Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance
Datenschutz-Managementsystem

ISO 27701: Datenschutz systematisch verankern.

Die Erweiterung zu ISO 27001 für ein nachweisbares Privacy Information Management System. DSGVO-Anforderungen strukturiert erfüllt und auditierbar gemacht.

ISO 27001 DSGVO Datenschutz-Audit
2019
Veröffentlichungsjahr des ersten internationalen Standards für Datenschutz-Managementsysteme
PIMS
Privacy Information Management System als Erweiterung zu ISO 27001
Nachweis
Strukturierter Konformitätsnachweis gegenüber Kunden und Aufsichtsbehörden
Was ist ISO 27701

Datenschutz als Managementsystem.

ISO 27701 erweitert ein bestehendes ISMS nach ISO 27001 um datenschutzspezifische Anforderungen. Das Ergebnis ist ein Privacy Information Management System (PIMS), das sowohl Informationssicherheit als auch Datenschutz in einem integrierten Rahmen abbildet.

Der Standard adressiert die Rollen des Verantwortlichen und des Auftragsverarbeiters getrennt und schafft damit eine direkte Brücke zur DSGVO. Unternehmen, die ISO 27701 umsetzen, können ihre Datenschutz-Compliance strukturiert nachweisen.

ISO 27701 auf einen Blick

Erweiterung zu ISO 27001
DSGVO-Mapping enthalten
Verantwortlicher & Auftragsverarbeiter
Aufbauend auf bestehendem ISMS
Anhang D mit DSGVO-Artikeln
Getrennte Anforderungssets
Zertifizierbar durch akkreditierte Stellen
Nachweis gegenüber Kunden und Behörden
Leistungsumfang

Was wir für Sie übernehmen.

Gap-Analyse & Planung

  • Bestandsaufnahme des bestehenden ISMS nach ISO 27001
  • Identifikation der Datenschutzlücken gegenüber ISO 27701
  • Mapping der DSGVO-Anforderungen (Anhang D)
  • Priorisierter Umsetzungsplan

PIMS-Aufbau

  • Erweiterung des ISMS um datenschutzspezifische Controls
  • Rollendefinition: Verantwortlicher und Auftragsverarbeiter
  • Integration von VVT, DSFA und Betroffenenrechten
  • Anpassung bestehender Richtlinien und Prozesse

Dokumentation & Nachweise

  • PIMS-Richtlinie und datenschutzspezifische Prozessbeschreibungen
  • Statement of Applicability (SoA) für ISO 27701 Controls
  • AV-Verträge und Drittland-Transfers dokumentiert
  • Audit-Checklisten und Nachweisarchiv

Zertifizierungsvorbereitung

  • Internes Audit nach ISO 27701
  • Management-Review und Behandlung von Findings
  • Auditor-Briefing und Begleitung im Zertifizierungsaudit
  • Laufende PIMS-Pflege nach Zertifizierung
Vorgehensweise

Vom ISMS zum PIMS.

01

Gap-Analyse

Bestandsaufnahme des ISMS und Identifikation der Datenschutzlücken gegenüber ISO 27701.

02

PIMS-Design

Controls, Rollen, SoA und DSGVO-Mapping aufbauen. Richtlinien und Prozesse anpassen.

03

Umsetzung

Maßnahmen implementieren, Nachweise aufbauen, internes Audit durchführen.

04

Zertifizierung

Auditbegleitung, Findings nachverfolgen, Zertifikat erhalten und PIMS laufend pflegen.

FAQ

Häufige Fragen zu ISO 27701 und dem Datenschutz-Managementsystem.

Verwandte Themen

Anhang D der ISO 27701 ordnet jedem Normabschnitt konkrete Artikel der DSGVO zu. Damit wird direkt sichtbar, welche Normkontrolle welche DSGVO-Anforderung unterstützt. Für Unternehmen erleichtert das die Dokumentation ihrer DSGVO-Compliance erheblich: Der Nachweis lässt sich nicht mehr nur textuell, sondern strukturiert und auditierbar führen.

ISO 27701 baut auf ISO 27001 auf und erweitert es um datenschutzspezifische Kontrollen. Eine Zertifizierung nach ISO 27701 setzt eine bestehende ISO 27001 Zertifizierung voraus. Das Ergebnis ist ein kombiniertes ISMS/PIMS-Zertifikat.

Ja, ISO 27701 bietet eine strukturierte Methode zur Umsetzung vieler DSGVO-Anforderungen. Ein ISO 27701-Zertifikat kann als Nachweis gegenüber Aufsichtsbehörden und Geschäftspartnern dienen, ersetzt die DSGVO-Compliance aber nicht vollständig.

Besonders profitieren Unternehmen, die in großem Umfang personenbezogene Daten verarbeiten und das gegenüber Kunden oder Behörden nachweisbar machen müssen. Cloud-Dienstleister, HR-Plattformen und Marketing-Dienstleister gehören zu den typischen Anwendungsfällen. Darüber hinaus ist ISO 27701 interessant für jedes Unternehmen, das Datenschutz aktiv als Wettbewerbsvorteil kommunizieren und mit einem anerkannten Standard untermauern möchte.

Die Dauer hängt davon ab, ob bereits ein ISO 27001 ISMS existiert. Bei vorhandenem ISMS sind typischerweise 3 bis 6 zusätzliche Monate für die datenschutzspezifische Erweiterung realistisch.

Die Kosten hängen von der Ausgangssituation und dem Umsetzungsumfang ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

ISO 27701 als Erweiterung Ihres ISMS.

Sprechen Sie uns an. Wir zeigen, wie Sie mit überschaubarem Aufwand ein zertifizierbares Datenschutz-Managementsystem aufbauen.

Erstgespräch buchen