Blog/Guides & Praxis

ISO 27001 und DSGVO: So stützt dein ISMS den Datenschutz

Wie ein ISO 27001 ISMS deine DSGVO-Pflichten stützt. 8 konkrete Empfehlungen für Art. 32 DSGVO, Meldepflichten und Nachweise. Praxisnah erklärt.

ISO 27001 und DSGVO: So stützt dein ISMS den Datenschutz
Julian Köhn
|Lesezeit: 6 Minuten

ISO 27001 und die DSGVO begegnen sich häufiger, als viele denken. Die eine Norm regelt Informationssicherheit. Die andere ist EU-Gesetz für den Schutz personenbezogener Daten. Beide treffen sich an einer Stelle: bei den technischen und organisatorischen Maßnahmen, kurz TOMs.

Wer ein ISMS nach ISO 27001 betreibt, hat schon viel geleistet. Vor allem die DSGVO-Pflichten zur Sicherheit sind dann meist abgedeckt. Genau hier setzt dieser Beitrag an. Wir zeigen, wo sich beide treffen und wo nicht. Du bekommst acht konkrete Empfehlungen, wie du dein ISMS gezielt für den Datenschutz nutzt.

Eine ausführliche Gegenüberstellung beider Standards findest du in unserem Vergleich ISO 27001 vs. DSGVO.

Wo sich ISO 27001 und DSGVO treffen

Der zentrale Punkt ist Art. 32 DSGVO. Die Norm verlangt TOMs, die zum Risiko passen. Genau diese Maßnahmen liefert ISO 27001 strukturiert über Anhang A.

ISO 27001 enthält 93 Maßnahmen in vier Themen. Sie reichen von Zugriff über Verschlüsselung bis zum Incident-Management. Setzt du sie um, deckst du Art. 32 zu großen Teilen ab. Das ist die wichtigste Synergie zwischen Norm und Gesetz.

Auch in anderen Punkten greifen beide ineinander:

  • Rechenschaftspflicht. Art. 5 Abs. 2 DSGVO verlangt nachweisbare Verantwortung. ISO 27001 fordert dokumentierte Verantwortung der obersten Leitung.
  • Risikobasierter Ansatz. Beide setzen auf Risikoanalyse und auf Maßnahmen, die zum Risiko passen.
  • Vorfall-Management. ISO 27001 verlangt einen Incident-Response-Prozess. Die DSGVO verpflichtet zur Meldung von Datenpannen innerhalb von 72 Stunden (Art. 33 und 34).
  • Dokumentation. Beide leben von Nachweisen. ISO 27001 spricht von dokumentierter Information, die DSGVO von Nachweispflichten wie dem VVT.

Wo sich beide nicht treffen

ISO 27001 ist keine DSGVO-Komplettlösung. Mehrere DSGVO-Pflichten kennt die Norm gar nicht oder nur am Rande:

  • Verzeichnis von Verarbeitungstätigkeiten, kurz VVT (Art. 30 DSGVO).
  • Datenschutz-Folgenabschätzung, kurz DSFA (Art. 35 DSGVO).
  • Rechte der betroffenen Personen (Art. 12 bis 22 DSGVO).
  • Rollenmodell aus Verantwortlichem und Auftragsverarbeiter.
  • Spezifische Pflichten gegenüber Behörden.

Diese Lücken schließt du mit ISO/IEC 27701:2025. Die Norm ist seit 2025 eigenständig. Sie mappt direkt auf die DSGVO. Details dazu findest du im Vergleich ISO 27001 vs. ISO 27701.

Acht Empfehlungen: So nutzt du ISO 27001 für deinen Datenschutz

1. Führe einen gemeinsamen Risikoprozess

Lege nicht zwei getrennte Risikoregister an. Nutze den Risikoprozess aus ISO 27001 auch für deine DSGVO-Risiken. Markiere Datenschutz-Risiken zusätzlich, damit du sie filtern kannst. Das spart Arbeit und sorgt für eine konsistente Risiko-Sicht.

Praktisch: Erweitere die Risikokriterien aus ISO 27001 um die Folgen für die betroffenen Personen. Genau das verlangt Art. 32 DSGVO ohnehin.

2. Setze Zugriffskontrollen als TOM ein

Zugriffskontrollen sind der Klassiker. Sie sichern Informationen nach ISO 27001 und schützen gleichzeitig personenbezogene Daten nach Art. 32 DSGVO.

Empfohlene Punkte:

  • Rechte nach dem Prinzip der minimalen Rechte
  • MFA (Multi-Faktor-Authentifizierung) für sensible Systeme
  • Zugriffsprüfungen, mindestens einmal pro Jahr
  • Sofortiger Entzug bei Wechsel der Rolle oder des Vertrags

Jeder dieser Punkte zahlt auf beide Standards ein.

