Zum Inhalt
ISMS.online

ISO 27701:2025 Abschnitt 7: Unterstützung

Klausel 7 behandelt die unterstützenden Elemente, die Ihre Organisation für ein effektives PIMS benötigt, einschließlich Ressourcen, Kompetenz, Bewusstsein, Kommunikation und die Kontrolle dokumentierter Informationen.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was verlangt Klausel 7?

Klausel 7 stellt sicher, dass Ihr Datenschutzinformationsmanagementsystem (PIMS) über die notwendige Infrastruktur verfügt, um effektiv zu funktionieren. Klausel 5 Klausel 7 gibt die Richtung von oben vor und stellt sicher, dass die praktischen Grundlagen vorhanden sind: Personal, Fähigkeiten, Bewusstsein, Kommunikationskanäle und Dokumentation.

7.1 Ressourcen

Die Organisation legt die für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung des PIMS erforderlichen Ressourcen fest und stellt diese bereit. Zu den Ressourcen gehören:

  • Personen — Ausreichend Personal mit angemessener Zeit für Datenschutzmaßnahmen
  • Budget — Finanzielle Mittel für Werkzeuge, Schulungen, Beratung und Zertifizierung
  • schaffen — Systeme und Tools zur Unterstützung von Datenschutzmaßnahmen, Überwachung und Berichterstattung
  • Infrastruktur — Erforderliche physische und logische Umgebungen für die sichere Verarbeitung personenbezogener Daten

7.2 Kompetenz

Die Organisation muss:

  • Ermitteln Sie die erforderliche Kompetenz der Personen, die unter Ihrer Kontrolle Arbeiten ausführen, die die Datenschutzleistung beeinträchtigen.
  • Stellen Sie sicher, dass diese Personen aufgrund angemessener Ausbildung, Schulung oder Erfahrung kompetent sind.
  • Ergreifen Sie gegebenenfalls Maßnahmen, um die erforderliche Kompetenz zu erwerben, und bewerten Sie die Wirksamkeit dieser Maßnahmen.
  • Bewahren Sie geeignete Dokumentationsinformationen als Nachweis der Kompetenz auf.

Die Kompetenzanforderungen sollten sich nicht nur auf die speziell für den Datenschutz zuständigen Mitarbeiter beschränken, sondern auch auf alle Personen, deren Arbeit die Verarbeitung personenbezogener Daten beeinflusst, einschließlich Entwickler, Kundendienstmitarbeiter, Personal- und Marketingmitarbeiter.

7.3 Bewusstsein

Personen, die unter der Aufsicht der Organisation arbeiten, müssen Folgendes beachten:

  • Die Datenschutzrichtlinie
  • Ihr Beitrag zur Effektivität des PIMS, einschließlich der Vorteile einer verbesserten Datenschutzleistung
  • Die Folgen der Nichteinhaltung der PIMS-Anforderungen

Sensibilisierung geht über formale Schulungen hinaus. Es bedeutet sicherzustellen, dass jeder versteht, warum Datenschutz wichtig ist, welche Rolle er beim Schutz personenbezogener Daten spielt und was passiert, wenn etwas schiefgeht.



Steigern Sie Ihr Compliance-Vertrauen mit ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


7.4-Kommunikation

Die Organisation ermittelt den Bedarf an interner und externer Kommunikation im Zusammenhang mit dem PIMS, einschließlich:

  • Was zu kommunizieren ist
  • Wann kommunizieren?
  • Mit wem man kommunizieren soll
  • Wie man kommuniziert

Dies umfasst die Kommunikation mit Betroffenen (Personen mit personenbezogenen Daten), Aufsichtsbehörden, Kunden, Mitarbeitern und anderen Interessengruppen. Eine effektive Kommunikationsplanung stellt sicher, dass Datenschutzinformationen die richtigen Personen zum richtigen Zeitpunkt erreichen.

7.5 Dokumentierte Informationen

Allgemeine 7.5.1

Das PIMS muss die gemäß der Norm geforderten dokumentierten Informationen sowie die vom Unternehmen für die Wirksamkeit des PIMS als notwendig erachteten dokumentierten Informationen enthalten. Der Umfang der Dokumentation kann je nach Unternehmensgröße, Aktivitäten, Prozessen und Mitarbeiterkompetenz variieren.

