Zum Inhalt
ISMS.online

ISO 27701:2025 Abschnitt 6: Planung

Klausel 6 behandelt die Planungsaktivitäten für Ihr PIMS, einschließlich der Bewertung von Datenschutzrisiken, der Festlegung von Risikobehandlungsmaßnahmen, der Formulierung von Datenschutzzielen und der Planung von Änderungen am Managementsystem.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was verlangt Klausel 6?

Klausel 6 ist die zentrale Planungsklausel für Ihr Datenschutzinformationsmanagementsystem (PIMS). Sie definiert, wie Sie Risiken und Chancen identifizieren, Datenschutzrisiken bewerten und behandeln, messbare Ziele festlegen und Änderungen managen. Diese Klausel verbindet das Kontextverständnis mit Klausel 4 zu den operativen Tätigkeiten in Klausel 8.

6.1 Maßnahmen zur Bewältigung von Risiken und Chancen

Allgemeine 6.1.1

Bei der Planung des PIMS muss die Organisation die folgenden Punkte berücksichtigen: Klausel 4.1 und die Anforderungen aus Klausel 4.2 zu erfüllen und die Risiken und Chancen zu ermitteln, die berücksichtigt werden müssen:

  • Sicherstellen, dass das PIMS die beabsichtigten Ergebnisse erzielen kann.
  • Unerwünschte Auswirkungen verhindern oder verringern
  • Kontinuierliche Verbesserung erreichen

Die Organisation muss Maßnahmen planen, um diesen Risiken und Chancen zu begegnen, wie diese Maßnahmen in die PIMS-Prozesse integriert und umgesetzt werden können und wie die Wirksamkeit dieser Maßnahmen bewertet werden kann.

6.1.2 Bewertung des Datenschutzrisikos

Die Organisation definiert und wendet ein Verfahren zur Bewertung von Datenschutzrisiken an, das Folgendes umfasst:

  • Legt Risikokriterien fest — einschließlich Risikoakzeptanzkriterien und Kriterien für die Durchführung von Datenschutzrisikobewertungen
  • Sorgt für Konsistenz — Wiederholte Beurteilungen liefern konsistente, gültige und vergleichbare Ergebnisse
  • Identifiziert Risiken — Wenden Sie das Verfahren an, um Risiken im Zusammenhang mit dem Schutz der Privatsphäre und der Informationssicherheit im Rahmen des PIMS zu identifizieren und die Risikoverantwortlichen zu bestimmen.
  • Risikoanalysen — Beurteilen Sie die potenziellen Folgen und die realistische Eintrittswahrscheinlichkeit der identifizierten Risiken und bestimmen Sie die Risikostufen.
  • Bewertet Risiken — Vergleichen Sie die Ergebnisse mit den festgelegten Kriterien und priorisieren Sie die Risiken für die Behandlung.

Der Risikobewertungsprozess muss dokumentiert und seine Ergebnisse als dokumentierte Informationen aufbewahrt werden.

6.1.3 Umgang mit Datenschutzrisiken

Die Organisation definiert und wendet ein Verfahren zur Behandlung von Datenschutzrisiken an, um:

  • Wählen Sie unter Berücksichtigung der Ergebnisse der Risikobewertung geeignete Risikobehandlungsoptionen aus.
  • Ermitteln Sie alle Kontrollmaßnahmen, die zur Umsetzung der gewählten Risikobehandlungsoptionen erforderlich sind.
  • Identifizieren und dokumentieren Sie das vom Unternehmen implementierte Informationssicherheitsprogramm, einschließlich geeigneter Sicherheitsmaßnahmen, die (mindestens) Folgendes abdecken: Informationssicherheitsrisikomanagement, Richtlinien, Organisation der Informationssicherheit, Personalsicherheit, Anlagenmanagement, Zugriffskontrolle, Betriebssicherheit, Netzwerksicherheitsmanagement, Entwicklungssicherheit, Lieferantenmanagement, Vorfallmanagement, Geschäftskontinuität, Informationssicherheitsüberprüfungen, Kryptografie sowie physische und umweltbezogene Sicherheit.
  • Vergleichen Sie die im Rahmen des Risikobehandlungs- und Informationssicherheitsprogramms ermittelten Kontrollmaßnahmen mit denen in Anhang A um sicherzustellen, dass keine notwendigen Kontrollen ausgelassen wurden
  • Produzier ein Erklärung zur Anwendbarkeit (SoA), die die notwendigen Kontrollen, die Begründung für deren Einbeziehung, die Angabe, ob sie implementiert sind, und die Begründung für den Ausschluss jeglicher Kontrollen enthält Anhang A Steuerung
  • Erstellen Sie einen Plan zur Behandlung von Datenschutzrisiken
  • Die Zustimmung der Risikoverantwortlichen zum Risikobehandlungsplan und deren Akzeptanz der verbleibenden Datenschutzrisiken einholen.
  • Beachten Sie die Hinweise in Anhang B zur Umsetzung der im Rahmen der Risikobehandlung und des Informationssicherheitsprogramms festgelegten Kontrollen.

