ISO/IEC 27701:2025 als eigenständiges Datenschutzmanagementsystem: Was sich ändert und was das für Unternehmen und Organisationen bedeutet
Viele Organisationen haben in den letzten Jahren erhebliche Ressourcen in Datenschutzorganisation, technische und organisatorische Maßnahmen sowie Nachweisdokumentation investiert. Gleichzeitig wächst der Druck, Datenschutz nicht nur rechtlich korrekt zu organisieren, sondern dauerhaft steuerbar zu machen, revisionsfest zu dokumentieren und auditierbar nachzuweisen.
Genau an dieser Schnittstelle setzt die überarbeitete ISO/IEC 27701:2025 an, indem sie Datenschutzanforderungen in die Logik eines Managementsystems überführt und dabei spürbar an Struktur, Reichweite und Praktikabilität gewinnt. Für viele Unternehmen wird damit aus dem Datenschutzmanagement ein klar strukturiertes Managementsystem mit belastbarem Nachweis, klaren Anforderungen und besserer Zertifizierungsperspektive, aber auch neuen Herausforderungen.
Die zentrale Botschaft lautet: ISO/IEC 27701 ist seit der Ausgabe 2025 nicht mehr nur ein „Anhang“ zur Informationssicherheit, sondern als eigenständiger Managementsystemstandard für ein Privacy Information Management System (PIMS) ausgestaltet.
Das verändert die Implementierung, die interne Governance, die Auditplanung und mittelbar auch die strategische Positionierung gegenüber Kunden, Partnern und Aufsichtsbehörden.
Die frühere Sicht als bloße Erweiterung rückt damit in den Hintergrund. Für das Datenschutzmanagement in Unternehmen und anderen Organisationen ist das ein wesentlicher Schritt, weil die Norm das Thema als eigenständiges Managementsystem und nicht nur als Anhang zu einem anderen System behandelt.
Das Wichtigste in Kürze
Lesezeit: ca. 5 Minuten
- Die ISO/IEC 27701 wurde im Oktober 2025 als ISO/IEC 27701:2025 aktualisiert und ist nun als eigenständiger Managementsystemstandard für ein Privacy Information Management System (PIMS) ausgestaltet.
- Die bisherige Sichtweise als bloße Erweiterung eines ISO/IEC 27001 Informationssicherheitsmanagementsystems tritt damit in den Hintergrund, was den Einstieg in ein strukturiertes Datenschutzmanagement auch ohne bestehendes ISMS erleichtert.
- Durch die Ausrichtung an der High Level Structure wird Datenschutz stärker als Führungs- und Governance-Thema verankert, mit klaren Anforderungen an Kontextanalyse, Verantwortlichkeiten, Planung, Wirksamkeitskontrolle und kontinuierliche Verbesserung.
- Die Norm differenziert Kontrollen deutlicher nach Verantwortlichen und Auftragsverarbeitern und erleichtert damit die präzisere Umsetzung entlang der tatsächlichen Rolle in der Verarbeitung.
- Für Unternehmen und andere Organisationen mit bestehenden Strukturen empfiehlt sich eine frühzeitige Gap-Analyse und Umstellungsplanung, weil die praktische Umsetzung und die spätere Zertifizierung weniger ein Dokumentenprojekt sind, sondern vor allem Prozesse, Zuständigkeiten, Nachweisführung, Umgang mit Risiken und Auditfähigkeit betreffen.
Was ist ISO/IEC 27701 und wofür steht ein PIMS in der Praxis?
ISO/IEC 27701 beschreibt Anforderungen und Kontrollen für ein Datenschutz-Informationsmanagementsystem. Ein PIMS strukturiert Datenschutz nicht als Sammlung einzelner Pflichten, sondern als fortlaufenden Steuerungskreislauf.
Das Ziel ist nicht, einmalig „DSGVO-Dokumente“ zu erzeugen, sondern Prozesse, Verantwortlichkeiten, Risikoentscheidungen, Kontrollen und Nachweise so zu etablieren, dass Datenschutz im Tagesgeschäft verlässlich funktioniert.
Gleichzeitig bleibt wichtig, die Begriffswelt der Norm besser zu verstehen, um eine optimale Umsetzung im Unternehmen bzw. in der Organisation zu gewärhleisten.
Das PIMS ist als Managementsystem und als Standard ausgestaltet, der Anforderungen an Organisationen und Unternehmen formuliert.
