ISO/IEC 27701:2025 – Datenschutzmanagement neu gedacht
Die überarbeitete und seit kurzem verfügbare ISO/IEC 27701:2025 markiert einen bedeutenden Schritt in der Entwicklung internationaler Datenschutzstandards. Sie ist nun ein vollständig eigenständiges Managementsystem für Datenschutz (Privacy Information Management System, PIMS). Das ist eine klare Abkehr von der bisherigen Bindung an die ISO/IEC 27001. Damit wird die Einführung deutlich einfacher, günstiger und flexibler, insbesondere für Unternehmen, die bisher keine ISMS Zertifizierung besitzen.
Zudem folgt die neue Ausgabe nun ebenfalls der High-Level-Structure (HLS) der ISO, also dem gleichen Aufbau wie etwa ISO 9001 (Qualitätsmanagement) oder ISO/IEC 42001 (KI-Management). Das erleichtert die Integration in bereits bestehende Managementsysteme und fördert eine konsistente Governance-Struktur.
Kernänderungen im Überblick
Kontext der Organisation (Klausel 4)
Organisationen müssen ihr Umfeld künftig umfassender analysieren, einschließlich der Art und Weise, wie personenbezogene Daten verarbeitet werden, sowie der Berücksichtigung der rechtlichen Rahmenbedingungen in den jeweiligen Ländern. Die Norm erkennt ausdrücklich globale Unterschiede im Datenschutzrecht an und verlangt, dass Maßnahmen mit den geltenden Vorschriften abgestimmt werden. Auch technologische, kulturelle und organisatorische Faktoren, die das Niveau des Datenschutzes beeinflussen, sind zu berücksichtigen.
Führung und Verantwortung (Klausel 5)
Die Unternehmensleitung rückt stärker in den Mittelpunkt. Sie soll Datenschutz als festen Bestandteil der Unternehmenskultur und Governance verankern. Datenschutzcompliance ist nicht mehr nur als Aufgabe von IT oder Complianceabteilung. Damit wird Datenschutz zu einem Querschnittsthema, welches auch Rechtsabteilung, HR, Marketing und operative Einheiten betrifft und einbindet.
Planung (Klausel 6)
Die Planungspflichten sind nun klarer definiert: Unternehmen müssen ihre Datenschutzrisiken systematisch im Kontext ihres rechtlichen und betrieblichen Umfelds bewerten und entsprechende Maßnahmen ableiten.
Unterstützung (Klausel 7)
Die Anforderungen an Ressourcen, Kompetenzen und Sensibilisierung werden deutlich ausgeweitet. Datenschutzkompetenz soll auf allen Ebenen vorhanden sein, von der Geschäftsführung bis zu den Fachbereichen.
Betrieb (Klausel 8)
Die operative Steuerung und Umsetzung von Datenschutzmaßnahmen sind nun eigenständig innerhalb des DSMS geregelt. Die Prozesse orientieren sich am gesamten Lebenszyklus personenbezogener Informationen und an den neu strukturierten Anhängen A und B. Diese erleichtern die praktische Umsetzung und stellen sicher, dass Datenschutzmaßnahmen konsequent in den Betriebsablauf integriert werden.
Leistungsbewertung (Klausel 9)
Die Evaluierung des DSMS folgt jetzt einem eigenständigen, strukturierten Ansatz. Organisationen müssen nachweisen, wie wirksam ihr System tatsächlich ist unabhängig von einem etwaig bereits bestehenden ISMS.
Kontinuierliche Verbesserung (Klausel 10)
Neu ist der stärkere Fokus auf evidenzbasierte Weiterentwicklung. Verbesserungen sollen auf messbaren Ergebnissen beruhen und strategisch in die Gesamtorganisation eingebettet werden.
Überarbeitete Anhänge für mehr Praxisnähe
- Anhang A: Enthält nun 34 Kontrollen für Verantwortliche, 21 für Auftragsverarbeiter und 31 gemeinsame Kontrollen, diese sind vollständig angepasst an die ISO/IEC 27002:2022.
- Anhang B: Liefert konkrete und praktikable Hinweise zur Implementierung und Nachweisführung dieser Kontrollen.
- Anhang C–F: Können den Übergang und die Integration in andere Frameworks, u. a. ISO/IEC 29100 (Privacy Framework), EU-DSGVO, ISO/IEC 27018 und ISO/IEC 29151 erleichtern. Ein eigenes Mapping zur bisher gültigen ISO/IEC 27701:2019 hilft gegebenenfalls beim Migrationsprozess.
Mein Fazit: Ein praktikabler und pragmatischer Ansatz
Mit der neuen ISO/IEC 27701:2025 wird Datenschutzmanagement strukturierter, praxisnäher und eigenständiger. Die neue Norm öffnet den Weg für Unternehmen, die bislang keinen Zugang zu ISO-Managementsystemen hatten, und schafft zugleich eine solide Grundlage für globale Konformität, Nachweisbarkeit und Vertrauen im Umgang mit personenbezogenen Daten.
Unternehmen, für die der Umgang mit personenbezogenen Daten von zentraler Bedeutung ist, sollten die neue ISO/IEC 27701:2025 unbedingt genauer prüfen.
