Standard-Update zum Datenschutz-Management : Emanzipation der ISO/IEC 27701:2025 zum Stand-alone-Standard für Informations- und Cyber-Sicherheit sowie Privacy-Protection

Aus nachrangig wird eigenständig

Diese Entwicklungen dürften der Popularität des vor wenigen Wochen von der International Standards Organization (ISO) publizierten Standards ISO/IEC 27701:2025 „Information security, cybersecurity and privacy protection – Privacy information management systems – Requirements and guidance“ sehr zuträglich sein. Der Standard legt Anforderungen und Anleitungen für sogenannte Privacy-Information-Management-Systems (PIMS) fest – oft salopp als Datenschutzmanagementsystem (DSMS) ins Deutsche übersetzt. Dieses Mal sollte man sich jedoch vor der Übersetzung noch einmal ausführlicher Gedanken über die Äquivalenz der Begriffe „Privacy“ und „Datenschutz“ beziehungsweise „PIMS“ und „DSMS“ machen.

In puncto Terminologie verweist ISO/IEC 27701:2025 auf die IEC Electropedia (www.electropedia.org): Der Begriff „Privacy“ beschreibt demnach sinngemäß das Recht einer Person/Organisation, selbst zu bestimmen, in welchem Umfang die Vertraulichkeit ihrer privaten Informationen gewahrt bleibt, und wird in der Electropedia als „Privatsphäre“ übersetzt. „Datenschutz“ korrespondiert hingegen mit „Data Protection“, unter der – mit Verweis auf ISO/IEC 2382:2015 „Information technology – Vocabulary“– die Umsetzung administrativer, technischer oder physischer Maßnahmen zum Schutz vor unbefugtem Zugriff auf Daten verstanden wird.

Eine wesentliche Veränderung des ISO/IEC 27701:2025 gegenüber der Version aus dem Jahr 2019 besteht darin, dass der Standard nun als „Stand-alone Management System Standard“ anwendbar ist. Die ISO/IEC 27701:2019 „Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines“ war ausdrücklich als Erweiterung der Standards zum InformationssicherheitsManagement konzipiert. Neben der definitorischen und begrifflichen Eingliederung in die ISO/IEC-27000-Familie (Information Security Management System) wurde darin explizit auf folgende Standards verwiesen: ISO/IEC 27001:2013 „Information technology – Security techniques – Information security management systems – Requirements“ sowie ISO/IEC 27002:2013 „Information technology – Security techniques – Code of practice for information security controls“. Überdies war eine Erweiterung der bestehenden ISMS-Zertifizierungen gemäß ISO/IEC  27001 um den Themenblock „Datenschutz/Privacy“ angedacht, wofür noch die formellen Voraussetzungen geschaffen werden mussten.

Neuer Rahmen

Die jetzige ISO/IEC 27701:2025 ist etwa doppelt so umfangreich wie ihre rund 40 Seiten zählende Vorgängerin. Die darin erfassten Anforderungen an PIMS stellen keine Ergänzung oder Erweiterung der Anforderungen des zertifizierbaren Standards ISO/IEC  27001 mehr dar. Es wurde zudem auf das Mapping und die Referenzierung zu den ISMS-Standards sowie auf die etwas holprige Formulierung verzichtet, die „Information Security“ an relevanten Stellen bislang einfach durch „Information Security and Privacy“ ersetzt hatte.

Stattdessen verweist ISO/IEC  27701:2025 auf das Rahmenwerk, die Definitionen und Grundlagen aus ISO/IEC 29100 „Information technology – Security techniques – Privacy framework“, sowie auf ISO/IEC 27018:2025 „Information security, cybersecurity and privacy protection – Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processors“ und ISO/IEC 29151:2017 „Information technology – Security techniques –Code of practice for personally identifiable information protection“, die in den nächsten Monaten durch ISO/IEC FDIS 29151 „Information security, cybersecurity and privacy protection – Controls, requirements, and guidance for personally identifiable information protection“ ersetzt werden dürfte.

Darüber hinaus nimmt der neue Standard explizit Bezug auf die EU Datenschutzgrundverordnung (DSGVO bzw. EU General Data Protection Regulation, GDPR) – mit dem Hinweis auf die Existenz weiterer lokaler und nationaler Regelungen. Ein umfangreiches Mapping im Anhang des Standards enthält Querverweise zwischen den Controls und Abschnitten des Dokuments sowie den entsprechenden Artikeln der DSGVO und/oder den Abschnitten der genannten Standards. Ein sieben Seiten umfassender Vergleich beider ISO/IEC-27701-Versionen im Annex zeigt zudem, wie sehr sich die Struktur des Dokuments beim Übergang zum „Stand-alone“-Standard verändert hat.