Es ist damit mehr als eine bloße Erweiterung oder ein zusätzlicher Anhang. Für die praktische Implementierung hilft es, wenn Unternehmen und Organisationen früh klären, wie dieses System mit bestehendem ISMS, Compliance-Management und Datenschutzmanagement zusammenspielt. Auch der Umgang mit Begriffen wie PID (also personenbezogenen Daten) sollte in internen Leitlinien und im Rollenmodell einheitlich definiert werden, damit die Verarbeitung personenbezogener Daten im gesamten System konsistent gesteuert wird.
Für die Praxis bedeutet das: Ein PIMS zwingt zur Klarheit über den Kontext Ihrer Datenverarbeitungen, zu konsistenten Rollenmodellen, zu systematischer Risikoanalyse und zu einem belastbaren Nachweissystem, das auch unter Auditbedingungen trägt.
In der datenschutzrechtlichen DSGVO-Logik zahlt das unmittelbar auf Rechenschaftspflichten und Governance ein, insbesondere dort, wo Unternehmen oder Organisationen regelmäßig erklären müssen, warum eine Verarbeitung zulässig ist, wie Schutzmaßnahmen gewählt wurden und wie deren Wirksamkeit überwacht wird. Der Nachweis wird dadurch nicht nur dokumentiert, sondern im Managementsystem aktiv gesteuert.
Inhaltsverzeichnis
Was ist ISO/IEC 27701 und wofür steht ein PIMS in der Praxis?
Der Kern der Revision: Von der Erweiterung zur eigenständigen Norm
High Level Structure: Datenschutz wird managementsystemfähig
Mehr Klarheit für Verantwortliche und Auftragsverarbeiter
Datenschutz in KI und digitalen Ökosystemen: Das Thema wird ausdrücklich mitgedacht
Zertifizierung und Übergang: Was jetzt schon klar ist und was noch offen bleibt
Der Kern der Revision: Von der Erweiterung zur eigenständigen Norm
Der wichtigste Umbruch der ISO/IEC 27701:2025 liegt in der Eigenständigkeit. Während die ältere Denke bzw. der frühere Ansatz häufig davon ausging, dass ISO/IEC 27701 nur in direkter Kopplung an ein zertifiziertes ISO/IEC 27001 System sinnvoll oder überhaupt möglich sei, verschiebt die neue Ausgabe den Schwerpunkt deutlich. Ein PIMS kann nun als eigenständiges Managementsystem konzipiert, implementiert und geprüft werden. Für Organisationen ohne bestehendes ISO/IEC 27001 Gerüst ist das ein echter Türöffner, weil Datenschutzmanagement nicht mehr zwangsläufig als „Add on“ zur Informationssicherheit starten muss.
Gerade für Unternehmen oder Organisationen mit bereits bestehender Datenschutzorganisation, aber ohne formal aufgebautes ISMS, ist diese Erweiterung praktisch relevant. Die Norm eröffnet einen realistischen Einstieg in ein eigenständiges Managementsystem, ohne die Nähe zur Informationssicherheit aufzugeben. Das erleichtert die Implementierung und verbessert den Nachweis gegenüber Kunden und Aufsichtsbehörden.
Gleichzeitig bleibt die inhaltliche Nähe zur Informationssicherheit bewusst erhalten. Datenschutz ohne angemessene Informationssicherheit ist rechtlich und praktisch kaum denkbar. Die Revision verarbeitet daher Elemente aus der bisherigen ISO/IEC 27701:2019 und berücksichtigt die modernisierte Struktur und Kontrolllogik der ISO/IEC 27001:2022 und ISO/IEC 27002:2022. Der Effekt ist eine deutlich bessere Anschlussfähigkeit an gängige ISMS-Strukturen, ohne dass Datenschutz in der Informationssicherheit aufgeht. Die frühere Anhang-Logik wird damit nicht vollständig bedeutungslos, sie ist aber nicht mehr der alleinige Zugang zur Norm.
High Level Structure: Datenschutz wird managementsystemfähig
Ein zweiter, für die Umsetzung mindestens genauso wichtiger Schritt ist die konsequente Ausrichtung an der High Level Structure. Damit erhält ISO/IEC 27701 die klassischen Managementsystemkapitel von Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung und Verbesserung. Das klingt formal, ist aber in der Praxis der Unterschied zwischen „Kontrollen abhaken“ und „Datenschutz steuern“.
