rahmen der Untersuchung des Vorfalls sein kann.
  • Artikel 5 (2) — Das Prinzip der Verantwortlichkeit, untermauert durch dokumentierte Nachweise von Korrekturmaßnahmen und Verbesserungen
  • Artikel 24 — Verantwortung des Verantwortlichen, die Maßnahmen gegebenenfalls zu überprüfen und zu aktualisieren, um eine kontinuierliche Verbesserung zu gewährleisten

Die vollständige Kartierung finden Sie unter Leitfaden zur Einhaltung der DSGVO.

Was hat sich gegenüber ISO 27701:2019 geändert?

  • Anforderungen an in sich abgeschlossene Systeme — Im Jahr 2019 wurde Abschnitt 5.8 der ISO 27001, Abschnitt 10, ergänzt. Die Verbesserungsanforderungen sind nun vollständig und eigenständig.
  • Fokus auf Datenschutz — Der Prozess zur Meldung von Abweichungen und zur Einleitung von Korrekturmaßnahmen findet nun explizit im Kontext des PIMS statt, anstatt einen ISMS-Prozess zu erweitern.
  • Klarere Struktur — Der fünfstufige Korrekturmaßnahmenprozess (Reagieren, Bewerten, Umsetzen, Überprüfen, Ändern) wird klarer dargestellt.

Einen umfassenderen Überblick finden Sie unter Was ist neu in ISO 27701:2025?.

Weitere Informationen im Korrespondenztabelle im Anhang F für die vollständige Kartierung.

Welche Nachweise erwarten die Wirtschaftsprüfer?

  • Abweichungsregister — Ein Protokoll aller festgestellten Abweichungen, unabhängig von der Quelle (Audits, Vorfälle, Beschwerden, Überwachung)
  • Ursachenanalyse — Es gab Hinweise darauf, dass die Ursachen untersucht und nicht nur die Symptome behandelt wurden.
  • Aufzeichnungen zu Korrekturmaßnahmen — Dokumentierte durchgeführte Maßnahmen mit zugewiesenen Verantwortlichen, Fristen und Nachweisen über den Abschluss
  • Wirksamkeitsüberprüfungen — Nachweise dafür, dass die Korrekturmaßnahmen nachverfolgt wurden, um ihre Wirksamkeit zu überprüfen.
  • PIMS-Änderungen — Aufzeichnungen über Änderungen, die aufgrund von gewonnenen Erkenntnissen am Managementsystem vorgenommen wurden
  • Verbesserungsnachweise — Nachweisbare Verbesserungen im Laufe der Zeit, wie z. B. sinkende Vorfallszahlen, schnellere Reaktionszeiten oder verbesserte Prüfungsergebnisse

Ereignisbedingte Verbesserungen stehen in Verbindung mit A.3.11 Vorfallmanagement in den gemeinsamen Steuerelementen.

Verwandte Klauseln

Klausel Beziehung
Klausel 6: Planung Korrekturmaßnahmen können zu Aktualisierungen der Risikobewertung oder des Behandlungsplans führen.
Klausel 8: Betrieb Betriebliche Abweichungen sind eine Hauptquelle für Korrekturmaßnahmen.
Klausel 9: Leistungsbewertung Die Ergebnisse von Audits und Managementbewertungen treiben sowohl Korrekturmaßnahmen als auch Verbesserungen voran.

Web Link Klausel 4 (Kontext), Klausel 5 (Führung) und Klausel 7 (Support).



Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 10?

ISMS.online bietet die Werkzeuge, um kontinuierliche Verbesserungen in Ihrem PIMS voranzutreiben:

  • Nichtkonformitätsmanagement — Abweichungen aus beliebigen Quellen mithilfe von Vorlagen zur Ursachenanalyse protokollieren, kategorisieren und verfolgen
  • Arbeitsabläufe für Korrekturmaßnahmen — Aufgaben mit Fristen den Verantwortlichen zuweisen, Fortschritt verfolgen und Effektivitätsbeurteilungen einplanen
  • Trend analysen — Visualisierung von Abweichungs- und Vorfallstrends im Zeitverlauf zur Identifizierung systemischer Probleme
  • Verbesserungsregister — Verbesserungsmöglichkeiten aus allen Quellen erfassen und priorisieren sowie deren Umsetzung verfolgen
  • Auditintegration — Automatische Verknüpfung von Prüffeststellungen mit Korrekturmaßnahmen und Nachverfolgung bis zum Abschluss und der Verifizierung

Häufig gestellte Fragen

Worin besteht der Unterschied zwischen einer Nichtkonformität und einer Beobachtung?

Eine Abweichung liegt vor, wenn eine Anforderung der Norm, eine rechtliche Verpflichtung oder die eigenen PIMS-Anforderungen der Organisation nicht erfüllt werden. Sie erfordert Korrekturmaßnahmen. Eine Beobachtung (manchmal auch „Verbesserungspotenzial“ genannt) ist ein Befund, der keinen Verstoß darstellt, sondern einen Bereich aufzeigt, in dem das PIMS verbessert werden könnte. Beobachtungen erfordern keine formellen Korrekturmaßnahmen, sollten aber als Verbesserungsvorschläge betrachtet werden.

Wie demonstriert man gegenüber Wirtschaftsprüfern kontinuierliche Verbesserungen?

Anhand objektiver Nachweise, dass sich das Datenschutzmanagementsystem (PIMS) im Laufe der Zeit verbessert. Dazu gehören sinkende Abweichungsraten, verbesserte Datenschutzkennzahlen, schnellere Reaktionszeiten bei Vorfällen, ausgereiftere Risikomanagementprozesse, verbesserte Kontrollen, aktualisierte Richtlinien, die die gewonnenen Erkenntnisse berücksichtigen, und abgeschlossene Verbesserungsinitiativen. Prüfer suchen nach einem systematischen Ansatz, nicht nach Perfektion.

Muss jede Abweichung eine Korrekturmaßnahme nach sich ziehen?

Auf jede Abweichung muss reagiert (sie muss kontrolliert und korrigiert) werden. Die Norm schreibt jedoch vor, dass die Organisation den Handlungsbedarf zur Beseitigung der Ursache „bewerten“ soll. In der Praxis erfordern die meisten Abweichungen Korrekturmaßnahmen. Es kann aber auch Fälle geben, in denen die sofortige Korrektur ausreicht und die Wahrscheinlichkeit eines erneuten Auftretens vernachlässigbar gering ist. Die Bewertung muss in jedem Fall dokumentiert werden.

Lernen Sie von anderen, indem Sie die folgenden Beiträge lesen: die häufigsten Implementierungsfehler und wie man sie vermeidet.

Normale Lückenanalyse Übungen helfen dabei, Verbesserungsmöglichkeiten zu erkennen und die Zertifizierungsbereitschaft aufrechtzuerhalten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.