7.5.2 Erstellen und Aktualisieren

Bei der Erstellung und Aktualisierung dokumentierter Informationen hat die Organisation Folgendes sicherzustellen:

  • Identifizierung und Beschreibung (Titel, Datum, Autor, Referenznummer)
  • Format (Sprache, Softwareversion, Grafiken) und Medium (Papier, elektronisch)
  • Prüfung und Genehmigung auf Eignung und Angemessenheit

7.5.3 Kontrolle dokumentierter Informationen

Die im PIMS geforderten dokumentierten Informationen müssen so kontrolliert werden, dass sie folgende Kriterien erfüllen:

  • Verfügbar und geeignet für den Einsatz, wo und wann immer es benötigt wird
  • Angemessen geschützt (vor Verlust der Vertraulichkeit, unsachgemäßer Verwendung oder Verlust der Integrität)

Zu den Kontrollaktivitäten gehören Verteilung, Zugriff, Abruf, Nutzung, Speicherung, Aufbewahrung, Änderungskontrolle, Aufbewahrung und Löschung. Dies ist besonders wichtig für Datenschutzdokumente, die selbst sensible Informationen über Verarbeitungstätigkeiten enthalten können.

Welchen Bezug hat das zur DSGVO?

  • Artikel 39 (1) (b) Zu den Aufgaben des Datenschutzbeauftragten gehören die Überwachung der Sensibilisierung und Schulung der Mitarbeiter gemäß Abschnitt 7.2 und 7.3.
  • Artikel 30 — Die Anforderungen an die Aufzeichnungen von Verarbeitungstätigkeiten entsprechen den dokumentierten Informationskontrollen in Abschnitt 7.5
  • Artikel 5 (2) — Das Prinzip der Rechenschaftspflicht erfordert die Fähigkeit, die Einhaltung der Vorschriften nachzuweisen, untermauert durch eine umfassende Dokumentation.
  • Artikel 32 (4) — Sicherstellen, dass die unter ihrer Aufsicht handelnden Personen über die erforderliche Kompetenz und das notwendige Bewusstsein verfügen.

Die vollständige DSGVO-Übersicht finden Sie hier: Leitfaden zur Einhaltung der DSGVO.

Was hat sich gegenüber ISO 27701:2019 geändert?

  • Anforderungen an in sich abgeschlossene Systeme — Im Jahr 2019 wurde Abschnitt 5.5 der ISO 27001, Abschnitt 7, ergänzt. Die Anforderungen an die Unterstützung sind nun vollständig und eigenständig.
  • Datenschutzspezifische Kompetenz — Die Kompetenzanforderungen beziehen sich nun explizit auf die Leistungsfähigkeit im Bereich Datenschutz anstatt auf die Informationssicherheit.
  • Klarerer Dokumentationsumfang — Die dokumentierten Informationsanforderungen beziehen sich nun speziell auf das PIMS und nicht mehr auf ein ISMS.

Einen umfassenderen Überblick finden Sie unter Was ist neu in ISO 27701:2025?.

Weitere Informationen im Korrespondenztabelle im Anhang F für die vollständige Kartierung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Welche Nachweise erwarten die Wirtschaftsprüfer?

  • Ressourcenzuordnungsdatensätze — Budgetgenehmigungen, Personalplanungen und Entscheidungen zur Werkzeugbeschaffung
  • Trainingsaufzeichnungen — Nachweise über datenschutzbezogene Schulungen, Zertifizierungen und kontinuierliche berufliche Weiterbildung
  • Kompetenzbeurteilungen — Aufzeichnungen darüber, wie die Kompetenz für datenschutzrelevante Funktionen bewertet wurde
  • Sensibilisierungsprogramm — Nachweise über Sensibilisierungsmaßnahmen (Einführung, Auffrischungsschulungen, Kommunikationskampagnen)
  • Kommunikationsplan — Ein dokumentierter Plan, der die interne und externe Datenschutzkommunikation abdeckt
  • Verfahren zur Dokumentenkontrolle — Nachweis dafür, dass dokumentierte Informationen ordnungsgemäß identifiziert, genehmigt, kontrolliert und geschützt werden.
  • Dokumentenregister — Eine Liste aller in PIMS dokumentierten Informationen mit Versionskontroll- und Überprüfungsdaten

Die Anforderungen an Bewusstsein und Kompetenz stehen in Zusammenhang mit A.3.17 Sensibilisierung und Schulung in den gemeinsamen Sicherheitskontrollen.

