Zum Inhalt
ISMS.online

ISO 27701:2025 Abschnitt 9: Leistungsbewertung

Klausel 9 behandelt die „Prüfphase“ des PDCA-Zyklus. Sie verpflichtet Sie, die Leistung Ihres Datenschutzmanagementsystems zu überwachen und zu messen, interne Audits durchzuführen und Managementbewertungen vorzunehmen, um die Wirksamkeit Ihres Systems sicherzustellen.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Was verlangt Klausel 9?

Klausel 9 ist die „Prüfphase“ des PDCA-Zyklus (Planen-Durchführen-Prüfen-Anpassen). Sie legt fest, wie Ihre Organisation die Leistung und Effektivität des Datenschutzinformationsmanagementsystems (PIMS) anhand von drei Mechanismen bewertet: Überwachung und Messung, interne Prüfung und Managementbewertung.

Interne Audits bewerten die Konformität mit den Anhang A-Kontrollen und Anforderungen an das Managementsystem.

9.1 Überwachung, Messung, Analyse und Bewertung

Die Organisation legt Folgendes fest:

  • Was muss überwacht und gemessen werden? — einschließlich Datenschutzprozesse, -kontrollen und -ziele
  • Die Methoden — Zur Überwachung, Messung, Analyse und Auswertung, um gültige Ergebnisse zu gewährleisten
  • Wenn die Funktion — Die Überwachung und Messung soll durchgeführt werden
  • Wenn die Funktion Die Ergebnisse werden analysiert und bewertet.

Die Organisation muss dokumentierte Informationen als Nachweis der Ergebnisse aufbewahren. Effektives Monitoring geht über die einfache Überprüfung der Einhaltung von Vorschriften hinaus. Es sollte bewerten, ob die Datenschutzmaßnahmen die beabsichtigten Ergebnisse erzielen und ob das Datenschutzmanagementsystem insgesamt die gewünschte Datenschutzleistung erbringt.

Zu den gängigen Kennzahlen gehören:

  • Reaktionszeiten und Abschlussquoten bei Anfragen betroffener Personen
  • Anzahl, Schweregrad und Lösungszeiten von Datenschutzvorfällen
  • Abschlussquoten der Schulungen und Ergebnisse der Bewusstseinsbewertung
  • Fortschritte bei der Umsetzung des Risikobehandlungsplans
  • Ergebnisse der Lieferantenbewertung
  • Abschlussquoten von Datenschutz-Folgenabschätzungen für neue Verarbeitungstätigkeiten

9.2 Internes Audit

Allgemeine 9.2.1

Die Organisation führt in geplanten Abständen interne Audits durch, um Informationen darüber zu erhalten, ob das PIMS:

  • Entspricht den eigenen Anforderungen der Organisation an ihr PIMS.
  • Entspricht den Anforderungen der ISO 27701:2025
  • Wird effektiv umgesetzt und aufrechterhalten

9.2.2 Internes Auditprogramm

Die Organisation plant, erstellt, implementiert und pflegt ein Prüfungsprogramm, das Folgendes umfasst:

  • Frequenz — Prüfintervalle (in der Regel jährlich für einen vollständigen Zyklus, wobei gezielte Prüfungen häufiger durchgeführt werden)
  • Methoden — Wie die Audits durchgeführt werden (Dokumentenprüfung, Interviews, Beobachtung, Tests)
  • Aufgaben — Wer führt die Prüfungen durch (muss objektiv und unparteiisch sein)?
  • Planungsanforderungen — Berücksichtigung der Bedeutung der betreffenden Prozesse und der Ergebnisse früherer Prüfungen
  • Kriterien und Anwendungsbereich — Was wird geprüft und anhand welcher Anforderungen?
  • Reporting Die Ergebnisse müssen der zuständigen Führungsebene gemeldet werden.

Das Prüfprogramm und die Ergebnisse müssen als dokumentierte Informationen aufbewahrt werden.



Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


9.3 Managementbewertung

Allgemeine 9.3.1

Das Top-Management überprüft das PIMS in geplanten Abständen, um dessen fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

9.3.2 Beiträge zur Managementbewertung

Die Managementbewertung soll Folgendes berücksichtigen:

  • Der Status von Maßnahmen aus früheren Managementbewertungen
  • Änderungen externer und interner Gegebenheiten, die für das PIMS relevant sind.
  • Änderungen der Bedürfnisse und Erwartungen interessierter Parteien, die für das PIMS relevant sind
  • Informationen zur PIMS-Performance, einschließlich Trends bei Abweichungen und Korrekturmaßnahmen, Überwachungs- und Messergebnissen sowie Auditergebnissen
  • Möglichkeiten zur kontinuierlichen Verbesserung

9.3.3 Ergebnisse der Managementbewertung

Die Ergebnisse der Managementprüfung umfassen Entscheidungen und Maßnahmen in Bezug auf Folgendes:

  • Kontinuierliche Verbesserungsmöglichkeiten
  • Besteht Änderungsbedarf am PIMS?

Dokumentierte Informationen müssen als Nachweis der Ergebnisse der Managementbewertung aufbewahrt werden. Diese Aufzeichnungen belegen, dass die oberste Führungsebene aktiv in die Überwachung des PIMS eingebunden ist – eine zentrale Anforderung, die von den Wirtschaftsprüfern genauestens geprüft wird.

Welchen Bezug hat das zur DSGVO?

  • Artikel 5 (2) — Das Rechenschaftsprinzip erfordert den Nachweis der Einhaltung, was durch Überwachung und Prüfung direkt unterstützt wird.
  • Artikel 39 (1) (b) Die Überwachung der Einhaltung der Vorschriften durch den Datenschutzbeauftragten entspricht den Anforderungen des internen Prüfungsprogramms.
  • Artikel 32 Absatz 1 Buchstabe d — Ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit von Maßnahmen, das direkt durch Klausel 9 unterstützt wird.
  • Artikel 24 — Verantwortung des Controllers, Maßnahmen gegebenenfalls zu überprüfen und zu aktualisieren, unterstützt durch eine Managementprüfung

Die vollständige Kartierung finden Sie unter Leitfaden zur Einhaltung der DSGVO.

Was hat sich gegenüber ISO 27701:2019 geändert?

  • Anforderungen an in sich abgeschlossene Systeme — Im Jahr 2019 wurde Abschnitt 5.7 der ISO 27001, Abschnitt 9, ergänzt. Die Anforderungen an die Leistungsbewertung sind nun vollständig und eigenständig.
  • Datenschutzspezifische Eingaben — Die Managementbewertung umfasst nun explizit Informationen zur PIMS-Leistung sowie Trends bei Abweichungen, Überwachungsergebnisse und Auditergebnisse.
  • Klarerer Prüfungsgegenstand — Interne Audits sind explizit auf die Konformität und Wirksamkeit des PIMS ausgerichtet und erweitern nicht das ISMS-Auditprogramm.
  • Strukturierte Prüfbeiträge — Die Beiträge zur Managementbewertung sind detaillierter und enthalten konkrete Punkte anstelle allgemeiner Verweise auf die Vorgaben der ISO 27001.

Einen umfassenderen Überblick finden Sie unter Was ist neu in ISO 27701:2025?.

Weitere Informationen im Korrespondenztabelle im Anhang F für die vollständige Kartierung.

Welche Nachweise erwarten die Wirtschaftsprüfer?

  • Überwachungsdatensätze — Dashboards, Berichte oder Protokolle, die zeigen, was überwacht wird und welche Ergebnisse sich im Laufe der Zeit ergeben.
  • Audit-Programm — Ein geplanter Zeitplan für interne Audits, der alle PIMS-Anforderungen während des gesamten Auditzyklus abdeckt.
  • Prüfungsberichte — Abgeschlossene Prüfberichte mit Feststellungen, Abweichungen und Beobachtungen
  • Unabhängigkeit des Abschlussprüfers — Beweise dafür, dass die Prüfer ihre eigene Arbeit nicht geprüft haben
  • Protokoll der Managementbewertung — Aufzeichnungen, die belegen, dass alle erforderlichen Angaben berücksichtigt und Entscheidungen getroffen wurden.
  • Aktionsverfolgung — Nachweis, dass die Maßnahmen aus Managementbewertungen und Audits bis zum Abschluss verfolgt werden
  • Trend analysen — Nachweis dafür, dass Überwachungsdaten auf Trends analysiert und nicht nur als isolierte Datenpunkte betrachtet werden.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Verwandte Klauseln

Klausel Beziehung
Klausel 5: Führung Die Managementbewertung ist der Ort, an dem das Topmanagement sein Führungsversprechen in der Praxis umsetzt.
Klausel 6: Planung Die Erreichung der Datenschutzziele (6.2) wird überwacht; die Ergebnisse der Risikobewertung fließen in die Managementbewertung ein.
Klausel 8: Betrieb Die betrieblichen Prozesse unterliegen der Überwachung und internen Prüfung.
Klausel 10: Verbesserung Die Ergebnisse von Audits und Überprüfungen fließen direkt in den Korrektur- und Verbesserungsprozess ein.