Die Norm beschreibt damit Anforderungen, die Datenschutz als Management und nicht nur als Einzelmaßnahme verankern.
Für Sie bedeutet das: Die Norm verlangt, dass Sie Datenschutzrisiken und Steuerungsmaßnahmen in die Gesamtorganisation einbetten. Datenschutz wird damit sichtbar zur Führungsaufgabe.
Erwartet wird nicht nur ein funktionierender Datenschutzprozess im Compliance-Bereich, sondern ein System, das von der Leitungsebene getragen, in Ziele übersetzt, mit Ressourcen hinterlegt und über Kennzahlen, Audits sowie Verbesserungsprozesse weiterentwickelt wird.
Gerade in größeren Organisationen und Unternehmen reduziert das die Abhängigkeit von Einzelpersonen, weil Datenschutz nicht mehr als „Wissensinsel“ läuft, sondern als wiederholbarer Prozess.
Für das Datenschutzmanagement und die spätere Zertifizierung ist genau diese Managementsystem-Logik in vielen Unternehmen und Organisationen der entscheidende Reifegradschritt.
Mehr Klarheit für Verantwortliche und Auftragsverarbeiter
Ein häufig wiederkehrender Schwachpunkt in vielen Datenschutzorganisationen ist die unscharfe Trennung von Rollen und Pflichten.
Die ISO/IEC 27701:2025 schärft hier nach, indem sie Kontrollen für Verantwortliche und Auftragsverarbeiter deutlicher differenziert und zugleich gemeinsame Kontrollen abbildet.
Das ist zwar mehr als ein redaktionelles Detail. Es unterstützt Sie aber im Unernehmen und in der Organisation dabei, Kontrollen passgenau entlang Ihrer tatsächlichen Rolle umzusetzen und insbesondere bei komplexen Lieferketten oder Konzernverhältnissen die Nachweiskette sauber zu halten.
In der Praxis wird damit auch die Prüfung von Dienstleisterbeziehungen strukturierter. Wer als Auftragsverarbeiter agiert, muss andere Nachweise erbringen als ein Verantwortlicher. Wer beides ist, benötigt ein Rollenmodell, das diese Doppelrolle abbildet, ohne dass Kontrollen kollidieren oder doppelt geführt werden.
Für Unternehmen und Organisationen verbessert das damit den Nachweis im Audit, die Umsetzung der DSGVO Anforderungen und den Umgang mit Kundenanforderungen spürbar.
Datenschutz in KI und digitalen Ökosystemen: Das Thema wird ausdrücklich mitgedacht
Datenschutzrisiken entstehen heute häufig dort, wo Datenflüsse dynamisch werden.
Plattformen, vernetzte Ökosysteme, Schnittstellenlandschaften und KI-Anwendungen verschieben Verantwortlichkeiten, schaffen neue Verarbeitungskontexte und erhöhen die Wahrscheinlichkeit von Zweckänderungen, Weitergaben oder unbemerkten Zugriffspfaden.
Die Revision greift diese Realität auf und adressiert die Notwendigkeit, personenbezogene Daten auch in KI und digitalen Ökosystemen mit höherer Klarheit zu steuern. Gerade der Umgang mit personenbezogenen Daten, PII-Klassifikationen und rollenbezogenen Zugriffen muss im System eindeutig geregelt sein.
Für Organisationen und Unternehmen, die KI-Systeme einsetzen, ist das besonders relevant.
Ein PIMS muss dann nicht nur klassische Prozesse wie Auskunft, Löschung oder Aufbewahrung abdecken, sondern auch Themen wie Datenqualität, Zweckbindung, Governance von Trainings- und Testdaten, Zugriffskonzepte für Modelle und Protokollierung von Datenflüssen. Selbst wenn die ISO/IEC 27701 keine DSGVO-Prüfung ersetzt, hilft sie, ein belastbares System zu schaffen, das diese Themen nicht nur ad hoc bearbeitet, sondern dauerhaft kontrolliert.
Ergänzende interne Leitlinien bzw. Guidelines für Entwicklung, Einkauf und Fachbereiche sind dabei in vielen Unternehmen und Organisationen sinnvoll, damit Anforderungen, Verarbeitung und Verantwortlichkeiten konsistent und rechtswirksam umgesetzt werden.
Zertifizierung und Übergang: Was jetzt schon klar ist und was noch offen bleibt
Mit der Eigenständigkeit der Norm stellt sich automatisch die Frage nach Zertifizierung und Umstellung. Hier ist eine Differenzierung wichtig.
