Zum Inhalt
ISMS.online

ISO 27701:2025 Abschnitt 8: Betrieb

Klausel 8 regelt die operative Umsetzung Ihrer PIMS-Pläne. Sie verpflichtet Sie zur Implementierung von Betriebskontrollen, zur Durchführung von Datenschutzrisikobewertungen in geplanten Abständen und zur Umsetzung Ihres Datenschutzrisikobehandlungsplans.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was verlangt Klausel 8?

Klausel 8 ist die „Umsetzungsphase“ des PDCA-Zyklus. Klausel 6 Klausel 8 legt fest, wie Sie Ihre Risikomanagementaktivitäten planen, und verpflichtet Sie, diese Pläne im Tagesgeschäft auch umzusetzen. Es handelt sich um eine bewusst kurz gefasste Klausel mit drei Unterklauseln, die sich auf die praktische Umsetzung der Pläne konzentrieren.

8.1 Betriebsplanung und -steuerung

Die Organisation plant, implementiert und kontrolliert die Prozesse, die zur Erfüllung der PIMS-Anforderungen und zur Umsetzung der festgelegten Maßnahmen erforderlich sind. Klausel 6, durch:

  • Kriterien für die Prozesse festlegen — Definieren, was für jeden operativen Prozess „gut“ bedeutet
  • Implementierung der Prozesskontrolle — Die Kriterien in der Praxis durch Verfahren, Arbeitsanweisungen und Kontrollen anwenden
  • Aufbewahrung dokumentierter Informationen — Aufbewahrung von Nachweisen darüber, dass die Prozesse wie geplant durchgeführt wurden.

Die Organisation muss außerdem geplante Änderungen kontrollieren und die Folgen unbeabsichtigter Änderungen überprüfen und gegebenenfalls Maßnahmen ergreifen, um etwaige negative Auswirkungen abzumildern.

Werden Prozesse extern vergeben (Outsourcing), muss das Unternehmen die Kontrolle darüber sicherstellen. Dies gilt insbesondere für die Verarbeitung personenbezogener Daten, da ausgelagerte Tätigkeiten die Verarbeitung personenbezogener Daten durch Subunternehmer in Ihrem Auftrag umfassen können.

8.2 Bewertung des Datenschutzrisikos

Die Organisation führt in geplanten Abständen oder bei geplanten bzw. eintretenden wesentlichen Änderungen Datenschutzrisikobewertungen durch und berücksichtigt dabei die festgelegten Kriterien. Klausel 6.1.2.

Das bedeutet, dass die Risikobewertung keine einmalige Angelegenheit ist. Sie muss wiederholt werden:

  • In geplanten Abständen Die meisten Organisationen legen einen jährlichen Zyklus fest, wobei in risikoreicheren Umgebungen möglicherweise häufigere Bewertungen erforderlich sind.
  • Wenn sich etwas ändert — Neue Verarbeitungstätigkeiten, Systemänderungen, regulatorische Aktualisierungen, Umstrukturierungen des Unternehmens oder Sicherheitsvorfälle sollten eine erneute Bewertung auslösen.
  • Wenn Änderungen vorgeschlagen werden — Proaktive Bewertung vor der Umsetzung von Änderungen, nicht nur reaktive Bewertung im Nachhinein

Die Ergebnisse von Datenschutzrisikobewertungen müssen als dokumentierte Informationen aufbewahrt werden.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Kontakt


8.3 Umgang mit Datenschutzrisiken

Die Organisation muss den Plan zur Behandlung von Datenschutzrisiken umsetzen. Die Ergebnisse der Behandlung von Datenschutzrisiken müssen als dokumentierte Informationen aufbewahrt werden.

Dieser Unterabschnitt ist zwar kurz, seine Auswirkungen sind jedoch bedeutend. Er verpflichtet Sie zu Folgendem:

  • Führen Sie alle in Ihrem Risikobehandlungsplan definierten Behandlungsmaßnahmen durch. Klausel 6.1.3
  • Setzen Sie die in Ihrer Anwendbarkeitserklärung aufgeführten Kontrollmaßnahmen um.
  • Den Umsetzungsstatus der Behandlungsmaßnahmen überwachen
  • Dokumentieren Sie die Ergebnisse, einschließlich etwaiger nach der Behandlung verbleibender Restrisiken.

Die Wirtschaftsprüfer werden Ihren Risikomanagementplan vergleichen (von Klausel 6) mit den tatsächlichen Umsetzungsnachweisen (aus Klausel 8), um zu überprüfen, ob die Pläne auch umgesetzt wurden.

Welchen Bezug hat das zur DSGVO?

  • Artikel 32 — Die Sicherheit der Verarbeitung erfordert die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. In Ziffer 8.3 werden diese Maßnahmen in die Praxis umgesetzt.
  • Artikel 35 — Datenschutz-Folgenabschätzungen (DSFA) entsprechen der Anforderung an eine fortlaufende Risikobewertung gemäß Abschnitt 8.2
  • Artikel 28 (1) — Anforderungen an den Prozessor hinsichtlich ausreichender Garantien, unterstützt durch die extern bereitgestellten Prozesskontrollen in 8.1
  • Artikel 24 — Verantwortung des Verantwortlichen für die Umsetzung geeigneter Maßnahmen und deren Überprüfung/Aktualisierung bei Bedarf

Was hat sich gegenüber ISO 27701:2019 geändert?

