Der Schutz personenbezogener Daten ist nicht nur eine rechtliche Pflicht unter der DSGVO, sondern zunehmend ein Vertrauensfaktor im B2B-Geschäft. Die ISO 27701:2019 erweitert ein bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 um ein Privacy Information Management System (PIMS) — und schafft damit den systematischen Rahmen, um Datenschutz nicht als lästige Pflicht zu behandeln, sondern als integrierten Bestandteil des Managementsystems. Für Unternehmen in Industrieservice, Anlagenbau und Energietechnik, die täglich mit Personaldaten, Kundendaten und Zutrittsdaten auf Industriestandorten umgehen, bietet die ISO 27701 einen strukturierten Weg zur nachweisbaren DSGVO-Compliance. NovoCert begleitet Sie bei Aufbau, Implementierung und Zertifizierung.
Was regelt ISO 27701:2019?
Die ISO 27701 ist eine Erweiterungsnorm zur ISO 27001. Sie kann nicht eigenständig zertifiziert werden, sondern setzt ein ISMS nach ISO 27001 voraus und ergänzt es um datenschutzspezifische Anforderungen. Die Norm richtet sich an zwei Rollen: Verantwortliche (Controller im Sinne der DSGVO, die über Zweck und Mittel der Verarbeitung entscheiden) und Auftragsverarbeiter (Processor, die personenbezogene Daten im Auftrag verarbeiten).
DSGVO-Mapping und rechtliche Einbettung
Ein zentraler Mehrwert der ISO 27701 ist das Mapping zu Datenschutzgesetzen. Anhang D der Norm stellt die Verbindung zwischen den PIMS-Anforderungen und den Artikeln der DSGVO her. Artikel 5 (Grundsätze der Verarbeitung), Artikel 6 (Rechtmäßigkeit), Artikel 13/14 (Informationspflichten), Artikel 15-22 (Betroffenenrechte), Artikel 25 (Privacy by Design), Artikel 28 (Auftragsverarbeitung), Artikel 30 (Verarbeitungsverzeichnis), Artikel 32 (Technische und organisatorische Maßnahmen) und Artikel 33/34 (Meldepflichten bei Datenschutzverletzungen) — all diese Anforderungen werden durch das PIMS systematisch abgedeckt.
Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung
Die ISO 27701 fordert eine vollständige Dokumentation aller Verarbeitungstätigkeiten — das entspricht dem Verarbeitungsverzeichnis nach Art. 30 DSGVO. Für jede Verarbeitungstätigkeit müssen Zweck, Rechtsgrundlage, Kategorien personenbezogener Daten, Empfänger, Übermittlungen in Drittländer, Aufbewahrungsfristen und technisch-organisatorische Maßnahmen dokumentiert werden. Darüber hinaus fordert die Norm die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen.
Technische und organisatorische Maßnahmen (TOM)
Das PIMS systematisiert die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Die ISO 27701 ergänzt die 93 Controls der ISO 27001 um datenschutzspezifische Erweiterungen: Zweckbindung bei der Verarbeitung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Für jeden dieser Grundsätze müssen konkrete Maßnahmen implementiert und deren Wirksamkeit nachgewiesen werden.
Betroffenenrechte und Transparenz
Die Norm fordert dokumentierte Prozesse zur Erfüllung der Betroffenenrechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Jede Anfrage muss innerhalb der gesetzlichen Frist bearbeitet werden — in der Regel innerhalb eines Monats. Ein systematisches PIMS stellt sicher, dass diese Anfragen nicht ad hoc, sondern strukturiert und nachvollziehbar bearbeitet werden.
Auftragsverarbeitung
Für Unternehmen, die als Auftragsverarbeiter tätig sind — und das ist in Industrieservice und Anlagenbau häufig der Fall, wenn beispielsweise Zutrittsdaten oder Personaldaten im Auftrag des Anlagenbetreibers verarbeitet werden — definiert die ISO 27701 in Anhang B spezifische Controls. Diese umfassen die vertragliche Regelung der Verarbeitung, Weisungsgebundenheit, Unterstützung bei Betroffenenrechten, Meldepflichten und die Löschung oder Rückgabe der Daten nach Vertragsende.
Anforderungen im Überblick
- PIMS-Politik: Datenschutzpolitik als Erweiterung der Informationssicherheitspolitik
- Verarbeitungsverzeichnis: Vollständige Dokumentation aller Verarbeitungstätigkeiten nach Art. 30 DSGVO
- Rechtsgrundlagen: Dokumentierte Rechtsgrundlage für jede Verarbeitungstätigkeit
- Datenschutz-Folgenabschätzung: DSFA für risikoreiche Verarbeitungen nach Art. 35 DSGVO
- Betroffenenrechte: Dokumentierte Prozesse für Auskunft, Berichtigung, Löschung, Datenübertragbarkeit
- Privacy by Design und Default: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- TOM: Technische und organisatorische Maßnahmen, die die DSGVO-Grundsätze operationalisieren
- Auftragsverarbeitung: Vertragliche Regelungen, Weisungsbindung, Unterauftragsverarbeiter-Management
- Drittlandtransfers: Dokumentation und Absicherung von Datenübermittlungen in Drittstaaten
- Datenschutzbeauftragter: Definition der Rolle, Befugnisse und Berichtswege des DPO
- Data Breach Management: Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen (72h an Aufsichtsbehörde)
- Löschkonzept: Systematische Löschung personenbezogener Daten nach Ablauf der Aufbewahrungsfristen
- Schulung und Bewusstsein: Datenschutzschulungen für alle Mitarbeiter mit Zugang zu personenbezogenen Daten
Was wir für Sie tun
NovoCert versteht Datenschutz nicht als juristisches Nischenthema, sondern als integralen Bestandteil eines ganzheitlichen Managementsystems. Unser Ansatz verbindet technische, organisatorische und rechtliche Kompetenz.