Die Norm selbst ist seit 2025 als eigenständiger Managementsystemstandard formuliert. Wie schnell und in welcher konkreten Ausprägung Akkreditierungs- und Zertifizierungsregeln sowie Übergangsfristen verbindlich festgelegt werden, hängt jedoch von den einschlägigen Gremien und Vorgaben ab.
Für bereits nach ISO/IEC 27701:2019 aufgestellte Organisationen ist deshalb ein zweigleisiger Ansatz sinnvoll.
Einerseits sollten Sie sich frühzeitig mit der neuen Struktur und den inhaltlichen Verschiebungen auseinandersetzen, weil Übergänge in der ISO-Welt typischerweise zeitlich begrenzt sind und erfahrungsgemäß nicht erst kurz vor Ablauf gelingen.
Andererseits ist es wichtig, den formalen Transitionpfad und die Auditplanung an den tatsächlich veröffentlichten Übergangsregeln auszurichten.
Entscheidend ist: Wer erst startet, wenn die Fristen offiziell kommuniziert sind, verliert erfahrungsgemäß wertvolle Zeit, weil die Umsetzung nicht nur Dokumente, sondern Prozesse, Verantwortlichkeiten, Schulung und Nachweisführung betrifft.
Für die Praxis empfiehlt sich außerdem, den Datenschutz, die Datenschutzprozesse und eine Zertifizierung früh mitzudenken.
Die Implementierung sollte dabei nicht nur auf formale Konformität zur Norm zielen, sondern auf ein auditfähiges Managementsystem mit belastbarem Nachweis, klaren Anforderungen und konsistentem Umgang mit Abweichungen.
Wo Unternehmen typischerweise nachsteuern müssen
In der Umsetzung zeigen sich erfahrungsgemäß wiederkehrende Lücken.
Häufig ist der Datenschutz organisatorisch nicht sauber in die Governance eingebunden, sodass Entscheidungen zu Risiken, Zweckänderungen oder Dienstleisterfreigaben nicht einheitlich getroffen werden.
Ebenso fehlen in vielen Unternehmen und Organisationen belastbare Mechanismen zur Wirksamkeitsprüfung, etwa durch interne Audits, Kennzahlen oder strukturierte Verbesserungsprozesse.
Auch das Zusammenspiel zwischen Datenschutz, Informationssicherheit, Einkauf, HR (Personalbereich), Marketing und Produktbereichen ist in der Praxis oft nicht durchgängig geregelt.
Ein weiterer häufiger Schwachpunkt in Unternehmen und Organisationen betrifft in der Praxis den Umgang mit Vorfällen und den Umgang mit Datenschutzverletzungen.
Häufig haben Unternehmen und Organisationen zwar grundsätzliche Meldeprozesse auf dem Papier, aber kein durchgängig dokumentiertes System für Bewertung, Eskalation, Nachweis und Verbesserung.
Genau hier stärkt ein PIMS als Informationsmanagementsystem die Praxis, weil Prozesse, Verantwortlichkeiten und Nachweisführung verbindlich im Management verankert werden.
Das erleichtert zugleich die Implementierung neuer Anforderungen, die rechtssichere Einhaltung datenschutzrechtlicher Vorgaben und Anforderungen sowie die spätere Zertifizierung.
Festzuhalten ist: Die ISO/IEC 27701:2025 zwingt nicht zu „mehr Papier“, sondern zu mehr System und besseren internen Prozessen und Abläufen.
Wer diese Systematik ernst nimmt, gewinnt in der Praxis meist an Geschwindigkeit, weil Zuständigkeiten intern geklärt sind, Standardprozesse etabliert und Nachweise schneller auffindbar sind.
Gerade bei beispielsweise datenschutzrechtlichen Betroffenenanfragen, Vorfällen oder behördlichen Auskunftsersuchen wird das zum handfesten Vorteil, denn eine unzutreffende, nicht fristgemäße oder unzureichende Auskunft stellt regelmäßig einen eigenständigen Datenschutzverstoß dar, der mit empfindlichen Bußgeldern geahndet werden kann und zusätzlich können Unternehmen und Organisationen dabei Schadensersatzansprüchen von Betroffenen ausgesetzt sein.
Dies kann durch eine Optimierung der datenschutzrechtlichen Prozesse und Abläufe vermieden werden.
