Seite wählen
Einfach erklärt

ISO/IEC 27701

ISO/IEC 27701 ist der internationale Standard für Privacy Information Management Systems (PIMS) – Datenschutz-Informationsmanagementsysteme. Die Norm erweitert die ISO/IEC 27001 um datenschutzspezifische Anforderungen und Controls für die Verarbeitung personenbezogener Daten (PII – Personally Identifiable Information).

Bereit, Ihr Unternehmen zu sichern?
Maßgeschneiderte Lösungen von CIBORIUS Security

Die Norm transformiert Datenschutz von einer statischen Compliance-Anforderung in ein operatives, strukturiertes Framework mit kontinuierlicher Nachweisführung, regulatorischer Ausrichtung und nachhaltigem Vertrauen.

Aktueller Stand der Norm (2026)

  • ISO/IEC 27701:2019 – erste Fassung als Erweiterung zu ISO 27001 und ISO 27002
  • ISO/IEC 27701:2025 – neue Edition (in Entwicklung), die PIMS als eigenständiges Managementsystem etabliert und nicht mehr zwingend ISO 27001 als Grundlage erfordert

Die Version 2025 bietet Organisationen mehr Flexibilität bei der Implementierung eines PIMS, während die Ausrichtung an der ISO-Managementsystemstruktur erhalten bleibt.

Ziel und Bedeutung

ISO/IEC 27701 bietet einen strukturierten, international anerkannten Rahmen, der Organisationen dabei unterstützt, Rechenschaftspflicht nachzuweisen, Risiken im Zusammenhang mit personenbezogenen Daten zu managen und Datenschutzpraktiken kontinuierlich zu verbessern.
Die Norm richtet sich an:

  • PII Controller (Verantwortliche) – Organisationen, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheiden
  • PII Processors (Auftragsverarbeiter) – Organisationen, die personenbezogene Daten im Auftrag von Controllern verarbeiten

Mit wachsenden Erwartungen von Einzelpersonen, Aufsichtsbehörden und Geschäftspartnern reicht es nicht mehr aus, zu behaupten, dass man sich um Datenschutz kümmert – man muss es nachweisen können.

Beziehung zu ISO 27001 und ISO 27002

ISO/IEC 27701 baut auf der weit verbreiteten ISO/IEC 27001 (Informationssicherheitsmanagement) auf und erweitert diese um datenschutzspezifische Aspekte:

  • Basisversion 2019: PIMS als Erweiterung eines bestehenden ISMS nach ISO 27001 – Organisation muss zunächst ISO 27001-zertifiziert sein oder kann beide Standards gleichzeitig implementieren
  • Version 2025: PIMS als eigenständiges Managementsystem möglich, behält aber Kompatibilität mit ISO 27001 bei

Diese Integration ist logisch und effizient, da:

  • Viele Organisationen bereits nach ISO 27001 zertifiziert sind
  • Datenschutz auf Informationssicherheit aufbaut
  • Die Implementierung und das Audit beider Standards weniger aufwändig und kostengünstiger ist
  • Beide Standards die gleiche High Level Structure verwenden

Kernanforderungen und Struktur

Die Norm ist in Kapitel und Anhänge gegliedert:
Kapitel 5-8: Zusätzliche PIMS-Anforderungen als Erweiterung zu ISO 27001

  • Kapitel 5: PIMS-spezifische Anforderungen an das Managementsystem
  • Kapitel 6: PIMS-spezifische Planungsanforderungen
  • Kapitel 7: PIMS-spezifische Unterstützungsanforderungen
  • Kapitel 8: PIMS-spezifische Betriebsanforderungen

Anhänge mit Controls und Guidance:

  • Annex A: PIMS-spezifische Controls für PII Controller (Verantwortliche)
  • Annex B: PIMS-spezifische Controls für PII Processors (Auftragsverarbeiter)
  • Annex C: Mapping zu ISO 29100 (Privacy Framework)
  • Annex D: Mapping zur DSGVO (Datenschutz-Grundverordnung)
  • Annex E: Mapping zu ISO 27018 und ISO 29151
  • Annex F: Anwendung von ISO 27701 auf ISO 27001 und ISO 27002

Die Anhänge D und F sind besonders wertvoll, da sie die Zuordnung von PIMS-Controls zu verschiedenen Datenschutzregulierungen dokumentieren und aus einem „interpretativen Tanz“ eine dokumentierte, nachvollziehbare Logik machen.