Mit der Umwandlung in einen eigenständigen Standard hat sich auch das zuvor recht aufwendige Verfahren zur Aktualisierung der referenzierten Standards erübrigt, sobald sich Änderungen im ISO/IEC 27701 oder im ISO/IEC 27001 ergaben. Die beiden Standards wurden nämlich nicht simultan, sondern konsekutiv angepasst oder novelliert. Auf die Veröffentlichung des ISO/ IEC 27701:2019 folgten 2022 Überarbeitungen der ISO/ IEC 27001 „Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems – Requirements“ sowie der ISO/IEC 27702 „Information Security, Cybersecurity and Privacy Protection – Information Security Controls“. Die neue ISO/IEC 27701 wurde im Oktober 2025 publiziert.

Es wird dennoch ausdrücklich darauf hingewiesen, dass ISO/IEC 27701 weiterhin mit anderen Managementsystemstandards kompatibel ist und Organisationen weiterhin die Möglichkeit bietet, ihr PIMS mit den Anforderungen des in ISO/IEC 27001 festgelegten Informationssicherheits-Managementsystems (ISMS) abzugleichen oder zu integrieren.

Umgang mit personenbezogenen Daten

Gegenstand des Standards ist eine besondere Gruppe von Informationen – nämlich die Personally Identifiable Information (PII) oder im Deutschen: personenbezogene Daten. Der Standard ist auf Organisationen aller Größen und Arten anwendbar, einschließlich öffentlicher und privater Unternehmen, staatlicher Stellen und Behörden sowie gemeinnütziger Organisationen.

Das Dokument richtet sich sowohl an „PII Controller“ (Verantwortliche) als auch an „PII Processors“ (Auftragsverarbeiter) – Letztere einschließlich Unterauftragsverarbeitern und solchen, die personenbezogene Daten als Subunternehmer für Verantwortliche verarbeiten. Dementsprechend ist die ISO/IEC 27701 so strukturiert, dass spezifische Anforderungen und Anleitungen für beide Zielgruppen getrennt definiert werden – sowie zusätzlich jene Anforderungen und Pflichten, die für beide Gruppen gleichermaßen gelten. Der Annex B ist dementsprechend in drei Abschnitte unterteilt:

• 1 enthält die Anleitungen zur Implementierung für Verantwortliche (PII Controller),
• 2 die entsprechenden für Auftragsverarbeiter (PII Processors) und
• 3 die Themen, die für beide Gruppen gleichermaßen gelten.

Besonderheiten der PIMS-Implementierung für Verantwortliche sind – neben den typischen Elementen eines Managementsystems wie Privacy-Impact-Assessment oder Zugriffsberechtigungen – auch spezielle Aspekte der Verarbeitung personenbezogener Daten, die an die DSGVO-Anforderungen angelehnt sind. Dazu gehören etwa Verträge über die Verarbeitung dieser Daten, Informationen und Auskünfte an Betroffene (PII Principals), Vorgaben zum Datentransfer und -austausch sowie ein vergleichsweise umfangreicher Abschnitt  B.1.4, der sich mit den Themen „Privacy by Design“ und „Privacy by Default“ befasst. Hier sind Grundsätze wie Datenminimierung, das Löschen personenbezogener Daten nach Wegfall des Verarbeitungszwecks oder Anforderungen an die Datenqualität verankert.

Ein kurzer Abschnitt (B.1.3.11) ist ausdrücklich der automatisierten Entscheidungsfindung (Automated Decision-Making) gewidmet – mit einem klaren Bezug zur DSGVO und zu aktuellen Urteilen des EuGH (vgl. etwa [4]): Es wird darauf verwiesen, dass in einigen Jurisdiktionen die Verarbeitung personenbezogener Daten nicht vollständig automatisiert erfolgen darf. Die Anleitung zur Implementierung betont, dass bei Entscheidungen, die ausschließlich auf automatisierter Verarbeitung personenbezogener Daten beruhen, spezifische lokale oder nationale Normen zu berücksichtigen sind. Solche Entscheidungen müssen die Möglichkeit für Betroffene einschließen, einer solchen Entscheidung zu widersprechen oder eine menschliche Überprüfung zu verlangen.

