Zum Inhalt
ISMS.online

Wie der Übergang von ISO 27701:2019 zu ISO 27701:2025 gelingt

Die Übergangsfrist ist Oktober 2028. Dieser Leitfaden erläutert die Änderungen, die Durchführung einer Gap-Analyse und die praktischen Schritte zur Umstellung Ihres PIMS von der Version 2019 auf die Version 2025.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Wie sieht der Zeitplan für die Umstellung auf ISO 27701:2025 aus?

ISO/IEC 27701:2025 wurde im Oktober 2025 veröffentlicht. Organisationen, die nach der Ausgabe 2019 zertifiziert sind, haben eine dreijährige Übergangsfrist, die im Oktober 2028 endet.

Milestone Datum Was es bedeutet
Ausgabe 2025 veröffentlicht Oktober 2025 Neue Zertifizierungen können für beide Editionen ausgestellt werden.
Übergangsphase Oktober 2025 - Oktober 2028 Organisationen können den Übergang bis 2025 planen und durchführen.
Übergangsfrist Oktober 2028 Alle Zertifikate aus dem Jahr 2019 sind abgelaufen; nur die Zertifikate aus dem Jahr 2025 sind gültig.

Wenn Ihre nächste Überwachungs- oder Rezertifizierungsprüfung in den Übergangszeitraum fällt, lohnt es sich, dies mit Ihrem/Ihrer zu besprechen. Zertifizierungsstelle ob der Übergang mit dem geplanten Audit kombiniert werden soll.

Die Wahl des richtigen Wirtschaftsprüfers ist entscheidend – siehe unseren Leitfaden zu Wie man eine ISO 27701:2025-Zertifizierungsstelle auswählt.

Welche wichtigen Übergangsfristen und Kulanzfristen gibt es?

Der dreijährige Übergangszeitraum bietet Organisationen Flexibilität, doch erfordern unterschiedliche Meilensteine ​​Maßnahmen zu unterschiedlichen Zeitpunkten. Hier finden Sie eine praktische Übersicht darüber, was Sie wann tun müssen:

Datum Was ist loss Handlung erforderlich
Oktober 2025 ISO 27701:2025 wurde veröffentlicht. Neue Zertifizierungen können nach beiden Ausgaben ausgestellt werden. Beginnen Sie mit der Planung Ihres Übergangs. Führen Sie eine Gap-Analyse im Hinblick auf die Anforderungen von 2025 durch.
Oktober 2025 – Oktober 2026 (Jahr 1) Frühes Übergangsfenster. Zertifizierungsstellen aktualisieren ihre Auditprogramme. Vergewissern Sie sich, dass Ihre Zertifizierungsstelle bereit ist, Audits gemäß den Vorgaben von 2025 durchzuführen. Falls Ihr Überwachungsaudit in diesen Zeitraum fällt, besprechen Sie, ob es mit dem Übergang zusammengelegt werden kann.
Oktober 2026 – Oktober 2027 (Jahr 2) Mitten im Übergang. Die meisten Zertifizierungsstellen arbeiten bereits vollumfänglich mit der Fassung von 2025. Schließen Sie Ihre Dokumentationsaktualisierungen und die interne Prüfung anhand der Struktur von 2025 ab. Planen Sie Ihr Übergangsaudit.
Oktober 2027 – Oktober 2028 (Jahr 3) Letztes Übergangsjahr. Die Dringlichkeit steigt für Organisationen, die den Übergang noch nicht vollzogen haben. Schließen Sie Ihr Übergangsaudit vor Oktober 2028 ab. Die Verfügbarkeit von Zertifizierungsstellen kann sich mit Annäherung an den Stichtag verringern.
Oktober 2028 Frist. Alle ISO 27701:2019-Zertifikate verlieren ihre Gültigkeit. Nur Zertifikate der Ausgabe 2025 sind noch gültig. Wenn Sie den Übergang nicht vollzogen haben, erlischt Ihre Zertifizierung. Sie müssten sich als neuer Antragsteller zertifizieren lassen, was möglicherweise ein vollständiges Audit der Stufen 1 und 2 erfordert.

Was passiert, wenn Sie den Termin verpasst?

