Zum Inhalt springen Zur Navigation springen
ISO 27701: Risikobeurteilung und Risikobehandlung

ISO 27701: Risikobeurteilung und Risikobehandlung

Artikel von Katrin Rammo·29. September 2025

Die Begriffe Risikobeurteilung und Risikobehandlung sind zentrale Themen für Unternehmen, die Datenschutz und Informationssicherheit effektiv umsetzen wollen. In diesem Beitrag wird der Risikobegriff nach ISO 27701 und der DSGVO erläutert, Unterschiede herausgearbeitet und praxisnahe Umsetzungstipps gegeben.

Was versteht ISO 27701 unter Risikobeurteilung und Risikobehandlung?

ISO 27701 erweitert das Informationssicherheits-Managementsystem (ISMS) der ISO 27001 um spezifische Anforderungen an den Datenschutz. Der Risikobegriff in ISO 27701 orientiert sich an der Definition der ISO 27000-Reihe: Risiko ist die Auswirkung von Unsicherheit auf Ziele. Im Kontext von ISO 27701 bezieht sich dies auf Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sowie auf die Einhaltung datenschutzrechtlicher Anforderungen.

Risikobeurteilung nach ISO 27701

Nach der Unterkapitel 5.4.1.2 der Norm ISO 27701 (Beurteilung von Informationssicherheitsrisiken) muss die Organisation:

  • Informationssicherheitsrisiken bewerten: Ein Verfahren zur Risikobeurteilung der Informationssicherheit anwenden, um Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit im Rahmen des PIMS (Privacy Information Management System) zu ermitteln.
  • Datenschutzrisiken bewerten: Ein Verfahren zur Risikobeurteilung des Datenschutzes anwenden, um Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zu identifizieren.

Die Norm fordert explizit:

„Organisationen müssen Risiken für die Rechte und Freiheiten betroffener Personen identifizieren und angemessene Maßnahmen zur Risikobehandlung festlegen.“

Risikobehandlung nach ISO 27701

Die Risikobehandlung umfasst folgende Schritte:

  • Identifikation von Risiken: Risiken für personenbezogene Daten erkennen.
  • Bewertung der Risiken: Eintrittswahrscheinlichkeit und potenzielle Auswirkungen analysieren.
  • Maßnahmen zur Risikominderung: Geeignete Maßnahmen auswählen und umsetzen.
  • Überwachung und Überprüfung: Die Wirksamkeit der Maßnahmen regelmäßig kontrollieren.

Optionen und Maßnahmen zur Risikobehandlung

ISO 27001 bietet verschiedene Optionen zur Behandlung identifizierter Risiken, darunter:

  • Risikoakzeptanz: Das Risiko wird bewusst akzeptiert.
  • Risikoverlagerung: Das Risiko wird auf Dritte übertragen (z. B. durch Versicherungen).
  • Risikoreduktion: Maßnahmen werden ergriffen, um das Risiko zu minimieren.
  • Risikobeseitigung: Das Risiko wird vollständig eliminiert.

Die Sicherheitsmaßnahmen zur Risikobehandlung können dabei aus unterschiedlichen Bereichen stammen, wie z. B.:

  • Rechtliche Maßnahmen: Verträge, Datenschutzrichtlinien.
  • Organisatorische und personelle Maßnahmen: Schulungen, Prozesse, Sensibilisierung der Mitarbeitenden.
  • Infrastrukturelle Maßnahmen: Zugangskontrollen, physische Sicherheit.
  • IT-Maßnahmen: Verschlüsselung, Firewalls, regelmäßige Updates.

Welche Vorgaben hat die DSGVO im Bereich Risikobeurteilung und Risikobehandlung?

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein Schutzniveau zu gewährleisten, das den Risiken für die Rechte und Freiheiten natürlicher Personen angemessen ist. Dabei heißt es:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch […] Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten.“

Die DSGVO betont somit die zentrale Bedeutung des Risikobegriffs für den Schutz personenbezogener Daten. Im Fokus stehen dabei mögliche negative Folgen für die betroffenen Personen, wie etwa Diskriminierung oder Identitätsdiebstahl. Die Bewertung dieser Risiken erfolgt ausdrücklich aus der Perspektive der betroffenen Personen und nicht aus der Sicht des Unternehmens.

Um angemessene Schutzmaßnahmen ableiten zu können, verlangt die DSGVO eine dokumentierte Risikoanalyse. Diese bildet die Grundlage für alle weiteren Datenschutzmaßnahmen und stellt sicher, dass die getroffenen Maßnahmen den identifizierten Risiken angemessen sind.

Wo liegen die Unterschiede zwischen ISO 27701 und DSGVO beim Risikobegriff?

Perspektive des Risikos

ISO 27701 betrachtet Risiken sowohl für das Unternehmen – zumindest über ISO 27001 – als auch für die betroffenen Personen. Die DSGVO fokussiert sich ausschließlich auf Risiken für die Rechte und Freiheiten der betroffenen Personen.

Zielsetzung

ISO 27701 zielt auf ein systematisches Management von Datenschutzrisiken im Rahmen eines ISMS ab. Die DSGVO fordert ein dem Risiko angemessenes Schutzniveau, ohne ein konkretes Managementsystem vorzugeben.

Methodik

ISO 27701 verlangt eine strukturierte Risikoidentifikation, -bewertung und -behandlung. Die DSGVO gibt keine konkrete Methodik vor, fordert aber eine nachvollziehbare Risikoanalyse und -behebung.

Dokumentation

ISO 27701 fordert eine umfassende Dokumentation im Rahmen des ISMS. Die DSGVO verlangt eine Dokumentation der Risikoanalyse und der getroffenen Maßnahmen.

Maßnahmen

Im ISMS besteht die Möglichkeit, Risiken zu akzeptieren und sie bewusst nicht zu behandeln bzw. sie nicht durch weitere Maßnahmen zusätzlich zu reduzieren.

In einer nach Art. 35 DSGVO erfolgten Datenschutz-Folgenabschätzung identifizierte Risiken können nicht gemäß der Logik der ISO 27701 einfach akzeptiert werden. Diese müssen durch geeignete Maßnahmen behandelt werden.

Quellen des Risikos

Mögliche Risikoquellen können sowohl nach der ISO 27701 als auch nach der DSGVO menschlicher und nicht menschlicher Natur sein, Ereignisse und Handlungen allerlei Art:

  • Unbefugte oder unrechtmäßige Verarbeitung
  • Intransparente Verarbeitung
  • Verweigerung der Betroffenenrechte
  • Verwendung der Daten durch die Organisation zu inkompatiblen Zwecken
  • Einsatz von unzuverlässigen Auftragsverarbeitern
  • Cyberattacke
  • Datenleck (Schwachstelle in der IT-Infrastruktur/Datenbank)

Auswirkungen der Risiken

Da es im Kern bei der DSGVO und auch bei ISO 27701 immer um den Schutz der personenbezogenen Daten und um die Risiken für die Rechte und Freiheiten der Betroffenen geht, sind die möglichen Auswirkungen der Risiken anders als bei ISO 27001 zu definieren:

  • Diskriminierung
  • Verlust der Kontrolle über ihre personenbezogenen Daten
  • Erschwerung der Rechtsausübung/Kontrolle
  • Einschränkung der Rechte
  • Identitätsdiebstahl oder -betrug
  • Finanzieller Verlust (materieller Schaden)
  • Rufschaden (immaterieller Schaden)
  • Negative Auswirkungen auf Arbeitsleistung
  • Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten (nicht nur im Sinne des § 203 StGB)
  • Unbefugte Aufhebung der Pseudonymisierung
  • (Erhebliche) wirtschaftliche Nachteile
  • (Erhebliche) gesellschaftliche Nachteile
  • Gesundheitsschaden
  • Profilerstellung

Wie lassen sich ISO 27701 und DSGVO hinsichtlich des Risikomanagements integrieren?

Kapitel 5.4.1.2 ISO 27701 sieht die Möglichkeit vor, dass die Organisation einen integrierten Prozess zur Risikobeurteilung der Informationssicherheit und des Datenschutzes implementiert.

Für ein effektives Risikomanagement, empfiehlt es sich, ein interdisziplinäres Team zu bilden, das Experten aus IT, Datenschutz und Management vereint. Die Integration der Anforderungen aus ISO 27001, 27701 und DSGVO bietet Unternehmen die Chance, Datenschutz und Informationssicherheit ganzheitlich zu steuern. Dabei gilt es, die unterschiedlichen Perspektiven beider Regelwerke zu berücksichtigen.

Praktische Integration

Prozesse zur Risikoidentifikation und -bewertung sollten sowohl Unternehmens- als auch Betroffenenperspektive abdecken. Die Dokumentation der Risikobehandlung muss den Anforderungen beider Regelwerke genügen.
Maßnahmen zur Risikominderung sollten regelmäßig überprüft und an neue Bedrohungen angepasst werden.

Empfohlene Vorgehensweise

  • Interdisziplinäres Team bilden: Datenschutz, IT und Management einbinden.
  • Prozesse und Risiken erfassen: Alle relevanten Datenverarbeitungsprozesse und potenzielle Bedrohungen identifizieren.
  • Risikobewertung durchführen: Eintrittswahrscheinlichkeit und Auswirkungen auf die Rechte der Betroffenen analysieren.
  • Maßnahmen auswählen und umsetzen: Technische und organisatorische Maßnahmen priorisieren und implementieren.
  • Wirksamkeit überwachen: Regelmäßige Überprüfung und Anpassung der Maßnahmen.

Welche Herausforderungen und Chancen ergeben sich für Organisationen?

Fast jede Entscheidung im Bereich der Informationssicherheit erfordert eine sorgfältige Abwägung zwischen Risiken und Chancen. Es ist dabei sinnvoll, die potenziellen Auswirkungen auf betroffene Personen und deren personenbezogene Daten als zusätzliches Schutzziel in allen relevanten Assets (wie Anwendungen, IT-Systeme, Netzwerke, Personal, Gebäude oder Compliance) zu berücksichtigen. Dadurch lassen sich Risiken für Betroffene gezielter erkennen und bewerten.

Vorteile einer integrierten Risikobehandlung

Das Ergebnis einer integrierten Risikobewertung, die sowohl Informationssicherheit als auch Datenschutz umfasst, ermöglicht eine wirtschaftlichere Behandlung der identifizierten Risiken. So können beispielsweise potenzielle Konflikte zwischen Maßnahmen zur Stärkung der Informationssicherheit und dem Schutz personenbezogener Daten bereits vor deren Umsetzung erkannt werden – etwa bei der Einführung eines SIEM-Systems. Dir wichtigsten Vorteile sind hier zusammengefasst:

  • Ganzheitlicher Schutz personenbezogener Daten
  • Effizientere Prozesse durch Synergien zwischen Datenschutz und Informationssicherheit
  • Nachweis eines hohen Datenschutzstandards gegenüber Aufsichtsbehörden und Kunden
  • Frühzeitige Erkennung von Konflikten zwischen Datenschutz und IT-Sicherheit
  • Wirtschaftlichere Behandlung von Risiken durch integrierte Prozesse
  • Stärkung des Vertrauens von Mitarbeitern, Kunden und Partnern
  • Verbesserte Compliance und geringeres Risiko von Datenschutzverletzungen

Herausforderungen

Die praktische Umsetzung der Risikobeurteilung und -behandlung im Datenschutz bringt sowohl Herausforderungen als auch Chancen mit sich:

  • Unterschiedliche Anforderungen und Perspektiven von ISO 27701 und DSGVO
  • Notwendigkeit einer umfassenden und nachvollziehbaren Dokumentation
  • Kontinuierliche Anpassung an neue Bedrohungen und gesetzliche Vorgaben

Risikobeurteilung und -behandlung im Datenschutz als integrierter Prozess

Die Risikobeurteilung und -behandlung im Datenschutz nach ISO 27001, ISO 27701 und DSGVO erfordert ein strukturiertes, integriertes Vorgehen. Unternehmen profitieren von einer Kombination beider Regelwerke, indem sie sowohl die Anforderungen an Informationssicherheit als auch den Schutz der Rechte der Betroffenen erfüllen. Eine ganzheitliche Risikobehandlung stärkt nicht nur die Compliance, sondern auch das Vertrauen in den Datenschutz des Unternehmens. Ein integriertes Managementsystem, das sowohl die Anforderungen der ISO 27001, ISO 27701 als auch der DSGVO berücksichtigt, ist der Schlüssel zu einem wirksamen und nachhaltigen Datenschutz in Unternehmen.

In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ widmen wir uns dem Thema „Löschkonzept“.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.