Auftragsverarbeiter sollten bei der Implementierung des Standards zusätzlich einige besondere Themen beachten: Dazu gehören Vorgaben zu Werbung und Marketing sowie spezifische Dokumentations- und Informationspflichten im Falle der – legalen wie illegalen – Offenlegung oder Bekanntgabe personenbezogener Daten an Dritte, etwa im Rahmen von Anfragen oder Auskunftsersuchen. Personenbezogene Daten (PII) können tatsächlich auch im normalen Geschäftsbetrieb offengelegt werden – solche Offenlegungen sollte man dann dokumentieren. ISO/IEC 27701:2025 verweist zudem auf etwaige Pflichten, von einer Offenlegung betroffene Personen über diese zu informieren. Auch Offenlegungen an Dritte – beispielsweise im Zuge interner oder externer Ermittlungen oder Audits – sollten dokumentiert werden, einschließlich der Ursache der Offenlegung sowie der rechtlichen oder organisatorischen Grundlage (z.B. „Audit“, „Investigation“ etc.).

PIMS-Definition

Die Anleitung zur Implementierung des PIMS unter der Ziffer B.3, die sowohl für Verantwortliche als auch für Auftragsverarbeiter gilt, umfasst die typischen Bestandteile eines Managementsystems, die sich an der Implementierung eines ISMS orientieren. Sie enthält Vorgaben zur Klassifizierung von Informationen, zum Identitätsmanagement, zu Zugriffsrechten, Schulungen und Sensibilisierungsmaßnahmen für Informationssicherheit, zu Vertraulichkeitserklärungen (NDAs), zur Aufbewahrung, Nutzung und Entsorgung von Geräten und Datenträgern, zu Backup, Protokollierung, Einsatz von Kryptografie und Softwaresicherheit.

Maßnahmen und Kontrollen, die zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und Systemen gemäß ISO/IEC 27001 geeignet sind, erweisen sich demnach auch beim Schutz personenbezogener Daten als nützlich, sinnvoll und wirksam – mit bestimmten Abweichungen und Ausnahmen, die ISO/ IEC 27701:2025 erläutert.

Dies gilt beispielsweise für die Bereiche „Information Security Incident Management Planning and Preparation“ (B.3.11) sowie „Response to Information Security Incidents“ (B.3.12): Hier wird ausdrücklich darauf hingewiesen, dass Zuständigkeiten und Verfahren für die Identifizierung und Dokumentation von Verstößen gegen den Schutz personenbezogener Daten im Rahmen des allgemeinen Incident-Management-Prozesses festgelegt werden sollten. Darüber hinaus sollte man Zuständigkeiten und Verfahren zur Benachrichtigung relevanter Parteien (z.B. Betroffener) über Datenpannen – einschließlich der Fristen für solche Benachrichtigungen – sowie zur Meldung an Behörden unter Berücksichtigung der geltenden gesetzlichen Anforderungen etablieren. Ebenso wird betont, dass spezifische lokale Vorschriften zum Umgang mit Datenpannen – einschließlich Meldepflichten – bekannt und dokumentiert sein sowie deren Anforderungen erfüllt werden müssen.

Umgang mit Datenschutzbrüchen

Reaktionen auf Datenpannen unterscheiden sich für Verantwortliche und Auftragsverarbeiter – dabei gilt: Nicht jedes Sicherheitsereignis ist zugleich eine Datenpanne. Daher sollte jeder IT-Sicherheitsvorfall, der personenbezogene Daten betrifft, im Rahmen des Incident-Managements überprüft werden, um festzustellen, ob tatsächlich eine Datenpanne vorliegt, die eine Reaktion erfordert. Ein Informationssicherheitsereignis führt ja nicht zwangsläufig zu einem (tatsächlichen oder wahrscheinlichen) erheblichen unbefugten Zugriff auf personenbezogene Daten oder auf Systeme, die solche Daten speichern. Beispiele hierfür sind – ohne Anspruch auf Vollständigkeit – Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe oder Paket-Sniffing.

Für PII-Controller enthält die Anleitung zur Implementierung auch den Hinweis, dass Benachrichtigungen an die zuständigen Behörden, sofern diese gesetzlich vorgeschrieben sind, klar und verständlich formuliert sein sollten. Eine solche Benachrichtigung kann gemäß ISO/ IEC 27701:2025 folgende Angaben enthalten:

• eine Beschreibung und die wahrscheinlichen Folgen des Verstoßes,
• eine Beschreibung des Verstoßes einschließlich der Anzahl der betroffenen Personen und Datensätze sowie
• ergriffene oder geplante Maßnahmen.

Wenn eine Datenpanne aufgetreten ist, sollte diese dokumentiert werden (gleichermaßen durch Verantwortliche wie Auftragsverarbeiter). Die Dokumentation sollte relevante Informationen enthalten, um eine Meldung an die zuständigen Behörden zu ermöglichen und/ oder für forensische Zwecke genutzt zu werden. Zu den Inhalten gehören allem voran:

• Beschreibung des Vorfalls,
• Zeitraum,
• Folgen des Vorfalls,
• Name der meldenden Person,
• Empfänger der Meldung,
• Maßnahmen zur Behebung des Vorfalls (einschließlich verantwortlicher Personen und wiederhergestellter Daten) sowie
• die Feststellung, ob der Vorfall zu einer Nichtverfügbarkeit, einem Verlust, einer Offenlegung oder einer Veränderung personenbezogener Daten geführt hat.

Falls personenbezogene Daten kompromittiert wurden, sollte die Dokumentation auch eine Beschreibung der betroffenen Daten enthalten, soweit bekannt. Ebenso sollte man die getroffenen Schritte zur Information der betroffenen Personen, der Aufsichtsbehörden oder der Kunden dokumentieren.

Hinweise zur Umsetzung für PII-Processors betreffen außerdem vertragliche Verpflichtungen hinsichtlich der Benachrichtigung über Datenpannen oder Verstöße im Zusammenhang mit personenbezogenen Daten. Der Vertrag sollte regeln, wie die Organisation Informationen bereitstellt, die der Auftraggeber benötigt, um seinen Meldepflichten gegenüber den zuständigen Behörden nachzukommen. Im Vertrag sollten außerdem – sofern gesetzlich vorgeschrieben – die Fristen für Meldungen oder Benachrichtigungen über Datenpannen festgelegt werden.

In einigen Rechtsordnungen sind Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich (d.h. sobald die Datenpanne entdeckt wird) über eine Datenschutzverletzung zu informieren, damit dieser entsprechende Maßnahmen ergreifen kann. Wenn Benachrichtigungen erfolgt sind, sollten die getroffenen Schritte zur Information des Auftraggebers oder der zuständigen Behörden ebenfalls dokumentiert werden. In einigen Fällen können geltende gesetzliche Vorschriften verlangen, dass eine Organisation eine Datenschutzverletzung direkt den zuständigen Aufsichtsbehörden (z.B. einer Datenschutzbehörde) meldet. Auch dies sollte im Falle eines Sicherheitsvorfalls sowie in den entsprechenden Verträgen berücksichtigt werden.

Angleichung an die DSGVO

Zum Vergleich: Eine Meldung über eine Datenschutzverletzung (Data-Breach) an die zuständige Behörde soll gemäß Art. 33 Abs. 3 DSGVO – soweit diese Tatsachen bekannt sind – mindestens folgende Punkte enthalten (vgl. etwa [5]):

• Nennung des oder der Verantwortlichen (auch wenn das Gesetz dies nicht explizit fordert),
• Beschreibung der Verletzung,
• soweit möglich, Angabe zu den Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen personenbezogenen Datensätze,
• Kontakt zum Datenschutzbeauftragten* oder einer zuständigen Person,
• Beschreibung der wahrscheinlichen Folgen der Verletzung,
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.

An mehreren Stellen der ISO/IEC  27701:2025 ist erkennbar, dass bei der Formulierung von Anforderungen und Anleitungen zur Umsetzung von PIMS die europäische Datenschutzgrundverordnung als maßgebliche Inspirationsquelle gedient hat. Dies betrifft nicht nur das Incident-Management, Benachrichtigungs- oder Meldepflichten, sondern auch den Einsatz kryptografischer Verfahren sowie die bereits angesprochenen Prinzipien „Privacy by Design“ und „Privacy by Default“.