Wenn Ihr ISO 27701:2019-Zertifikat im Oktober 2028 abläuft, ohne dass ein Übergang stattgefunden hat:

  • Ihr Zertifikat ist nicht mehr gültig. — Kunden, Aufsichtsbehörden und Beschaffungsteams, die auf Ihre Zertifizierung angewiesen sind, werden sie als abgelaufen betrachten.
  • Sie können nicht einfach verlängern Die Ausgabe 2019 wird zurückgezogen. Eine Rezertifizierung ist nicht möglich.
  • Sie beginnen als neuer Bewerber. Ihre Zertifizierungsstelle wird Sie für die Ausgabe 2025 wie einen Erstbewerber behandeln, was in der Regel ein vollständiges Audit der Stufen 1 und 2 anstelle eines Übergangsaudits bedeutet. Dies ist mit höheren Kosten und einem längeren Zeitaufwand verbunden.
  • Kommerzielle Auswirkungen — Sämtliche Verträge, Ausschreibungen oder Kundenvereinbarungen, die auf Ihre ISO 27701-Zertifizierung Bezug nehmen, könnten betroffen sein.

Praktische Hinweise zum Timing

Die kostengünstigste Vorgehensweise besteht darin, Ihren Übergang mit einem geplanten Audit abzustimmen:

  • Wenn Ihre nächste Überwachungsprüfung vor Oktober 2027 stattfindet — Verbinden Sie den Übergang mit diesem Überwachungsbesuch. Dadurch entfällt eine separate Gebühr für die Übergangsprüfung.
  • Wenn Ihre Rezertifizierung vor Oktober 2028 fällig ist — Übergang bei der Rezertifizierung. Sie bezahlen bereits für ein vollständiges Audit; die Hinzunahme der Anforderungen der Ausgabe 2025 ist ein zusätzlicher Schritt.
  • Wenn Sie bis Ende 2028 keine geplante Prüfung haben Warten Sie nicht. Buchen Sie frühzeitig ein Übergangsaudit, um den Andrang kurz vor Ablauf der Frist zu vermeiden. Die Verfügbarkeit von Zertifizierungsstellen wird in den letzten sechs Monaten eingeschränkt sein.

Egal welchen Zeitpunkt Sie wählen, beginnen Sie Ihre Lückenanalyse und Aktualisierungen der Dokumentation mindestens sechs Monate vor Ihrem geplanten Termin ÜbergangsauditDie Änderungen an der Dokumentation sind zwar überschaubar, erfordern aber Gründlichkeit – eine übereilte Vorgehensweise erhöht das Risiko von Abweichungen.

Unsere Schritt-für-Schritt-Anleitung Leitfaden zur Lückenanalyse führt Sie durch den Bewertungsprozess für die Ausgabe 2025.

Welche strukturellen Veränderungen müssen Sie verstehen?

Die Ausgabe 2025 ist keine geringfügige Überarbeitung. Die Architektur des Standards hat sich grundlegend verändert. Diese strukturellen Änderungen zu verstehen, ist der erste Schritt bei der Planung Ihres Übergangs.

Die Anforderungen an das Managementsystem sind nun in sich abgeschlossen.

Die Ausgabe von 2019 erweiterte die ISO-27001-Klauseln um datenschutzspezifische Zusätze. Die Ausgabe von 2025 enthält in den Klauseln 4 bis 10 eigene, vollständige Anforderungen an das Managementsystem, die der harmonisierten ISO-Struktur folgen. Wenn Sie auch über eine ISO-27001-Zertifizierung verfügen, können Sie beide Systeme weiterhin integrieren, aber ISO 27701 hängt nicht mehr davon ab.

Die Kontrollmechanismen wurden von den Klauseln in die Anhänge verlagert.

Diese Änderung hat die größten Auswirkungen auf Ihre Dokumentation und Ihre Anwendbarkeitserklärung:

2019-Standort 2025-Standort Beschreibung
Klausel 6 (über 90 Unterklauseln) Tabelle A.3 (29 Kontrollen) Gemeinsame Informationssicherheitskontrollen für personenbezogene Daten
Klausel 7 Tabelle A.1 (31 Kontrollen) PII-Controller-Steuerungen
Klausel 8 Tabelle A.2 (18 Kontrollen) PII-Prozessorsteuerung
Eingebettet in die Klauseln 6–8 Anhang B. Implementierungsleitfaden (Spiegel) Anhang A)

Die Korrespondenztabelle im Anhang F Jede Kontrollmaßnahme aus dem Jahr 2019 wird der entsprechenden Maßnahme aus dem Jahr 2025 zugeordnet, wodurch eine Gap-Analyse praktikabel wird.



Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s


Wie führt man eine Gap-Analyse durch?

