ISO 27001 und DSGVO: Cross-Mapping

ISO 27001 und DSGVO: Wie hängen sie zusammen?

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Die DSGVO ist die europäische Datenschutzverordnung. Beide verfolgen das Ziel, Daten zu schützen — aber aus unterschiedlichen Perspektiven: ISO 27001 schützt Informationen im Allgemeinen (Vertraulichkeit, Integrität, Verfügbarkeit), die DSGVO schützt spezifisch die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Die Überschneidung ist erheblich: Wer ein ISO 27001 ISMS betreibt, hat bereits einen großen Teil der technischen und organisatorischen Maßnahmen (TOMs) implementiert, die Art. 32 DSGVO fordert. Die Lücke liegt in den datenschutzspezifischen Anforderungen, die ISO 27001 nicht oder nur am Rande abdeckt.

Cross-Mapping: ISO 27001 Annex A auf DSGVO

Die folgende Tabelle zeigt, welche ISO 27001:2022 Annex A Controls DSGVO-Anforderungen abdecken und wo Lücken bestehen:

Overlap-Analyse: Was ISO 27001 abdeckt

Wenn du ISO 27001 zertifiziert bist, hast du bereits 70–80 % der technischen und organisatorischen Maßnahmen implementiert, die Art. 32 DSGVO fordert. Die wesentlichen Überschneidungen:

• Risikomanagement: ISO 27001 verlangt eine systematische Risikoanalyse und -behandlung — Art. 32 DSGVO fordert risikoangemessene Maßnahmen. Der Risikoprozess ist nahezu identisch, nur die Perspektive unterscheidet sich (Unternehmensrisiko vs. Betroffenenrisiko).
• Zugangs- und Zugriffskontrolle: ISO 27001 Annex A.8 deckt RBAC, MFA, Berechtigungsreviews umfassend ab — genau das, was Art. 32 für die Vertraulichkeit fordert.
• Verschlüsselung: Annex A.8.24 (Kryptografie) entspricht den Verschlüsselungsanforderungen von Art. 32 Abs. 1 lit. a.
• Backup und BCM: Annex A.8.13 (Backup) und A.5.30 (BCM) decken die Verfügbarkeits- und Wiederherstellungsanforderungen von Art. 32 Abs. 1 lit. b und c ab.
• Incident Management: Annex A.5.24-5.28 etabliert Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen — eine Basis für die 72-Stunden-Meldung nach Art. 33.
• Schulungen: Annex A.6.3 (Awareness) deckt die Sensibilisierungspflicht von Art. 39 Abs. 1 lit. b teilweise ab.
• Lieferantenmanagement: Annex A.5.19-5.23 bildet eine Basis für das Management von Auftragsverarbeitern nach Art. 28.

Das Delta: Was die DSGVO zusätzlich fordert

Trotz der hohen Überschneidung bei den technischen Maßnahmen gibt es wesentliche DSGVO-Anforderungen, die ISO 27001 nicht abdeckt:

Betroffenenrechte (Art. 15–22)

ISO 27001 kennt keine Betroffenenrechte. Die DSGVO gewährt betroffenen Personen umfangreiche Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Schutz vor automatisierten Entscheidungen. Dafür braucht es eigenständige Prozesse, die kein ISMS abdeckt.

Rechtsgrundlagen und Einwilligung (Art. 6–7)

ISO 27001 verlangt keine Rechtsgrundlage für die Verarbeitung von Daten. Die DSGVO macht jede Verarbeitung ohne Rechtsgrundlage rechtswidrig. Einwilligungsmanagement, Zweckbindung und Datenminimierung sind rein datenschutzrechtliche Konzepte.

Verarbeitungsverzeichnis (Art. 30)

ISO 27001 verlangt ein Asset-Register, aber kein Verarbeitungsverzeichnis mit Pflichtinhalten wie Rechtsgrundlage, Löschfristen und Empfängerkategorien. Das Asset-Register kann als Ausgangspunkt dienen, muss aber um die DSGVO-spezifischen Felder erweitert werden.

Datenschutz-Folgenabschätzung (Art. 35)

ISO 27001 kennt Risikoanalysen, aber keine DSFA im Sinne der DSGVO. Die DSFA bewertet Risiken aus der Perspektive der Betroffenen — nicht aus Unternehmenssicht. Sie ist bei Verarbeitungen mit hohem Risiko verpflichtend und erfordert spezifische Inhalte nach Art. 35 Abs. 7.

Datenpannen-Meldepflicht (Art. 33–34)

ISO 27001 verlangt Incident Management, aber keine Meldung an Aufsichtsbehörden innerhalb von 72 Stunden oder Benachrichtigung von Betroffenen. Die DSGVO-spezifischen Meldefristen, Klassifizierungskriterien und Benachrichtigungspflichten gehen über das ISO-Incident-Management hinaus.

Internationaler Datentransfer (Art. 44–49)

ISO 27001 regelt nicht, unter welchen Bedingungen Daten in Drittländer übermittelt werden dürfen. Angemessenheitsbeschlüsse, SCCs, BCRs und Transfer Impact Assessments sind rein DSGVO-spezifisch.

Dual-Compliance-Strategie

Für Unternehmen, die sowohl ISO 27001 als auch die DSGVO einhalten müssen (das betrifft nahezu alle), empfiehlt sich eine integrierte Strategie:

• Gemeinsame Basis: Das ISMS als Fundament nutzen. Risikomanagement, TOMs, Incident Management und Lieferantenmanagement gelten für beide Regelwerke.
• DSGVO-Layer ergänzen: Auf das ISMS werden die datenschutzspezifischen Prozesse aufgesetzt: Verarbeitungsverzeichnis, Betroffenenrechte-Prozess, Einwilligungsmanagement, DSFA-Prozess und Datentransfer-Dokumentation.
• Maßnahmen einmal implementieren: Jede Maßnahme (z. B. Verschlüsselung) wird einmal implementiert und beiden Regelwerken zugeordnet. Das vermeidet Doppelarbeit und inkonsistente Dokumentation.
• Integrierte Audits: Interne Audits prüfen sowohl ISO 27001 als auch DSGVO-Konformität in einem Durchgang. Findings werden zentral getrackt.

Diese Strategie spart typischerweise 30–40 % der Implementierungskosten im Vergleich zu zwei getrennten Projekten. Die ISO 27001 Zertifizierung ist zudem ein starkes Signal gegenüber Aufsichtsbehörden, dass technische und organisatorische Maßnahmen nach dem Stand der Technik implementiert sind.

Eine vollständige Übersicht aller DSGVO-Anforderungen findest du auf unserer Seite zu den DSGVO-Anforderungen. Detaillierte Informationen zu den technischen Maßnahmen findest du unter TOMs nach Art. 32. Eine Schritt-für-Schritt-Anleitung bietet die DSGVO-Checkliste.