Wie häufig und an welchen Stellen des Standards explizit auf die Vorgaben der DSGVO Bezug genommen wird, zeigt Annex D, der ein Mapping der Abschnitte des Standards auf die Artikel der DSGVO enthält. Ungeachtet der Verweise auf weitere regulatorische und lokale gesetzliche Rahmenbedingungen wurde die EU-Verordnung somit ausdrücklich in den Standard integriert.

Ausblick

Es wäre daher denkbar, dass – angesichts der Diskussion über eine DSGVO-Reform, die unmittelbar auf die Wahlkampf-Vorschläge zum Abbau der Datenschutzbürokratie folgte (vgl. etwa [6]) – künftig stärker darauf geachtet wird, welchen Einfluss die DSGVO auf die Gestaltung internationaler Standards genommen hat. Umgekehrt könnte sich auch der europäische Gesetzgeber bei der (oft noch ausstehenden) Operationalisierung der Vorgaben aus der Verordnung von Normen wie ISO/ IEC 27701 inspirieren lassen – Privacy by Design und by Default wären dabei ein sinnvoller Ausgangspunkt.

Internationale Standards wie der vorgestellte ließen sich perspektivisch zudem auch auf andere Konzepte übertragen: etwa auf die bislang noch wenig konkretisierten Ansätze zu „Security by Design“. In der Cybersicherheitsstrategie für Deutschland 2021 [7] heißt es dazu: „Zukunfts- und Schlüsseltechnologien wie IoT, KI, Blockchain, Big Data oder Quantentechnologie sorgen für Innovationssprünge und verändern die Rahmenbedingungen für die Cybersicherheit in Deutschland. Sie eröffnen neue Potenziale, um bestehende Instrumente der Cybersicherheit zu verbessern. Gleichzeitig können hierdurch neue Cyberrisiken entstehen. Um Anwenderinnen und Anwender zu schützen, muss die Sicherheit der Schlüsseltechnologien deshalb bereits als zentraler Baustein im Entwicklungsprozess verankert und im Sinne eines Security-by-Design-Ansatzes gelebt werden.“ Dies gilt nicht nur, aber besonders auch für automatisierte Entscheidungsprozesse und künstliche Intelligenz (KI).

Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditorin und IT-Compliance-Manager, Sachverständige für IT-Sicherheit sowie Mitglied im Leitungskreis der FG „Datenschutzfördernde Technik (Privacy-Enhancing Technologies)“ der GI e.V

Literatur

_{[1] CDU, CSU, SPD, Verantwortung für Deutschland, Koalitionsvertrag, 21. Legislaturperiode, Mai 2025, www.koalitionsvertrag2025.de/sites/www.koalitionsvertrag2025.de/files/koav_2025.pdf}

_{[2] Bundesministerium des Innern (BMI), Evaluierung der Cybersicherheitsstrategie für Deutschland 2021, August 2025, www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/BMI25069-evaluierung-cybersicherheitsstrategie2021.pdf, S. 14–15}

_{[3] European Union Agency for Cybersecurity (ENISA), National Capabilities Assessment Framework, Dezember 2020, www.enisa.europa.eu/publications/national-capabilities-assessment-framework}

_{[4] Stefan Schmidbauer, EuGH zieht Grenzen für das Schufa-Scoring, Legal Tribune Online (LTO), Dezember 2023, www.lto.de/recht/kanzleien-unternehmen/k/eugh-entscheidung-urteil-c63421-c2622-c6422-bonitaet-score-zahlungsprognose-vorlage-vg-wiesbaden-schufa}

_{[5] Karina Filusch, Dr. Aleksandra Sowa, Meldepflichten bei Sicherheitsvorfällen und Datenpannen, Status quo und Ausblick, PinG – Privacy in Germany 01.24, S.  1, Januar 2024, https://doi.org/10.3730 7/j.2196-9817.2024.01.03 (kostenpflichtig), frei verfügbar via https://kanzlei-filusch.de/wp-content/uploads/2024/03/PinG_2024-01_Filusch_personalisiert.pdf} 

_{[6] Christiane Wendehorst, Warum wir Datenschutz neu denken müssen, FAZ Pro Digitalwirtschaft, Oktober 2025, www.faz.net/pro/digitalwirtschaft/transformation/dsgvo-reform-warum-wir-datenschutz-neu-denkenmuessen-110729806.html}

_{[7] Bundesministerium des Innern, für Bau und Heimat, Cybersicherheitsstrategie für Deutschland 2021, August 2021, www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2021/09/cybersicherheitsstrategie-2021.pdf}