GDPR & privacy

ISO 27701:2025 – Was sich geändert hat und warum das wichtig ist

ISO/IEC 27701 hat seit seiner Einführung die größte Überarbeitung erfahren. Die Ausgabe 2025 ist keine bloße Erweiterung von ISO 27001 mehr; sie ist ein vollständiger, eigenständiger Standard für das Datenschutzmanagement. Hier erfahren Sie, was sich geändert hat, warum das relevant ist und wie Sie sich vorbereiten können.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy3 Min. Lesezeit
ISO 27701:2025: What Changed and Why It Matters

ISO 27701 wirkte jahrelang wie eine unbeholfene Erweiterung, die auf ISO 27001 aufgeklebt wurde. Nützlich? Ja. Kohärent? Nicht wirklich.

Verantwortliche für den Datenschutz kämpften mit unklaren Geltungsbereichen, veralteten Kontrollen und der wiederkehrenden Frage: “Is this an add-on, or is this a real privacy management system?”

ISO 27701:2025 hat diese Diskussion beendet.

Das ist keine Überarbeitung. Es ist ein Redesign.

Die Ausgabe 2025 macht ISO 27701 zu einem vollwertigen Managementsystem mit eigenen Klauseln, eigenen Kontrollen und einem eigenen Zertifizierungsweg.

Es ist modern, auf die heutigen Datenschutz- und Sicherheitsrealitäten ausgerichtet und endlich so strukturiert wie jeder andere ISO-Managementsystemstandard.

Wenn Sie heute ein PIMS betreiben, betrifft dieses Update:

  • Ihr Governance-Modell
  • Ihre Rollen
  • Ihre SoA
  • Ihre Kontrollen
  • Ihre Verträge
  • Ihr Third-Party-Management
  • Ihre Audits
  • Ihre Roadmap für die nächsten 12–18 Monate

Die Änderungen werden hier klar, praxisnah und ohne Normungsgremien-Jargon erläutert.

1. ISO 27701 ist jetzt ein eigenständiges Managementsystem

Das ist die wesentliche Änderung; sie wird im Vorwort ausdrücklich festgehalten:

„Das Dokument wurde als eigenständiger Managementsystemstandard.”

Keine Abhängigkeit mehr von ISO 27001. Kein Erweiterungsmodell mehr. No more “you need 27001 certification first.”

Was das in der Praxis bedeutet

  • Sie können sich direkt gegen ISO 27701 zertifizieren lassen.
  • Die Datenschutz-Governance wird unabhängig von der Informationssicherheitsfunktion.
  • Organisationen können ein PIMS aufbauen, auch wenn sie kein vollständiges ISMS benötigen.
  • Auditoren werden 27701 mit derselben Strenge behandeln wie 9001 oder 27001.

Datenschutz ist jetzt eine erstklassige Disziplin; kein Schattendasein hinter der Informationssicherheit mehr.

2. Vollständig neu gefasste Klauseln (4–10)

Die gesamte Struktur spiegelt jetzt ISOs Harmonized Management System Framework wider:

  • Kontext
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Das war in 27701:2019 nicht vorhanden; die alte Version übernahm die Struktur von 27001.

Eine überraschende Ergänzung

Die Organisation muss bestimmen, ob der Klimawandel ein relevantes Thema für das PIMS ist.

„Die Organisation muss bestimmen, ob der Klimawandel is a relevant issue.”

Dies kann die Auswahl von Rechenzentren, die Resilienzplanung und die grenzüberschreitende Kontinuität der PII-Verarbeitung beeinflussen.

3. Rollen sind jetzt deutlich klarer (Verantwortlicher vs. Auftragsverarbeiter)

Die Ausgabe 2025 schärft die Definition der Rollen und führt eine verbindliche Trennung ein:

Wenn eine Organisation sowohl als Verantwortlicher als auch als Auftragsverarbeiter tätig ist, sind separate Rollen zu bestimmen, jeweils mit eigenen Kontrollen.

Auswirkung

  • Verantwortlichkeiten dürfen nicht zusammengeführt werden.
  • Ihre SoA muss beide Rollen unterscheiden.
  • Ihre Verträge, DPIAs und Lieferantenbewertungen müssen die tatsächlichen Verarbeitungsrollen widerspiegeln.

Das entspricht der GDPR-Realität deutlich genauer.

4. Annex A wurde vollständig neu aufgebaut

Annex A in der Ausgabe 2025 ist ein moderner, erweiterter Kontrollkatalog; kein recyceltes Mapping aus der 27001:2013-Ära wie in 2019.

Annex F listet alle Änderungen auf; einschließlich neu hinzugefügter Kontrollen. Hier sind einige der wichtigsten:

Neue Kontrollen in ISO 27701:2025

(alle aus Annex F referenziert)

Datenlebenszyklus:

  • Informationslöschung
  • Datenmaskierung
  • Prävention von Datenlecks

Engineering und Betrieb:

  • Sicheres Coden
  • Konfigurationsmanagement
  • Überwachungsaktivitäten

Cloud und Lieferkette:

  • Informationssicherheit für Cloud-Dienste

Resilienz:

  • IKT-Bereitschaft für die Geschäftskontinuität

Bedrohungsintelligenz:

  • Bedrohungsintelligenz (neue Kontrolle)

Das bringt das Datenschutzmanagement deutlich näher an die moderne Bedrohungslandschaft: Cloud-native Umgebungen, Engineering-Praktiken, Datenlebenszyklus und kontinuierliche Überwachung.

5. Aktualisierte Mapping-Annexe (GDPR, 29100, 27018, 29151)

Die Ausgabe 2025 enthält aktualisierte Crosswalks:

  • Annex C → ISO/IEC 29100 Privacy Framework
  • Annex D → GDPR
  • Annex E → ISO 27018 & 29151

Das ist relevant, weil die PIMS-Zertifizierung häufig als Nachweis gegenüber Kunden, Aufsichtsbehörden und Regulatoren dient.

Die Mappings sind jetzt klarer, strenger und stärker an den Durchsetzungserwartungen ausgerichtet.

6. Ein klarer Übergangspfad von 2019 auf 2025

Annex F enthält eine vollständige Mapping-Tabelle mit:

  • entfernten Kontrollen,
  • umbenannten Kontrollen,
  • konsolidierten Kontrollen,
  • neuen Kontrollen
  • und Änderungen an Anforderungen.

Das ist Ihre Migrationsroadmap.

Wenn Sie nach 27701:2019 zertifiziert sind, benötigen Sie:

  • eine neue SoA,
  • eine aktualisierte Risikobewertung,
  • aktualisierte DPIAs,
  • aktualisierte Verarbeitungsverzeichnisse,
  • aktualisierte Verträge,
  • neue Governance-Klauseln
  • und wahrscheinlich aktualisierte Werkzeuge.

Rechnen Sie mit einem einjährigen Transitionsplan.

7. Warum ISO 27701:2025 wichtiger ist denn je

Datenschutz ist keine Dokumentationsübung mehr; er ist operativ, technisch und strategisch.

Die Revision 2025 berücksichtigt endlich:

  • moderne Cloud-Ökosysteme
  • Engineering-Pipelines
  • Komplexitäten des Datenlebenszyklus
  • Bedrohungsintelligenz
  • technische Resilienz
  • sichere Entwicklung
  • Lieferantenrisiko
  • Überwachung und Erkennung
  • regulatorische Fragmentierung auf globalen Märkten

Mit anderen Worten:Datenschutz hat das moderne GRC-Zeitalter erreicht.

Abschließender Gedanke

ISO 27701:2025 ist kein einfaches Update; es ist ein Neustart.

Das Erweiterungsmodell ist tot. Datenschutz-Governance ist jetzt eine eigenständige Disziplin mit echtem operativem Gewicht. Und Organisationen müssen diesen Standard mit derselben Ernsthaftigkeit behandeln wie ISO 27001.

Wenn 27701:2019 darauf abzielte, Datenschutz zu dokumentieren, geht es bei 27701:2025 darum, Datenschutz zu betreiben.

Wenn Sie einen klaren, praxisorientierten Migrationsplan wünschen; einschließlich einer neuen SoA, einer vollständigen Gap-Analyse von 2019 auf 2025 und einer schrittweisen Transitions-Roadmap; genau das vermitteln wir im Cyber Academy ISO27701:2025 Lead Implementer Masterclass. Nehmen Sie an der nächsten Session teil und modernisieren Sie Ihr PIMS ohne das übliche Chaos.

← Zurück zu allen ArtikelnMehr zu GDPR & privacy

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.

Newsletter abonnierenBack to articles