ISO/IEC 27701 (Datenschutz-Informationsmanagementsystem)
ISO/IEC 27701 erweitert ISO 27001 um Anforderungen für ein Datenschutz-Informationsmanagementsystem (PIMS) und unterstützt die Einhaltung globaler Datenschutzgesetze.
Zusammenfassung
ISO/IEC 27701 ist ein internationaler Standard, der die Anforderungen an ein Privacy Information Management System (PIMS) spezifiziert. Die aktuelle Ausgabe ISO/IEC 27701:2025 (veröffentlicht am 14. Oktober 2025) ist ein eigenständiger Standard, der Organisationen einen strukturierten Rahmen zur Verwaltung personenbezogener Daten bietet.
- Eigenständiger Standard: Seit der 2025-Ausgabe ist ISO 27701 nicht mehr nur eine Erweiterung von ISO 27001, sondern ein eigenständiges Managementsystem für Datenschutz.
- Zwei Rollen: Separate Anforderungen für Verantwortliche (Controller) und Auftragsverarbeiter (Processor).
- KI-Datenschutzkontrollen: Die 2025-Ausgabe enthält neue Kontrollen für KI-bezogene Datenschutzrisiken.
- Regulatorische Zuordnung: Mappings zu DSGVO, ISO 29100 und anderen Datenschutzrahmenwerken.
- Zertifizierbar: Organisationen können eine formelle Zertifizierung anstreben.
Geschichte
ISO/IEC 27701 hat seinen Ursprung in ISO/IEC 29151 (Leitlinien für den Schutz personenbezogener Daten) und der wachsenden Nachfrage nach einem zertifizierbaren Datenschutzrahmenwerk. Mit der Anwendbarkeit der DSGVO ab Mai 2018 stieg der Bedarf an konkreten Implementierungshilfen erheblich. Die ISO/IEC Joint Technical Committee 1 (JTC 1), Subcommittee 27 (SC 27) entwickelte den Standard, der im August 2019 als ISO/IEC 27701:2019 veröffentlicht wurde. Er baute auf den Grundlagen des internationalen Standards ISO/IEC 29151 auf und bot erstmals einen zertifizierbaren Rahmen für Datenschutzmanagement. Der Standard ermöglichte es, bestehende ISO-27001-Zertifizierungen um den Datenschutzbereich zu erweitern, ohne ein komplett neues Managementsystem aufbauen zu müssen.
Am 14. Oktober 2025 wurde ISO/IEC 27701:2025 veröffentlicht. Die zweite Ausgabe ist ein eigenständiger Standard und setzt keine ISO-27001-Zertifizierung mehr voraus. Sie enthält unter anderem neue Kontrollen für KI-bezogene Datenschutzrisiken. Bestehende Zertifizierungen nach der 2019-Ausgabe müssen bis zum 14. Oktober 2028 auf die neue Ausgabe umgestellt werden.
Geltungsbereich
ISO/IEC 27701 richtet sich an alle Organisationen – unabhängig von Typ, Größe oder Branche –, die personenbezogene Daten verarbeiten und ein Datenschutzmanagementsystem einführen oder betreiben möchten. Seit der 2025-Ausgabe kann der Standard eigenständig implementiert werden, ohne eine bestehende ISO-27001-Zertifizierung vorauszusetzen. Der Standard ist anwendbar für:
- Verantwortliche (Controller): Organisationen, die Zweck und Mittel der Verarbeitung personenbezogener Daten bestimmen.
- Auftragsverarbeiter (Processor): Organisationen, die im Auftrag eines Verantwortlichen handeln.
- Unternehmen, die die DSGVO-Konformität oder die Einhaltung anderer Datenschutzgesetze demonstrieren müssen.
- Dienstleister, die Datenschutznachweise gegenüber Kunden erbringen wollen.
- Organisationen, die KI-Systeme mit personenbezogenen Daten betreiben und spezifische Datenschutzkontrollen benötigen.
Kernanforderungen
- PIMS-Kontext: Festlegung des Anwendungsbereichs des Datenschutzmanagementsystems, einschließlich interner und externer Faktoren sowie Anforderungen relevanter Interessengruppen.
- Führung und Verantwortlichkeit: Managementverpflichtung, Datenschutzbeauftragter (DSB), klare Rollen und Verantwortlichkeiten.
- Risikobasierter Ansatz: Datenschutz-Risikobewertung und -behandlung als eigenständiger Prozess (seit der 2025-Ausgabe nicht mehr zwingend an den ISO-27001-Risikoprozess gebunden).
- Controller-Anforderungen: Einwilligung, Zweckbindung, Datenminimierung, Betroffenenrechte (Auskunft, Löschung, Portabilität).
- Processor-Anforderungen: Verarbeitung nur auf dokumentierte Anweisung, Unterstützung bei Betroffenenrechten, Subverarbeiter-Management.
- KI-Datenschutzkontrollen: Spezifische Anforderungen für den Schutz personenbezogener Daten bei der Entwicklung und dem Einsatz von KI-Systemen (neu in der 2025-Ausgabe).
- Interne Audits und Managementreviews: Regelmäßige Überprüfung der PIMS-Wirksamkeit.
Verwandte Frameworks
Korrekturen & Errata
4 Korrekturen:
- DSGVO-Inkrafttreten: Falsches Datum (25. Mai 2016 statt 24. Mai 2016)
- ISO/IEC 29151 falsch als 'Technical Report' bezeichnet
- last_amended zeigt 2019-08-06 — Standard wurde am 2025-10-14 ueberarbeitet
- ISO/IEC 27701:2025 nicht beruecksichtigt — Standard wurde im Oktober 2025 grundlegend ueberarbeitet
3 Aktualisierungen:
- Fehlende key_dates: ISO 27701:2025 und Uebergangsfrist
- key_requirements veraltet — 2025-Ausgabe hat eigenstaendige Struktur
- official_url verweist auf zurueckgezogene 2019-Ausgabe
1 Praezisierung.