Eine strukturierte Gap-Analyse ist die Grundlage für einen erfolgreichen Übergang. Hier ist ein praktischer Ansatz:

5-stufiger Übergangsprozess von ISO 27701:2019 zu 2025 – Kontrollen abbilden, Anforderungen identifizieren, System of Accounting (SoA) neu erstellen, Dokumentation aktualisieren, Internes Audit

Schritt 1: Ordnen Sie Ihre aktuellen Steuerelemente dem Jahr 2025 zu.

Verwenden Sie die Korrespondenztabelle im Anhang F Um festzustellen, wo jede Ihrer bestehenden Kontrollmaßnahmen aus dem Jahr 2019 in der Struktur von 2025 abgebildet wird. Viele Kontrollmaßnahmen haben direkte Entsprechungen, einige wurden jedoch zusammengeführt und andere vollständig entfernt.

Beachten Sie die mit „N/A“ gekennzeichneten Bedienelemente in Anhang F — Hierbei handelt es sich um Kontrollen aus dem Jahr 2019, die kein direktes Äquivalent in den Kontrollen von 2025 haben. Sie müssen feststellen, ob die beabsichtigte Maßnahme bereits durch eine andere Kontrolle aus dem Jahr 2025 abgedeckt ist oder ob Sie die Dokumentation bedenkenlos außer Kraft setzen können.

Schritt 2: Neue Anforderungen ermitteln

Prüfen Sie die Anforderungen an das Managementsystem 2025 (Abschnitte 4 bis 10) anhand Ihrer aktuellen PIMS-Dokumentation. Wichtige zu prüfende Bereiche:

  • Klauseln 4.1 und 4.2 — Der Klimawandel muss nun zwingend in Ihre Kontextanalyse und die Bewertung der Interessengruppen einbezogen werden.
  • Klausel 5.2 — Die Anforderungen an die Datenschutzrichtlinie sind nun eigenständig (und keine Erweiterung Ihrer ISMS-Richtlinie).
  • Klausel 6.1.2 / 6.1.3 — Die Anforderungen an die Bewertung und Behandlung von Datenschutzrisiken sind in sich abgeschlossen.
  • Klausel 6.3 — Eine Planung der Änderungen ist ausdrücklich erforderlich

Schritt 3: Überarbeiten Sie Ihre Anwendbarkeitserklärung.

Ihre bisherige Anwendbarkeitserklärung, die auf Klausel 6, 7 und 8 verweist, ist weiterhin maßgebend. Die Ausgabe 2025 erfordert eine neue Anwendbarkeitserklärung, die auf der Grundlage der Klausel 6, 7 und 8 erstellt wurde. 78 Anhang A Kontrollen, mit Begründungen für etwaige Ausnahmen [siehe Klausel 6.1.3 e)].

Schritt 4: Dokumentation aktualisieren

Mindestens die folgenden Dokumente müssen aktualisiert werden:

  • PIMS-Geltungsbereichsdefinition (jetzt eigenständig, ohne Bezugnahme auf den ISMS-Geltungsbereich)
  • Datenschutzerklärung (eigenständig, gemäß Klausel 5.2)
  • Methodik zur Bewertung des Datenschutzrisikos (gemäß Klausel 6.1.2)
  • Anwendbarkeitserklärung (neue Struktur des Anhangs A)
  • Internes Auditprogramm (umfasst die Klauseln 4–10 sowie die anwendbaren Kontrollen gemäß Anhang A)
  • Input und Output der Managementbewertung (gemäß Klausel 9.3)

Schritt 5: Führen Sie eine interne Prüfung im Hinblick auf das Jahr 2025 durch.

Führen Sie vor Ihrem Übergangsaudit ein vollständiges internes Audit anhand der Anforderungen von 2025 durch. Dies bestätigt Ihre Gap-Analyse, prüft Ihre aktualisierte Dokumentation und liefert Ihrem Management-Review aussagekräftige Informationen zur Übergangsbereitschaft.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Kontakt


Welche Kontrollmechanismen wurden entfernt oder zusammengelegt?

Die Ausgabe von 2019 enthielt in Abschnitt 6 Verweise auf über 90 Unterabschnitte der ISO 27002 mit spezifischen Hinweisen zum Umgang mit personenbezogenen Daten. Die Ausgabe von 2025 fasst diese in 29 fokussierten Kontrollen zusammen. Tabelle A.3Viele Unterklauseln aus dem Jahr 2019, die lediglich „keine zusätzlichen Hinweise“ enthielten, wurden gestrichen.

Kontrollmaßnahmen, für die es keine spezifischen Richtlinien zum Umgang mit personenbezogenen Daten gab (physische Sicherheit, Verkabelung, Versorgungseinrichtungen, Malware-Schutz usw.), werden nicht mehr separat aufgeführt. Dies bedeutet nicht, dass sie unwichtig sind – vielmehr konzentriert sich der Standard nun speziell auf Kontrollmaßnahmen, die Implementierungsrichtlinien im Zusammenhang mit personenbezogenen Daten erfordern.

Die Tabellen F.1 und F.2 im Anhang F enthalten die vollständige Zuordnung in beide Richtungen, sodass Sie genau überprüfen können, welche Ihrer bestehenden Steuerungen neu zugeordnet werden müssen und welche aus Ihrem PIMS-Geltungsbereich entfernt werden können.

Warum sollten Sie sich ISMS.online für Ihren ISO 27701-Übergang?

ISMS.online macht den Übergang praktisch und nachvollziehbar:

  • Vorab festgelegtes Framework — ISO 27701:2025-Kontrollen, -Anforderungen und -Nachweise abgebildet und sofort einsatzbereit
  • Unterstützung der Lückenanalyse — Vergleichen Sie Ihr bestehendes PIMS mit der Struktur von 2025 und verfolgen Sie, was aktualisiert werden muss.
  • Erklärung zur Anwendbarkeit — Erstellen Sie Ihre neue SoA auf Grundlage der 78 Kontrollen in Anhang A mit Begründungen.
  • Dokumenten-Management — Verwalten Sie Ihre aktualisierten Richtlinien, Verfahren und Aufzeichnungen zentral in der Versionskontrolle.
  • Instrumente der internen Revision — Planen und führen Sie Ihr Vorübergangs-Audit mit Korrekturmaßnahmen-Nachverfolgung durch
  • Dual-Framework-Unterstützung — Führen Sie ISO 27701 und ISO 27001 parallel aus, ohne die Arbeit zu duplizieren

Häufig gestellte Fragen

Kann ich vorzeitig auf ISO 27701:2025 umsteigen?

Ja. Neue Zertifizierungen können ab Oktober 2025 gemäß der Ausgabe 2025 ausgestellt werden. Falls Ihr nächstes geplantes Audit ansteht, besprechen Sie mit Ihrer Zertifizierungsstelle, ob Sie es mit der Umstellung kombinieren möchten.

Muss ich ganz von vorne anfangen?

Nein. Ein Großteil Ihrer bisherigen Arbeit kann übernommen werden. Die Kontrollen wurden neu organisiert, nicht grundlegend neu geschrieben. Verwenden Sie Anhang F, um Ihre aktuellen Kontrollen der neuen Struktur zuzuordnen, Ihre Dokumentation entsprechend der neuen Nummerierung zu aktualisieren und alle in Ihrer Gap-Analyse festgestellten Lücken zu schließen.

Was passiert, wenn ich die Frist im Oktober 2028 verpasse?

Ihre ISO 27701:2019-Zertifizierung verliert nach Oktober 2028 ihre Gültigkeit. Sie müssten sich dann nach der Ausgabe 2025 neu zertifizieren lassen, und zwar nicht im Rahmen eines Übergangs, was möglicherweise ein vollständiges Audit der Stufen 1 und 2 erfordert.

Benötige ich für den Übergang weiterhin ISO 27001?

Nein. Da ISO 27701:2025 eine eigenständige Norm ist, können Sie ohne ISO 27001 umsteigen. Falls Sie derzeit beide Zertifizierungen besitzen, können Sie diese entweder unabhängig voneinander aufrechterhalten oder weiterhin ein integriertes Managementsystem betreiben.

Wie lange dauert der Übergang in der Regel?

Dies hängt vom Reifegrad Ihres bestehenden PIMS und dem Umfang der erforderlichen Dokumentationsänderungen ab. Organisationen mit gut gewarteten Systemen benötigen möglicherweise einige Wochen für die Gap-Analyse und die Aktualisierung der Dokumentation, gefolgt von einem internen Auditzyklus. Das Übergangsaudit selbst wird üblicherweise mit einem Überwachungs- oder Rezertifizierungsbesuch kombiniert.

Für Organisationen, die schnell handeln möchten, bieten wir folgende Leistungen an: Der schnellste Weg zur ISO 27701:2025-Zertifizierung.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.