ISO/IEC 27701:2025 – Was sich geändert hat und warum das wichtig ist

Michael Mrak

Michael Mrak

4 min read
ISO/IEC 27701:2025 – Was sich geändert hat und warum das wichtig ist

Ein Praxisblick auf die zweite Ausgabe des internationalen Privacy-Management-Standards

Die ISO/IEC 27701 hat im Oktober 2025 ihre zweite Ausgabe erhalten. Für alle, die mit Datenschutz-Managementsystemen arbeiten lohnt sich ein genauer Blick auf die Änderungen. Denn hinter der nüchternen Formulierung „technically revised" verbirgt sich ein grundlegender Umbau der Norm.

Die zentrale Neuerung: Ein eigenständiger Standard

Die mit Abstand wichtigste Änderung:

Die ISO/IEC 27701:2025 ist nun ein eigenständiger Managementsystem-Standard. Die Vorgängerversion von 2019 war noch formal als Erweiterung („Extension") der ISO/IEC 27001 konzipiert.

In der Praxis bedeutete das: Wer ein PIMS (Privacy Information Management System) aufbauen wollte, musste bis dato immer die ISO/IEC 27001 als Basis haben und die 27701 quasi „darüberliegen".

Das ist jetzt anders. Die 2025er-Ausgabe enthält alle erforderlichen Managementsystem-Anforderungen direkt:

  • von der Kontextanalyse (Kapitel 4)
  • über Leadership (Kapitel 5)
  • Planung (Kapitel 6)
  • Support (Kapitel 7)
  • Betrieb (Kapitel 8)
  • bis hin zu Performance-Evaluierung (Kapitel 9)
  • und Verbesserung (Kapitel 10).

Das PIMS steht auf eigenen Füßen.

Allerdings bleibt die Integration mit der ISO/IEC 27001 ausdrücklich vorgesehen und empfohlen. Die Norm nutzt das Harmonized Structure (HS) Framework der ISO, was die Alignment-Möglichkeiten mit anderen Managementsystemen sogar verbessert.

Annex A: Schlanker und wesentlich fokussierter

Der normative Annex A wurde komplett neu strukturiert. Statt der früheren Aufteilung in einen allgemeinen Abschnitt (Clause 6 mit ISMS-spezifischen Erweiterungen) und separate Annexe für PII-Controller (alter Annex A) und PII-Prozessoren (alter Annex B) gibt es nun drei klar getrennte Tabellen:

  • Tabelle A.1 – Controls für PII-Controller (Conditions for Collection, Obligations to PII Principals, Privacy by Design, PII Sharing/Transfer)
  • Tabelle A.2 – Controls für PII-Prozessoren (mit eigenen, rollenspezifischen Anforderungen)
  • Tabelle A.3 – Sicherheitskontrollen, die für beide Rollen gelten

Viele der früheren Controls aus dem alten Clause 6 (der praktisch die gesamte ISO/IEC 27002-Kontrollstruktur spiegelte) wurden massiv reduziert. Die Correspondence-Tabelle in Annex F zeigt das deutlich, dutzende Controls aus der 2019er-Version sind in der neuen Ausgabe mit „N/A" gekennzeichnet.

Segregation of Duties, Contact with Authorities, Screening, Disciplinary Procedures, Physical Security Perimeter, Network Controls, all das wird nicht mehr explizit in der 27701 gefordert. Die Norm verweist stattdessen auf das Informationssicherheitsprogramm der Organisation (Abschnitt 6.1.3 c) und empfiehlt, die ISO/IEC 27002 ergänzend heranzuziehen.

Die verbliebenen 29 Controls in Tabelle A.3 konzentrieren sich auf die datenschutzrelevanten Aspekte der Informationssicherheit: Klassifizierung und Labelling von PII, Zugriffsrechte, Identitätsmanagement, Logging, Kryptographie, sichere Entwicklung und Incident Management, und zwar naturgemäß mit dem Fokus auf personenbezogene Daten.

Annex B: Implementation Guidance bleibt umfangreich

Der Implementierungsleitfaden (Annex B) ist weiterhin normativ und sehr detailliert. Er gliedert sich in drei Teile:

  • B.1 – Guidance für PII-Controller (Zweckbestimmung, Einwilligung, Betroffenenrechte, Privacy by Design, Datentransfers)
  • B.2 – Guidance für PII-Prozessoren (Kundenverträge, Subunternehmer, Offenlegungspflichten)
  • B.3 – Gemeinsame Guidance (Informationssicherheitsrichtlinien, Rollen, Awareness, Incident Response, Logging, Kryptographie)

Inhaltlich sind viele Passagen aus der 2019er-Version übernommen, aber sie sind nun besser strukturiert und direkt mit den Controls aus Annex A verknüpft.

Neue und verschärfte Anforderungen

Einige Punkte fallen als neu oder stärker betont auf:

  • Klimawandel als relevantes Thema: Abschnitt 4.1 verlangt nun explizit, dass die Organisation bestimmt, ob der Klimawandel ein relevantes Thema für das PIMS ist. Das klingt zunächst überraschend, folgt aber der aktuellen ISO-Linie, die alle Managementsystem-Standards um diese Anforderung ergänzt hat.
  • Privacy Risk Assessment als eigenständiger Prozess: Die Risikobeurteilung (6.1.2) ist nun explizit als „Privacy Risk Assessment" formuliert – nicht mehr nur als Erweiterung des ISMS-Risikomanagements. Die Anforderung, Konsequenzen sowohl für die Organisation als auch für die betroffenen Personen (PII Principals) zu bewerten, ist klar herausgearbeitet.
  • Statement of Applicability für Privacy Controls: Das SoA (6.1.3 e) bezieht sich nun spezifisch auf die Privacy-Controls aus Annex A und das Informationssicherheitsprogramm. Organisationen müssen für jeden ausgeschlossenen Control aus Annex A eine Begründung liefern.
  • Informationssicherheitsprogramm muss dokumentiert sein: Abschnitt 6.1.3 c) verlangt, dass das bestehende Informationssicherheitsprogramm identifiziert und dokumentiert wird, mitsamt den relevanten Sicherheitskontrollen. Eine Mindestliste von 15 Themenfeldern wird genannt, von Risikomanagement über Netzwerksicherheit bis physische Sicherheit. Das ist der Brückenschlag zur ISO/IEC 27001, ohne sie formal vorauszusetzen.

Mapping-Annexe: Praxisnah und aktualisiert

Die informativen Annexe C bis F bieten weiterhin wertvolle Orientierung:

  • Annex C – Mapping zu ISO/IEC 29100 (Privacy Principles), aktualisiert auf die 2024er-Ausgabe der 29100
  • Annex D – Mapping zur DSGVO (Art. 5–49), ein unverzichtbares Werkzeug für europäische Implementierungen
  • Annex E – Mapping zu ISO/IEC 27018 und ISO/IEC 29151
  • Annex F – Correspondence-Tabelle zur 2019er-Ausgabe, essenziell für die Transition

Was bedeutet das für die Praxis?

Für Organisationen, die bereits ein PIMS nach der 2019er-Version betreiben, bedeutet der Umstieg vor allem eine strukturelle Anpassung. Die inhaltlichen Anforderungen an den Datenschutz selbst haben sich nicht dramatisch verändert weil die Controls für Einwilligung, Betroffenenrechte, Datenminimierung und Transfers weitgehend gleich geblieben sind.

Was sich ändert:

  1. Gap-Analyse durchführen: Die Correspondence-Tabelle in Annex F ist der Startpunkt. Viele Controls der alten Norm finden sich in der neuen wieder, teils unter anderer Nummer.
  2. Managementsystem-Dokumentation anpassen: Wer bisher auf die ISO/IEC 27001-Struktur referenziert hat, muss die Dokumentation auf die eigenständigen PIMS-Anforderungen umstellen.
  3. SoA überarbeiten: Das Statement of Applicability muss nun die Controls aus dem neuen Annex A abdecken und das Informationssicherheitsprogramm separat dokumentieren.
  4. Risikobewertung schärfen: Der explizite Fokus auf Privacy Risks (nicht nur Information Security Risks) erfordert möglicherweise eine Überarbeitung der Risikomethodik.

Fazit

Die ISO/IEC 27701:2025 ist ein überfälliger Reifeschritt. Die Eigenständigkeit des Standards macht Datenschutz-Managementsysteme zugänglicher, und zwar auch für Organisationen, die keine vollständige ISO/IEC 27001-Zertifizierung anstreben, aber ihre Verarbeitung personenbezogener Daten systematisch und nachweisbar managen wollen. Gleichzeitig bleibt die volle Integrationsfähigkeit mit der 27001 erhalten, was den Standard für Unternehmen attraktiv macht, die beide Systeme parallel betreiben.

Für Berater und Auditoren heisst es: Die Transition-Phase nutzen, Annex F studieren und die Kunden frühzeitig auf die Umstellung vorbereiten.

Falls Sie Fragen haben oder an einer tiefergehenden Analyse für Ihr Unternehmen interessiert sind, kontaktieren Sie mich gerne.

Buchen Sie hier Ihren unverbindlichen Gesprächstermin

Read more