Vermeiden Sie häufige Dokumentationsfehler, indem Sie die folgenden Punkte überprüfen: die häufigsten Implementierungsfehler.

Verwandte Klauseln

Klausel Beziehung
Klausel 5: Führung Das Topmanagement muss sicherstellen, dass die Ressourcen verfügbar sind (5.1) und die Richtlinie kommuniziert wird.
Klausel 6: Planung Risikobehandlungspläne und -ziele müssen gemäß den Anforderungen von Abschnitt 7.5 dokumentiert werden.
Klausel 8: Betrieb Die betrieblichen Abläufe basieren auf dokumentierten Verfahren und kompetentem Personal.
Klausel 9: Leistungsbewertung Die Ergebnisse von internen Audits und Managementbewertungen müssen als dokumentierte Informationen aufbewahrt werden.

Web Link Klausel 4 (Kontext) zum Kontext und Klausel 10 (Verbesserung) für eine kontinuierliche Verbesserung.

Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 7?

ISMS.online bietet umfassende Support-Tools für Ihr PIMS:

  • Dokumenten-Management — Vollständige Versionskontrolle, Genehmigungsworkflows, Zugriffskontrollen und Prüfprotokolle für die gesamte PIMS-Dokumentation
  • Trainingstracker — Schulungsaktivitäten, Zertifizierungen und Kompetenzbewertungen mit automatischen Erinnerungen für Auffrischungsschulungen erfassen
  • Sensibilisierungskampagnen — Erstellen, verteilen und verfolgen Sie Materialien zur Sensibilisierung für Datenschutz mit Abschlussverfolgung
  • Kommunikationsprotokoll — Interne und externe Kommunikation mit Zeitstempeln und Belegverknüpfungen protokollieren
  • Vorlagenbibliothek — Vorgefertigte Vorlagen für Richtlinien, Verfahren, Aufzeichnungen und Formulare, die auf ISO 27701:2025 abgestimmt sind

Häufig gestellte Fragen

Welche Datenschutzschulungen benötigen die Mitarbeiter?

Die Schulungsanforderungen hängen von der jeweiligen Rolle ab. Alle Mitarbeitenden sollten eine allgemeine Datenschutzschulung erhalten, die die Datenschutzrichtlinie, ihre Verantwortlichkeiten und die Meldung von Vorfällen umfasst. Mitarbeitende in datenschutzspezifischen Funktionen (Datenschutzbeauftragte, Datenschutzanalysten, Incident-Response-Teams) benötigen vertiefende technische und regulatorische Schulungen. Entwickler und IT-Mitarbeitende benötigen Schulungen zu den Prinzipien des datenschutzfreundlichen Designs. Die Schulungen sollten dokumentiert und regelmäßig aufgefrischt werden.

Wie viel Dokumentation benötigt ein PIMS?

Die Norm erfordert spezifische dokumentierte Informationen (Datenschutzrichtlinie, Risikobewertungen, Datenschutzrichtlinien, Prüfungsergebnisse, Ergebnisse von Managementbewertungen) sowie alle weiteren Dokumente, die Sie für notwendig erachten. Der Umfang variiert je nach Größe und Komplexität des Unternehmens. Konzentrieren Sie sich auf Dokumentationen, die einen Mehrwert bieten und ein effektives Datenschutzmanagement unterstützen, anstatt Dokumente ausschließlich zur Erfüllung der Compliance-Anforderungen zu erstellen.

Kann die elektronische Dokumentenverwaltung Papierakten ersetzen?

Ja. Der Standard schreibt kein bestimmtes Format oder Medium für dokumentierte Informationen vor. Elektronische Systeme werden in der Regel bevorzugt, da sie eine bessere Versionskontrolle, Zugriffsverwaltung, Suchfunktionen und Prüfprotokolle bieten. Unabhängig vom verwendeten System muss es die Kontrollanforderungen gemäß Abschnitt 7.5.3 erfüllen, einschließlich Verfügbarkeit, Schutz, Zugriffskontrolle und Aufbewahrungsmanagement.

Spezifische Hinweise zu den Erwartungen der Wirtschaftsprüfer finden Sie in unserem Anforderungen an Prüfungsnachweise -Guide.

Falls Sie externe Unterstützung benötigen, lesen Sie unseren Leitfaden zu Wie man einen ISO 27701:2025-Berater auswählt.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.