PIMS-Controls: Controller vs. Processor

Die Norm differenziert zwischen Controls für Verantwortliche und Auftragsverarbeiter:
Controller-spezifische Controls (Annex A):

  • Rechtmäßigkeit der Verarbeitung und Einwilligung
  • Zweckbindung und Datenminimierung
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung)
  • Datenschutz-Folgenabschätzung (DSFA)
  • Verträge mit Auftragsverarbeitern
  • Datenschutzerklärungen und Transparenz

Processor-spezifische Controls (Annex B):

  • Weisungsbefugnis und Weisungstreue
  • Vertraulichkeitsverpflichtungen
  • Unterstützung bei Betroffenenrechten
  • Unterstützung bei DSFA
  • Meldung von Datenschutzverletzungen
  • Löschung oder Rückgabe von Daten

Diese Unterscheidung ist ein Schlüsselmerkmal für die DSGVO-Konformität und hilft Organisationen, ihre spezifischen Verantwortlichkeiten zu verstehen.

Operative Umsetzung eines PIMS

Ein modernes PIMS ist kein Dokumentensatz oder Policy-Ordner, sondern ein operativer Motor, der:

  • Zentrale Kontrolle und Transparenz schafft – Klare Verantwortlichkeiten für jeden Datenschutzprozess
  • Nachweispfade automatisiert – Dokumentation als Nebenprodukt der täglichen Arbeit, nicht als nachträgliche Anstrengung
  • Tägliche Workflows härtet – Datenschutz in Einstellung, Offboarding, Lieferantenbewertung, Change Management
  • Kerndatenmapping durchführt – Jeder PII-Berührungspunkt wird katalogisiert, versioniert und überprüft
  • Explizite Aufgabendelegation ermöglicht – Wer jede Audit-Anfrage oder Betroffenenrechtsanfrage bearbeitet, ist festgelegt

Compliance mit Datenschutzregulierungen

ISO/IEC 27701 hilft Organisationen, verschiedene Datenschutzgesetze weltweit einzuhalten:

  • DSGVO (EU) – Detailliertes Mapping in Annex D zeigt, wie einzelne Controls DSGVO-Anforderungen erfüllen
  • CCPA (California Consumer Privacy Act, USA)
  • LGPD (Lei Geral de Proteção de Dados, Brasilien)
  • UK DPA (Data Protection Act 2018)
  • Weitere nationale und sektorale Datenschutzgesetze

Ein einzelnes PIMS-Control kann mehrere regulatorische Anforderungen gleichzeitig erfüllen, was die Compliance-Last erheblich reduziert.

Zertifizierungsverfahren

Die Zertifizierung erfolgt durch akkreditierte, unabhängige Zertifizierungsstellen.
Voraussetzung (Version 2019):

  • Bestehendes ISMS nach ISO 27001 oder gleichzeitige Implementierung beider Standards

Ablauf:

  • Gap-Analyse – Bewertung des aktuellen Datenschutzniveaus
  • PIMS-Implementierung – Erweiterung des ISMS um datenschutzspezifische Controls
  • Dokumentation – Richtlinien, Verfahren, Protokolle und Nachweise
  • Stage 1 Audit – Dokumentenprüfung
  • Stage 2 Audit – Bewertung der praktischen Umsetzung
  • Zertifikatserteilung bei erfüllten Anforderungen

Das Zertifikat hat eine Gültigkeit von 3 Jahren mit jährlichen Überwachungsaudits.

Vorteile der ISO 27701-Zertifizierung

Compliance-Vorteile:

  • Strukturierte Erfüllung multipler Datenschutzanforderungen
  • Vereinfachung der Nachweisführung gegenüber Aufsichtsbehörden
  • Reduktion der Compliance-Bürde durch organisierte Anforderungen
  • Konformität mit DSGVO und anderen globalen Datenschutzgesetzen

Geschäftliche Vorteile:

  • Vertrauenssignal für Kunden, Partner und Stakeholder
  • Wettbewerbsvorteil bei Ausschreibungen und Geschäftsbeziehungen
  • Vereinfachte Vertragsverhandlungen mit Datenverarbeitern
  • Erleichterung von M&A-Prozessen und Data-Sharing-Vereinbarungen
  • Nachweis in kommerziellen Vereinbarungen über PII-Verarbeitung

Operative Vorteile:

  • Klare Rollen und Verantwortlichkeiten
  • Systematische Identifikation und Steuerung von Datenschutzrisiken
  • Reduzierung von Sicherheitsvorfällen und deren Auswirkungen
  • Schutz der Unternehmensreputation
  • Effizienzsteigerung durch Integration in bestehende ISO 27001-Systeme

Organisationsübergreifende Vorteile:

  • Einheitliches Evidenzframework für Nachweise gegenüber Partnern
  • Konsistente Datenverarbeitungspraktiken im gesamten Unternehmen
  • Transparenz zwischen Stakeholdern

Zielgruppen

ISO/IEC 27701 ist relevant für:

  • Organisationen mit bestehender ISO 27001-Zertifizierung
  • Cloud-Service-Anbieter und SaaS-Unternehmen
  • Unternehmen mit hohem Volumen an personenbezogenen Daten
  • Auftragsverarbeiter (z. B. IT-Dienstleister, Call-Center)
  • Co-Controller in Datenkooperationen
  • Organisationen, die global agieren und multiple Datenschutzgesetze erfüllen müssen
  • Öffentliche und private Unternehmen aller Größen
  • Regierungsorganisationen und Non-Profit-Organisationen

Abgrenzung zu verwandten Standards

  • ISO 27001 – Fokus auf Informationssicherheit, Basis für ISO 27701
  • ISO 27002 – Leitfaden für Sicherheitsmaßnahmen
  • ISO 29100 – Privacy Framework mit allgemeinen Datenschutzprinzipien
  • ISO 27018 – Datenschutz in Cloud-Services
  • ISO 29151 – Datenschutz-Code of Practice
  • DSGVO – Rechtsvorschrift (ISO 27701 ist implementierbarer Standard)

ISO 27701 schließt die Lücke zwischen allgemeinen Informationssicherheitsstandards und spezifischen Datenschutzanforderungen.

Implementierungsansatz

Best Practices für die Implementierung:

  • Verankerung jeder Datenschutzanforderung im bestehenden ISO 27001 ISMS
  • Integration kritischer datenschutzspezifischer Änderungen in operative Routinen
  • Verknüpfung mit Risikoregistern, Asset-Logs, Policy-Reviews und Incident Management
  • Validierung des ISMS auf Vollständigkeit
  • Durchführung einer Privacy-Gap-Analyse
  • Identifikation fehlender Workflows in Asset- oder Risikodokumentation

Die ISO/IEC 27701 hat sich als weltweit anerkannter Standard für systematisches Datenschutzmanagement etabliert und ist heute unverzichtbar für Organisationen, die personenbezogene Daten verantwortungsvoll verarbeiten und Datenschutz-Compliance nachweisen wollen.

Wie hilfreich war diese Seite?

Klicke auf die Sterne um zu bewerten

Durchschnittliche Bewertung / 5. Anzahl Bewertungen:

Bislang keine Bewertungen! Seien Sie der Erste, der diese Seite bewertet.

Es tut uns leid, dass dieser Beitrag für Sie nicht nützlich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?