ISO/IEC 27701 ist die internationale Norm für ein Datenschutz-Managementsystem (Privacy Information Management System, PIMS). Seit der Ausgabe ISO/IEC 27701:2025 ist sie ein eigenständiges Managementsystem, unterscheidet die Rollen Verantwortlicher und Auftragsverarbeiter und mappt direkt auf die Artikel der DSGVO.
ISO/IEC 27701 ist die Norm für ein Datenschutz-Managementsystem, im Englischen Privacy Information Management System (PIMS). Sie beantwortet die Frage, die ISO 27001 offenlässt: Wie steuere ich nicht nur Informationssicherheit, sondern gezielt den Schutz personenbezogener Daten?
Hier hat sich die Norm grundlegend geändert. Die erste Ausgabe von 2019 war eine Erweiterung, die ein bestehendes ISMS nach ISO 27001 zwingend voraussetzte. Mit der zweiten Ausgabe ISO/IEC 27701:2025 (deutsche Fassung DIN EN ISO/IEC 27701, Februar 2026) wurde die Norm als eigenständiges Managementsystem neu formuliert und annulliert die Fassung von 2019.
Praktisch heißt das: ISO 27701 bringt jetzt eine vollständige Managementsystem-Struktur mit (Kontext, Führung, Planung, Betrieb, Bewertung, Verbesserung) und lässt sich eigenständig betreiben und zertifizieren oder nahtlos mit einem ISMS nach ISO 27001 integrieren. Wer bereits ISO 27001 betreibt, kann auf den gemeinsamen Grundlagen aufbauen und muss nicht bei null anfangen.
Eine aspektweise Gegenüberstellung zeigt der direkte Vergleich ISO 27001 vs. ISO 27701.
Der wichtigste konzeptionelle Unterschied zur reinen Informationssicherheit: ISO 27701 unterscheidet zwei Rollen, die direkt aus dem Datenschutzrecht stammen.
Für jede Rolle definiert die Norm eigene Maßnahmen. Das macht sie anschlussfähig an die [DSGVO], die genau diese Unterscheidung trifft.
Anders als ISO 27001, das Datenschutz nur indirekt über die Sicherheit der Verarbeitung berührt, mappt ISO 27701 direkt auf Datenschutz-Anforderungen. Die Norm enthält dafür einen eigenen informativen Anhang, der ihre Maßnahmen den Artikeln der DSGVO zuordnet (Anhang D). Eine Zertifizierung nach ISO 27701 ist zwar kein Ersatz für DSGVO-Compliance, liefert aber einen strukturierten, auditierbaren Nachweis, dass ein Datenschutz-Managementsystem existiert und gelebt wird. Wie sich ISO 27701 und die DSGVO zueinander verhalten, zeigt der Vergleich DSGVO vs. ISO 27701.
ISO 27701 lässt sich zusammen mit ISO 27001 oder eigenständig auditieren. Für Organisationen, die viele personenbezogene Daten verarbeiten, ist die Kombination der Normalfall: ein ISMS als Fundament, das PIMS als datenschutzspezifischer Aufbau.
In Kopexa lässt sich ISO 27701 als Framework neben ISO 27001 und der DSGVO führen, sodass gemeinsame Controls nur einmal nachgewiesen werden müssen und nicht doppelt gepflegt werden.