News

Die neue ISO 27701:2025: Datenschutz­management eigenständig gedacht

Nov. 12 2025


Was sich mit der ISO 27701:2025 ändert

Neue Technologien, regulatorische Anpassungen und wachsende Risiken: In einer zunehmend digitalisierten Welt steigen die Anforderungen an den Datenschutz kontinuierlich an. Um diesen Herausforderungen zu begegnen, haben die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC) am 14. Oktober eine überarbeitete Version der Datenschutzmanagement-Norm ISO/IEC 27701 veröffentlicht. Der angepasste Titel der Norm lautet: „Information security, cybersecurity and privacy protection”. 

Die ISO/IEC 27701:2025 bringt strukturelle und inhaltliche Neuerungen mit sich – und macht aus der einstigen Erweiterung zur ISO 27001 eine eigenständig zertifizierbare Norm. Organisationen können sie nun gezielt einsetzen, um Datenschutzrisiken systematisch zu bewerten und geeignete Steuerungsmaßnahmen zu etablieren. Während die Norm bislang nur im Rahmen eines bestehenden Informations­sicherheits­managementsystems (ISMS) nach ISO/IEC 27001 nutzbar war, steht sie nun einem breiteren Unternehmenskreis offen und dient als zentrales Werkzeug für moderne Datenschutzstrategien.

Ein wesentlicher Treiber für die Überarbeitung der Norm liegt in der Tatsache begründet, dass nahezu jedes Unternehmen heute personenbezogene Daten verarbeitet. Dies geschieht zunehmend in größerem Umfang, vielfältigen Formen und verstärkt auch in Kooperation mit anderen Organisationen. Der Schutz der Privatsphäre ist dabei nicht nur eine unternehmerische Verantwortung, sondern auch ein gesellschaftliches Anliegen und Gegenstand internationaler gesetzlicher Anforderungen. 

Insbesondere für KMU ohne ein bestehendes ISMS bietet die neue ISO 27701:2025 einen besseren Einstieg in ein zertifizierbares Datenschutzmanagement. Zudem profitieren Organisationen von der höheren Anschlussfähigkeit an globale Datenschutzgesetze. 
 
 

Was ist neu an der ISO/IEC 27701:2025?

Eigenständige Managementsystemnorm:

Von der Ergänzung hin zum eigenständigen Standard: Bisher erforderte eine Zertifizierung nach ISO 27701 ein zuvor erfolgreich zertifiziertes ISMS nach ISO 27001. Mit der neuen Version ändert sich das: Ab sofort kann die ISO 27701 als eigenständiges Datenschutz-Informationsmanagementsystem (PIMS) eingeführt und zertifiziert werden – und das unabhängig von der ISO 27001.

Damit fällt für viele Organisationen, die bislang vor einer ISO 27701-Zertifizierung zurückschreckten, weil sie kein ISMS nach ISO 27001 eingeführt hatten, eine zentrale Eintrittsbarriere weg. 
 

Anpassung an die „Harmonized Structure“ (HS):

Die Revision der ISO 27701 wurde an die sogenannte Harmonized Structure angepasst. Dabei handelt es sich um eine Weiterentwicklung der vorherigen High-Level-Structure (HLS), die geringfügige inhaltliche sowie begriffliche Anpassungen enthält. Das macht die aktualisierte Norm besonders kompatibel mit bereits bestehenden Managementsystemen, z. B. nach ISO 9001, ISO 14001, ISO 27001 oder ISO 42001.
 

Ganzheitlichere Bewertung der Datenschutzrisiken:

Die neue ISO 27701 betont verstärkt den Governance-Aspekt. Das heißt:  Datenschutz wird nicht mehr isoliert betrachtet, sondern gezielt in umfassendere Führungs- und Governance-Strategien, Planungen sowie kontinuierliche Verbesserungsprozesse von Organisationen eingebettet. 

Zudem legt die Norm einen stärkeren Fokus auf Risiken für den Datenschutz, die im Zusammenhang mit Künstlicher Intelligenz (KI), Cloud oder dem Internet of Things (IoT) auftreten können. So enthält sie unter anderem neue Kontrollen, die sich auf von KI-Systemen ausgehenden Risiken beziehen, z. B. auf die Aspekte Transparenz und Nachvollziehbarkeit. Gleichzeitig lassen sich ISO 27701 und ISO 42001 dadurch besser in einem integrierten Managementsystem kombinieren.
 

Stärkere Ausrichtung auf globale Datenschutzgesetze:

Die Anforderungen der ISO/IEC 27701:2025 sind stärker auf die Einhaltung internationaler Datenschutzvorgaben wie die EU-DSGVO, den California Consumer Privacy Act (CCPA) oder Brasiliens LGPD ausgerichtet. Das dahinterstehende Ziel ist es, Unternehmen den Nachweis ihrer Datenschutz-Compliance zu erleichtern.
 

Präzisierte Rollen und Verantwortlichkeiten:

Die ISO/IEC 27701:2025 enthält konkrete Leitlinien für Organisationen in der Rolle der PII-Verantwortlichen oder der PII-Verarbeiter. So macht sie klarere Vorgaben zur Rechenschaftspflicht, Dokumentation und zu den technischen sowie organisatorischen Maßnahmen, die je nach Rolle umzusetzen sind. 

 

Umstellung auf die ISO 27701:2025: Wie Unternehmen sich vorbereiten sollten

Auch wenn die offiziellen Vorgaben für die Zertifizierung sowie die Umstellung auf die neue ISO/IEC 27701:2025 noch ausstehen, empfiehlt es sich für Unternehmen, die derzeit nach der 2019er-Version zertifiziert sind, frühzeitig mit der Planung des Übergangs zu beginnen. Eine vorausschauende Vorbereitung erleichtert nicht nur die spätere Umsetzung, sondern signalisiert auch Verantwortungsbewusstsein gegenüber Kunden und Partnern. Erfahrungsgemäß ist mit einer Übergangsfrist von bis zu drei Jahren zu rechnen.

So gelingt der Umstieg auf die neue ISO 27701

Icon-Darstellung eines Dokumentes mit einem Haken daran.

Verständnis für die neue ISO 27701 schaffen

Unternehmen sollten sich frühzeitig mit der aktualisierten Norm vertraut machen, um potenzielle Auswirkungen auf das bereits bestehende Managementsystem zu identifizieren. Denn wer die Neuerungen versteht, schafft die Basis für alle weiteren Schritte.
Icon-Darstellung einer Lupe, in der ein Diagramm zu sehen ist.

Durchführung einer Gap-Analyse

Mithilfe einer Gap-Analyse decken Unternehmen Abweichungen zwischen dem aktuellen Managementsystem und den neuen Anforderungen der ISO 27701:2025 auf. Dadurch ergibt sich ein fundiertes Bild über den notwendigen Anpassungsbedarf.
Icon-Darstellung einer Uhr

Erarbeitung eines Umstellungsplans

Die Gap-Analyse bildet die Grundlage, um einen strukturierten Umsetzungsplan zu erarbeiten. Dieser enthält beispielsweise Prioritäten, Verantwortlichkeiten, zeitliche Meilensteine, vorgesehene Maßnahmen sowie erforderliche Ressourcen.
Icon-Darstellung einer Person vor einem Flipchart.

Sensibilisierung von Mitarbeitenden

Wichtig ist zudem die frühzeitige Einbindung von Mitarbeitenden. Um die Umstellung erfolgreich zu meistern, müssen diese über Schulungen entsprechend qualifiziert werden und ein Verständnis für die ISO 27701:2025 entwickeln.
Icon-Darstellung von drei Zahnrädern, die ineinandergreifen.

Anpassung des bestehenden Managementsystems

Damit das bestehende Datenschutz-Informationsmanagementsystem die aktualisierten Anforderungen der ISO 27701:2025 erfüllt, müssen bestehende Prozesse, Dokumentationen und Verantwortlichkeiten überprüft und ggf. überarbeitet werden.
Icon-Darstellung einer Lupe, in der Zahnräder zu sehen sind.

Durchführung interner Audits

Durch interne Audits kann überprüft werden, ob alle Änderungen wirksam sowie normkonform umgesetzt wurden und die Organisation für die externe Zertifizierung nach ISO 27701:2025 bereit ist. Mit Blick auf Übergangsfristen sollten Unternehmen ihre Zertifizierungsstelle – z. B. Bureau Veritas Certification – frühzeitig kontaktieren, um das notwendige Übergangsaudit vorausschauend zu planen.


Sie interessieren sich für eine Zertifizierung nach ISO 27701?

Jetzt Kontakt aufnehmen

.

An einer ISO 27701-Zertifizierung interessiert?

Mehr erfahren