Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen in der Informationssicherheit:
Cortina Consult
ISO 27701 Zertifizierungsprozess
Informationssicherheit

ISO 27701:2025: Datenschutz, der sich beweisen lässt

ISO 27701:2025 macht Datenschutzmanagement erstmals eigenständig zertifizierbar – ohne ISO 27001-Voraussetzung. Was die Norm leistet, was sie nicht ersetzt und welcher Einstieg zu Ihrem Unternehmen passt.

ISMS anfragen
Grafik eines ISO-27701-Systems mit Dokument-Icon, Checkmark und zahlreichen verbundenen Modulen, die Datenschutz-Management und Zertifizierung visualisieren

Was ist ISO 27701 – und was bringt sie Ihrem Unternehmen?

Kunden fragen nach. Auftraggeber verlangen Nachweise. Aufsichtsbehörden prüfen genauer. Wer Datenschutz heute nur als interne Pflichtübung betreibt, wird zunehmend unter Druck geraten – nicht weil die Anforderungen strenger geworden sind, sondern weil die Erwartung an Transparenz und Nachweisbarkeit gestiegen ist.

Die ISO 27701 gibt Unternehmen ein international anerkanntes Werkzeug an die Hand, um genau das zu leisten: Datenschutz strukturiert zu managen und dieses Management prüfbar zu machen. Mit der überarbeiteten Fassung von 2025 ist die Norm erstmals eigenständig zertifizierbar – und damit für deutlich mehr Unternehmen zugänglich als bisher.

Die ISO/IEC 27701 spezifiziert Anforderungen an ein Privacy Information Management System (PIMS). Das klingt technischer als es ist. Im Kern geht es darum, dass Ihr Unternehmen Datenschutz nicht situativ oder reaktiv betreibt, sondern mit klar geregelten Prozessen, definierten Verantwortlichkeiten und einer Dokumentation, die im Ernstfall standhält.

Konkret profitieren Sie davon auf mehreren Ebenen:

  • Gegenüber Kunden und Auftraggebern: Ein PIMS-Zertifikat nach ISO 27701 signalisiert, dass Datenschutz in Ihrer Organisation nicht auf dem Papier endet. Das ist besonders relevant, wenn Sie als Auftragsverarbeiter tätig sind – also Daten im Auftrag anderer verarbeiten – da Ihre Auftraggeber nach DSGVO verpflichtet sind, genau das sicherzustellen.
  • Gegenüber Behörden: Die Rechenschaftspflicht nach 5 Abs. 2 DSGVO verlangt, dass Sie die Einhaltung der Datenschutzgrundsätze nachweisen können. Eine ISO 27701-Zertifizierung ist dafür ein substanzieller Beleg.
  • Intern: Wer ein PIMS aufbaut, schafft Klarheit über Verarbeitungstätigkeiten, Risiken und Zuständigkeiten. Das reduziert Fehlerquellen und den Aufwand im Tagesgeschäft.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Was hat sich 2025 geändert – und warum ist das für Sie relevant?

Die ursprüngliche Fassung von 2019 war als Erweiterung zu ISO 27001 konzipiert. Das bedeutete: Wer ISO 27701 zertifizieren lassen wollte, musste zwingend bereits über ein ISO 27001-Zertifikat für sein Informationssicherheits-Managementsystem verfügen. Für viele mittelständische Unternehmen war das eine zu hohe Einstiegshürde.

Die 2025er Fassung hebt diese Abhängigkeit auf. Die wichtigsten Unterschiede auf einen Blick:

Merkmal
ISO 27701:2019
ISO 27701:2025
Zertifizierbarkeit
Nur als Erweiterung zu ISO 27001
Eigenständig zertifizierbar
Voraussetzung
ISO 27001-Zertifikat zwingend erforderlich
ISO 27001 empfohlen, aber nicht Pflicht
Zielgruppe
ISO 27001-zertifizierte Unternehmen
Alle Organisationen
DSGVO-Mapping
Anhang D (nicht zertifizierbar)
Entfernt – eigenständiger Bezugsrahmen
Controls (Verantwortliche)
31 Controls (Anhang A)
34 Controls, überarbeitet
Controls (Auftragsverarbeiter)
18 Controls (Anhang B)
20 Controls, überarbeitet

Was das für Sie bedeutet: Sie können jetzt direkt in ein PIMS nach ISO 27701 einsteigen – ohne den parallelen Aufbau eines vollständigen ISMS nach ISO 27001. Das macht die Zertifizierung planerisch und finanziell deutlich zugänglicher. Wer langfristig auch Informationssicherheit zertifizieren möchte, kann beides schrittweise aufbauen; die Strukturen sind kompatibel.

ISO 27701 und die DSGVO: Was gilt wirklich?

Eine wichtige Klarstellung vorab: ISO 27701 ist keine Zertifizierung im Sinne des Art. 42 DSGVO. Für eine solche Zertifizierung wäre eine Akkreditierung durch eine Datenschutzaufsichtsbehörde erforderlich, die für diesen Standard bislang nicht vorliegt.

Was ISO 27701 Ihnen dennoch bietet: ein strukturiertes System, das Ihre DSGVO-Compliance operationalisiert und dokumentierbar macht. Wer ein PIMS betreibt, erfüllt damit nicht automatisch alle DSGVO-Pflichten – aber er kann deutlich überzeugender nachweisen, dass er es ernsthaft versucht. Das zählt im Dialog mit Behörden und bei der Bewältigung von Datenpannen.

Die 2025er Fassung hat das frühere DSGVO-Mapping aus Anhang D entfernt und definiert stattdessen einen eigenständigen Bezugsrahmen. Das ist sachlich richtig: Die Norm ist nicht auf einen einzigen nationalen Rechtsrahmen ausgerichtet, sondern international verwendbar – was sie gerade für Unternehmen mit europäischen oder globalen Geschäftsbeziehungen attraktiv macht.

Einordnung in das regulatorische Gesamtbild

ISO 27701 steht nicht für sich allein. Für mittelständische Unternehmen, die sich heute mit Datenschutzmanagement befassen, sind mehrere regulatorische Stränge gleichzeitig relevant:

  • NIS-2-Richtlinie: Seit Oktober 2024 gelten in Deutschland verschärfte Pflichten zur Cybersicherheit für eine deutlich erweiterte Gruppe von Unternehmen. Ein PIMS nach ISO 27701, kombiniert mit einem ISMS nach NIS-2-Richtlinie, hilft dabei, die geforderten Sicherheitsmaßnahmen strukturiert zu dokumentieren.
  • EU AI Act: Wer KI-Systeme einsetzt oder entwickelt, muss Datenschutz-Folgenabschätzungen und Dokumentationspflichten erfüllen. Ein PIMS liefert dafür die Grundstruktur. EU AI Act und ISO 27701 ergänzen sich dabei strukturell.
  • ISO 42001: Der neue Standard für KI-Managementsysteme ist konzeptionell kompatibel mit ISO 27701. Kombinierte Audits sind möglich und sinnvoll.

Datenschutzmanagement ist damit kein isoliertes Thema mehr, sondern Teil eines größeren Compliance-Ökosystems. Wer frühzeitig eine tragfähige Struktur aufbaut, investiert einmal – und kann diese Struktur mehrfach nutzen.

Der Weg zur Zertifizierung: Was auf Sie zukommt

Eine Zertifizierung nach ISO 27701 folgt einem klar strukturierten Prozess. Der Gesamtaufwand hängt stark davon ab, wie weit Ihre Datenschutzprozesse bereits ausgebaut sind – und ob Sie bereits nach ISO 27001 zertifiziert sind.

Phase
Was passiert
Gap-Analyse
Bestandsaufnahme der vorhandenen Datenschutzprozesse, Abgleich mit den Normforderungen, Ableitung des Handlungsbedarfs
Implementierung
Aufbau des PIMS: Dokumentation von Verarbeitungstätigkeiten, Rollen, Prozessen und technisch-organisatorischen Maßnahmen
Internes Audit
Überprüfung der Umsetzung vor dem Zertifizierungsaudit, Identifikation und Schließung verbleibender Lücken
Stage 1 – Dokumentenprüfung
Die akkreditierte Zertifizierungsstelle prüft, ob die erforderliche Dokumentation vollständig und normkonform vorliegt
Stage 2 – Hauptaudit
Vor-Ort-Überprüfung der gelebten Praxis: Interviews, Stichproben, Nachweis der Wirksamkeit des Systems
Zertifikat & Überwachung
Das Zertifikat ist drei Jahre gültig. In jedem Zwischenjahr findet ein Überwachungsaudit statt; nach Ablauf erfolgt ein vollständiges Rezertifizierungsaudit

Der Zertifizierungszyklus im Überblick: Das Zertifikat wird für drei Jahre ausgestellt. In den beiden Zwischenjahren finden vereinfachte Überwachungsaudits statt, die die fortlaufende Wirksamkeit des Systems bestätigen. Nach Ablauf der drei Jahre ist ein vollständiges Rezertifizierungsaudit erforderlich. Dieses Modell schafft Planbarkeit: Sie wissen frühzeitig, welche Prüfungsschritte wann anstehen.

