Cybersecurity

ISO 27001 und DSGVO: Integration für deutsche Unternehmen

ISO 27001 und DSGVO: Integration in Deutschland 2026 — BSI-Zertifizierung, Annex A-Controls, Verzahnung mit Artikel 32 für TOM-Nachweis.

TD
Dr. Thiébaut Devergranne
23. Mai 20265 min read

In einem Satz. ISO 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) — er liefert mit den 93 Annex-A-Controls und den 4 Themengruppen den dokumentierten Nachweis “geeigneter technischer und organisatorischer Maßnahmen” im Sinne von DSGVO Artikel 32 und ist in Deutschland durch BSI-akkreditierte Zertifizierungsstellen oder über IT-Grundschutz-Basis-Zertifizierung erreichbar.

ISO 27001 wurde 2022 grundlegend überarbeitet: Annex A von 114 auf 93 Controls verschlankt, neue Schwerpunkte auf Cloud, Threat Intelligence und Datenmaskierung. Die deutsche Übersetzung als DIN EN ISO/IEC 27001:2024-01 ist offizielle Referenz.

In Deutschland gibt es zwei Zertifizierungspfade: klassische ISO 27001-Zertifizierung durch akkreditierte Stellen (DEKRA, TÜV, DQS u.a.) oder ISO 27001 auf Basis IT-Grundschutz durch BSI-akkreditierte Auditoren (höherer Reifegrad-Nachweis).

Für die DSGVO-Verzahnung siehe DSGVO Artikel 32 Sicherheit. Für IT-Grundschutz-Spezifika BSI IT-Grundschutz.

Wichtige Punkte

  • ISO 27001:2022 hat 93 Annex-A-Controls in 4 Themen: Organisational, People, Physical, Technological.
  • Verschlankung gegenüber 2013er-Version, neue Controls für Cloud, Threat Intelligence, Datenmaskierung.
  • DIN EN ISO/IEC 27001:2024-01 ist deutsche Übersetzung mit Rechtsstatus.
  • Zwei Pfade in Deutschland: klassische Zertifizierung oder ISO 27001 auf Basis IT-Grundschutz.
  • Übergangsfrist von ISO 27001:2013 zu :2022 endete 31. Oktober 2025.

1. ISO 27001:2022 — die Neuerungen

Die Revision 2022 brachte:

  • 93 Controls statt 114 (Konsolidierung)
  • 4 Themen statt 14 Domänen: Organisational, People, Physical, Technological
  • 11 neue Controls: u.a. Threat Intelligence, Cloud-Services, ICT Readiness for Business Continuity, Physical Security Monitoring, Configuration Management, Information Deletion, Data Masking, Data Leakage Prevention, Monitoring Activities, Web Filtering, Secure Coding
  • Attributes: Kontrolltyp, Sicherheitseigenschaften, Cybersecurity-Konzepte, Operational Capabilities, Security Domains

2. Die vier Themengruppen

Theme Anzahl Controls Beispiele
A.5 Organisational 37 Policies, Asset Management, Lieferantenbeziehungen
A.6 People 8 Schulung, Vertraulichkeit, Disziplinarverfahren
A.7 Physical 14 Zutrittskontrolle, Gerätesicherheit
A.8 Technological 34 Zugriffskontrolle, Kryptografie, Logging

3. ISMS-Aufbau nach ISO 27001

Verpflichtende Bestandteile:

  • Kontext der Organisation (Klausel 4)
  • Leadership und Politik (5)
  • Planung mit Risikobewertung (6)
  • Support — Ressourcen, Kompetenz, Dokumentation (7)
  • Operation — Risikobehandlung (8)
  • Performance Evaluation — Audits, Management Review (9)
  • Improvement — Korrekturmaßnahmen (10)

Die Klauseln 4-10 sind nicht verhandelbar; Annex A ist anwendbarkeitsbasiert (“Statement of Applicability”).

4. Statement of Applicability (SoA)

Das SoA dokumentiert für jede der 93 Controls:

  • Anwendbarkeit: Ja/Nein mit Begründung
  • Implementierung: Wie umgesetzt
  • Verantwortliche

Nicht-Anwendung erfordert Begründung — der Auditor prüft Plausibilität.

5. Verzahnung mit DSGVO Artikel 32

DSGVO-Anforderung ISO 27001 Control
Pseudonymisierung/Verschlüsselung A.8.24 Kryptografie
Vertraulichkeit A.5.13, A.8.3 Information Access
Integrität A.8.11 Data Masking, A.8.13
Verfügbarkeit A.5.30 ICT Readiness for BC
Belastbarkeit A.8.14 Redundancy
Regelmäßige Überprüfung Klausel 9.2 Internal Audit
Auftragsverarbeiter-Steuerung A.5.19-23 Supplier Relationships
Datenpannen-Behandlung A.5.24-26 Information Security Incident Mgmt

6. ISO 27001 vs. BSI IT-Grundschutz

Aspekt ISO 27001 (rein) ISO 27001 auf Basis IT-Grundschutz
Detaillierungsgrad Generische Controls Konkrete Bausteine
Audit-Aufwand Niedriger Höher
Anerkennung Bundesbehörden Begrenzt Hoch
KRITIS-Tauglichkeit Ergänzungen nötig Vollständig
Internationaler Standard Ja Eingeschränkt
Kosten 30-80k € 50-150k €

7. ISO 27701 — die Datenschutzerweiterung

ISO 27701:2019 erweitert 27001 um Privacy-Information-Management. Spezifisch:

  • Pflichten als Verantwortlicher (Controller)
  • Pflichten als Auftragsverarbeiter (Processor)
  • Mapping zu DSGVO

Empfehlung für DSGVO-Compliance: ISO 27001 + 27701 als kombinierte Zertifizierung.

8. Implementierungspfad — typische Reihenfolge

  1. Gap-Analyse gegen ISO 27001:2022 (2-4 Wochen)
  2. Scope-Definition und SoA-Entwurf (4 Wochen)
  3. Risikobewertung und -behandlung (8-12 Wochen)
  4. Dokumentation Policies, Verfahren (12-16 Wochen)
  5. Implementierung Controls (paralleler Prozess)
  6. Internes Audit (4-6 Wochen)
  7. Management Review
  8. Stage-1-Audit (Dokumentenprüfung)
  9. Stage-2-Audit (Vor-Ort, Zertifizierung)

Typischer Gesamtaufwand: 9-18 Monate für mittelständische Unternehmen.

9. Zertifizierungsstellen in Deutschland

Akkreditiert durch DAkkS:

  • DEKRA Certification
  • DQS GmbH
  • TÜV Süd / Rheinland / Nord
  • BSI (für Grundschutz-Variante)
  • LRQA
  • SGS

Zertifikatsgültigkeit: 3 Jahre, mit jährlichen Überwachungsaudits.

10. DSGVO-Beweiswert in Aufsichtsverfahren

Eine ISO 27001-Zertifizierung ist kein automatischer DSGVO-Compliance-Beweis, aber:

  • BfDI und LfDI berücksichtigen sie als positives Indiz
  • In mehreren bekannten Aufsichtsverfahren (z.B. Vodafone, Deutsche Wohnen) wurde ISO-Status thematisiert
  • Bei Datenpannen reduziert Zertifizierung den Sanktionsrahmen (Artikel 83 Abs. 2 lit. d — TOMs)

11. Kosten und ROI

Typische Erstzertifizierungskosten:

  • KMU (50-250 MA): 30-60k € + interne Aufwände
  • Mittelstand (250-1000 MA): 60-120k €
  • Konzern: 150k €+

ROI-Faktoren: Reduzierte Versicherungsprämien, neue Kundensegmente (B2B, KRITIS), reduziertes DSGVO-Sanktionsrisiko.

12. Werkzeuge

Legiscope ordnet ISO-27001-Controls direkt DSGVO-Pflichten zu und unterstützt die SoA-Pflege parallel zum DSGVO-Maßnahmenregister.

Verwandte Leitfäden: DSGVO Artikel 32 Sicherheit, BSI IT-Grundschutz, Business Continuity Plan DSGVO BSI.

Fazit

ISO 27001 ist die international anerkannte Linse für Informationssicherheit; im deutschen Kontext oft im Tandem mit BSI IT-Grundschutz. Für DSGVO-Artikel-32-Nachweis ist ISO 27001 hochrelevant — aber nur, wenn das ISMS tatsächlich gelebt wird, nicht nur dokumentiert.

FAQ

Was ist der Unterschied zwischen ISO 27001:2013 und :2022?

Die 2022er-Version reduziert Annex A von 114 auf 93 Controls, gruppiert sie in 4 Themen und ergänzt 11 neue Controls (Cloud, Threat Intelligence, Datenmaskierung). Übergangsfrist endete 31. Oktober 2025.

Ersetzt ISO 27001 die DSGVO-Compliance?

Nein. ISO 27001 deckt Informationssicherheit ab, nicht alle DSGVO-Pflichten (Rechtsgrundlagen, Betroffenenrechte, DSFA). Sinnvoll: Kombination mit ISO 27701.

Wie lange ist ein ISO-27001-Zertifikat gültig?

3 Jahre, mit jährlichen Überwachungsaudits. Rezertifizierung im dritten Jahr.

Was kostet eine ISO-27001-Zertifizierung?

KMU 30-60k €, Mittelstand 60-120k €, Konzern 150k €+ inkl. externer Beratung und Audit. Interne Aufwände kommen hinzu.

Welche Zertifizierungspfade gibt es in Deutschland?

Klassische ISO 27001 durch akkreditierte Stellen (DEKRA, TÜV, DQS) oder ISO 27001 auf Basis IT-Grundschutz durch BSI-akkreditierte Auditoren.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →