Über unsNormenBlog ✦ KIAngebot →
Startseite  /  Blog  /  ISO 27701 & DSGVO

ISO 27701 — Wie die Datenschutz-Zertifizierung die DSGVO-Konformität Unterstützt

ISO 27701 erweitert ein bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 um ein Datenschutz-Informationsmanagementsystem (PIMS). Dieser Artikel erläutert, wie die Zertifizierung die DSGVO-Konformität gegenüber Aufsichtsbehörden, Kunden und Geschäftspartnern nachweist.

ISO 27701 DSGVO Datenschutz

 ·  7 Min. Lesezeit

Was ist ISO 27701?

ISO/IEC 27701:2019 ist eine Erweiterungsnorm zu ISO 27001 und ISO 27002. Sie definiert Anforderungen und Leitlinien für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (Privacy Information Management System, PIMS).

Anders als ISO 27001, das sich auf Informationssicherheit konzentriert, adressiert ISO 27701 explizit den Schutz personenbezogener Daten. Der Standard ist so konzipiert, dass er sowohl für Verantwortliche (Data Controller) als auch für Auftragsverarbeiter (Data Processor) im Sinne der DSGVO anwendbar ist.

Voraussetzung: Ein bestehendes ISMS

ISO 27701 kann nicht isoliert implementiert werden. Der Standard setzt ein bestehendes oder gleichzeitig implementiertes ISMS nach ISO 27001 voraus. Die PIMS-Anforderungen erweitern die bestehenden ISMS-Klauseln und -Kontrollen um datenschutzspezifische Aspekte. Dies bedeutet:

  • Organisationen ohne ISO 27001-Zertifizierung müssen beide Standards gleichzeitig implementieren.
  • Organisationen mit bestehendem ISMS können ISO 27701 als Erweiterung hinzufügen, was den Aufwand erheblich reduziert.
  • Die Zertifizierung nach ISO 27701 wird immer in Verbindung mit ISO 27001 ausgestellt.

Wie ISO 27701 die DSGVO abbildet

Ein wesentlicher Vorteil von ISO 27701 ist das explizite Mapping auf Datenschutzanforderungen. Anhang D des Standards enthält eine detaillierte Zuordnung zwischen ISO 27701-Kontrollen und DSGVO-Artikeln:

DSGVO-Anforderung ISO 27701-Kontrolle Beschreibung
Art. 5 — Grundsätze 7.2.1, 7.4 Zweckbindung, Datenminimierung, Speicherbegrenzung
Art. 6 — Rechtmäßigkeit 7.2.2 Identifikation und Dokumentation der Rechtsgrundlage
Art. 13/14 — Informationspflichten 7.3.2, 7.3.3 Transparenzanforderungen gegenüber betroffenen Personen
Art. 15–22 — Betroffenenrechte 7.3.4–7.3.10 Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch
Art. 28 — Auftragsverarbeiter 7.2.6, 8.2 Anforderungen an Auftragsverarbeiter und Unter-Auftragsverarbeiter
Art. 32 — Sicherheit 7.2.8, Anhang A/B Technische und organisatorische Maßnahmen
Art. 33/34 — Meldepflichten 7.2.7 Verfahren für Datenschutzverletzungen
Art. 35 — Folgenabschätzung 7.2.5 Datenschutz-Folgenabschätzung (DSFA)

ISO 27701 ersetzt keine rechtliche Compliance-Bewertung. Die Zertifizierung belegt jedoch, dass ein systematischer Rahmen für den Datenschutz existiert und betrieben wird — ein starkes Signal an Aufsichtsbehörden und Geschäftspartner.

Anforderungen für Verantwortliche und Auftragsverarbeiter

ISO 27701 differenziert zwischen Anforderungen für Verantwortliche (PII Controller) und Auftragsverarbeiter (PII Processor):

  • Verantwortliche (Anhang A): Zusätzliche Kontrollen für Zweckbestimmung, Einwilligungsmanagement, Rechte betroffener Personen, Datenschutz durch Technikgestaltung (Privacy by Design) und Datenschutz-Folgenabschätzungen.
  • Auftragsverarbeiter (Anhang B): Kontrollen für die Verarbeitung nur gemäß Weisungen des Verantwortlichen, Unterauftragsverarbeitung, Datentransfers, Rückgabe und Löschung von Daten sowie Unterstützung bei Betroffenenanfragen.

Organisationen müssen in ihrer Erklärung zur Anwendbarkeit festlegen, ob sie als Verantwortlicher, als Auftragsverarbeiter oder in beiden Rollen agieren, und die entsprechenden Kontrollen anwenden.

Der Zertifizierungsprozess

Die Zertifizierung nach ISO 27701 folgt einem strukturierten Prozess:

Schritt 1: Bestandsaufnahme. Erfassung aller Verarbeitungstätigkeiten personenbezogener Daten, Identifikation der Rollen (Verantwortlicher/Auftragsverarbeiter) und Bewertung des aktuellen Datenschutz-Reifegrads.

Schritt 2: Gap-Analyse. Vergleich des bestehenden ISMS (sofern vorhanden) mit den zusätzlichen Anforderungen von ISO 27701. Identifikation fehlender Kontrollen und Prozesse.

Schritt 3: Implementierung. Erweiterung des ISMS um PIMS-spezifische Kontrollen, Richtlinien und Verfahren. Erstellung oder Aktualisierung des Verarbeitungsverzeichnisses, der Datenschutzrichtlinie und der Betroffenenrechte-Prozesse.

Schritt 4: Internes Audit und Managementbewertung. Durchführung eines internen Audits, das sowohl ISO 27001- als auch ISO 27701-Anforderungen abdeckt.

Schritt 5: Zertifizierungsaudit. Das kombinierte Audit durch die Zertifizierungsstelle bewertet die Implementierung und Wirksamkeit des integrierten ISMS/PIMS.

Vorteile der ISO 27701-Zertifizierung

  • Nachweis der Accountability: Art. 5 Abs. 2 DSGVO verlangt die Nachweisbarkeit der Compliance. ISO 27701 liefert diesen Nachweis in strukturierter, auditierter Form.
  • Wettbewerbsvorteil: In B2B-Beziehungen wird die ISO 27701-Zertifizierung zunehmend als Qualitätsmerkmal für Datenschutz-Compliance anerkannt.
  • Vereinfachte Due Diligence: Auftragsverarbeiter mit ISO 27701-Zertifizierung können den Due-Diligence-Aufwand für ihre Auftraggeber erheblich reduzieren.
  • Internationale Anwendbarkeit: Während Anhang D das DSGVO-Mapping enthält, ist der Standard selbst jurisdiktionsunabhängig und unterstützt die Compliance mit Datenschutzgesetzen weltweit.
  • Integration mit bestehenden Systemen: Als Erweiterung von ISO 27001 fügt sich ISO 27701 nahtlos in bestehende Managementsysteme ein.

Wie BALTUM bei der ISO 27701-Zertifizierung unterstützt

BALTUM bietet umfassende Unterstützung bei der Implementierung und Zertifizierung nach ISO 27701:

  • Datenschutz-Gap-Analyse: Bewertung Ihres aktuellen Datenschutz-Reifegrads gegen ISO 27701.
  • PIMS-Implementierung: Strukturierte Begleitung bei der Erweiterung Ihres ISMS um Datenschutzanforderungen.
  • DSGVO-Mapping: Detaillierte Zuordnung Ihrer Kontrollen zu DSGVO-Anforderungen.
  • Zertifizierungsvorbereitung: Vollständige Vorbereitung auf das kombinierte ISO 27001/27701-Audit.

Die ISO 27701-Zertifizierung ist der strukturierteste Weg, Datenschutz-Compliance systematisch zu verankern und gegenüber allen Stakeholdern nachzuweisen.