ISO 27701-Zertifizierung: Datenschutz­management mit System | Bureau Veritas


Datenschutz mithilfe der ISO 27701 systematisch managen

Daten gewinnen im Zeitalter der Digitalisierung immer stärker an Bedeutung. Als eine der wertvollsten Ressourcen nehmen sie dabei maßgeblich Einfluss auf die Wettbewerbsfähigkeit sowie den Geschäftserfolg eines Unternehmens. Umso wichtiger ist es, diese bestmöglich vor Manipulation und Missbrauch zu schützen.  

Mit einer erfolgreichen Zertifizierung nach ISO 27701 durch Bureau Veritas tragen Unternehmen sichtbar nach außen, dass das Thema Datenschutz bei ihnen großgeschrieben wird. Die internationale Norm ISO 27701 bietet einen ganz­heitlichen Leitfaden, der unterschiedliche Anforderungen an die Einführung, den Betrieb und die kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (PIMS) enthält. Im Fokus steht das Ziel, personenbezogene Daten systematisch und wirksam zu schützen. 

Die Zertifizierung richtet sich an alle Organisationen, die personenbezogene Daten verarbeiten. Unabhängig von ihrer Art und Größe unterstützt die Norm Unternehmen dabei, ein strukturiertes Datenschutz-Managementsystem aufzubauen.

 Ganzheitliches & strukturiertes Management des Datenschutzes 
 Systematische & gezielte Identifizierung bestehender Datenschutzrisiken
 Erfüllung von Compliance-Anforderungen an den Datenschutz
 

Jetzt Kontakt aufnehmen

.

Die neue ISO 27701:2025: Datenschutz­management eigenständig gedacht

Die überarbeitete ISO/IEC 27701 ist am 14. Oktober 2025 veröffentlicht worden und bringt entscheidende Neuerungen für das Datenschutzmanagement mit sich. So ist die Norm erstmals eigenständig zertifizierbar und damit ab sofort nicht mehr zwingend an die ISO 27001 gebunden. 

Was sich sonst noch geändert hat, warum die Norm überarbeitet wurde und mit welcher Übergangsfrist zu rechnen ist, haben wir in einem Newsbeitrag zur ISO 27701-Revision für Sie zusammengefasst. 

Mehr über die ISO 27701:2025 erfahren


ISO 27701: Datenschutz-Erweiterung zur ISO 27001

Blaues Schloss auf einer Platine

Da die ISO 27701 als ISMS-Ergänzung mit dem Schwerpunkt Datenschutz zu verstehen ist, wird ein bereits bestehendes Informations­sicherheits­management­system (ISMS) nach ISO 27001 vorausgesetzt. Damit liegt der Schwerpunkt auf dem ISMS, das durch die ISO 27701 entsprechend erweitert wird. Aufgrund der gemeinsamen High-Level-Structure lässt die ISO 27701 sich dabei gut in ein vorhandenes ISMS integrieren. 

Verfügt ein Unternehmen noch nicht über eine Zertifizierung nach ISO 27001, kann die ISO 27701 entweder zeitgleich oder zeitversetzt mit dem ISMS implementiert bzw. zertifiziert werden. 

Vorteile einer ISO 27701-Zertifizierung

  • Verbesserter Datenschutz

    Mit der ISO 27701-Zertifizierung etablieren Sie ein ganzheitliches Management des Datenschutzes.

  • Reduzierung von Risiken

    Indem Sie Lücken im Datenschutz systematisch & gezielt aufdecken, minimieren Sie mögliche Risiken.

  • Erhöhtes Vertrauen

    Sie profitieren von einem gesteigerten Vertrauen bei Kunden sowie Geschäftspartnern.

  • Unabhängiger Nachweis

    Ein ISO 27701-Zertifikat belegt Ihr Engagement für Datenschutz objektiv nach außen.

  • Erfüllung von Compliance

    Die ISO 27701 kann als Basis dienen, um rechtliche Datenschutz-Bestimmungen abzudecken.

  • Effizientere Prozesse

    Mithilfe der ISO 27701 legen Sie Rollen sowie Verantwortlichkeiten fest & optimieren interne Prozesse.

  • Mehr Transparenz

    Durch das systematische Management des Datenschutzes erhöhen Sie die Transparenz.

  • Internationale Anerkennung

    Die ISO 27701-Zertifizierung umfasst internationale Anforderungen an den Datenschutz.

.

An einer ISO 27701-Zertifizierung interessiert?

Jetzt Kontakt aufnehmen


Die ISO 27701 & die EU-DSGVO

Computertastatur mit einer blauen Taste, auf der das Wort DSGVO zu lesen ist

Die ISO 27701 stellt keine offizielle Zertifizierung nach EU-DSGVO dar. Sie ist eine optionale Zertifizierung, die Ihre DSGVO-Compliance-Ziele unterstützt, allerdings nicht ersetzt. Ihre Umsetzung kann Unternehmen dabei helfen, die Anforderungen der Datenschutz-Grundverordnung erfolgreich zu realisieren. 

So bietet ein Datenschutz-Informations­managementsystem gemäß ISO 27701 eine gute Grundlage, die datenschutz­rechtlichen Anforderungen der DSGVO in das System zu integrieren. Denn zwischen der ISO 27701 und der DSGVO bestehen zahlreiche Überschneidungen.

Ablauf einer ISO 27701-Zertifizierung: Der Zertifizierungsprozess auf einen Blick

  • Voraudit (optional)

    Vorab-Bewertung der Zertifizierungsreife Ihres Datenschutz-Managementsystems

    Frau sitzt an einem Schreibtisch. Vor ihr steht ein aufgeklappter Laptop, daneben liegen verschiedene Papiere, die sie prüft.

    Möchten Sie vorab eine Bewertung der Zertifizierungsreife Ihres Datenschutz-Informationsmanagementsystems gemäß ISO 27701 erhalten, besteht die Möglichkeit, ein Voraudit durchführen zu lassen. Auf diese Weise können potenzielle Abweichungen und Nicht-Konformitäten frühzeitig aufgedeckt und entsprechend behoben werden. Ein Voraudit hilft Unternehmen somit dabei, mögliche Lücken zu schließen und die Erfüllung der Zertifizierungsvoraussetzungen sicherzustellen.

  • Initial Audit

    Bewertung des IST-Zustandes aller relevanten Bereiche, Prozesse, Dokumente & Kontrollen

    Mann mit einem Dokument in der Hand lächelt frontal in die Kamera.

    Im Rahmen des Initial Audits bewerten unsere Auditoren den IST-Zustand aller relevanten Bereiche, Prozesse, Dokumente und Kontrollen. Es besteht aus einem Audit der Stufe 1 sowie der Stufe 2. 

    Stufe-1-Audit: 
    Im Stufe-1-Audit sichten unsere Auditoren die erstellten Dokumente des Datenschutz-Informationsmanagementsystems und prüfen, ob diese den Anforderungen der ISO 27701 entsprechen. Zusätzlich beurteilen sie den Standort sowie die standortspezifischen Bedingungen. Auf Grundlage der Ergebnisse ermitteln sie dann die Bereitschaft für das Stufe-2-Audit. 

    Stufe 2-Audit
    Im Rahmen des Stufe-2-Audits bewerten unsere Auditoren die Wirksamkeit Ihres Datenschutz-Informationsmanagementsystems und dessen Maßnahmen sowie die Konformität mit den Anforderungen der ISO 27701. In diesem Zuge erfolgen unter anderem Gespräche mit Mitarbeitenden oder Vor-Ort-Begehungen. Zusätzlich wird auch die bestehende Dokumentation noch einmal intensiver geprüft.

    Hinweis: Läuft Ihr bestehendes Zertifikat nach ISO 27001 bald aus oder streben Sie eine gemeinsame Zertifizierung der beiden Standards an? Dann empfiehlt es sich, die Audits aufeinander abzustimmen. 

  • Zertifikats- erteilung

    Erteilung des ISO 27701-Zertifikates durch Zertifizierungsstelle

    Zwei Männer sitzen sich gegenüber und schütteln sich die Hand. Es wird ein Dokument überreicht.

    Bei einem positiven Verlauf des Zertifizierungsaudits schließt sich die Erteilung des ISO 27701-Zertifikates durch die Zertifizierungsstelle an. Die Gültigkeit des ausgestellten Zertifikates nach ISO 27701 beträgt 3 Jahre. 

  • Überwachungs- audit

    Sicherstellung der fortlaufenden Wirksamkeit des Datenschutz-Managementsystems

    Frau sitzt vor Computer und hält in jeder Hand je ein Dokument.

    Um die Konformität des Datenschutz-Informationsmanagementsystems mit der ISO 27701 aufrechtzuerhalten, müssen jeweils im ersten und im zweiten Jahr nach erfolgreicher Zertifizierung Überwachungsaudits durchgeführt werden. 

    Auf diese Weise wird die fortlaufende Wirksamkeit des Managementsystems bewertet. 

  • Re-Zertifizierung

    Aufrechterhaltung der ISO 27701-Zertifizierung

    Person hält Stempel in der Hand. Vor ihr liegt ein Dokument, das gestempelt wird.

    Nach Ablauf der Zertifikatsgültigkeit erfolgt ein Re-Zertifizierungsaudit. Im Rahmen dessen wird festgestellt, ob das Datenschutz-Informationsmanagementsystem die vorgegebenen Anforderungen der ISO 27701 weiterhin erfüllt. Ist dies der Fall, wird die Gültigkeit des Zertifikates entsprechend verlängert. 

Häufig gestellte Fragen (FAQ) zur ISO 27701-Zertifizierung

  • Was ist die ISO 27701?

    Die ISO 27701 ist ein internationaler Standard, der ein Informationssicherheits-Management gemäß ISO 27001 um zusätzliche Anforderungen und Kontrollen für den Schutz personenbezogener Daten erweitert. 

    Die Norm gibt Unternehmen umfangreiche Leitlinien in Bezug auf die Einführung, den Betrieb und die kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (PIMS) an die Hand. Damit bietet die ISO 27701 Organisationen einerseits einen strukturierten Rahmen, um ihre Datenschutzpraktiken zu verbessern, und andererseits eine gute Grundlage, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie anderer Datenschutzgesetze systematisch zu integrieren. 

  • Wie ist die ISO 27701 aufgebaut?

    Der Aufbau der ISO 27701 folgt der für Managementsystemnormen typischen High-Level-Structure

    1. Anwendungsbereich: Definiert den Anwendungsbereich des Standards für den Schutz personenbezogener Daten. 
    2. Normative Verweisungen: Verweist auf andere für die ISO 27701 relevanten Normen, wie beispielsweise die ISO 27001
    3. Begriffe und Definition: Umfasst normspezifische Begriffe sowie Definitionen im Rahmen des Datenschutzes. 
    4. Kontext der Organisation: Berücksichtigt interne und externe Einflüsse sowie Erwartungen relevanter interessierter Parteien.
    5. Führung: Legt Anforderungen an die oberste Leitung einer Organisation fest und schließt unter anderem Rollen, Verantwortlichkeiten und Befugnisse mit ein. 
    6. Planung: Befasst sich mit dem Umgang mit Risiken und Chancen im Kontext des Datenschutzes.
    7. Unterstützung: Beschäftigt sich mit den sogenannten unterstützenden Prozessen, wie z. B. den notwendigen Ressourcen und Kompetenzen sowie der Dokumentation.
    8. Betrieb: Enthält operative Anforderungen an den Betrieb des Datenschutz-Managementsystems. 
    9. Leistungsbewertung: Definiert Vorgaben zur Überwachung, Messung, Analyse und Bewertung. 
    10. Verbesserung: Beinhaltet Anforderungen an die kontinuierliche Verbesserung des Datenschutz-Managementsystems. 

  • ISO 27701 vs. ISO 27001: Worin liegen die Unterschiede?

    Während die ISO 27001 ihren Schwerpunkt auf Informationssicherheit legt, fokussiert die ISO 27701 sich speziell auf den Schutz personenbezogener Daten

    ISO 27001

    ISO 27701

    • Fokus: Informationssicherheit
    • Enthält Anforderungen an ein Informationssicherheits-Managementsystem (ISMS)
    • Breiter Anwendungsbereich mit umfangreichen Anforderungen
    • Allgemeine Kontrollen zur Informationssicherheit
    • Wird durch ISO 27701 um Datenschutzaspekte erweitert
    • Fokus: Schutz personenbezogener Daten
    • Enthält Anforderungen an ein Datenschutz-Managementsystem (PIMS)
    • Spezifische Ergänzung der ISO 27001 um Datenschutzaspekte
    • Zusätzliche Kontrollen zum Datenschutz
    • ISO 27001 als notwendige Voraussetzung, baut auf dieser auf

  • Wie lange ist eine Zertifizierung nach ISO 27701 gültig?

    Das ausgestellte Zertifikat nach ISO 27701 hat eine Gültigkeit von 3 Jahren. Nach Ablauf dieser Frist kann das ISO 27701-Zertifikat im Rahmen eines Re-Zertifizierungsaudits verlängert werden. 

  • Welche Rollen definiert die ISO 27701?

    Die ISO 27701 differenziert zwischen den beiden Rollen Controller und Prozessor

    Controller

    Prozessor

    • "natürliche oder juristische Person, Behörde, Agentur oder eine andere Stelle, die allein oder gemeinsam mit anderen, die Intentionen und Mittel der Verarbeitung von persönlichen Daten bestimmt"
    • Bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten
    • Trägt die Hauptverantwortung für den Schutz personenbezogener Daten
    • "natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Namen des Controllers verarbeitet"
    • Verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen
    • Muss die Weisungen des Verantwortlichen einhalten

.

Warum eine ISO 27701-Zertifizierung durch Bureau Veritas?

Icon-Darstellung eine Stempels hinter dem ein Haken zu sehen ist.

Umfassendes Know-how

Dank jahrzehntelanger Erfahrung in der Zertifizierung verfügen wir über umfangreiches Know-how. Mit mehr als 150.000 ausgestellten Zertifikaten in 150 Ländern gilt Bureau Veritas Certification als Branchen-Weltmarktführer.
Icondarstellung, die eine Hand zeigt, die eine Weltkugel in der Hand hält.

Internationale Anerkennung

Bureau Veritas Certification ist weltweit von mehr als 85 nationalen sowie internationalen Akkreditierungsgesellschaften anerkannt und bietet Kunden damit internationale Versiertheit, gepaart mit eingehenden lokalen Kenntnissen.
Iconhafte Darstellung von Personen

Breiter Auditorenpool

Mit über 7.400 hochqualifizierten Auditorinnen und Auditoren verfügen wir über einen umfang- reichen Auditorenpool, um Unternehmen effizient und zeitnah betreuen zu können – in allen Branchen, rund um den Globus.
Iconhafte Darstellung einer Lupe, die zwei ineinandergreifende Zahnräder zeigt.

Zielgerichteter Auditprozess

Unser Auditansatz zeichnet sich durch eine ausgewogene Mischung aus Standardisierung und individueller Anpassung aus. Dadurch können wir eine hohe Qualität und Präzision in der Umsetzung gewährleisten.
Icon-Darstellung eines Gebäudes

Leistungen für Unternehmen aller Größenordnungen

Von KMU bis Großkonzern: Unabhängig von ihrer Art und Größe bieten wir Unternehmen die zu ihrem Bedarf passenden Lösungen und Dienstleistungen an.
Icon-Darstellung von einer Hand, die eine Waage in der Hand hält.

Integrität durch Unabhängigkeit

Unabhängigkeit zählt zu unseren zentralen Grundwerten und stellt ein Schlüsselelement unseres Ethikkodex dar. So stellen wir sicher, dass alle unsere Auditoren weltweit ihre Unparteilichkeit und Integrität wahren.

.

An einer ISO 27701-Zertifizierung interessiert?

Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren