Was ist ISO 27701? Alles, was Sie über den globalen Standard für das Datenschutz-Management wissen müssen
ISO 27701 ist der internationale Standard für das Management von Datenschutzinformationen. Doch zu verstehen, was er aussagt, ist nur die halbe Herausforderung. Die eigentliche Frage lautet: Wie operationalisieren Sie ihn in Ihrer gesamten Organisation, über alle Tochtergesellschaften und in jeder Rechtsordnung, in der Sie tätig sind?
Vertraut von Datenschutzteams, die Compliance über Organisationen mit mehreren Einheiten hinweg steuern
172
Länder mit Datenschutzgesetzgebung
Greenleaf 2025, via SSRN
144
Länder mit in Kraft getretenen nationalen Datenschutzgesetzen
2025
ISO 27701 zum eigenständigen Standard aktualisiert
In diesem Leitfaden
- 1. Was ist ISO 27701?
- 2. Warum streben Organisationen ISO 27701 an?
- 3. Aufbau und zentrale Klauseln von ISO 27701
- 4. ISO 27001 vs. ISO 27701: Worin liegt der Unterschied?
- 5. So setzen Sie ISO 27701 um: Schritt für Schritt
- 6. Wie ISO 27701 auf die DSGVO und andere Vorschriften abgebildet wird
- 7. OneTrust vs. Priverion für die ISO-27701-Compliance
- 8. Häufig gestellte Fragen
1. Was ist ISO 27701?
ISO 27701 (formell ISO/IEC 27701) ist der internationale Standard für Datenschutz-Managementsysteme (Privacy Information Management Systems, PIMS). Gemeinsam von ISO und IEC veröffentlicht, bietet er einen umfassenden Rahmen für Organisationen, die personenbezogene Daten (PII) erheben, verarbeiten oder verwalten.
Ursprünglich 2019 als Erweiterung von ISO 27001 (Informationssicherheit) und ISO 27002 (Sicherheitsmassnahmen) veröffentlicht, wurde der Standard im Oktober 2025 erheblich überarbeitet. Die Ausgabe 2025 führt eine entscheidende Änderung ein: ISO 27701 ist nun ein eigenständiger zertifizierbarer Standard. Organisationen benötigen keine bestehende ISO-27001-Zertifizierung mehr als Voraussetzung.
Konkret gibt ISO 27701 Ihrer Organisation vor:
- Wie Sie ein Datenschutz-Managementsystem aufbauen, umsetzen, aufrechterhalten und kontinuierlich verbessern
- Welche Massnahmen Sie sowohl für PII-Verantwortliche als auch für PII-Auftragsverarbeiter einführen müssen
- Wie Sie diese Massnahmen bestimmten regulatorischen Anforderungen zuordnen (darunter DSGVO, LGPD und POPIA)
- Wie Sie gegenüber Aufsichtsbehörden, Kunden und Partnern durch einen strukturierten, prüfbaren Rahmen Rechenschaft ablegen
Für Organisationen mit mehreren Einheiten, die den Datenschutz über Tochtergesellschaften und Rechtsordnungen hinweg steuern, bietet ISO 27701 etwas, das keine einzelne Vorschrift leisten kann: ein universelles Betriebsmodell, das über Grenzen hinweg übertragbar ist.
2. Warum streben Organisationen eine ISO-27701-Zertifizierung an?
Den Standard zu verstehen, ist der einfache Teil. Dies sind die realen Treiber, die die Einführung über Branchen und Rechtsordnungen hinweg vorantreiben.
70%
der multinationalen Konzerne werden ISO 27701 voraussichtlich für ihre Daten-Governance einführen
360 Research Reports, ISO Certification Market Analysis, 2025
Druck von Kunden und Partnern
Enterprise-Kunden verlangen von Lieferanten zunehmend Datenschutzzertifizierungen, insbesondere von Auftragsverarbeitern, die personenbezogene Daten verarbeiten. Eine ISO-27701-Zertifizierung gibt Ihnen eine universell anerkannte Antwort auf den Datenschutzfragebogen und ersetzt wochenlanges Hin und Her durch ein einziges Zertifikat.
6+
grosse Datenschutzvorschriften, die von ISO 27701 abgebildet werden, darunter DSGVO, LGPD, CCPA und POPIA
ISO/IEC 27701 Anhang D, Regulatory Mapping Framework
Regulatorischer Wildwuchs, ein Rahmen
Wenn Sie in der EU, in Brasilien, in Südafrika, im Vereinigten Königreich und im asiatisch-pazifischen Raum tätig sind, müssen Sie DSGVO, LGPD, POPIA, UK GDPR und PDPA gleichzeitig bewältigen. ISO 27701 bietet einen einzigen Management-Rahmen mit integrierten regulatorischen Zuordnungen, sodass Sie einmal implementieren und Compliance gegenüber allen nachweisen.
3 Jahre
Zertifizierungszyklus mit jährlichen Überwachungsaudits, der die punktuelle Nachweissammlung ersetzt
ISO/IEC 27701 Certification Structure (ISO.org)
Schluss mit Audit-Müdigkeit
Ohne ein strukturiertes PIMS beginnt jedes regulatorische Audit oder jede Kundenbewertung bei null. ISO 27701 schafft ein wiederholbares, evidenzbasiertes System, in dem der Nachweis ein Nebenprodukt des Tagesgeschäfts ist und nicht ein hektisches Last-Minute-Unterfangen, bevor der Auditor eintrifft.
C-Level
Verantwortlichkeit nun erforderlich: die Ausgabe 2025 hebt den Datenschutz zu einer Governance-Funktion auf Führungsebene an
CompliancePoint, ISO 27701:2025 Analysis, November 2025
Verantwortlichkeit auf Vorstandsebene
Datenschutz ist keine juristische Fussnote mehr. Die aktualisierte ISO 27701:2025 verlangt aktive Einbindung der Führung, risikobasierte Planung und messbare Datenschutzergebnisse. Sie gibt Führungskräften einen Governance-Rahmen mit definierten Rollen, Verantwortlichkeiten und Zielen, hinter dem sie stehen können.
2025
Ausgabe nun eigenständig: ISO 27001 ist nicht mehr Voraussetzung für die PIMS-Zertifizierung
ISO/IEC 27701:2025, veröffentlicht Oktober 2025 (iso.org)
Wettbewerbsdifferenzierung
Eine Zertifizierung signalisiert Reife. Da die Ausgabe 2025 nun als eigenständiger zertifizierbarer Standard zugänglich ist, können selbst Organisationen ohne bestehendes ISO-27001-ISMS sie anstreben. Für Mittelstandsunternehmen, die mit Grosskonzernen konkurrieren, oder für Gruppen, die Dutzende Tochtergesellschaften steuern, ist sie ein Vertrauensbeschleuniger.
Okt. 2028
Übergangsfrist: nach der Ausgabe 2019 zertifizierte Organisationen müssen auf ISO 27701:2025 migrieren
CompliancePoint, ISO 27701:2025 Transition Timeline, 2025
Die Zeit läuft
Organisationen, die derzeit nach ISO 27701:2019 zertifiziert sind, haben eine dreijährige Übergangsfrist. Bis 2027 zu warten birgt das Risiko von Engpässen, da Zertifizierungsstellen mit steigender Nachfrage konfrontiert sind. Jetzt zu beginnen bedeutet reibungslosere Audits, eine stärkere Datenschutzposition und kein hektisches Last-Minute-Unterfangen vor der Frist.
Die Herausforderung besteht nicht darin, zu verstehen, warum ISO 27701 wichtig ist. Sie besteht darin, die operative Infrastruktur aufzubauen, um den Standard über jede Einheit, jede Tochtergesellschaft und jede Rechtsordnung hinweg, in der Sie tätig sind, aufrechtzuerhalten. Genau daran scheitern die meisten Organisationen.
