Framework Typ: Norm
Norm

ISO 27701

ISO 27701 erweitert ISO 27001 um konkrete Datenschutzanforderungen. Sie verbindet Informationssicherheit und DSGVO-Compliance in einem gemeinsamen Managementsystem.

Vollständiger Name
ISO/IEC 27701:2019 – Erweiterung zu ISO/IEC 27001 für Datenschutz-Informationsmanagement
Veröffentlicht August 2019

Was ist ISO 27701?

ISO 27701 ist eine Erweiterungsnorm zu ISO/IEC 27001 und ISO/IEC 27002. Sie spezifiziert Anforderungen und gibt Leitlinien für den Aufbau, die Implementierung, den Betrieb und die kontinuierliche Verbesserung eines PIMS (Privacy Information Management System – ein strukturiertes System zur Steuerung des Umgangs mit personenbezogenen Daten im Unternehmen).

Der Grundgedanke: Informationssicherheit und Datenschutz werden häufig parallel, aber getrennt voneinander gemanagt. ISO 27701 schließt diese Lücke, indem sie das bestehende ISMS nach ISO 27001 um datenschutzspezifische Kontrollen ergänzt. Ein Unternehmen, das ISO 27001 bereits implementiert hat, kann ISO 27701 als Erweiterung aufsetzen, ohne von vorne beginnen zu müssen.

ISO 27701 ist keine eigenständige Norm, sondern setzt ISO 27001 voraus. Sie kann nicht isoliert eingeführt oder zertifiziert werden.

Wann lohnt sich ISO 27701?

ISO 27701 ist die richtige Ergänzung für Unternehmen, die bereits ISO 27001 implementiert haben und ihre Datenschutz-Compliance, insbesondere nach DSGVO, strukturiert nachweisen wollen.

Typische Szenarien: Das Unternehmen verarbeitet personenbezogene Daten in großem Umfang, etwa als Auftragsverarbeiter für andere Unternehmen. Kunden oder Auftraggeber verlangen einen strukturierten Nachweis zur Datenschutz-Compliance über eine Datenschutzerklärung hinaus. Das Unternehmen möchte DSGVO-Anforderungen und ISO-27001-Maßnahmen in einem gemeinsamen System abbilden, statt zwei parallele Strukturen zu pflegen.

ISO 27701 eignet sich besonders für IT-Dienstleister, Cloud-Anbieter und alle Unternehmen, die als Auftragsverarbeiter (ein Unternehmen, das personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeitet) tätig sind.

Kernanforderungen

ISO 27701 erweitert ISO 27001 um datenschutzspezifische Anforderungen in zwei Richtungen: für Verantwortliche und für Auftragsverarbeiter.

Erweiterungen für den Verantwortlichen

Der Verantwortliche (das Unternehmen, das über Zweck und Mittel der Datenverarbeitung entscheidet) muss zusätzliche Kontrollen umsetzen: Rechtsgrundlagen für jede Verarbeitung dokumentieren, Einwilligungsmanagement (strukturierte Verwaltung von Einwilligungen zur Datenverarbeitung) etablieren, Datenschutz-Folgenabschätzungen (DSFA – eine systematische Bewertung von Datenschutzrisiken bei risikoreichen Verarbeitungen) durchführen und Betroffenenrechte operationalisieren.

Erweiterungen für den Auftragsverarbeiter

Der Auftragsverarbeiter muss nachweisen, dass er nur auf dokumentierte Weisung des Verantwortlichen handelt, Unterauftragsverarbeiter kontrolliert und die vereinbarten Datenschutzanforderungen vollständig umsetzt.

Datenschutzrichtlinien und Rollen

ISO 27701 verlangt klare Verantwortlichkeiten: ein benannter Datenschutzbeauftragter (sofern gesetzlich gefordert), dokumentierte Datenschutzrichtlinien und einen strukturierten Prozess für den Umgang mit Datenschutzverletzungen.

Integration in das bestehende ISMS

Alle datenschutzrelevanten Risiken werden in die bestehende Risikobeurteilung nach ISO 27001 integriert. Die Maßnahmen aus ISO 27701 ergänzen den Anhang A von ISO 27001, ohne ihn zu ersetzen.

Verhältnis zur DSGVO

ISO 27701 ist kein direktes Instrument zur DSGVO-Compliance, aber es besteht eine enge inhaltliche Übereinstimmung. Die Norm deckt die wesentlichen Anforderungen der DSGVO ab und kann als strukturierter Nachweis dienen, dass ein Unternehmen Datenschutz systematisch und nicht nur reaktiv betreibt.

