Die neue ISO 27701
ISO/IEC 27701:2025 – Neue Wege im Datenschutzmanagement
Einführung
Die neue ISO/IEC 27701:2025 wurde im Oktober 2025 veröffentlicht und kann bei DINMEDIA unter folgendem Link bezogen werden: ISO/IEC 27701 – 2025-10 – DIN Media.
Die neue Version bringt nicht nur strukturelle und inhaltliche Änderungen mit sich, sondern eröffnet Organisationen nunmehr die Möglichkeiten, Datenschutz unabhängig ohne ISO 27001 zertifiziertes System anzuwenden.
Was ist ISO/IEC 27701?
ISO/IEC 27701 ist ein internationaler Standard zur Etablierung eines Privacy Information Management Systems (PIMS). Ziel ist es, Organisationen bei der verantwortungsvollen Verarbeitung personenbezogener Daten (PII) zu unterstützen und die Einhaltung globaler Datenschutzvorgaben wie der DSGVO, CCPA oder LGPD nachweislich zu gewährleisten
Im Gegensatz zur jetzigen Version war die ursprüngliche Version von 2019 als Erweiterung zur ISO/IEC 27001 konzipiert. Die aktuelle Version von 2025 hebt diese Abhängigkeit auf und macht ISO/IEC 27701 zu einem eigenständigen, zertifizierbaren Managementsystemstandard.
Unterschiede zwischen ISO/IEC 27701:2025 und ISO/IEC 27701:2019
- Eigenständigkeit statt Erweiterung
Die Version 2019 war ausschließlich als Erweiterung zu ISO/IEC 27001/27002 konzipiert. Eine Zertifizierung war nur möglich, wenn bereits ein ISMS nach ISO/IEC 27001 bestand. Die Version 2025 ist ein vollständig eigenständiger Standard, der unabhängig von einem ISMS implementiert und zertifiziert werden kann.
- Neue Struktur nach High-Level Structure (HLS)
Die neue Version folgt der ISO-typischen Struktur mit den Kapiteln 4–10, analog zu anderen Managementsystemstandards wie ISO 9001 oder ISO/IEC 42001. Dies erleichtert die Integration in bestehende Systeme und fördert die Konsistenz in der Governance.
- Überarbeitete und fokussierte Kontrollen
Die Anzahl der Kontrollen wurde reduziert und fokussiert: 31 spezifische Kontrollen für PII-Controller, 18 für PII-Processor und 29 gemeinsame Kontrollen mit Datenschutzbezug.
- Erweiterter Geltungsbereich
Die neue Version berücksichtigt moderne Datenschutzherausforderungen wie KI und automatisierte Verarbeitung, Cloud-Umgebungen, Biometrische und Gesundheitsdaten, IoT-Daten und grenzüberschreitende Datenflüsse.
- Stärkere Governance und Nachweisbarkeit
Einführung von KPIs, Rollenklarheit, interner Auditpflicht und Managementbewertung. Datenschutz wird als strategische Disziplin positioniert.
Integration in bestehende Managementsysteme: Zwei Praxisbeispiele
Beispiel 1: Integration in ein bestehendes ISO/IEC 27001 ISMS
Ein mittelständisches IT-Dienstleistungsunternehmen mit bestehender ISO/IEC 27001-Zertifizierung möchte seine Datenschutzprozesse stärken. Die neue ISO/IEC 27701:2025 erlaubt eine nahtlose Integration, da die Struktur der Normen nun kompatibel ist.
Vorgehen:
– Mapping der bestehenden ISMS-Kontrollen auf die neuen PIMS-Anforderungen
– Ergänzung um spezifische Datenschutzkontrollen (z. B. DPIA-Prozesse, Rollenklärung)
– Erweiterung des internen Auditplans um Datenschutzaspekte
– Schulung der Führungskräfte zur neuen Governance-Rolle im Datenschutz
Nutzen: Minimale Redundanz, konsistente Dokumentation, erweiterte Compliance mit DSGVO und anderen Vorschriften.
Beispiel 2: Aufbau eines eigenständigen PIMS in einem KI-Startup
Ein KI-Startup verarbeitet große Mengen personenbezogener Daten, hat aber noch kein ISMS implementiert. Die neue ISO/IEC 27701:2025 ermöglicht nun den direkten Aufbau eines PIMS, ohne vorherige ISO/IEC 27001-Zertifizierung.
Vorgehen:
– Durchführung einer Datenschutz-Risikoanalyse oder ein GAP-Audit
– Etablierung von Prozessen für Datenklassifizierung, DPIAs und Sub-Prozessor-Management
– Implementierung von Governance-Strukturen (z. B. Datenschutzbeauftragter, Managementbewertung)
– Dokumentation und Nachweisführung für externe Stakeholder und Investoren
Nutzen: Schnelle Zertifizierbarkeit, Vertrauensbildung bei Kunden und Partnern, Vorbereitung auf regulatorische Prüfungen.
Fazit und Ausblick
Die ISO/IEC 27701:2025 markiert einen Wendepunkt im Datenschutzmanagement. Durch die Entkopplung von ISO/IEC 27001 wird Datenschutz als eigenständige Disziplin gestärkt. Organisationen erhalten ein flexibles, skalierbares Werkzeug zur Umsetzung von Datenschutzanforderungen – unabhängig von ihrer Größe oder Branche. Für Fachleute im Bereich Datenschutz und Managementsysteme bedeutet dies: Jetzt ist der richtige Zeitpunkt, bestehende Systeme zu überprüfen, Potenziale zur Integration zu identifizieren und die Weichen für eine zukunftssichere Datenschutzstrategie zu stellen.
Über PeRoBa:
Die PeRoBa Unternehmensberatung GmbH ist einer der weltweit führenden Taktgeber im Bereich Qualitätsmanagement, deren Ursprung bereits in das Jahr 1991 zurückgeht. Der Firmensitz befindet sich seit 2011 in Baldham, und das Unternehmen verfügt über eine Repräsentanz in der Prinzregentenstraße in München. Die PeRoBa Unternehmensberatung berät, prüft und bewertet qualitativ hochwertig, um Kunden bei der Einführung und Umsetzung ihrer Managementsysteme zu unterstützen. Sie bietet darüber hinaus Audits, QM- Trainings, Seminare und Workshops an.
Seit Januar 2016 ist die hauseigene, innovative Software iVision® – Smart Remote Audit Solution am Markt und ergänzt unser Beratungsportfolio.
Herr Scherb ist Gründer und Geschäftsführer der nach ISO 9001 zertifizierten PeRoBa Unternehmensberatung GmbH. Er ist Auditor, Berater, Trainer, Autor und Präsident im Bundesverband der Auditoren e.V., Leiter des ISO-Kompetenzforums vom Bundesverband der Mittelständischen Wirtschaft – BVMW e.V. und arbeitete beim DIN im Normenausschuss NQSZ NA 147-00-07 zur neuen Revision der DIN EN ISO 19011:2025 mit; sowie Trainer und Dozent bei renommierten Bildungsträgern zum Thema Managementsystemen und entsprechenden Core-Methoden.
Eine Beratung gewünscht?
Wir helfen Ihnen weiter!
Vereinbaren Sie ein unverbindliches Erstgespräch via Online-Termin,
oder schreiben Sie uns eine Nachricht über das Kontaktformular.
Gerne können Sie uns auch telefonisch erreichen.