3. Aufbau und zentrale Klauseln von ISO 27701
Die Ausgabe 2025 von ISO 27701 ist in Managementsystem-Klauseln (4 bis 10) und datenschutzspezifische Massnahmen-Anhänge gegliedert. Wenn Sie diesen Aufbau verstehen, können Sie die Umsetzung planen und Massnahmen Ihren bestehenden Prozessen zuordnen.
Managementsystem-Klauseln (4–10)
Diese Klauseln folgen der übergeordneten Struktur nach Annex SL, die alle ISO-Managementsystem-Standards teilen, was die Integration mit ISO 27001 unkompliziert macht, wenn Sie bereits ein ISMS haben:
- Klausel 4 – Kontext der Organisation: Verstehen Sie Ihre Datenschutzlandschaft, interessierte Parteien und den Geltungsbereich Ihres PIMS
- Klausel 5 – Führung: Verpflichtung der Führung, Datenschutzrichtlinie, Rollen und Verantwortlichkeiten (hier wird die Verantwortlichkeit auf C-Level verbindlich)
- Klausel 6 – Planung: Risikobeurteilung und -behandlung für Datenschutzrisiken, Datenschutzziele und Pläne zu deren Erreichung
- Klausel 7 – Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information
- Klausel 8 – Betrieb: Betriebliche Planung, Datenschutz-Risikobeurteilungen und Umsetzung der Massnahmen
- Klausel 9 – Bewertung der Leistung: Überwachung, Messung, internes Audit und Managementbewertung
- Klausel 10 – Verbesserung: Behandlung von Nichtkonformitäten, Korrekturmassnahmen und kontinuierliche Verbesserung
Anhänge mit Datenschutzmassnahmen
Die Anhänge enthalten spezifische Massnahmen für PII-Verantwortliche und -Auftragsverarbeiter:
- Anhang A: Massnahmen für PII-Verantwortliche – unter anderem Zweckbindung, Einwilligungsverwaltung, Rechte betroffener Personen, Privacy by Design, grenzüberschreitende Übermittlungen und Meldung von Datenschutzverletzungen
- Anhang B: Massnahmen für PII-Auftragsverarbeiter – unter anderem Verwaltung von Unterauftragsverarbeitern, Verarbeitungsbeschränkungen, Rückgabe/Löschung von Daten und auftragsverarbeiterspezifische Meldepflichten bei Datenschutzverletzungen
- Anhang C: Zuordnung zu ISO-27002-Massnahmen – zeigt, wie bestehende Sicherheitsmassnahmen mit Datenschutzanforderungen zusammenhängen
- Anhang D: Regulatorische Zuordnung – der zentrale DSGVO-Mapping-Anhang, der ISO-27701-Massnahmen bestimmten DSGVO-Artikeln zuordnet, plus Zuordnungen für weitere Rechtsordnungen
Für Organisationen, die mehrere Tochtergesellschaften steuern, bedeutet die Klauselstruktur, dass Sie eine gruppenweite PIMS-Richtlinie (Klausel 5) definieren können, während Sie es Tochtergesellschaften erlauben, operative Massnahmen (Klausel 8) an ihre jeweiligen rechtsordnungsspezifischen Anforderungen anzupassen.
4. ISO 27001 vs. ISO 27701: Worin liegt der Unterschied?
Diese beiden Standards ergänzen sich, dienen aber unterschiedlichen Zwecken. Den Unterschied zu verstehen ist wesentlich, um den Geltungsbereich Ihrer Umsetzung richtig festzulegen.