Web Link Klausel 4 (Kontext) zum Kontext und Klausel 7 (Support) für unterstützende Ressourcen.

Warum sollten Sie sich ISMS.online zur Einhaltung von Klausel 9?

ISMS.online bietet integrierte Werkzeuge zur Bewertung der PIMS-Leistung:

Informationen zur Zertifizierungsplanung finden Sie unter Leitfaden zur eigenständigen Zertifizierung.

  • Leistungs-Dashboards — Echtzeitüberwachung wichtiger Datenschutzkennzahlen mit Trendanalyse und Benachrichtigung
  • Internes Auditmanagement — Audits mithilfe von Vorlagen planen, terminieren und durchführen, Nachverfolgung und Beweissicherung
  • Vorlagen für Managementbewertungen — Strukturierte Tagesordnungen, die alle erforderlichen Beiträge abdecken, mit Aktionsverfolgung und Protokollierung
  • Nachverfolgung von Korrekturmaßnahmen — Verknüpfung von Prüfungsfeststellungen und Überprüfungsmaßnahmen mit Korrekturmaßnahmen-Workflows inklusive Zuständigkeitszuweisung und Fristen
  • Reporting — Erstellung von Leistungsberichten für Managementbewertungen und Zertifizierungsaudits

Häufig gestellte Fragen

Wie häufig sollten Managementbewertungen durchgeführt werden?

Der Standard sieht Überprüfungen in „geplanten Abständen“ vor, ohne jedoch eine bestimmte Häufigkeit festzulegen. Die meisten Organisationen führen mindestens jährlich Management-Reviews durch, viele entscheiden sich insbesondere im ersten Jahr der Implementierung für vierteljährliche Überprüfungen. Die Häufigkeit sollte dem Reifegrad Ihres Datenschutzmanagementsystems (PIMS) und der Geschwindigkeit der Veränderungen in Ihrem Datenschutzumfeld angemessen sein. Unabhängig vom gewählten Intervall muss dieses dokumentiert und konsequent eingehalten werden.

Können interne Audits von hauseigenen Mitarbeitern durchgeführt werden?

Ja, vorausgesetzt, sie sind objektiv und unparteiisch. Die wichtigste Voraussetzung ist, dass Prüfer ihre eigene Arbeit nicht prüfen. In der Praxis bedeutet dies, dass die Person, die für die Implementierung einer bestimmten Kontrollmaßnahme oder eines bestimmten Prozesses verantwortlich ist, nicht auch diejenige sein sollte, die diesen prüft. Kleinere Organisationen müssen unter Umständen für bestimmte Bereiche externe Prüfer hinzuziehen, um ihre Unabhängigkeit zu wahren. Prüfer sollten zudem über entsprechende Kompetenzen im Datenschutzmanagement und in Prüftechniken verfügen.

Welche Datenschutzkennzahlen sollten überwacht werden?

Beginnen Sie mit Kennzahlen, die für Ihr Unternehmen relevant und realisierbar sind. Gängige Beispiele sind das Volumen und die Bearbeitungszeiten von Betroffenenanfragen, die Häufigkeit und Lösungszeiten von Datenschutzvorfällen, der Abschluss von Schulungen, der Fortschritt von Risikobehandlungsplänen, die Abschlussquoten von Lieferantenbewertungen und die Quoten der Behebung von Prüfungsfeststellungen. Die Kennzahlen sollten sich mit der Weiterentwicklung Ihres Datenschutzmanagementsystems (PIMS) anpassen und sich von grundlegenden Compliance-Kennzahlen hin zu wirkungs- und ergebnisorientierten Messgrößen entwickeln.

Den vollständigen Zertifizierungsaudit-Prozess erfahren Sie in unserem Leitfaden: Was Sie während Ihres ISO 27701:2025-Audits erwarten können.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt genau, was die Dokumentationsprüfer für jeden Klauselbereich erwarten.

Die Wahl des richtigen Wirtschaftsprüfers ist wichtig – siehe Wie man eine Zertifizierungsstelle auswählt.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.