3. Verschlüsselung at rest und in transit

ISO 27001 nennt Verschlüsselung als Maßnahme zur Vertraulichkeit. Art. 32 DSGVO nennt Verschlüsselung sogar ausdrücklich als geeignete TOM.

Empfehlung: Verschlüssele personenbezogene Daten konsequent im Transit (TLS) und at rest (Storage- und Backup-Verschlüsselung). Dokumentiere, welche Verfahren du nutzt. So lieferst du den Nachweis für beide Standards in einem Dokument.

4. Baue einen belastbaren Incident-Response-Prozess

ISO 27001 verlangt ein Vorfall-Management. Die DSGVO setzt eine harte Frist: 72 Stunden ab Kenntnis einer meldepflichtigen Datenpanne (Art. 33 DSGVO). Bei hohem Risiko kommt zusätzlich die Information der betroffenen Personen (Art. 34 DSGVO).

So gehst du vor:

  • Definiere klare Eskalationsstufen, von technischem Vorfall bis Datenpanne
  • Lege fest, wer wann den Datenschutzbeauftragten und die Aufsichtsbehörde einbindet
  • Halte ein Meldeformular und einen Kommunikationsplan bereit
  • Übe den Ernstfall mindestens einmal jährlich

Das Ergebnis ist ein Prozess, der ISO 27001 erfüllt und die DSGVO-Fristen sicher einhält.

5. Steuere deine Lieferanten konsequent

Viele Datenpannen entstehen bei Dienstleistern, nicht im eigenen Haus. ISO 27001 verlangt deshalb eine saubere Lieferantensteuerung. Die DSGVO regelt die Auftragsverarbeitung in Art. 28 DSGVO.

Wichtige Schritte:

  • Wähle Auftragsverarbeiter sorgfältig aus und prüfe ihre Maßnahmen
  • Schließe einen AV-Vertrag mit klaren TOMs
  • Hole regelmäßig Nachweise ein, etwa Zertifikate oder Auditberichte
  • Halte ein zentrales Lieferantenregister

So erfüllst du beide Standards mit demselben Prozess.

6. Investiere in Mitarbeiter-Awareness

Die größte Schwachstelle sitzt nicht im Rechner, sondern davor. ISO 27001 verlangt Bewusstsein und Schulungen. Art. 32 DSGVO nennt die Schulung von Beschäftigten als TOM.

Was wirkt:

  • Pflicht-Schulungen für alle Beschäftigten, mindestens jährlich
  • Rollenbezogene Trainings für IT, Vertrieb und HR
  • Kurze, regelmäßige Awareness-Impulse statt einmaliger Marathon-Schulungen
  • Klare Anlaufstelle für Fragen und Vorfälle

Eine gute Schulungsstrategie schlägt jede zusätzliche Technik.

7. Dokumentiere zielgerichtet, nicht ausufernd

Nachweise sind das Lebenselixier beider Standards. Aber Dokumentation um der Dokumentation willen hilft niemandem. Konzentriere dich auf das, was auditfest sein muss.

Pflicht-Dokumente, die für beide Standards funktionieren:

  • Politik zur Informationssicherheit und zum Datenschutz
  • Erklärung zur Anwendbarkeit (für ISO 27001) und VVT (für DSGVO)
  • TOM-Dokumentation
  • Schulungsnachweise
  • Incident-Logs

Wer diese Dokumente sauber pflegt, besteht beide Prüfungen.

8. Kläre Rollen klar, vor allem für den Datenschutz

ISO 27001 verlangt zugewiesene Verantwortungen. Die DSGVO verlangt zusätzlich klare Rollen für den Datenschutzbeauftragten, den Verantwortlichen und etwaige Auftragsverarbeiter.

Empfehlung:

  • Bestelle einen Datenschutzbeauftragten, wo Art. 37 DSGVO es vorschreibt
  • Trenne ISMS-Verantwortung und Datenschutz-Verantwortung organisatorisch, dort wo es nötig ist
  • Definiere Schnittstellen zwischen beiden Rollen, etwa bei Vorfällen

So vermeidest du Doppelarbeit und Lücken.

Wann ISO 27701:2025 die bessere Wahl ist

ISO 27001 deckt Sicherheit ab, nicht alle Datenschutz-Pflichten. Liegt dein Schwerpunkt beim Datenschutz, lohnt sich ISO/IEC 27701:2025. Die Norm ist seit 2025 eigenständig. Sie baut ein DSMS auf. Das mappt direkt auf die DSGVO.

Drei Konstellationen sprechen besonders für ISO 27701:

  • Du verarbeitest große Mengen personenbezogener Daten
  • Du bist Auftragsverarbeiter für viele Kunden
  • Du brauchst einen klaren Nachweis für Aufsichtsbehörden oder Ausschreibungen

Die Norm ergänzt ISO 27001 ideal. Mehr dazu im Vergleich ISO 27001 vs. ISO 27701.

So setzt du es mit Kopexa um

Kopexa ist eine GRC-Plattform. Sie bildet ISO 27001, DSGVO und ISO 27701 in einem System ab. Du musst Maßnahmen nicht doppelt anlegen. Über Cross-Framework-Mapping verknüpfst du eine Maßnahme mit mehreren Standards.

Was das praktisch heißt:

  • Eine Zugriffskontrolle erfüllt Anhang A von ISO 27001 und Art. 32 DSGVO in einem Datensatz
  • Ein Incident-Prozess deckt ISMS-Vorfallmanagement und 72-Stunden-Meldepflicht ab
  • Nachweise wie Schulungsbestätigungen oder Audit-Logs sind sofort verfügbar
  • Im Dashboard siehst du, wie weit du bei jedem Standard bist

Wenn du den ISO-27001-Teil im Detail sehen willst, schau dir den ISO-27001-Hub mit dem Control Explorer an. Wer wissen will, wie die Zertifizierung Schritt für Schritt funktioniert, findet alles im Leitfaden zur ISO 27001 Zertifizierung. Für den vollständigen Plattform-Überblick siehe ISMS-Software.

Dein nächster Schritt

ISO 27001 und DSGVO lassen sich gemeinsam meistern, wenn du sie als ein Projekt denkst. Drei mögliche Startpunkte:

  1. Du hast die DSGVO, aber kein ISMS. Beginne mit der Risikoanalyse nach ISO 27001 und nutze sie auch für Art. 32 DSGVO.
  2. Du hast ein ISMS, aber Lücken bei der DSGVO. Mappe deine TOMs auf die DSGVO-Artikel und identifiziere die Lücken (VVT, DSFA, Betroffenenrechte).
  3. Du hast beides parallel. Konsolidiere die Prozesse, statt sie doppelt zu fahren. Ein gemeinsames Risikoregister spart sofort Zeit.

Für eine geführte Tour durch Kopexa und die Verknüpfung beider Standards: Demo anfragen.

Häufige Fragen

Reicht ISO 27001 für die DSGVO aus?
Nein. ISO 27001 deckt einen großen Teil von Art. 32 DSGVO ab, also die Sicherheit der Verarbeitung. Pflichten wie das Verzeichnis von Verarbeitungstätigkeiten (Art. 30), die Datenschutz-Folgenabschätzung (Art. 35), Betroffenenrechte (Art. 12 bis 22) und das Rollenmodell aus Verantwortlichem und Auftragsverarbeiter sind nicht enthalten. Für eine vollständige Abdeckung lohnt sich ISO/IEC 27701:2025.
Welche ISO 27001 Maßnahmen decken Art. 32 DSGVO ab?
Vor allem Zugriffskontrolle, Verschlüsselung at rest und in transit, Incident-Management, Schulungen, Lieferantensteuerung und Backups. Diese Maßnahmen aus Anhang A entsprechen den TOMs, die Art. 32 DSGVO verlangt. Wer sie umsetzt, hat einen Großteil der DSGVO-Sicherheitsanforderungen schon erfüllt.
Muss ich beide Standards umsetzen?
Die DSGVO ist gesetzlich verpflichtend, sobald du personenbezogene Daten von EU-Personen verarbeitest. ISO 27001 ist freiwillig, aber häufig vertraglich gefordert. In der Praxis ist die Kombination der schnellste Weg, weil sich viele Maßnahmen doppelt nutzen lassen.
Wie lange dauert es, ISO 27001 mit DSGVO-Bezug umzusetzen?
Das hängt von Größe und Reifegrad ab. Mittelständische Unternehmen rechnen mit drei bis sechs Monaten Vorbereitung plus Audit. Wer DSGVO und ISO 27001 als ein Projekt plant, ist schneller als bei zwei getrennten Initiativen.
Wann brauche ich zusätzlich ISO 27701?
Wenn Datenschutz strategisch wichtig ist, große Datenmengen verarbeitet werden oder Kunden und Aufsichtsbehörden expliziten Nachweis fordern. ISO 27701:2025 ist seit 2025 eigenständig und mappt direkt auf die DSGVO. Sie schließt die Lücken, die ISO 27001 lässt.
Wie hilft Kopexa bei der gemeinsamen Umsetzung?
Kopexa verknüpft über Cross-Framework-Mapping Maßnahmen mit Anforderungen aus ISO 27001, der DSGVO und ISO 27701. Eine Maßnahme erfüllt mehrere Anforderungen gleichzeitig. Im Dashboard siehst du jederzeit, wie weit du bei jedem Standard bist.

Quellen

  1. ISO/IEC 27001:2022 – Information Security Management SystemsInternational Organization for Standardization (ISO) () [Abgerufen am ]
  2. Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)Europäisches Parlament und Rat () [Abgerufen am ]
  3. DIN EN ISO/IEC 27001:2024-01DIN Media () [Abgerufen am ]

Tags

#ISO 27001#DSGVO#Datenschutz#ISMS#Art. 32