| Aspekt | ISO 27001 | ISO 27701 |
|---|---|---|
| Fokus | Informationssicherheits-Management (ISMS) | Datenschutz-Management (PIMS) |
| Geltungsbereich | Vertraulichkeit, Integrität, Verfügbarkeit aller Informationen | Management speziell personenbezogener Daten (PII) |
| Eigenständige Zertifizierung | Ja (immer eigenständig) | Ja, seit der Ausgabe 2025 (zuvor ISO 27001 erforderlich) |
| Regulatorische Zuordnung | Kein spezifischer Anhang zur regulatorischen Zuordnung | Anhang D ordnet Massnahmen der DSGVO, LGPD, POPIA und weiteren Datenschutzgesetzen zu |
| Unterscheidung Verantwortlicher/Auftragsverarbeiter | Nicht zutreffend | Separate Massnahmen-Anhänge für PII-Verantwortliche (Anhang A) und -Auftragsverarbeiter (Anhang B) |
| Rechte betroffener Personen | Nicht abgedeckt | Eigene Massnahmen für die Bearbeitung von Betroffenenanfragen, Einwilligungsverwaltung, Zweckbindung |
| Am besten geeignet für | Organisationen mit Fokus auf Informationssicherheitsniveau | Organisationen, die Datenschutz-Compliance über Rechtsordnungen hinweg nachweisen müssen |
Die zentrale Erkenntnis: Wenn Ihre Organisation bereits über ISO 27001 verfügt, erweitert das Hinzufügen von ISO 27701 Ihr bestehendes ISMS um den Datenschutz. Wenn Sie kein ISO 27001 haben, ermöglicht die Ausgabe 2025 von ISO 27701, direkt zur Datenschutzzertifizierung überzugehen, ohne zuerst ein ISMS aufzubauen.
Für Organisationen mit mehreren Einheiten schafft das Verfolgen beider Standards das stärkste Fundament – Sicherheit und Datenschutz über ein einheitliches System gesteuert, mit Nachweisen, die sowohl Auditoren als auch Aufsichtsbehörden zufriedenstellen.
5. So setzen Sie ISO 27701 um: Schritt für Schritt
Umsetzungszeiträume variieren von 3 bis 12 Monaten, abhängig von der Grösse der Organisation und dem bestehenden Reifegrad. Hier ist der praxisnahe Fahrplan, geprägt von dem, was wir bei Organisationen mit mehreren Einheiten erfolgreich beobachten.
Schritt 1: Geltungsbereich und Gap-Analyse
Legen Sie fest, welche Einheiten, Geschäftsprozesse und Datenflüsse in den Geltungsbereich Ihres PIMS fallen. Führen Sie eine Gap-Analyse gegenüber den Anforderungen von ISO 27701 durch, um zu ermitteln, was Sie bereits haben (insbesondere, wenn Sie über ISO 27001 verfügen) und was noch aufgebaut werden muss.
Für Gruppen mit mehreren Tochtergesellschaften ist dies der Punkt, an dem zentrale Transparenz am wichtigsten ist. Sie müssen die Datenschutzpraktiken jeder Einheit verstehen, bevor Sie ein einheitliches Managementsystem definieren können.
Schritt 2: Datenschutz-Risikobeurteilung
Identifizieren und beurteilen Sie Datenschutzrisiken in Ihrer gesamten Organisation. Dies geht über Sicherheitsrisiken hinaus und umfasst Zweckbindung, Datenminimierung, grenzüberschreitende Übermittlungen, Einwilligungsverwaltung und Rechte betroffener Personen. ISO 27701 Klausel 6 verlangt dokumentierte Risikobehandlungspläne.
Schritt 3: Aufbau Ihrer PIMS-Dokumentation
Entwickeln Sie die vom Standard geforderten Richtlinien, Verfahren und Aufzeichnungen:
- Datenschutzrichtlinie und Erklärung zum PIMS-Geltungsbereich
- Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) über alle Einheiten hinweg
- Datenschutz-Folgenabschätzungen (DSFA) für Verarbeitungen mit hohem Risiko
- Verfahren für das Lieferanten- und Drittparteienmanagement
- Verfahren für die Bearbeitung von Betroffenenanfragen
- Workflows für Incident Response und die Meldung von Datenschutzverletzungen
- Mechanismen und Dokumentation für grenzüberschreitende Übermittlungen
Schritt 4: Massnahmen umsetzen
Ordnen Sie die für Ihre Organisation geltenden Massnahmen aus Anhang A (Verantwortlicher) und/oder Anhang B (Auftragsverarbeiter) zu und setzen Sie sie um. Dazu gehören technische Massnahmen, organisatorische Vorkehrungen und dokumentierte Prozesse. Priorisieren Sie auf Grundlage der Ergebnisse Ihrer Risikobeurteilung.
Schritt 5: Schulung und Sensibilisierung
Klausel 7 verlangt, dass alle, die an der Datenschutzverarbeitung beteiligt sind, ihre Verantwortlichkeiten verstehen. Dies ist keine einmalige Schulung – es ist ein fortlaufendes Sensibilisierungsprogramm, das die Geschäftsbereiche aller Tochtergesellschaften erreichen muss.
Schritt 6: Internes Audit und Managementbewertung
Führen Sie interne Audits gegenüber den Anforderungen von ISO 27701 (Klausel 9) durch. Legen Sie die Ergebnisse dem Management zur Bewertung vor. Hier verwandeln audit-fertige Nachweispakete – automatisch als Nebenprodukt des Tagesgeschäfts erzeugt – den Prozess von einem mehrwöchigen Kraftakt in eine strukturierte Bewertung.
Schritt 7: Zertifizierungsaudit
Beauftragen Sie eine akkreditierte Zertifizierungsstelle mit einem zweistufigen Audit: In Stufe 1 werden Dokumentation und Bereitschaft geprüft; in Stufe 2 wird die Wirksamkeit der Umsetzung verifiziert. Die Zertifizierung ist drei Jahre gültig, mit jährlichen Überwachungsaudits.
Medtec sparte mit den vorkonfigurierten Nachweispaketen und der automatisierten Massnahmenzuordnung von Priverion über 200 Stunden während der Vorbereitung auf ISO 27001. Dieselbe Automatisierung gilt für die Umsetzung von ISO 27701 – und macht aus Monaten manueller Arbeit Wochen fokussierten Einsatzes.
Medtec, Vorbereitungsphase ISO 27001
6. Wie ISO 27701 auf die DSGVO und andere Vorschriften abgebildet wird
Eines der wertvollsten Merkmale von ISO 27701 ist Anhang D: eine detaillierte Zuordnung der ISO-27701-Massnahmen zu bestimmten regulatorischen Anforderungen. Dies ist keine vage Übereinstimmung – es ist eine Massnahme-für-Massnahme-Zuordnung, die Auditoren und Aufsichtsbehörden genau zeigt, wie Ihr PIMS ihre Anforderungen erfüllt.