Eine ISO-27701-Konformität ersetzt keine Datenschutzerklärung, kein Verarbeitungsverzeichnis und keinen Datenschutzbeauftragten, wo dieser gesetzlich gefordert ist. Sie ergänzt diese Maßnahmen durch ein nachweisbares Managementsystem.

Wie hilft Digimojo?

Digimojo begleitet Unternehmen beim Aufbau eines PIMS nach ISO 27701 als Erweiterung eines bestehenden ISO-27001-ISMS. Das umfasst die Gap-Analyse, die Erweiterung der Dokumentation und Richtlinien, die Integration der Datenschutzkontrollen und die Vorbereitung auf eine kombinierte ISO-27001/ISO-27701-Zertifizierung.

DigimojoCOMPLY unterstützt die strukturierte Dokumentation beider Normen in einem gemeinsamen System.

Mehr zum Thema

Die 7 Grundsätze der DSGVO

Die DSGVO legt sieben Grundsätze für die Verarbeitung personenbezogener Daten fest. Diese umfassen die Rechtmäßigkeit der Verarbeitung, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität/Vertraulichkeit. Die verantwortliche Stelle muss die Einhaltung der Grundsätze sicherstellen und alle Prozesse dokumentieren. Klare Richtlinien und Einwilligungserklärungen sowie regelmäßige Überprüfungen helfen bei der Umsetzung.

→ Weiterlesen
Auskunftsrecht nach DSGVO: Was Unternehmen beachten müssen

Unternehmen sind verpflichtet, auf Auskunftsersuchen von Betroffenen nach der DSGVO zu reagieren. Um einen effizienten und rechtskonformen Prozess zu gewährleisten, sollten Unternehmen einen Prozess und Workflow zur Bearbeitung von Auskunftsersuchen implementieren. Dieser Prozess sollte die Identifizierung des Betroffenen, die Bewertung der Anfrage und die Erstellung der Auskunft umfassen.

→ Weiterlesen
Was ist ein ISMS (Informationssicherheitsmanagementsystem)?

Ein Informationssicherheitsmanagementsystem (ISMS, englisch: Information Security Management System) ist der zentrale Baustein, um Informationssicherheit in Unternehmen systematisch zu steuern und zu verbessern. Es schafft klare Strukturen und Prozesse, um Risiken zu minimieren und rechtliche Anforderungen zu erfüllen. Neben den bekannten Standards wie ISO 27001 oder dem BSI IT-Grundschutz spielt TISAX (Trusted Information Security Assessment Exchange) eine zentrale Rolle für Unternehmen der Automobilindustrie. Dieser Artikel erklärt, was ein ISMS ist, wie es funktioniert und welche Vorteile es für KMU bietet.

→ Weiterlesen
Informationssicherheits-Framework

Ein Informationssicherheits-Framework ist eine strukturierte Sammlung von Richtlinien, Verfahren und Best Practices, die KMU dabei unterstützen, ihre IT-Sicherheit gezielt zu verbessern, Risiken zu minimieren und regulatorische Anforderungen zu erfüllen. Je nach Unternehmensgröße, Branche und Compliance-Vorgaben gibt es unterschiedliche Frameworks. Wichtige Standards sind ISO 27001, NIST Cybersecurity Framework, CIS Controls und TISAX. Für kleinere Unternehmen bieten sich zudem VdS 10000, CISIS12 und BSI IT-Grundschutz an. Wer sich unsicher ist, kann mit einem IT-Security-Check nach DIN SPEC 27076 starten.

→ Weiterlesen

Aus dem Magazin

Navigieren durch das neue Trans-Atlantic-Data-Privacy-Framework: ein umfassender Leitfaden für Unternehmen

Das Trans-Atlantic-Data-Privacy-Framework (TADPF) ist das neue Datenschutzabkommen zwischen der EU und den USA. Dieser Blogpost erklärt, was das TADPF für dein Unternehmen bedeutet und wie du dich darauf vorbereiten kannst

→  Weiterlesen

Verwandte Frameworks

ISO 27001

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme. Sie hilft Unternehmen, Informationsrisiken systematisch zu erkennen, zu steuern und nachweisbar zu kontrollieren.

→ Mehr erfahren

DSGVO

Die DSGVO regelt, wie Unternehmen in der EU personenbezogene Daten erheben, verarbeiten und schützen müssen. Sie gilt für jedes Unternehmen, das Daten von EU-Bürgerinnen und -Bürgern verarbeitet.

→ Mehr erfahren
▶︎
Alle Frameworks
▶︎
Norm
Thorsten Wälde, Gründer und Geschäftsführer von Digimojo, Experte für Datenschutz und Informationssicherheit
Kontakt

Wie können wir dich unterstützen?

Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.

Unverbindlich anfragen
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn