Mit der Veröffentlichung der aktualisierten Norm ISO/IEC 27701:2025 wird ein wichtiger struktureller Wandel vollzogen, der massgebliche Auswirkungen auf die Art und Weise hat, wie Unternehmen weltweit ihr Datenschutz-Managementsystem (DSMS) etablieren und zertifizieren lassen können.

DSMS jetzt eigenständig und übersichtlicher

Die wohl bedeutendste Neuerung des Updates ist die Struktur des Standards. Die neue Version ISO/IEC 27701:2025 wird zu einem eigenständigen, zertifizierbaren Standard für Datenschutz Managementsysteme (DSMS) und gilt nicht mehr nur als reines Add-on zur ISO/IEC 27001 (dem Standard für Informationssicherheits-Managementsysteme, ISMS).

Dieser strukturelle Wandel bedeutet, dass Organisationen ihr DSMS nun unabhängig von einem bereits voll etablierten und nach ISO/IEC 27001 zertifizierten ISMS einführen und prüfen lassen können. Der Standard bietet eine deutlich übersichtlichere Struktur und einen eigenständigen Fokus auf den Datenschutz. Davon profitieren besonders Unternehmen, deren Kerngeschäft in der Bearbeitung von Personendaten liegt und die den parallelen Aufbau zweier Managementsysteme vermeiden möchten.

Die weiteren Kernaspekte und Neuerungen der ISO/IEC 27701 werden nachfolgend aufgezeigt:

• Eigenständiges DSMS: Wie oben bereits erwähnt, ist der Standard nun ein vollwertiger Managementsystem-Standard, der sich ausschliesslich auf Datenschutzrisiken und -kontrollen konzentriert. Der Standard ist allerdings wie alle anderen aktuellen ISO-Managementsystem-Normen aufgebaut (mit Fokus auf Führung, Einbettung und kontinuierliche Verbesserung etc.). Dies vereinfacht das Verständnis und die Zusammenführung mit anderen Managementsystemen.
• Erweiterte Anleitung für Auftragsbearbeiter und Verantwortliche: Die Prüfanforderungen und die Umsetzungsanleitung für datenbearbeitende Organisationen (Auftragsbearbeiter) sowie für Organisationen, die über Zweck und Mittel der Bearbeitung entscheiden (Verantwortliche), wurden geschärft und erweitert.
• Fokus auf Datenschutzgrundsätze: Der Standard fordert eine erhöhte Transparenz bei der Bearbeitung von Personendaten innerhalb von Systemen. Er legt besonderen Wert auf fundamentale Datenschutzprinzipien wie z. B. Informationspflichten, Datensparsamkeit, Datensicherheit sowie Privacy by Design und Privacy by Default. Darüber hinaus unterstreicht die ISO 27701, dass die Pflichten der beteiligten Akteure innerhalb digitaler Ökosysteme ganzheitlich und im Zusammenspiel betrachtet werden müssen, statt die Verantwortlichkeiten der einzelnen Parteien isoliert zu bewerten.
• Berücksichtigung rechtlicher Anforderungen: ISO 27001 berücksichtigt rechtliche Anforderungen auf methodischer Ebene. ISO 27701 ist darauf ausgerichtet, die Harmonisierung mit Datenschutzbestimmungen der Datenschutzgrundverordnung (DSGVO) zu erleichtern. Im Anhang D werden die Massnahmen der Norm und die gesetzlichen Anforderungen gegenübergestellt.

Vorteil des ISO/IEC 27701

Aus den oben aufgeführten Punkten ergeben sich im Kontext des Datenschutzes folgende Vorteile, die über die Anforderungen der ISO/IEC 27001 hinausgehen:

• Klarer Fokus: Der grösste Vorteil liegt im klaren Fokus auf den Datenschutz. Die Unabhängigkeit des ISO/IEC 27001 ermöglicht es, die Anforderungen ausschliesslich auf die notwendigen InfoSec-Controls zu beschränken, welche einen direkten Impact auf die Datenschutzrisiken haben. Dadurch können Unternehmen, die primär Datenschutz-Herausforderungen (und weniger komplexe Informationssicherheits-Anforderungen) bewältigen müssen, vermeiden, sich in den Detail-Anforderungen eines umfassenden ISMS zu verlieren. Dies macht die Zertifizierung attraktiver und gezielter – besonders für Organisationen, die mehrheitlich Personendaten bearbeiten (z. B. für Spitäler, Arztpraxen und spezialisierte Dienstleister).
• Stärke des Stakeholder-Vertrauens: Durch eine unabhängige Zertifizierung nach ISO/IEC 27701 signalisieren Unternehmen ein klares Engagement für die Wahrung des Datenschutzes. Dies schafft Vertrauen bei Kunden, Partnern und Aufsichtsbehörden – ein immaterieller, aber kritischer Wettbewerbsvorteil.
• Reduzierte Komplexität und bessere Abstimmung: Der neue Standard ist so konzipiert, dass er sich nahtlos in andere bestehende Managementsysteme (z. B. ISO/IEC 9001 für Qualität oder ISO/IEC 42001 für Künstliche Intelligenz) einfügt. Wenn die verschiedenen Managementsysteme aufeinander abgestimmt sind, nimmt die Gesamtkomplexität ab. Dies ermöglicht eine effizientere Steuerung und erleichtert auch eine spätere Kombination oder Ergänzung um ein vollwertiges ISMS.

Kritische Betrachtung: Mehrwert ISO/IEC 27701 gegenüber ISO/IEC 27001

ISO/IEC 27701 basiert mit seinen Kontrollmechanismen und seiner Struktur auf der ISO/IEC 27001. Die entscheidende Frage lautet: Bietet die neue, eigenständige Version inhaltlich einen echten Mehrwert?

Die Antwort liegt in der strategischen Entkopplung und der Spezialisierung. Wie oben bereits hervorgehoben, hebt die Anpassung der Norm die Tatsache hervor, dass Datenschutz ein wichtiges Themengebiet für sich darstellt, das abhängig des Umfang der Bearbeitung von Personendaten bzw. der Art der bearbeiteten Personendaten aus einem eigenen Blickwinkel betrachtet werden sollte – nicht nur als Teil der Sicherheit. Der eigentliche Mehrwert ist, dass ISO/IEC 27701 Organisationen dazu anleitet, ausschliesslich und detailliert die Anforderungen des Datenschutzes in den Mittelpunkt zu stellen und sich mit den spezifischen Fragen zu den Risiken für die Privatsphäre der betroffenen Personen zu beschäftigen. ISO/IEC 27701 signalisiert, dass ein DSMS eine eigene Governance-Ebene verdient und erhöht die Zugänglichkeit für Unternehmen, die Datenschutz zunächst unabhängig von ihrem ISMS formalisieren möchten. Die erweiterte Anleitung für KI-Ökosysteme ist zudem ein wichtiger inhaltlicher Fortschritt.

Fazit und Call to Action

Die Anpassung der Norm ISO/IEC 27701 wird der Tatsache gerecht, dass der Datenschutz ein wichtiges Themengebiet für sich darstellt und aus einem eigenen Blickwinkel betrachtet werden sollte - nicht nur als Teil der Sicherheit. Dieser neue Standard bietet Unternehmen die Möglichkeit, ihre Compliance- und Risikomanagement-Strategien flexibler und gezielt auf die Herausforderungen des Datenschutzes auszurichten.

Die Umstellung erfordert strategische Voraussicht und eine strukturierte Planung, insbesondere für Organisationen, die bereits nach der Version von 2019 zertifiziert sind. Proaktive Vorbereitung ist der Schlüssel zur erfolgreichen Transition.

Haben Sie Fragen zur Umstellung auf den neuen ISO/IEC 27701 Standard, oder benötigen Sie Unterstützung beim Aufbau eines robusten, unabhängigen DSMS? Wir freuen uns über Ihre Kontaktaufnahme. Unsere Experten von Redguard stehen bereit, um Sie sicher und erfolgreich durch den Prozess zu begleiten.