- PIMS Gap-Analyse: Wir bewerten Ihren Datenschutz-Status gegen die ISO 27701 und die DSGVO. Ergebnis ist ein klarer Maßnahmenplan, der auf Ihrem bestehenden ISMS aufbaut.
- Verarbeitungsverzeichnis: Wir erstellen gemeinsam mit Ihren Fachabteilungen ein vollständiges, strukturiertes Verarbeitungsverzeichnis — digital, durchsuchbar und auditfähig.
- DSFA-Durchführung: Für risikoreiche Verarbeitungen führen wir die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch und dokumentieren Risikobewertung und Gegenmaßnahmen.
- TOM-Katalog: Wir entwickeln einen maßgeschneiderten Katalog technischer und organisatorischer Maßnahmen, der Ihre IT-Infrastruktur, Ihre Prozesse und Ihre Branchenanforderungen berücksichtigt.
- Prozesse für Betroffenenrechte: Wir implementieren standardisierte Workflows für Auskunfts-, Lösch- und Berichtigungsanfragen — mit Fristen-Tracking und Eskalationsmechanismen.
- DPO-Unterstützung: Wir unterstützen Ihren Datenschutzbeauftragten oder übernehmen die Funktion des externen Datenschutzbeauftragten für Ihr Unternehmen.
- Zertifizierungsbegleitung: Wir begleiten die ISO 27701-Zertifizierung als Erweiterung Ihres bestehenden ISMS-Zertifikats.
Integration mit anderen Standards
Datenschutz berührt viele Managementsystem-Bereiche. Die ISO 27701 ist von Natur aus auf Integration ausgelegt.
ISO 27001 — Informationssicherheit: Die ISO 27001 ist die zwingende Voraussetzung für die ISO 27701. Das PIMS baut auf dem ISMS auf und erweitert es um datenschutzspezifische Controls. Risikobewertung, Dokumentenlenkung, interne Audits und Managementbewertung werden gemeinsam durchgeführt. Wer ein ISMS nach ISO 27001 betreibt, hat bereits 70 % des PIMS-Wegs geschafft.
NIS-2 — Cybersicherheitspflichten: Die NIS-2-Richtlinie fordert umfassende Cybersicherheitsmaßnahmen, die auch den Schutz personenbezogener Daten einschließen. Ein integriertes ISMS/PIMS nach ISO 27001/27701 stellt sicher, dass sowohl die Cybersicherheits- als auch die Datenschutzanforderungen in einem durchgängigen System adressiert werden. Besonders das Incident Management profitiert von der Integration: Ein Cybervorfall, der personenbezogene Daten betrifft, löst sowohl NIS-2-Meldepflichten (BSI) als auch DSGVO-Meldepflichten (Datenschutzbehörde) aus.
ISO 37301 — Compliance Management: Der Datenschutz ist ein wesentlicher Compliance-Bereich. Das Compliance-Managementsystem nach ISO 37301 stellt den organisatorischen Rahmen für die Überwachung und Durchsetzung aller Compliance-Pflichten bereit — einschließlich des Datenschutzes. Die Integration vermeidet Parallelstrukturen und stellt sicher, dass Datenschutzverstöße im Compliance-Reporting erfasst werden.
DSGVO und Auftragsverarbeitung im Industrieservice: Für Unternehmen in Anlagenbau und Industrieservice ist die Auftragsverarbeitung ein besonders relevantes Thema. Wenn Sie auf Kundenstandorten arbeiten und dabei Zutritts-, Personal- oder Sicherheitsdaten verarbeiten, agieren Sie häufig als Auftragsverarbeiter. Die ISO 27701 bietet den strukturierten Rahmen für die vertragliche und technische Absicherung dieser Rolle.
Häufige Fragen zur ISO 27701
Kann die ISO 27701 ohne ISO 27001 zertifiziert werden?
Nein, die ISO 27701 ist eine Erweiterungsnorm, die ein bestehendes ISMS nach ISO 27001 voraussetzt. Die Zertifizierung erfolgt als Erweiterung des ISO 27001-Zertifikats. Wenn Sie noch kein ISMS haben, empfehlen wir den parallelen Aufbau von ISO 27001 und ISO 27701 — so vermeiden Sie Doppelarbeit und sind schneller am Ziel.
Ersetzt die ISO 27701-Zertifizierung eine DSGVO-Prüfung?
Nein, die ISO 27701-Zertifizierung ersetzt nicht die behördliche Datenschutzaufsicht. Sie ist kein DSGVO-Zertifikat im Sinne des Art. 42 DSGVO. Allerdings ist sie ein starkes Indiz für die Einhaltung der DSGVO-Anforderungen und wird von Aufsichtsbehörden, Kunden und Geschäftspartnern als Nachweis systematischen Datenschutzes anerkannt. Die Europäische Datenschutzausschuss (EDPB) arbeitet an Kriterien für DSGVO-Zertifizierungsmechanismen, bei denen die ISO 27701 eine zentrale Rolle spielen dürfte.
Welche personenbezogenen Daten verarbeiten Unternehmen in Anlagenbau und Industrieservice typischerweise?
Die Datenverarbeitung ist vielfältiger als oft angenommen: Mitarbeiterdaten (Personalakten, Lohnabrechnungen, Qualifikationsnachweise, Gesundheitsdaten aus arbeitsmedizinischen Vorsorgen), Bewerberdaten, Kundenkontaktdaten, Zutrittsdaten auf Kundenstandorten (Chipkarten-Logs, Foto-Ausweise), Sicherheitsschulungsnachweise (SCC-Zertifikate, Unterweisungsnachweise), Subunternehmerdaten und zunehmend auch Video-Überwachungsdaten. Die systematische Erfassung aller dieser Verarbeitungen im Verarbeitungsverzeichnis ist der erste Schritt.
Wie aufwändig ist die PIMS-Implementierung, wenn wir bereits ein ISMS haben?
Wenn Sie ein funktionierendes ISMS nach ISO 27001 betreiben, beträgt der Zusatzaufwand für die ISO 27701 typischerweise 30 bis 40 % des ISMS-Aufwands. Die bestehende Dokumentenstruktur, das Risikomanagement und das Auditprogramm werden erweitert, nicht verdoppelt. Hauptaufwand entsteht beim Verarbeitungsverzeichnis, den Betroffenenrechte-Prozessen und dem Auftragsverarbeiter-Management. Wir rechnen mit 4 bis 6 Monaten Implementierungszeit bei vorhandenem ISMS.
Brauche ich einen Datenschutzbeauftragten?
Nach DSGVO müssen Unternehmen einen Datenschutzbeauftragten (DSB) bestellen, wenn sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, besondere Kategorien von Daten verarbeiten (z.B. Gesundheitsdaten aus arbeitsmedizinischen Vorsorgen) oder ihre Kerntätigkeit in der Datenverarbeitung liegt. Für die meisten Unternehmen in Industrieservice und Anlagenbau mit mehr als 20 Büro-/Verwaltungsmitarbeitern ist die Bestellung eines DSB Pflicht. Wir bieten die Funktion des externen DSB oder die Qualifizierung interner DSB an.
Referenzen
Unsere Datenschutz-Kompetenz in der Industriepraxis:
- Altrad Group (42.000 Mitarbeiter weltweit): Beratung zum Datenschutz-Management über europäische Standorte mit komplexen Drittlandtransfers und konzerninterner Datenverarbeitung
- ETABO Energietechnik und Anlagenservice GmbH / PSS Group (1.200 Mitarbeiter): PIMS-Aufbau als Bestandteil des IMS "Mission Zero" — besonderer Fokus auf Mitarbeiterdaten und arbeitsmedizinische Vorsorgedaten
- IAB Group: Datenschutzberatung für Unternehmen mit Zutrittsdatenverarbeitung auf kritischen Infrastrukturen
- Industrieservice Peeters GmbH: Auftragsverarbeiter-Management und Verarbeitungsverzeichnis für Industrieservice-Dienstleistungen
Unsere Zahlen
| Kennzahl | Wert |
|---|---|
| Betreute Kunden | 559 |
| Erstellte Gefährdungsbeurteilungen | 967 |
| Compliance-Quote im Erstaudit | 97,9 % |
| Betreute Normen und Standards | 17 |
| KI-gestützte Compliance-Agenten | 9 |
| Standorte | 4 (Troisdorf, Wesseling, Ludwigshafen, Hagen) |
Jetzt Beratung anfragen
Sie möchten Ihren Datenschutz auf ein zertifizierbares Niveau heben? Wir bieten Ihnen ein kostenloses Erstgespräch mit einer ersten Einschätzung Ihres DSGVO-Reifegrads.
NovoCert by WS Anlagentechnik GmbH Königsberger Str. 23 | 53840 Troisdorf Tel: +49 152 57877899 E-Mail: Consulting@ws-anlagentechnik.de
Standorte für Vor-Ort-Beratung: - Troisdorf (Zentrale) - Wesseling (Chemiepark-Region) - Ludwigshafen (SIEGEL Akademie) - Hagen (SE Bildung)
Datenschutz ist Vertrauensschutz — wir machen ihn systematisch und nachweisbar.
Verwandte Themen: ISO 27001 — Informationssicherheit | NIS-2 — Cybersicherheitspflichten | ISO 37301 — Compliance Management