DSGVO-Zuordnung (Anhang D)
Die DSGVO-Zuordnung deckt zentrale Artikel ab, darunter:
- Artikel 5 (Grundsätze): Zugeordnet zu Massnahmen für Zweckbindung, Datenminimierung und Richtigkeit
- Artikel 6 (Rechtsgrundlage): Zugeordnet zu Massnahmen für Einwilligungsverwaltung und Bewertung berechtigter Interessen
- Artikel 12–22 (Rechte betroffener Personen): Zugeordnet zu Verfahren und Reaktionsmechanismen für die Bearbeitung von Betroffenenanfragen
- Artikel 25 (Datenschutz durch Technikgestaltung): Zugeordnet zu Massnahmen für Privacy Engineering und Standardeinstellungen
- Artikel 28 (Anforderungen an Auftragsverarbeiter): Zugeordnet zu den auftragsverarbeiterspezifischen Massnahmen aus Anhang B
- Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten): Zugeordnet zu Massnahmen für das Verarbeitungsverzeichnis-Management
- Artikel 33–34 (Meldung von Datenschutzverletzungen): Zugeordnet zu Massnahmen für Incident Response und Meldeworkflows
- Artikel 35 (DSFA): Zugeordnet zu Massnahmen für die Datenschutz-Folgenabschätzung
- Artikel 44–49 (Internationale Übermittlungen): Zugeordnet zu Massnahmen für grenzüberschreitende Übermittlungsmechanismen
Über die DSGVO hinaus: Zuordnung über mehrere Rechtsordnungen
ISO 27701 bietet zudem Zuordnungen zu:
- Brasiliens LGPD: Deckt Rechtsgrundlagen, Rechte betroffener Personen, Anforderungen an Datenschutzbeauftragte und Übermittlungsmechanismen ab
- Südafrikas POPIA: Ordnet die Bedingungen für rechtmässige Verarbeitung und die Pflichten des Information Officers zu
- US-amerikanische Datenschutzgesetze der Bundesstaaten (CCPA/CPRA): Behandelt Verbraucherrechte, Opt-out-Mechanismen und Anforderungen an Dienstleister
- Vorschriften im asiatisch-pazifischen Raum (PDPA, APPI): Deckt Einwilligungsrahmen und Anforderungen an grenzüberschreitende Übermittlungen ab
Für Organisationen, die in mehr als 6 Rechtsordnungen tätig sind, bedeutet dies: Sie bauen ein PIMS auf und nutzen die regulatorischen Zuordnungen, um Compliance Rechtsordnung für Rechtsordnung nachzuweisen – anstatt für jede Vorschrift separate Compliance-Programme aufzubauen.
7. Warum Mittelstandsunternehmen von OneTrust wechseln
Mit DSGVO-Bussgeldern von über 7,1 Milliarden Euro und einer sich beschleunigenden Durchsetzung sollte Ihre Compliance-Plattform Komplexität reduzieren, nicht zusätzliche schaffen. Hier ist, wie Priverion im Vergleich zu OneTrust für Mittelstandsunternehmen und Organisationen mit mehreren Einheiten abschneidet.
DSGVO-Bussgeldsumme: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026
Priverion
Gebaut für Mittelstandsteams mit mehreren Einheiten
-
Schweizer Datensouveränität, garantiert
In der Schweiz entwickelt und in der Schweiz gehostet. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss, sodass Ihre Daten von starkem Rechtsschutz profitieren – ohne die Anwendbarkeit des CLOUD Act (18 U.S.C. §2713), die mit in den USA gehosteten Plattformen einhergeht.
EU-Angemessenheitsstatus gemäss Beschluss der Europäischen Kommission
-
Einsatzbereit in Wochen, nicht Monaten
Intuitive Benutzeroberfläche, entwickelt für Datenschutzbeauftragte und Compliance-Verantwortliche, die über Tochtergesellschaften hinweg arbeiten. Kein dediziertes Implementierungsteam erforderlich und keine wochenlange Konfiguration, bevor Sie einen Nutzen sehen.
-
Vorhersehbare Preise, keine Erweiterungsfallen
Preisgestaltung nach Anzahl der Unternehmen und Grösse der Organisation. Nicht pro Benutzer, nicht pro Modul. Sie erhalten nie eine überraschende Rechnung, weil Ihr Team gewachsen ist oder Sie eine weitere Funktion aktiviert haben.
-
All-in-one-Management von Datenschutzprogrammen
Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Bearbeitung von Betroffenenanfragen, Incident-Management und KI-Register für die Bereitschaft auf den EU AI Act. Alles in einer Plattform, mit KI-gestützter Erstellung, bei der stets der Mensch die Massnahme behält.
-
Gruppenweite Transparenz ab dem ersten Tag
Einheitenübergreifendes Datenmapping, automatisierte Rezertifizierung des Verarbeitungsverzeichnisses und vorstandsfertige Dashboards, eigens für Organisationen entwickelt, die Compliance über mehrere Tochtergesellschaften und Rechtsordnungen hinweg steuern.
Typische Enterprise-Plattform


