Zum Inhalt
ISMS.online

ISO 27701:2025 Abschnitt 5: Führung

Klausel 5 verpflichtet die oberste Führungsebene, Führungsstärke und Engagement für das PIMS unter Beweis zu stellen, eine Datenschutzrichtlinie zu erstellen und Rollen, Verantwortlichkeiten und Befugnisse für das Datenschutzmanagement im gesamten Unternehmen zuzuweisen.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was verlangt Klausel 5?

Klausel 5 legt die Führungs- und Governance-Grundlagen für Ihr Datenschutzinformationsmanagementsystem (PIMS) fest. Sie gewährleistet, dass Datenschutz von der Unternehmensspitze vorangetrieben wird, mit klarer Verantwortlichkeit, einer definierten Richtlinie und zugewiesenen Zuständigkeiten. Die Klausel enthält drei Unterklauseln zu Verpflichtung, Richtlinie und Rollen.

5.1 Führung und Engagement

Das Topmanagement muss Führungsstärke und Engagement im Hinblick auf das PIMS unter Beweis stellen, indem es:

  • Sicherstellen, dass die Datenschutzrichtlinie und die Datenschutzziele festgelegt sind und mit der strategischen Ausrichtung der Organisation vereinbar sind.
  • Sicherstellung der Integration der PIMS-Anforderungen in die Geschäftsprozesse der Organisation
  • Sicherstellen, dass die für das PIMS benötigten Ressourcen verfügbar sind
  • Die Bedeutung eines effektiven Datenschutzmanagements und der Einhaltung der PIMS-Anforderungen vermitteln.
  • Sicherstellen, dass das PIMS die beabsichtigten Ergebnisse erzielt
  • Personen anleiten und unterstützen, damit diese zur Effektivität des PIMS beitragen.
  • Förderung kontinuierlicher Verbesserung
  • Unterstützung anderer relevanter Managementfunktionen, um deren Führungsqualitäten in ihren jeweiligen Verantwortungsbereichen unter Beweis zu stellen.

Diese acht Verantwortlichkeiten verdeutlichen, dass Datenschutz keine delegierte IT-Aufgabe ist. Das Top-Management muss aktiv eingebunden und verantwortlich sein.

5.2 Datenschutzrichtlinie

Die oberste Geschäftsleitung hat eine Datenschutzrichtlinie zu erstellen, die Folgendes beinhaltet:

  • Ist dem Zweck der Organisation angemessen?
  • Bietet einen Rahmen für die Festlegung von Datenschutzzielen
  • Beinhaltet die Verpflichtung, die geltenden Anforderungen zu erfüllen.
  • Beinhaltet die Verpflichtung zur kontinuierlichen Verbesserung des PIMS.

Die Datenschutzrichtlinie muss außerdem drei Verfügbarkeitsanforderungen erfüllen:

  • Als dokumentierte Informationen verfügbar sein
  • Innerhalb der Organisation kommunizieren.
  • Für interessierte Parteien gegebenenfalls zur Verfügung stehen.

Beachten Sie, dass es sich bei der hier genannten Datenschutzrichtlinie um das Richtliniendokument des Managementsystems handelt und nicht um die externe Datenschutzerklärung für betroffene Personen. Beide werden benötigt, dienen aber unterschiedlichen Zwecken.



Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


5.3 Rollen, Verantwortlichkeiten und Befugnisse

Die oberste Führungsebene stellt sicher, dass die Verantwortlichkeiten und Befugnisse für die mit dem PIMS verbundenen Funktionen innerhalb der Organisation zugewiesen und kommuniziert werden. Insbesondere weist die oberste Führungsebene die Verantwortlichkeiten und Befugnisse für Folgendes zu:

  • Sicherstellung der Konformität — Dass das PIMS den Anforderungen der ISO 27701:2025 entspricht
  • Berichterstattung über die Leistung — Die Leistung des PIMS wird der obersten Führungsebene berichtet.

Das bedeutet nicht, dass eine einzelne Person alles erledigen muss. Die Verantwortlichkeiten können auf verschiedene Rollen verteilt werden, beispielsweise auf einen Datenschutzbeauftragten (DSB), einen Datenschutzmanager, einen PIMS-Verantwortlichen oder ein Compliance-Team. Wichtig ist, dass die Verantwortlichkeiten klar definiert, dokumentiert und kommuniziert werden.

Welchen Bezug hat das zur DSGVO?

Klausel 5 unterstützt mehrere Datenschutz Anforderungen:

  • Artikel 24 — Verantwortung des Verantwortlichen für die Umsetzung geeigneter Maßnahmen und den Nachweis der Einhaltung
  • Artikel 37 bis 39 (verwandte Bestimmungen, die nicht förmlich in Anhang D aufgeführt sind) (verwandte Bestimmungen, die nicht förmlich in Anhang D aufgeführt sind) — Benennung, Position und Aufgaben des Datenschutzbeauftragten, die den Anforderungen an die Rollenzuweisung in Abschnitt 5.3 entsprechen.
  • Erwägungsgrund 39 — Transparenzprinzip, unterstützt durch eine klare Datenschutzrichtlinie

Organisationen, die der DSGVO unterliegen, sollten sicherstellen, dass die Rolle ihres Datenschutzbeauftragten (sofern ernannt) in den PIMS-Rollenzuweisungen gemäß Klausel 5.3 berücksichtigt wird.

Was hat sich gegenüber ISO 27701:2019 geändert?

Wichtigste Änderungen in Klausel 5 im Vergleich zur Ausgabe von 2019:

Einen umfassenderen Überblick über die Änderungen finden Sie unter Was ist neu in ISO 27701:2025?.

  • Anforderungen an in sich abgeschlossene Systeme — Im Jahr 2019 wurde Abschnitt 5.3 der ISO 27001, Abschnitt 5, ergänzt. Die Anforderungen an die Führungsebene sind nun vollständig und eigenständig.
  • Datenschutzrichtlinie — Die Richtlinienanforderungen beziehen sich nun explizit auf den Datenschutz, anstatt sich auf eine geänderte Informationssicherheitsrichtlinie zu stützen.
  • Acht Verpflichtungsbereiche — Die Anforderungen an das Führungsengagement sind nun klar aufgeführt, was die Beurteilung für die Prüfer erleichtert.
  • Vereinfachte Rollenanforderungen — Die Ausgabe 2025 konzentriert sich auf die Sicherstellung der Konformität und die Leistungsberichterstattung, anstatt spezifische Datenschutzrollen aufzulisten.

Die vollständige Kartierung finden Sie unter Korrespondenztabelle im Anhang F.

Welche Nachweise erwarten die Wirtschaftsprüfer?

Bei der Beurteilung der Einhaltung von Klausel 5 achten die Prüfer typischerweise auf Folgendes:

Die Datenschutzbestimmungen stehen in direktem Zusammenhang mit A.3.3 Richtlinien zur Informationssicherheit im Kontrollsatz von Anhang A.

CISOs, die Datenschutz in ihr Sicherheitsprogramm integrieren, sollten unseren Artikel lesen. CISO-Leitfaden zu ISO 27701:2025.

  • Protokoll der Managementbewertung — Nachweis des Engagements des Top-Managements in Bezug auf die Leistung und Entscheidungen des PIMS-Systems
  • Datenschutzerklärung — Eine genehmigte, aktuelle Richtlinie, die alle vier Inhaltsanforderungen und drei Verfügbarkeitsanforderungen erfüllt.
  • Ressourcenzuweisung — Budget- und Personalnachweise, die belegen, dass für das PIMS ausreichende Ressourcen bereitgestellt werden.
  • Rollenbeschreibungen — Dokumentierte Zuweisung von PIMS-Verantwortlichkeiten, einschließlich derjenigen, die der obersten Führungsebene unterstellt sind
  • Kommunikationsaufzeichnungen — Nachweis, dass die Richtlinie und ihre Bedeutung den Mitarbeitern mitgeteilt wurden
  • Organigramm — Darstellung der Positionen der Datenschutzbeauftragten innerhalb der Organisationsstruktur


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Verwandte Klauseln

Klausel Beziehung
Klausel 4: Kontext Die Datenschutzrichtlinien und die strategische Ausrichtung müssen mit der Kontextanalyse vereinbar sein.
Klausel 6: Planung Die Richtlinie bildet den Rahmen für die Festlegung von Datenschutzzielen (6.2).
Klausel 7: Unterstützung Ressourcen, Kompetenzen und Bewusstseinsanforderungen hängen davon ab, ob die Führungsebene angemessene Unterstützung bietet.
Klausel 9: Leistungsbewertung Die Managementbewertung (9.3) ist der Bereich, in dem das Topmanagement seine Führungsrolle in der Praxis ausübt.

Web Link Klausel 8 (Betrieb) wie Führungsvorgaben in die Praxis umgesetzt werden.

Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 5?

ISMS.online bietet die Instrumente, um Führungsqualitäten und Regierungsführung zu demonstrieren:

Informationen zur Zertifizierungsplanung finden Sie unter Leitfaden zur eigenständigen Zertifizierung.

  • Richtlinienverwaltung — Erstellen, genehmigen und versionieren Sie Ihre Datenschutzrichtlinie mit vollständiger Protokollierung und Verteilungsverfolgung
  • Rollenzuweisung — PIMS-Rollen mit Verantwortlichkeiten, Befugnissen und Berichtslinien definieren und dokumentieren
  • Managementbewertung — Strukturierte Vorlagen für Management-Review-Meetings mit Tagesordnungspunkten, Beiträgen und Maßnahmenverfolgung
  • Kommunikationsverfolgung — Dokumentieren und belegen, wie Datenschutzrichtlinien und -erwartungen an die Mitarbeiter kommuniziert werden.
  • Dashboard-Berichte — Dem Topmanagement werden PIMS-Leistungsdaten auf einen Blick zur Verfügung gestellt, um fundierte Entscheidungen zu ermöglichen.

Häufig gestellte Fragen

Wer zählt gemäß Klausel 5 zur „obersten Führungsebene“?

Das Topmanagement umfasst die Personen oder Personengruppen, die die Organisation auf höchster Ebene leiten und kontrollieren. In der Praxis sind dies typischerweise der CEO, der Vorstand, die oberste Führungsebene oder vergleichbare Gremien. Entscheidend ist, ob sie die Befugnis haben, Ressourcen zuzuweisen, die strategische Ausrichtung festzulegen und Entscheidungen zum PIMS zu treffen.

Ist eine Datenschutzerklärung dasselbe wie ein Datenschutzhinweis?

Nein. Die gemäß Klausel 5.2 erforderliche Datenschutzerklärung ist ein internes Managementsystemdokument, das die allgemeine Ausrichtung und die Grundsätze des Datenschutzmanagements festlegt. Eine Datenschutzerklärung (oder Datenschutzrichtlinie) ist ein externes Dokument, das den betroffenen Personen zur Verfügung gestellt wird und erläutert, wie ihre personenbezogenen Daten verarbeitet werden. Beide sind erforderlich, dienen aber unterschiedlichen Zielgruppen und Zwecken.

Benötigt die Organisation einen benannten Datenschutzbeauftragten?

ISO 27701:2025 schreibt keinen Datenschutzbeauftragten (DSB) vor. Sie fordert jedoch, dass Verantwortlichkeiten und Befugnisse zugewiesen und kommuniziert werden. Wenn Ihre anwendbare Gesetzgebung (z. B. Artikel 37 bis 39 der DSGVO) einen DSB vorschreibt, sollte diese Rolle in Ihren Rollenzuweisungen gemäß Klausel 5.3 berücksichtigt werden. Auch wenn es nicht gesetzlich vorgeschrieben ist, empfiehlt sich die Benennung einer Datenschutzbeauftragten oder einer vergleichbaren Person.

Die Einbindung der Führungsebene ist oft die erste Hürde – unser Leitfaden dazu Zustimmung des Managements einholen bietet praktische Strategien.

Teilen Sie unsere Zusammenfassung für Vorstandsmitglieder um den Führungskräften einen prägnanten Überblick über den Standard zu geben.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.