Die ISO/IEC 27701 – man beachte den feinen Unterschied zur ISO/IEC 27001 – ist der internationale Standard für ein Datenschutz-Managementsystem (DSMS). Mit der neuen Version ISO/IEC 27701:2025 (dt. Fassung 2026-02) gibt es auf den ersten Blick erhebliche Änderungen. Parallel dazu wurde auch die zugehörige Akkreditierungsnorm für Zertifizierungsstellen grundlegend überarbeitet (aus ISO/IEC 27006-2 wird 27706).
Viele neue Nummern, viele Änderungen – aber was bedeutet das in der Praxis wirklich?
Ein kurzer Überblick über die Normenlandschaft
Zunächst lohnt sich ein Blick auf die beteiligten Standards.
Die ISO/IEC 27701 ist die Norm, die Organisationen anwenden, um ein Datenschutz-Managementsystem aufzubauen und zertifizieren zu lassen. Die Zertifizierung selbst wird durch eine separate Norm geregelt – die Akkreditierungsnorm für Zertifizierungsstellen.
Bisher war dies: ISO/IEC 27006-2. Diese wird nun ersetzt durch: ISO/IEC 27706. Die ISO/IEC 27706 definiert also künftig die Anforderungen an Zertifizierungsstellen, die DSMS-Zertifizierungen nach ISO/IEC 27701 durchführen.
In Deutschland ist derzeit nur eine Stelle für diese Zertifizierung tätig: die datenschutz cert GmbH. Dort wurde bereits der Prozess zur Anpassung der Akkreditierung an die neue Norm gestartet.
Der Wandel der ISO/IEC 27701
Die bisherige Version der ISO/IEC 27701 (2019, deutsche Fassung 2021) war eng mit der ISO/IEC 27001 verknüpft.
Vereinfacht gesagt lautete die Logik im Vorwort der Norm sinngemäß:
Man nehme die ISO/IEC 27001 für ein Informationssicherheits-Managementsystem (ISMS), ersetze den Begriff „Informationssicherheit“ durch „Informationssicherheit und Datenschutz“ und ergänze einige spezifische Datenschutzanforderungen.
Zusätzlich wurden einzelne Controls der ISO/IEC 27001 konkretisiert und neue Datenschutz-Controls für Verantwortliche und Auftragsverarbeiter eingeführt.
Eine Besonderheit war dabei die Zertifizierung: Ein DSMS konnte nur zusammen mit einem Informationssicherheits-Managementsystem (ISMS) zertifiziert werden. Auf dem Zertifikat wurden deshalb auch zwei Normen ausgewiesen: ISO/IEC 27001 UND ISO/IEC 27701. Das gab es nur hier.
Die neue Version: DSMS und ISMS werden getrennt
Mit der ISO/IEC 27701:2025 ändert sich dieser Ansatz grundlegend. Das DSMS wird vollständig vom ISMS entkoppelt. In der ISO/IEC 27701 tauchen weder das Wort ISMS noch ISO/IEC 27001 auf. Der Hintergrund liegt in der Struktur der ISO-Normen. Die ISO/IEC 27701 ist in der ISO-Level-Struktur eine Ebene nach oben gerückt und ist jetzt direkt zertifizierbar.
Ein DSMS kann somit künftig unabhängig von einem ISMS zertifiziert werden.
Inhaltlich hat sich (fast) nichts geändert
Trotz der großen strukturellen Änderung zeigt eine genauere Analyse ein überraschendes Ergebnis: inhaltlich hat sich nichts geändert. Wirklich nichts.
Wir haben die Änderungen deshalb einmal Zeile für Zeile analysiert. Das Ergebnis lässt sich in drei Punkte zusammenfassen.
1. Der Managementrahmen (Kapitel 4–10)
Inhaltlich sind die Anforderungen in den Kapitel 4 bis 10 der ISO/IEC 27701:2025 identisch mit der alten ISO/IEC 27701:2019, die auf die ISO/IEC 27001 aufbaut. Der Unterschied liegt vor allem in der Darstellung: Während früher von „Informationssicherheit und Datenschutz“ gesprochen wurde, steht nun der Datenschutz selbst im Mittelpunkt. Die Anforderungen sind jedoch nicht verschärft worden.
Gleichwohl erscheint der Datenschutz jetzt etwas prägnanter, weil es halt nicht „Informationssicherheit und Datenschutz“ heißt, sondern nur noch „Datenschutz“ im Vordergrund steht. Das wirkt aber nur so, denn es gibt keine verschärften Anforderungen.
2. Die Konkretisierung der ISO-27001-Controls
In der alten Norm enthielt Kapitel 6 Ergänzungen zu den Controls der ISO/IEC 27001. In der neuen Version finden sich diese Ergänzungen nun im Annex B.3 wieder.
Eine wichtige Änderung: Controls der ISO/IEC 27001, auf die bislang nur verwiesen wurde, ohne jegliche Ergänzung, sind komplett entfallen. Dadurch fehlen nun 70 Controls im Text der Norm. Diesebetrafenjedoch überwiegend die Informationssicherheit, nicht den Datenschutz.
3. Datenschutzspezifische Controls für Verantwortliche und Auftragsverarbeiter
Hier hat sich im Wesentlichen nur die Nummerierung geändert – beispielweise wurde aus A.7 nun B.1 oder aus B.8 nun B.2. Inhaltlich ist alles wortgleich geblieben.
Formal viel Bewegung – inhaltlich Kontinuität
Die neue ISO/IEC 27701:2025 bringt eine große strukturelle Veränderung. Das DSMS wird von der ISO/IEC 27001 entkoppelt und kann künftig eigenständig zertifiziert werden.
Für Organisationen bedeutet das:
- keine neuen materiellen Anforderungen
- mehr Flexibilität bei der Zertifizierung
- klarere Fokussierung auf Datenschutz
Aber als Fazit bleibt: Formal ändert sich viel – inhaltlich erstaunlich wenig.