Startseite Standards Branchen ✦ KI-Bewertung Angebot anfordern →
StartseiteStandards → ISO 27701

ISO/IEC 27701 — Datenschutz-Informationsmanagement

Der internationale Standard für Datenschutz-Informationsmanagementsysteme (PIMS). ISO 27701 erweitert ISO 27001 um datenschutzspezifische Kontrollen — und bietet einen strukturierten, auditierbaren Rahmen für die Einhaltung von DSGVO, LGPD, PIPEDA und anderen Datenschutzvorschriften.

ISO 27701:2019PIMSDSGVO-KonformitätDatenschutz-Framework

Was ist ISO/IEC 27701?

ISO/IEC 27701:2019 ist eine Erweiterung von ISO 27001 und ISO 27002, die Anforderungen und Leitlinien für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (PIMS) festlegt. Sie ordnet Datenschutzkontrollen den Rollen von Verantwortlichen für personenbezogene Daten (PICs) und Auftragsverarbeitern (PIPs) zu.

Beziehung zu ISO 27001

ISO 27701 ist kein eigenständiger Standard — er erweitert ISO 27001. Organisationen müssen die ISO 27001 Zertifizierung besitzen (oder gleichzeitig anstreben), bevor sie die ISO 27701 Zertifizierung erhalten können. Das integrierte Programm nutzt den ISMS-Managementrahmen gemeinsam, was den Implementierungsaufwand und die Auditkosten im Vergleich zu separaten Projekten erheblich reduziert.

Wer benötigt ISO 27701?

  • Organisationen, die personenbezogene EU-Daten gemäß DSGVO-Pflichten verarbeiten
  • Cloud-Dienstleister und Auftragsverarbeiter, die personenbezogene Kundendaten verarbeiten
  • Gesundheits- und HR-Technologieplattformen
  • Finanzdienstleistungsunternehmen, die mehreren Datenschutzanforderungen verschiedener Jurisdiktionen unterliegen
  • Jede Organisation, die Rechenschaftspflicht gemäß Artikel 5(2) DSGVO nachweisen möchte

ISO 27701 und DSGVO-Compliance

Die ISO 27701 Zertifizierung stellt zwar keinen rechtlichen Nachweis der DSGVO-Konformität dar, bietet jedoch einen dokumentierten, unabhängig auditierten Rahmen, der direkt auf die Rechenschaftspflichten der DSGVO abbildet. Aufsichtsbehörden und Datenschutzbeauftragte erkennen ISO 27701 weitgehend als robuste Rechenschaftsmaßnahme gemäß Artikel 24 DSGVO an.

Wesentliche Kontrollbereiche

  • Datenschutzbedingungen für die Erhebung und Verarbeitung personenbezogener Daten
  • Pflichten gegenüber betroffenen Personen: Transparenz, Auskunft, Berichtigung, Löschung
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design und Default)
  • Datenübertragungskontrollen einschließlich grenzüberschreitender Übermittlungsmechanismen
  • Auftragsverarbeiter- und Unterauftragnehmer-Management gemäß Artikel 28 DSGVO
  • Verfahren zur Meldung von Datenschutzverletzungen gemäß der 72-Stunden-Frist der DSGVO

Typischer Zeitrahmen

Für Organisationen, die bereits ISO 27001 besitzen: 2–3 Monate zur Ergänzung der ISO 27701 Zertifizierung. Für Organisationen, die ISO 27001 + ISO 27701 gleichzeitig anstreben: 4–6 Monate.