Nutzen und Grenzen: Eine ehrliche Einschätzung

Was Sie konkret erreichen

  • Einen international anerkannten Nachweis für Ihr Datenschutzmanagement
  • Klarheit über Ihre Verarbeitungstätigkeiten, Risiken und Verantwortlichkeiten
  • Eine belastbare Basis für Kundenanfragen, Lieferantenaudits und Behördenkontakte
  • Kompatibilität mit ISO 27001 – für einen späteren Ausbau in Richtung Informationssicherheit
  • Strukturierte Vorbereitung auf weitere Regularien wie NIS-2 und EU AI Act

Was ISO 27701 nicht ersetzt

  • Einen betrieblichen oder externen Datenschutzbeauftragten
  • Rechtliche Beratung bei konkreten Datenschutzfragen
  • Die kontinuierliche Auseinandersetzung mit den gesetzlichen Anforderungen

Unser Hinweis aus der Praxis: Ein PIMS-Zertifikat ist so gut wie die Prozesse, die dahinterstehen. Der Wert liegt nicht im Zertifikat selbst, sondern im strukturierten System, das Sie aufbauen. Unternehmen, die das ernst nehmen, merken schnell, dass sie damit nicht nur Compliance-Anforderungen erfüllen, sondern auch intern effizienter werden.

Welcher Einstieg passt zu Ihrem Unternehmen?

Wir haben noch kein ISO 27001

Kein Problem. Mit der 2025er Fassung der ISO 27701 können Sie direkt starten. Sinnvoll ist es, dabei von Anfang an eine ISO 27001-kompatible Struktur mitzudenken – das zahlt sich aus, wenn Sie die Informationssicherheit zu einem späteren Zeitpunkt ebenfalls ausbauen möchten.

Wir sind bereits nach ISO 27001 zertifiziert

Dann ist der Weg zur ISO 27701 der kürzeste: Ihre ISMS-Grundstrukturen stehen bereits. Es geht im Wesentlichen darum, die datenschutzspezifischen Anforderungen der Anhänge A und B zu ergänzen und Ihre Verzeichnisse von Verarbeitungstätigkeiten in das System zu integrieren.

Wir sind Auftragsverarbeiter

Dann ist ISO 27701 besonders relevant für Sie. Ihre Auftraggeber sind nach DSGVO verpflichtet sicherzustellen, dass Sie als Verarbeiter ausreichende Garantien bieten. Ein PIMS-Zertifikat liefert genau diesen Nachweis – und kann ein entscheidendes Kriterium bei der Auftragsvergabe sein.

Fazit

Die ISO 27701:2025 macht Datenschutzmanagement für mittelständische Unternehmen erstmals ohne Vorbedingungen zertifizierbar. Das ist eine echte Vereinfachung – und eine Chance für Unternehmen, die Datenschutz nicht als Last, sondern als Vertrauensmerkmal verstehen wollen.

Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht und welcher Weg zu einer Zertifizierung realistisch ist, sprechen Sie uns an. Eine strukturierte Gap-Analyse ist der richtige erste Schritt.

Beitrag aktualisiert am 2. April 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Externer Informations-sicherheitsbeauftragter

Regeltermine, ISMS-Software, E-Learning (LMS), persönlicher Ansprechpartner – und weitere Extras – inklusive.

ab 125€ / pro Monat
  • Stellung des ISB (zert. ISO 27001 Auditor)
  • Informationssicherheitsplattform
  • E-Learning für Mitarbeitende
  • Vorlagenbibliothek
  • Digitales Audit & Editor
Angebot berechnen
Alle Details zum ISB
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult in der Informationssicherheit

Wir helfen Unternehmen dabei, ein wirksames Managementsystem für Informationssicherheit aufzubauen und die Anforderungen nach ISO 27001, NIS-2 oder TISAX® umzusetzen – digital, effizient und zu fixen Konditionen. Als erfahrener Beratungsdienstleister und externer ISB sorgen wir dafür, dass sensible Informationen geschützt bleiben und Sicherheitsrisiken minimiert werden.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Informationssicherheit
joshua-tiedtke
Autor dieses Artikels:
Joshua Tiedtke
Experte für Informationssicherheit bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen