Warum wurde ISO 27701 aktualisiert?
Die erste Ausgabe von ISO 27701 wurde 2019 als Erweiterung von ISO 27001 und ISO 27002 veröffentlicht. Seitdem hat sich die Datenschutzlandschaft deutlich verändert. Neue Vorschriften sind in Kraft getreten, die Technologie hat sich weiterentwickelt (KI, IoT, Biometrie), und Organisationen fordern einen eigenständigen Standard, der nicht von einem separaten Informationssicherheitsmanagementsystem abhängig ist.
Die im Oktober 2025 veröffentlichte Norm ISO/IEC 27701:2025 ist die zweite Ausgabe. Sie ersetzt die Version von 2019 vollständig und führt strukturelle Änderungen ein, die das Management von Datenschutzinformationen praktischer und zugänglicher gestalten sollen.
Was sind die größten Änderungen in ISO 27701:2025?
Die Ausgabe 2025 bringt sieben wichtige Änderungen mit sich, die Organisationen verstehen müssen:
1. Standalone-Standard
Die bedeutendste Änderung besteht darin, dass ISO 27701:2025 jetzt eine Standard für eigenständiges ManagementsystemOrganisationen benötigen nicht mehr zwingend eine ISO 27001-Zertifizierung. Die Norm enthält einen vollständigen eigenen Anforderungskatalog (Abschnitte 4 bis 10), der Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und -verbesserung abdeckt.
Dies eröffnet Organisationen, die eine Datenschutzzertifizierung anstreben, ohne den Aufwand eines vollständigen ISMS tragen zu müssen, die Möglichkeit, gleichzeitig die Integration mit ISO 27001 für diejenigen zu gewährleisten, die beides wünschen.
2. Umstrukturierter Anhang A mit drei Kontrolltabellen
Die alten Abschnitte 7 (Leitfaden für PII-Controller) und 8 (Leitfaden für PII-Prozessoren) wurden durch eine einheitliche Regelung ersetzt. Anhang A mit drei Tischen:
| Tisch | Geltungsbereich | Steuerelemente |
|---|---|---|
| Tabelle A.1 | PII-Controller-Steuerungen | 31 Bedienelemente |
| Tabelle A.2 | PII-Prozessorsteuerung | 18 Bedienelemente |
| Tabelle A.3 | Gemeinsame Sicherheitskontrollen (Controller und Prozessoren) | 29 Bedienelemente |
Dies gibt Organisationen 78 Datenschutzeinstellungen Insgesamt gibt es für jede Regelung eine passende Umsetzungsanleitung in Anhang B. Durch diese Struktur wird deutlich, welche Kontrollen für Ihre Rolle gelten.
3. Anhang B enthält Hinweise zur Umsetzung.
Anhang B enthält detaillierte Umsetzungshinweise zu allen Kontrollmaßnahmen aus Anhang A. Während die Fassung von 2019 die Hinweise in den Abschnitten 6, 7 und 8 enthielt, trennt die Fassung von 2025 das „Was“ (Anhang A) vom „Wie“ (Anhang B). Dies vereinfacht die Prüfung und die Analyse von Abweichungen.
4. Neue Kartenanhänge
Die Ausgabe 2025 enthält vier Kartenanhänge:
- Anhang C. — Zuordnung zu den Datenschutzprinzipien der ISO/IEC 29100
- Anhang D - Zuordnung zu DSGVO-Artikeln
- Anhang E — Zuordnung zu ISO/IEC 27018 und ISO/IEC 29151
- Anhang F — Entsprechung zu ISO 27701:2019 (neu in 2025)
Anhang F ist besonders wertvoll für Organisationen, die von der Ausgabe 2019 auf die neue Version umsteigen, da er jede alte Kontrollmaßnahme ihrer Entsprechung in der Ausgabe 2025 zuordnet.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
5. Die vereinfachte Klausel 6 ersetzt die alte Klausel 6.
Die Ausgabe von 2019 Klausel 6 Es enthielt über 90 Unterklauseln, die auf die Kontrollen der ISO 27002 mit PII-spezifischen Ergänzungen verwiesen. Im Jahr 2025 wurde dies konsolidiert in Tabelle A.3 (gemeinsame Sicherheitskontrollen) mit 29 gezielten Bedienelementen. Das Ergebnis ist ein deutlich übersichtlicheres Gehäuse.
6. Vereinfachte Anforderungen an das Managementsystem
Die Abschnitte 4 bis 10 folgen nun der Standardstruktur des ISO-Managementsystems (Harmonisierte Struktur). Sie sind in sich abgeschlossen und erfordern keine Querverweise mit Abschnitten der ISO 27001, obwohl die Angleichung für Organisationen, die über beide Zertifizierungen verfügen, unkompliziert ist.
7. Berücksichtigung des Klimawandels
In Übereinstimmung mit den jüngsten Änderungen der ISO-Normen für Managementsysteme fordern die Abschnitte 4.1 und 4.2 nun, dass Organisationen feststellen, ob der Klimawandel für ihren PIMS-Kontext relevant ist.
Wie hat sich die Kontrollstruktur im Vergleich zu 2019 verändert?
| Aspekt | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Abhängigkeit | Erweiterung auf ISO 27001 + 27002 | Standalone-Standard |
| Controller-Leitlinien | Klausel 7 (eingebettet) | Tabelle A.1 + Anhang B.1 (31 Kontrollen) |
| Prozessorführung | Klausel 8 (eingebettet) | Tabelle A.2 + Anhang B.2 (18 Kontrollen) |
| Sicherheitskontrollen | Abschnitt 6 (über 90 Unterabschnitte mit Bezug auf ISO 27002) | Tabelle A.3 + Anhang B.3 (29 Kontrollen) |
| Vollständige Datenschutzkontrollen | Verteilt auf die Klauseln 6, 7 und 8 | 78 Kontrollen in Anhang A |
| Datenschutz Mapping | Anhang D | Anhang D (aktualisiert) |
| Korrespondenz aus dem Jahr 2019 | N / A | Anhang F (neu) |
Was ist die Übergangsfrist?
Organisationen, die nach ISO 27701:2019 zertifiziert sind, haben bis Oktober 2028 um auf die Ausgabe 2025 umzusteigen. Dies ergibt einen Zeitraum von drei Jahren ab dem Erscheinungsdatum.
Eine strukturierte Lückenanalyse ist der beste Ausgangspunkt, um zu verstehen, was die Ausgabe 2025 für Ihr aktuelles PIMS bedeutet.
Während der Übergangszeit:
- Neue Zertifizierungen können für beide Editionen ausgestellt werden.
- Bestehende Zertifikate aus dem Jahr 2019 bleiben bis zu ihrem Ablaufdatum oder dem Stichtag für die Umstellung gültig, je nachdem, welches Ereignis zuerst eintritt.
- Zertifizierungsstellen müssen ihre Auditprogramme aktualisieren, um die Anforderungen von 2025 zu erfüllen.
Eine schrittweise Anleitung für den Übergang finden Sie in unserem Leitfaden für den Übergang zu ISO 27701.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was bedeutet eine eigenständige Zertifizierung in der Praxis?
Gemäß der Ausgabe von 2019 konnte eine Organisation die ISO 27701-Zertifizierung nur dann erhalten, wenn sie bereits über eine ISO 27001-Zertifizierung verfügte (oder sich gleichzeitig dafür zertifizieren ließ). Dies stellte eine Hürde für Organisationen dar, die eine Datenschutzzertifizierung benötigten, aber kein vollständiges Informationssicherheitsmanagementsystem.
Mit der Ausgabe 2025 können sich Organisationen eigenständig nach ISO 27701 zertifizieren lassen. Die Norm enthält nun eigene Anforderungen an das Managementsystem (Abschnitte 4 bis 10) und eigene Kontrollmechanismen (Anhang A). Die Integration mit ISO 27001 ist jedoch weiterhin unkompliziert und wird empfohlen, sofern beide Normen relevant sind.
Warum sollten Sie sich ISMS.online für ISO 27701:2025?
ISMS.online bietet Ihnen eine praktische, strukturierte Möglichkeit zur Implementierung und Aufrechterhaltung Ihres Datenschutzinformationsmanagementsystems gemäß ISO 27701:2025:
- Vorgefertigtes Framework — Die Kontrollen, Klauseln und Nachweisanforderungen gemäß ISO 27701:2025 sind abgebildet und können ab dem ersten Tag verwendet werden
- Integriertes Risikomanagement — Führen Sie Datenschutzrisikobewertungen zusammen mit Informationssicherheitsrisikobewertungen an einem Ort durch
- Richtlinien- und Kontrollmanagement — Entwurf, Genehmigung, Verteilung und Nachverfolgung der Bestätigung von Datenschutzrichtlinien
- Lieferantenmanagement — Überwachung von PII-Verarbeitungsverträgen, Offenlegungen von Unterauftragnehmern und grenzüberschreitenden Übermittlungsaufzeichnungen
- Prüfungsbereitschaft — Verwalten Sie Ihre Anwendbarkeitserklärung, Nachweisdokumente und Korrekturmaßnahmen auf einer einzigen Plattform.
- Unterstützung der Doppelzertifizierung — ISO 27701 kann eigenständig oder integriert mit ISO 27001 ausgeführt werden, ohne dass doppelter Aufwand entsteht
Häufig gestellte Fragen
Ist ISO 27701:2025 abwärtskompatibel mit der Version von 2019?
Nicht direkt. Die Struktur hat sich deutlich verändert; die alten Klauseln 6, 7 und 8 wurden durch Anhang A und Anhang B ersetzt. Anhang F enthält jedoch eine vollständige Entsprechungstabelle, die jede Kontrollmaßnahme von 2019 ihrer entsprechenden Maßnahme von 2025 zuordnet und somit die Gap-Analyse vereinfacht.
Benötige ich weiterhin die ISO 27001-Zertifizierung, um die ISO 27701-Zertifizierung zu erhalten?
Nein. ISO 27701:2025 ist ein eigenständiger Standard mit eigenen Anforderungen an das Managementsystem. Sie können sich unabhängig danach zertifizieren lassen. Wenn Sie bereits nach ISO 27001 zertifiziert sind, können Sie beide Systeme integrieren und von gemeinsamen Prozessen profitieren.
Wann muss ich von ISO 27701:2019 umstellen?
Die Übergangsfrist endet im Oktober 2028. Ab Veröffentlichung der Ausgabe 2025 haben Sie somit drei Jahre Zeit. Bereits ausgestellte Zertifikate aus dem Jahr 2019 behalten ihre Gültigkeit bis zu ihrem Ablaufdatum oder bis zum Ende der Übergangsfrist, je nachdem, welches Ereignis zuerst eintritt.
Wie viele Kontrollen enthält ISO 27701:2025?
Anhang A enthält 78 Kontrollen, aufgeteilt in drei Tabellen: 31 für PII-Kontrollen (Tabelle A.1), 18 für PII-Prozessoren (Tabelle A.2) und 29 gemeinsame Sicherheitskontrollen für beide (Tabelle A.3Zu jeder Kontrollmaßnahme gibt es entsprechende Durchführungshinweise in Anhang B.
Umfasst ISO 27701:2025 auch KI und biometrische Daten?
Der Standard ist technologieneutral, aber seine Kontrollmechanismen regeln die automatisierte Entscheidungsfindung (A.1.3.11 Automatisierte Entscheidungsfindung), Datenschutzfolgenabschätzung (A.1.2.6 Datenschutz-Folgenabschätzung) und Datenminimierung (A.1.4.5 Minimierung personenbezogener DatenSie sind direkt relevant für KI, IoT und biometrische Verarbeitung. Die Prinzipien gelten unabhängig von der verwendeten Technologie.
Wenn Sie abwägen, ob eine Zertifizierung für Ihr Unternehmen sinnvoll ist, lesen Sie unseren Leitfaden: Benötige ich eine ISO 27701:2025-Zertifizierung?.
Eine prägnante Übersicht zur Weitergabe an leitende Stakeholder finden Sie in unserem Zusammenfassung für Vorstandsmitglieder.