  • Eigenständige Betriebsanforderungen — Im Jahr 2019 wurde Abschnitt 5.6 der ISO 27001, Abschnitt 8, ergänzt. Die betrieblichen Anforderungen sind nun in sich abgeschlossen.
  • Terminologie zum Datenschutzrisiko — Die Ausgabe von 2025 verwendet die Begriffe „Datenschutzrisikobewertung“ und „Datenschutzrisikobehandlung“ explizit und verdeutlicht damit den Fokus auf Datenschutz.
  • Extern bereitgestellte Prozesse — Stärkere Betonung der Kontrolle ausgelagerter Prozesse, was der Realität Rechnung trägt, dass viele Organisationen bei der Verarbeitung personenbezogener Daten auf Dritte angewiesen sind.
  • Kontrolle ändern — Explizite Anforderungen zur Kontrolle geplanter Änderungen und zur Überprüfung unbeabsichtigter Änderungen

Weitere Informationen im Korrespondenztabelle im Anhang F für die vollständige Kartierung.

Welche Nachweise erwarten die Wirtschaftsprüfer?

  • Betriebsverfahren — Dokumentierte Verfahren für die Verarbeitung personenbezogener Daten mit definierten Kriterien und Kontrollen
  • Prozessüberwachungsaufzeichnungen — Nachweis, dass die betrieblichen Prozesse anhand festgelegter Kriterien überwacht und gesteuert werden
  • Risikobewertungsaufzeichnungen — Durchführung von Risikobewertungen in geplanten Abständen und ausgelöst durch Änderungen
  • Umsetzung der Risikobehandlung — Nachweise dafür, dass die Behandlungsmaßnahmen wie geplant umgesetzt wurden, einschließlich Statusverfolgung
  • Änderungsdatensätze — Dokumentation geplanter und unbeabsichtigter Änderungen, einschließlich Folgenabschätzung und Minderungsmaßnahmen
  • Lieferanten-/Outsourcing-Kontrollen — Nachweis, dass extern bereitgestellte Prozesse identifiziert und kontrolliert werden


Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


Verwandte Klauseln

Klausel Beziehung
Klausel 6: Planung Abschnitt 8 setzt die in Abschnitt 6 definierte Risikobewertungsmethodik (6.1.2) und den Risikobehandlungsplan (6.1.3) um.
Klausel 7: Unterstützung Die operativen Prozesse hängen von den Ressourcen, Kompetenzen und der Dokumentation ab, die in der Klausel 7
Klausel 9: Leistungsbewertung Überwachung und interne Revision bewerten, ob die Abläufe planmäßig durchgeführt werden.
Klausel 10: Verbesserung Die in Abschnitt 8 identifizierten betrieblichen Abweichungen fließen in den Korrekturmaßnahmenprozess ein.
Anhang A-Kontrollen Die Kontrollen aus Ihrer Handlungsanweisung werden durch die in Klausel 8 beschriebenen operativen Prozesse umgesetzt.

Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 8?

ISMS.online bietet operative Werkzeuge für den täglichen Betrieb Ihres PIMS:

  • Terminplanung für Risikobewertung — Planen Sie Risikobewertungen in festgelegten Intervallen mit automatisierten Erinnerungen und änderungsbedingten Neubewertungs-Workflows.
  • Behandlungsplanverfolgung — Überwachung des Umsetzungsstatus aller Risikobehandlungsmaßnahmen hinsichtlich der Zuständigkeiten und Fristen
  • Prozesskontrolle — Dokumentation und Verwaltung von Betriebsabläufen mit Kriterien, Arbeitsanweisungen und Nachweiserfassung
  • Lieferantenmanagement — Externe Prozesse anhand von Sorgfaltsprüfungsunterlagen und laufender Überwachung verfolgen
  • Änderungsmanagement — Geplante und unbeabsichtigte Änderungen mit Folgenabschätzung und Maßnahmenverfolgung erfassen

Häufig gestellte Fragen

Wie häufig sollten Datenschutzrisikobewertungen durchgeführt werden?

Die Norm fordert Bewertungen in „geplanten Abständen“, ohne eine bestimmte Häufigkeit vorzugeben. Die meisten Organisationen führen jährlich eine umfassende Überprüfung durch, wobei wesentliche Änderungen zusätzliche Bewertungen auslösen. Das geplante Intervall sollte als Teil Ihrer Risikobewertungsmethodik dokumentiert werden. Klausel 6.1.2 und sollte dem Umfang und der Sensibilität der von Ihnen verarbeiteten personenbezogenen Daten angemessen sein.

Was gilt als „wesentliche Veränderung“, die eine Neubewertung auslöst?

Beispiele hierfür sind die Einführung neuer Verarbeitungstätigkeiten oder Systeme, der Wechsel von Subunternehmern oder Cloud-Anbietern, der Eintritt in neue Märkte oder Rechtsordnungen, regulatorische Änderungen (wie etwa neue Datenschutzgesetze), Umstrukturierungen des Unternehmens sowie Sicherheitsvorfälle oder Datenschutzverletzungen. Ihre Risikobewertungsmethodik sollte Kriterien definieren, die festlegen, was in Ihrem Kontext eine wesentliche Änderung darstellt.

Wie kontrolliert man extern bereitgestellte Prozesse?

Durch eine Kombination aus vertraglichen Kontrollen (Datenverarbeitungsvereinbarungen), Sorgfaltsprüfungen, laufender Überwachung und Prüfrechten. Sie sollten ein Verzeichnis extern bereitgestellter Prozesse führen, die Datenschutzmaßnahmen jedes Anbieters bewerten, entsprechende Vertragsklauseln aufnehmen und deren Leistung regelmäßig überprüfen. Siehe die A.3 Gemeinsame Kontrollen für spezifische Anforderungen an das Lieferantenmanagement.

SaaS-Plattformen erfordern spezifische betriebliche Überlegungen – siehe unsere Leitfaden für SaaS-Plattformen.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.