{"id":968,"date":"2025-09-29T15:38:54","date_gmt":"2025-09-29T13:38:54","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=968"},"modified":"2025-09-29T15:38:54","modified_gmt":"2025-09-29T13:38:54","slug":"iso-27701-und-dsgvo-so-meistern-sie-das-risikomanagement-im-datenschutz","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/09\/29\/iso-27701-und-dsgvo-so-meistern-sie-das-risikomanagement-im-datenschutz\/","title":{"rendered":"ISO 27701 und DSGVO: So meistern Sie das Risikomanagement im Datenschutz"},"content":{"rendered":"<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"265\"><b class=\"ng-star-inserted\" data-start-index=\"265\">Ein effektives Risikomanagement ist das Herzst\u00fcck von Datenschutz und Informationssicherheit<\/b><span class=\"ng-star-inserted\" data-start-index=\"357\">. <\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"265\"><span class=\"ng-star-inserted\" data-start-index=\"357\">Unternehmen, die sich mit der ISO 27701 und der Datenschutz-Grundverordnung (DSGVO) befassen, stehen vor der Aufgabe, die Begriffe Risikobeurteilung und Risikobehandlung korrekt zu verstehen und praktisch umzusetzen. In diesem Beitrag beleuchten wir die Anforderungen beider Regelwerke, zeigen Unterschiede auf und erkl\u00e4ren, wie eine erfolgreiche Integration gelingen kann<\/span><span class=\"ng-star-inserted\" data-start-index=\"731\">.<\/span><\/div>\n<div class=\"paragraph heading4 ng-star-inserted\" data-start-index=\"732\"><span class=\"ng-star-inserted\" data-start-index=\"732\">Was bedeuten Risikobeurteilung und Risikobehandlung nach ISO 27701?<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"799\"><span class=\"ng-star-inserted\" data-start-index=\"799\">Die ISO 27701 erweitert das bekannte Informationssicherheits-Managementsystem (ISMS) der ISO 27001 um spezifische Anforderungen an den Datenschutz<\/span><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><span class=\"ng-star-inserted\" data-start-index=\"945\">. Der Risikobegriff ist hier klar definiert als die <\/span><b class=\"ng-star-inserted\" data-start-index=\"997\">Auswirkung von Unsicherheit auf Ziele<\/b><span class=\"ng-star-inserted\" data-start-index=\"1034\">. Im Datenschutzkontext bezieht sich dies auf Risiken f\u00fcr die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit personenbezogener Daten<\/span><span class=\"ng-star-inserted\" data-start-index=\"1165\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"1166\"><span class=\"ng-star-inserted\" data-start-index=\"1166\">Die Norm verlangt von einer Organisation eine zweigleisige Risikobeurteilung<\/span><span class=\"ng-star-inserted\" data-start-index=\"1242\">:<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"1243\"><span class=\"ng-star-inserted\">1. <\/span><b class=\"ng-star-inserted\" data-start-index=\"1243\">Bewertung von Informationssicherheitsrisiken<\/b><span class=\"ng-star-inserted\" data-start-index=\"1287\">: <\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"1243\"><span class=\"ng-star-inserted\" data-start-index=\"1287\">Identifikation von Risiken f\u00fcr Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Informationen im Rahmen des Privacy Information Management Systems (PIMS)<\/span><span class=\"ng-star-inserted\" data-start-index=\"1443\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"1444\"><span class=\"ng-star-inserted\">2. <\/span><b class=\"ng-star-inserted\" data-start-index=\"1444\">Bewertung von Datenschutzrisiken<\/b><span class=\"ng-star-inserted\" data-start-index=\"1476\">: Identifikation von Risiken, die speziell bei der Verarbeitung personenbezogener Daten entstehen<\/span><span class=\"ng-star-inserted\" data-start-index=\"1573\">.<\/span><\/div>\n<div data-start-index=\"1574\"><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"1574\"><span class=\"ng-star-inserted\" data-start-index=\"1574\">Ein zentraler Punkt ist die Forderung, <\/span><b class=\"ng-star-inserted\" data-start-index=\"1613\">Risiken f\u00fcr die Rechte und Freiheiten betroffener Personen zu identifizieren<\/b><span class=\"ng-star-inserted\" data-start-index=\"1689\"> und passende Ma\u00dfnahmen zur Behandlung festzulegen<\/span><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><span class=\"ng-star-inserted\" data-start-index=\"1739\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"1740\"><span class=\"ng-star-inserted\" data-start-index=\"1740\">Zur Risikobehandlung bietet die ISO 27001 verschiedene Optionen, darunter die Reduktion, Akzeptanz, Verlagerung oder vollst\u00e4ndige Beseitigung eines Risikos<\/span><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><span class=\"ng-star-inserted\" data-start-index=\"1895\">. Um dies zu erreichen, k\u00f6nnen technische (z. B. Verschl\u00fcsselung), organisatorische (z. B. Schulungen), rechtliche (z. B. Vertr\u00e4ge) und infrastrukturelle Ma\u00dfnahmen (z. B. Zugangskontrollen) ergriffen werden<\/span><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><span class=\"ng-star-inserted\" data-start-index=\"2101\">.<\/span><\/div>\n<div data-start-index=\"2102\"><\/div>\n<div class=\"paragraph heading4 ng-star-inserted\" data-start-index=\"2102\"><span class=\"ng-star-inserted\" data-start-index=\"2102\">Welche Vorgaben macht die DSGVO?<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"2134\"><span class=\"ng-star-inserted\" data-start-index=\"2134\">Die DSGVO verpflichtet Verantwortliche laut Artikel 32, technische und organisatorische Ma\u00dfnahmen zu ergreifen, die dem Risiko f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen angemessen sind<\/span><span class=\"ng-star-inserted\" data-start-index=\"2327\">. Der Fokus liegt hier eindeutig auf den <\/span><b class=\"ng-star-inserted\" data-start-index=\"2368\">m\u00f6glichen negativen Folgen f\u00fcr die betroffenen Personen<\/b><span class=\"ng-star-inserted\" data-start-index=\"2423\">, wie Diskriminierung, Identit\u00e4tsdiebstahl oder finanzielle Verluste<\/span><span class=\"ng-star-inserted\" data-start-index=\"2491\">.<\/span><\/div>\n<div data-start-index=\"2492\"><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"2492\"><b class=\"ng-star-inserted\" data-start-index=\"2492\">Entscheidend ist die Perspektive<\/b><span class=\"ng-star-inserted\" data-start-index=\"2524\">: <\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"2492\"><span class=\"ng-star-inserted\" data-start-index=\"2524\">Die Bewertung der Risiken muss ausdr\u00fccklich aus der Sicht der betroffenen Person erfolgen, nicht aus der des Unternehmens<\/span><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><span class=\"ng-star-inserted\" data-start-index=\"2647\">. Um dies zu gew\u00e4hrleisten, verlangt die DSGVO eine dokumentierte Risikoanalyse als Grundlage f\u00fcr alle weiteren Schutzma\u00dfnahmen<\/span><span class=\"ng-star-inserted\" data-start-index=\"2774\">.<\/span><\/div>\n<div class=\"paragraph heading4 ng-star-inserted\" data-start-index=\"2775\"><span class=\"ng-star-inserted\" data-start-index=\"2775\">Die wesentlichen Unterschiede: ISO 27701 vs. DSGVO<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"2825\"><span class=\"ng-star-inserted\" data-start-index=\"2825\">Obwohl beide Regelwerke den Schutz personenbezogener Daten zum Ziel haben, gibt es wichtige Unterschiede im Ansatz<\/span><span class=\"ng-star-inserted\" data-start-index=\"2939\">:<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"2940\"><span class=\"ng-star-inserted\">\u2022 <\/span><b class=\"ng-star-inserted\" data-start-index=\"2940\">Perspektive<\/b><span class=\"ng-star-inserted\" data-start-index=\"2951\">: Die DSGVO fokussiert sich ausschlie\u00dflich auf die Risiken f\u00fcr betroffene Personen, w\u00e4hrend die ISO 27701 auch Risiken f\u00fcr das Unternehmen selbst (\u00fcber die ISO 27001) ber\u00fccksichtig<\/span><span class=\"ng-star-inserted\" data-start-index=\"3132\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"3133\"><span class=\"ng-star-inserted\">\u2022 <\/span><b class=\"ng-star-inserted\" data-start-index=\"3133\">Zielsetzung<\/b><span class=\"ng-star-inserted\" data-start-index=\"3144\">: Die ISO 27701 strebt ein systematisches Managementsystem an, wohingegen die DSGVO ein dem Risiko angemessenes Schutzniveau fordert, ohne ein spezifisches System vorzuschreibe<\/span><span class=\"ng-star-inserted\" data-start-index=\"3321\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"3322\"><span class=\"ng-star-inserted\">\u2022 <\/span><b class=\"ng-star-inserted\" data-start-index=\"3322\">Methodik<\/b><span class=\"ng-star-inserted\" data-start-index=\"3330\">: Die DSGVO gibt keine konkrete Methodik f\u00fcr die Risikoanalyse vor, fordert aber deren Nachvollziehbarkeit. Die ISO 27701 verlangt einen strukturierten Prozess zur Identifikation, Bewertung und Behandlung von Risiken<\/span><button class=\"xap-inline-dialog citation-marker ng-star-inserted\" aria-haspopup=\"dialog\" aria-describedby=\"cdk-describedby-message-ng-1-66\" data-disabled=\"false\"><\/button><span class=\"ng-star-inserted\" data-start-index=\"3546\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"3547\"><span class=\"ng-star-inserted\">\u2022 <\/span><b class=\"ng-star-inserted\" data-start-index=\"3547\">Risikoakzeptanz<\/b><span class=\"ng-star-inserted\" data-start-index=\"3562\">: Ein nach der DSGVO identifiziertes hohes Risiko (z. B. in einer Datenschutz-Folgenabsch\u00e4tzung) muss durch Ma\u00dfnahmen behandelt werden. Es kann nicht einfach akzeptiert werden, wie es im Rahmen eines ISMS nach ISO 27001 unter Umst\u00e4nden m\u00f6glich w\u00e4r<\/span><span class=\"ng-star-inserted\" data-start-index=\"3810\">.<\/span><\/div>\n<div data-start-index=\"3811\"><\/div>\n<div class=\"paragraph heading4 ng-star-inserted\" data-start-index=\"3811\"><span class=\"ng-star-inserted\" data-start-index=\"3811\">Integration als Schl\u00fcssel zum Erfolg: So verbinden Sie beide Welten<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"3878\"><span class=\"ng-star-inserted\" data-start-index=\"3878\">Anstatt die Anforderungen getrennt zu betrachten, bietet ein integrierter Ansatz erhebliche Vorteile<\/span><span class=\"ng-star-inserted\" data-start-index=\"3978\">. Die ISO 27701 sieht explizit die M\u00f6glichkeit vor, die Risikobeurteilung f\u00fcr Informationssicherheit und Datenschutz in einem gemeinsamen Prozess zu vereinen<\/span><span class=\"ng-star-inserted\" data-start-index=\"4135\">.<\/span><\/div>\n<div data-start-index=\"3878\"><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4136\"><b class=\"ng-star-inserted\" data-start-index=\"4136\">Empfohlene Vorgehensweise f\u00fcr eine praktische Integration:<\/b><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4194\"><span class=\"ng-star-inserted\">1. <\/span><b class=\"ng-star-inserted\" data-start-index=\"4194\">Bilden Sie ein interdisziplin\u00e4res Team<\/b><span class=\"ng-star-inserted\" data-start-index=\"4232\"> aus den Bereichen Datenschutz, IT und Management<\/span><span class=\"ng-star-inserted\" data-start-index=\"4281\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4282\"><span class=\"ng-star-inserted\">2. <\/span><b class=\"ng-star-inserted\" data-start-index=\"4282\">Erfassen Sie alle relevanten Prozesse<\/b><span class=\"ng-star-inserted\" data-start-index=\"4319\"> und identifizieren Sie potenzielle Risiken f\u00fcr die Unternehmensziele und die Rechte der Betroffenen<\/span><span class=\"ng-star-inserted\" data-start-index=\"4419\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4420\"><span class=\"ng-star-inserted\">3. <\/span><b class=\"ng-star-inserted\" data-start-index=\"4420\">F\u00fchren Sie eine integrierte Risikobewertung durch<\/b><span class=\"ng-star-inserted\" data-start-index=\"4469\">, die beide Perspektiven abdeckt<\/span><span class=\"ng-star-inserted\" data-start-index=\"4501\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4502\"><span class=\"ng-star-inserted\">4. <\/span><b class=\"ng-star-inserted\" data-start-index=\"4502\">W\u00e4hlen und implementieren Sie Ma\u00dfnahmen<\/b><span class=\"ng-star-inserted\" data-start-index=\"4541\">, die sowohl die Informationssicherheit st\u00e4rken als auch den Datenschutz gew\u00e4hrleisten<\/span><span class=\"ng-star-inserted\" data-start-index=\"4627\">.<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4628\"><span class=\"ng-star-inserted\">5. <\/span><b class=\"ng-star-inserted\" data-start-index=\"4628\">\u00dcberwachen Sie die Wirksamkeit<\/b><span class=\"ng-star-inserted\" data-start-index=\"4658\"> der Ma\u00dfnahmen kontinuierlich und passen Sie diese bei Bedarf an neue Bedrohungen an<\/span><span class=\"ng-star-inserted\" data-start-index=\"4742\">.<\/span><\/div>\n<div data-start-index=\"4743\"><\/div>\n<div class=\"paragraph heading4 ng-star-inserted\" data-start-index=\"4743\"><span class=\"ng-star-inserted\" data-start-index=\"4743\">Chancen und Vorteile eines ganzheitlichen Ansatzes<\/span><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"4793\"><span class=\"ng-star-inserted\" data-start-index=\"4793\">Ein integriertes Risikomanagement ist mehr als nur die Erf\u00fcllung von Vorschriften. Es schafft Synergien, die zu effizienteren Prozessen und einem <\/span><b class=\"ng-star-inserted\" data-start-index=\"4939\">ganzheitlichen Schutz personenbezogener Daten<\/b><span class=\"ng-star-inserted\" data-start-index=\"4984\"> f\u00fchren<\/span><span class=\"ng-star-inserted\" data-start-index=\"4991\">. Unternehmen k\u00f6nnen dadurch nicht nur ihre Compliance verbessern und das Risiko von Datenschutzverletzungen senken, sondern auch das Vertrauen von Kunden und Partnern nachhaltig st\u00e4rken<\/span><span class=\"ng-star-inserted\" data-start-index=\"5177\">.<\/span><\/div>\n<div data-start-index=\"4793\"><\/div>\n<div class=\"paragraph normal ng-star-inserted\" data-start-index=\"5178\"><span class=\"ng-star-inserted\" data-start-index=\"5178\">Die Zusammenf\u00fchrung der Anforderungen erm\u00f6glicht eine <\/span><b class=\"ng-star-inserted\" data-start-index=\"5232\">wirtschaftlichere Behandlung von Risiken<\/b><span class=\"ng-star-inserted\" data-start-index=\"5272\"> und hilft, potenzielle Konflikte zwischen IT-Sicherheit und Datenschutz fr\u00fchzeitig zu erkennen<\/span><span class=\"ng-star-inserted\" data-start-index=\"5367\">. Letztlich ist ein integriertes Managementsystem, das ISO 27001, ISO 27701 und die DSGVO ber\u00fccksichtigt, der Schl\u00fcssel zu einem wirksamen und nachhaltigen Datenschutz<\/span><span class=\"ng-star-inserted\" data-start-index=\"5534\">.<\/span><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Ein effektives Risikomanagement ist das Herzst\u00fcck von Datenschutz und Informationssicherheit. Unternehmen, die sich mit der&hellip;<\/p>\n","protected":false},"author":1,"featured_media":687,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-968","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=968"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/968\/revisions"}],"predecessor-version":[{"id":969,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/968\/revisions\/969"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/687"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}