In diesem Unterabschnitt werden die Anforderungen an das Managementsystem mit den Kontrollen gemäß Anhang A verknüpft. Ihre Leistungsbeschreibung (SoA) wird zum zentralen Dokument, das die Ergebnisse der Risikobewertung mit den von Ihnen implementierten spezifischen Kontrollen verbindet.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


6.2 Datenschutzziele und Planung zu deren Erreichung

Die Organisation legt Datenschutzziele für die relevanten Funktionen und Ebenen fest. Die Datenschutzziele müssen Folgendes umfassen:

  • Die Datenschutzrichtlinie sollte eingehalten werden.
  • Sollte messbar sein (sofern praktikabel).
  • Beachten Sie die geltenden Anforderungen
  • Überwacht werden
  • Kommunizieren
  • Bitte aktualisieren Sie die Informationen gegebenenfalls.
  • Als dokumentierte Informationen verfügbar sein

Bei der Planung der Zielerreichung muss die Organisation festlegen, was getan werden soll, welche Ressourcen benötigt werden, wer die Verantwortung trägt, wann die Maßnahme abgeschlossen sein wird und wie die Ergebnisse bewertet werden.

6.3 Planung von Änderungen

Wenn die Organisation den Bedarf an Änderungen am PIMS feststellt, müssen diese planmäßig durchgeführt werden. Dies ist eine neue, explizite Anforderung in der Ausgabe 2025, die unterstreicht, dass Ad-hoc-Änderungen am Managementsystem vermieden werden sollten. Änderungen sind hinsichtlich ihrer Auswirkungen auf die Effektivität des PIMS zu bewerten und durch einen strukturierten Prozess zu steuern.

Welchen Bezug hat das zur DSGVO?

Klausel 6 unterstützt mehrere Datenschutz Anforderungen:

  • Artikel 35 — Datenschutz-Folgenabschätzungen (DSFA) orientieren sich am Prozess der Datenschutzrisikobewertung gemäß Abschnitt 6.1.2
  • Artikel 32 — Sicherheit der Verarbeitung, die geeignete technische und organisatorische Maßnahmen auf der Grundlage einer Risikobewertung erfordert
  • Artikel 24 — Verantwortung des Verantwortlichen für die Umsetzung geeigneter Maßnahmen unter Berücksichtigung von Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere
  • Artikel 25 — Datenschutz durch Technikgestaltung und standardmäßig, unterstützt durch vorausschauende Risikoplanung

Was hat sich gegenüber ISO 27701:2019 geändert?

  • Terminologie zum Datenschutzrisiko — Die Ausgabe 2025 verwendet explizit die Begriffe „Datenschutzrisikobewertung“ und „Datenschutzrisikobehandlung“ anstatt sich auf die Informationssicherheitsrisikoprozesse der ISO 27001 zu stützen.
  • Standalone SoA — Die Anwendbarkeitserklärung bezieht sich nun direkt auf die Kontrollen des Anhangs A der ISO 27701, anstatt eine Anwendbarkeitserklärung der ISO 27001 zu ergänzen.
  • Klausel 6.3 hinzugefügt — Die Planung von Änderungen ist eine neue, explizite Anforderung, die in der Ausgabe von 2019 nicht enthalten war.
  • Vergleich der Kontrollwerte gemäß Anhang A — Der Risikobehandlungsprozess erfordert nun ausdrücklich einen Vergleich der ermittelten Kontrollen mit Anhang A, um sicherzustellen, dass keine notwendigen Kontrollen ausgelassen wurden.

Weitere Informationen im Korrespondenztabelle im Anhang F für die vollständige Kartierung und unsere Was ist neu? Leitfaden für einen umfassenderen Überblick über die Änderungen.

Welche Nachweise erwarten die Wirtschaftsprüfer?

  • Methodik der Risikobewertung — Ein dokumentierter Prozess zur Identifizierung, Analyse und Bewertung von Datenschutzrisiken
  • Ergebnisse der Risikobewertung — Aufzeichnungen abgeschlossener Bewertungen mit Angabe der identifizierten Risiken, der Eintrittswahrscheinlichkeit, der Auswirkungen und der Risikostufen
  • Risikobehandlungsplan — Ein Plan, der aufzeigt, wie mit jedem inakzeptablen Risiko umgegangen wird, einschließlich der zugewiesenen Verantwortlichen und Zeitrahmen.
  • Erklärung zur Anwendbarkeit — Eine vollständige SoA, die alle Kontrollen gemäß Anhang A mit Begründungen für Ein- und Ausschluss umfasst.
  • Datenschutzziele — Dokumentierte, messbare Ziele mit Plänen zu deren Erreichung
  • Genehmigungen der Risikoeigentümer — Nachweis, dass die Risikoeigentümer dem Behandlungsplan zugestimmt und die Restrisiken akzeptiert haben
  • Änderungsdatensätze — Nachweise dafür, dass Änderungen am PIMS systematisch geplant und gesteuert werden


Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Verwandte Klauseln

Klausel Beziehung
Klausel 4: Kontext Kontextanalyse und die Anforderungen interessierter Parteien fließen in die Risikoidentifizierung ein.
Klausel 5: Führung Die Datenschutzrichtlinie bildet den Rahmen für die Festlegung von Zielen (6.2).
Klausel 8: Betrieb Die operationelle Risikobewertung (8.2) und die Risikobehandlung (8.3) setzen die hier definierten Pläne um.
Klausel 9: Leistungsbewertung Die Überwachungs- und Überprüfungstätigkeiten bewerten die Wirksamkeit der Risikobehandlung.
Anhang A-Kontrollen Die SoA in Abschnitt 6.1.3 legt fest, welche Kontrollen gemäß Anhang A gelten.

Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 6?

ISMS.online bietet integrierte Tools für die Planung von Datenschutzrisiken:

  • Datenschutzrisikoregister — Datenschutzrisiken anhand konfigurierbarer Kriterien, Wahrscheinlichkeits- und Auswirkungsskalen identifizieren, bewerten und priorisieren
  • Arbeitsabläufe zur Risikobehandlung — Behandlungsmaßnahmen den Verantwortlichen mit Fristen zuweisen, den Fortschritt verfolgen und Genehmigungen protokollieren
  • Ersteller der Anwendbarkeitserklärung — Erstellen und pflegen Sie Ihre SoA mit allen Kontrollen gemäß Anhang A, Begründungen für Ein- und Ausschluss sowie dem Implementierungsstatus
  • Zielverfolgung — Datenschutzziele festlegen, überwachen und darüber berichten mithilfe von Fortschritts-Dashboards
  • Änderungsmanagement — Änderungen am PIMS planen und verfolgen, einschließlich Folgenabschätzung und Genehmigungsprozessen

Häufig gestellte Fragen

Worin besteht der Unterschied zwischen einer Datenschutz-Folgenabschätzung (DSFA) und einer Risikobewertung gemäß Klausel 6?

Eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO wird durch bestimmte Verarbeitungstätigkeiten mit hohem Risiko ausgelöst und konzentriert sich auf die Auswirkungen auf betroffene Personen. Die Datenschutzrisikobewertung gemäß Ziffer 6.1.2 ist ein umfassenderer, systematischer Prozess, der alle Datenschutzrisiken im Anwendungsbereich des PIMS abdeckt. DSFAs können in Ihre Risikobewertung gemäß Ziffer 6 einfließen, und viele Organisationen integrieren die beiden Prozesse. Die Bewertung gemäß Ziffer 6 ist jedoch für alle Verarbeitungstätigkeiten obligatorisch, nicht nur für solche mit hohem Risiko.

Können die Kontrollen gemäß Anhang A von der Anwendbarkeitserklärung ausgenommen werden?

Ja. Die SoA muss alle in Anhang A aufgeführten Kontrollen abdecken, Sie können jedoch Kontrollen ausschließen, die für Ihre Organisation nicht relevant sind. Jeder Ausschluss muss begründet werden. Wenn Sie beispielsweise nur als Verantwortlicher für personenbezogene Daten (PII) fungieren, können Sie die folgenden Kontrollen ausschließen: Tabelle A.2 Prozessorsteuerungen werden mit dieser Begründung gesteuert. Eine Steuerung darf jedoch nicht allein deshalb ausgeschlossen werden, weil ihre Implementierung schwierig oder kostspielig ist.

Wie häufig sollte die Datenschutzrisikobewertung überprüft werden?

Klausel 6 verlangt die Definition des Risikobewertungsprozesses, Klausel 8.2 Sie muss in geplanten Abständen oder bei wesentlichen Änderungen durchgeführt werden. Die meisten Organisationen führen jährlich eine vollständige Überprüfung durch, wobei zusätzliche Bewertungen durch Änderungen wie neue Verarbeitungstätigkeiten, regulatorische Aktualisierungen, Sicherheitsvorfälle oder Umstrukturierungen ausgelöst werden.

Beginnen Sie Ihre Planung mit einem strukturierte Lückenanalyse um Prioritätsbereiche für Ihren Risikobehandlungsplan zu ermitteln.

Dokumentieren Sie Ihre Kontrollentscheidungen in einem Erklärung zur Anwendbarkeit — ein zentrales Ergebnis des Planungsprozesses.

Sie müssen die Investition rechtfertigen? Unser ROI-Business-Case-Rahmenwerk hilft dabei, die Vorteile zu quantifizieren.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.