ISO/IEC 27701: das Privacy Information Management System
Kernaussage
ISO/IEC 27701 ist der Standard für ein Privacy Information Management System (PIMS): das Managementsystem, mit dem eine Organisation den Schutz personenbezogener Daten dauerhaft plant, betreibt, prüft und nachweist. Das PIMS verhält sich zum Datenschutz wie das ISMS zur Informationssicherheit: Es liefert nicht die rechtliche Pflicht, sondern das wiederholbare Steuerungsmodell, mit dem die Organisation Pflichten erfüllt und ihre Erfüllung belegt.
Für das Management maßgeblich: ISO/IEC 27701 ist ein zertifizierbares Nachweisinstrument für die Rechenschaftspflicht der DSGVO, aber kein Ersatz für rechtliche DSGVO-Konformität. Ein Zertifikat belegt einen Managementsystem-Betrieb nach definierten Kriterien; es ist kein behördlicher Konformitätsbescheid und keine Garantie für die Rechtmäßigkeit jeder einzelnen Verarbeitung.
Problem in der Praxis
Datenschutz und Informationssicherheit werden in vielen Organisationen getrennt geführt. Die Datenschutzseite arbeitet mit Verarbeitungsverzeichnis, Folgenabschätzungen und Betroffenenrechten, die Security-Seite mit ISMS, Risiken und technischen und organisatorischen Maßnahmen. Beide stützen sich auf dieselben Systeme, Dienstleister und Maßnahmen, dokumentieren das aber doppelt und oft widersprüchlich.
Das fällt auf, wenn ein Kunde oder eine Aufsichtsbehörde einen belastbaren Nachweis verlangt: Dann gibt es viele Einzeldokumente, aber kein durchgängiges System, das Rollen, Risiken, Maßnahmen und Nachweise verbindet. Die DSGVO verlangt in Art. 5 Abs. 2 und Art. 24 genau diese Rechenschaftsfähigkeit. ISO/IEC 27701 setzt hier an und führt beide Welten in einem gemeinsamen Managementrahmen zusammen.
CISO-Einordnung
Wesentlich sind Editionsstatus, Verhältnis zum ISMS und Rollenlogik.
Editionsstatus: Die erste Ausgabe ISO/IEC 27701:2019 war eine Erweiterung zu ISO/IEC 27001 und 27002 und nur zusammen mit einer 27001-Zertifizierung sinnvoll umsetzbar: eine Datenschutz-Aufsatzschicht auf einem bestehenden ISMS. Die zweite Ausgabe ISO/IEC 27701:2025 (veröffentlicht im Oktober 2025) ist ein eigenständiger, zertifizierbarer Standard mit vollständigen Managementsystem-Klauseln, nicht mehr zwingend an 27001 gekoppelt, auf die Ausgaben 2022 von 27001 und 27002 ausgerichtet und um Themen wie Cloud, KI-gestützte Verarbeitung, IoT sowie biometrische und Gesundheitsdaten erweitert. Editionswechsel sind üblicherweise mit einer Übergangsfrist versehen; deren genaue Fristen sind gegen den Aktualstand der Zertifizierungs- und Akkreditierungsstellen zu prüfen.
Verhältnis zum ISMS: Das PIMS nutzt dieselbe Managementlogik und denselben risikobasierten Ansatz wie das ISMS. Wer ein funktionierendes ISMS betreibt, hat den größeren Teil der Mechanik bereits; ISO/IEC 27701 ergänzt die datenschutzspezifische Steuerung mit der Verarbeitung personenbezogener Daten als eigenem Schutzobjekt.
Rollenlogik: Der Standard unterscheidet zwischen Verantwortlichem (Controller) und Auftragsverarbeiter (Processor). Das entspricht der DSGVO und ist nicht kosmetisch, denn die Pflichten unterscheiden sich erheblich; eine Organisation kann je Verarbeitung in unterschiedlicher Rolle handeln. ISO/IEC 27701 zwingt dazu, diese Rolle je Verarbeitung zu klären; diese Klärung fehlt in der Praxis oft und wird im Streitfall teuer.
Umsetzungsperspektive
Aus CISO-Sicht ist ein PIMS kein separates Projekt, sondern eine Erweiterung des bestehenden Steuerungsmodells. Sinnvoll ist ein schlanker, betreibbarer Kern:
- Klärung von Geltungsbereich und eigenen Rollen (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche) je Verarbeitungskontext.
- Verknüpfung der Datenschutz-Artefakte (Verarbeitungsverzeichnis, Folgenabschätzungen, Vereinbarungen zur Auftragsverarbeitung nach Art. 28) mit der ISMS-Risiko- und Maßnahmensteuerung statt paralleler Führung.
- Eine gemeinsame Taktung für Risiken, Maßnahmen, Nachweise und Entscheidungen.
- Eine klare Schnittstelle: Der Datenschutzbeauftragte bewertet datenschutzrechtlich, das PIMS liefert operative Steuerung und Nachweisspur.
So werden Maßnahmen, die ohnehin für Art. 32 DSGVO und das ISMS betrieben werden, einmal gesteuert und für beide Zwecke nachgewiesen.
Typische Fehler
- Das Zertifikat wird als Beleg rechtlicher DSGVO-Konformität missverstanden und so kommuniziert.
- Datenschutz und Security werden trotz PIMS doppelt dokumentiert statt im gemeinsamen Regelkreis geführt.
- Die Rollenklärung Controller versus Processor wird übersprungen; Pflichten und Nachweise passen dann nicht zur tatsächlichen Rolle.
- Eine bestehende 2019-Umsetzung wird ohne Editionsplanung weiterbetrieben.
- Das PIMS wird als Auditprojekt geplant, sodass Nachweise erst kurz vor dem Audit entstehen statt im Regelbetrieb.
Risiken und Trade-offs
Der wesentliche Trade-off liegt zwischen Nachweiswirkung und Erwartungssteuerung. Eine PIMS-Zertifizierung schafft Vertrauen bei Kunden und kann in Ausschreibungen und Lieferketten differenzieren; zugleich droht, dass sie als Rechtssicherheit gedeutet wird, die sie nicht liefert. Die DSGVO-Konformität im Einzelfall bleibt eine rechtliche Frage für Aufsichtsbehörden und Gerichte, nicht für eine Zertifizierungsstelle.
Hinzu kommen Aufwand und Editionsdynamik: Ein PIMS nur für das Zertifikat erzeugt Pflege- und Auditkosten ohne operativen Nutzen, während es in den ISMS-Regelkreis integriert die Gesamtkosten senkt. Der Wechsel von der 2019- zur eigenständigen 2025-Fassung bedeutet für Bestandsumsetzungen Anpassungsaufwand innerhalb der gültigen Übergangsregeln.
Entscheidungspunkte
- Ist eine PIMS-Zertifizierung ein echtes Marktbedürfnis (Kunden, Lieferkette, Ausschreibungen) oder primär ein internes Steuerungsziel?
- Wird die eigenständige Fassung als alleiniger Rahmen gewählt oder weiterhin in Kombination mit einer 27001-Zertifizierung?
- Welche Verarbeitungen erfolgen als Verantwortlicher, welche als Auftragsverarbeiter, und ist die Zuordnung dokumentiert?
- Bei Bestandsumsetzung nach 2019: Wann erfolgt der Editionswechsel, und welche Übergangsfrist gilt nach Aktualstand der Stellen?
- Wie wird die Schnittstelle zwischen Datenschutzbeauftragtem, CISO und Fachbereichen verbindlich geregelt?
Praktische Empfehlungen
- Behandeln Sie das PIMS als Erweiterung des ISMS, nicht als zweites, getrenntes Managementsystem.
- Kommunizieren Sie das Zertifikat als Nachweis eines Managementsystems und Beitrag zur Rechenschaftspflicht, nicht als rechtliche DSGVO-Garantie.
- Klären Sie zuerst die Rollen je Verarbeitung, bevor Sie Maßnahmen und Nachweise zuordnen.
- Führen Sie technische und organisatorische Maßnahmen einmal und nutzen Sie sie für ISMS und PIMS gemeinsam.
- Planen Sie bei bestehender 2019-Umsetzung den Editionswechsel aktiv und prüfen Sie Fristen gegen den Aktualstand der Zertifizierungsstellen.
- Lassen Sie verbindliche datenschutzrechtliche Fragen durch den Datenschutzbeauftragten und, wo nötig, durch Rechtsberatung klären.
Relevante Normreferenzen
- ISO/IEC 27701: Referenz für das PIMS. Erste Ausgabe 2019 als Erweiterung zu 27001/27002, zweite Ausgabe 2025 als eigenständiger, zertifizierbarer Standard. Reine Referenz, keine Wiedergabe von Norminhalten oder Kriterienlisten.
- ISO/IEC 27001 und 27002: Referenz für ISMS-Anforderungen und Maßnahmenkatalog, mit denen das PIMS denselben Managementrahmen teilt.
- DSGVO (Verordnung (EU) 2016/679), insbesondere Art. 5 Abs. 2, Art. 24, Art. 28 und Art. 32: rechtlicher Bezugsrahmen für Rechenschaftspflicht, Auftragsverarbeitung und Sicherheit der Verarbeitung.
- NIST Privacy Framework und CSF: governance- und outcome-seitige Ergänzung ohne unmittelbare Rechtsbindung.
Häufige Fragen
Was ist ein PIMS nach ISO/IEC 27701?+
Das Managementsystem, mit dem eine Organisation den Schutz personenbezogener Daten dauerhaft steuert, prüft und nachweist, analog zum ISMS für Informationssicherheit.
Ist ISO/IEC 27701 noch an ISO/IEC 27001 gekoppelt?+
Die erste Ausgabe 2019 war eine Erweiterung zu 27001 und 27002 und nur mit 27001-Zertifizierung sinnvoll. Die zweite Ausgabe 2025 ist eigenständig und zertifizierbar, nicht mehr zwingend an 27001 gekoppelt.
Belegt ein 27701-Zertifikat DSGVO-Konformität?+
Nein. Es ist ein Nachweisinstrument für die Rechenschaftspflicht und ein Beitrag zur Konformität, aber kein behördlicher Bescheid und kein Ersatz für rechtliche DSGVO-Konformität.
Warum unterscheidet der Standard Controller und Processor?+
Weil sich die DSGVO-Pflichten beider Rollen erheblich unterscheiden. Das PIMS bildet beide ab und erzwingt eine saubere Zuordnung je Verarbeitung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen DSGVO & ISO 27701 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: dsgvo-006.