Hier kann in Unternehmen und Organisationen aktiv mit einem optimierten Datenschutzmanagement gegengesteuert werden.
Nächste Schritte für Ihre Organisation
Wenn Sie Datenschutz bislang primär als rechtliche Pflichtenliste geführt haben, kann die ISO/IEC 27701:2025 der Hebel sein, um daraus ein dauerhaft steuerbares Datenschutz-Informationsmanagementsystem zu machen.
Sie gewinnen damit im Unternehmen oder der Organisation nicht nur mehr Ordnung in Dokumentation und Zuständigkeiten, sondern vor allem ein System, das Risiken strukturiert bewertet, Maßnahmen nachvollziehbar begründet und Nachweise auditfähig bereitstellt.
Insbesondere datenschutzrechtliche Betroffenenanfragen, Vorfälle, Dienstleisterprüfungen, Datenschutzverletzungen und interne Freigaben werden dadurch typischerweise schneller, konsistenter und belastbarer. Für Unternehmen und Organisationen ist das ein praktischer Vorteil im Tagesgeschäft und kann ein strategischer Vorteil bei Kundenanforderungen sein.
Auch wenn Sie bereits ein ISMS nach ISO/IEC 27001 implementiert haben und betreiben, bietet die Revision die Chance, Datenschutz als eigenständige Disziplin mit klaren Kontrollen und eigener Nachweisspur zu integrieren, ohne dass Datenschutz im Informationssicherheitsmanagement „mitläuft“ und dadurch an Schärfe verliert.
Gerade an den Schnittstellen zwischen Informationssicherheit, Fachbereichen und Compliance zeigt sich in der Praxis, ob Prozesse wirklich funktionieren oder nur auf dem Papier stehen.
Für Dienstleister und Auftragsverarbeiter ist die überarbeitete Rollenlogik zudem ein klarer Vorteil, weil sich Kundenanforderungen konsistenter bedienen lassen und die Auditfähigkeit entlang der Lieferkette planbarer wird.
In der Umsetzung hat es sich bewährt, die Umstellung nicht als Dokumentenprojekt zu verstehen, sondern als Governance- und Prozessprojekt.
Entscheidend sind eine saubere Scope-Definition, eine realistische Risiko- und Reifegradbewertung sowie ein Umsetzungsfahrplan, der Verantwortlichkeiten, Kontrollmechanismen und Nachweise von Anfang an mitdenkt. Denn genau an diesen Punkten scheitert ein Datenschutzmanagement häufig, weil juristische Anforderungen, technische Maßnahmen und organisatorische Realität nicht optimal zusammengeführt werden.
Die Implementierung sollte deshalb von Beginn an auf ein wirksames Managementsystem, klare Leitlinien und einen belastbaren Nachweis ausgerichtet sein.
Wir von BTL Rechtsanwälte unterstützen Sie dabei, die Anforderungen der ISO/IEC 27701:2025 rechtssicher und praxistauglich in Ihre Datenschutzorganisation zu überführen durch datenschutzrechtliche Prozessoptimierung.
Wir übersetzen die Norm in belastbare Prozesse, klare Verantwortlichkeiten und auditfähige Nachweise, die im Tagesgeschäft funktionieren und nicht nur auf dem Papier bestehen.
Dabei verbinden wir Datenschutzrecht, Informationssicherheit und organisatorische Umsetzung so, dass Ihr PIMS als eigenständiges Datenschutzmanagementsystem wirksam steuerbar wird. Auch Vorgaben der KI-Verordnung (AI Act) können dabei eine Rolle spielen und berücksichtigt werden.
Wir begleiten Sie insbesondere bei Scope-Definition und Rollenklärung, der rechtssicheren Ausgestaltung von Konstellationen zwischen Verantwortlichen und Auftragsverarbeitern, der Strukturierung von Dienstleistersteuerung und Nachweissystemen sowie der Verzahnung mit einem bestehenden ISMS und Ihrer KI-Governance.
Ziel unserer externen Beratung und Begleitung ist dabei, dass für Sie im Unternehmen oder in Ihrer Organisation kein zusätzlicher Bürokratieaufwand entsteht, sondern ein tragfähiges System, das Risiken reduziert, die Auditfähigkeit verbessert und Ihr Unternehmne bzw. Ihre Organisation gegenüber Kunden, Geschäftspartnern und Aufsichtsbehörden belastbar positioniert.
Mit unserer langjährigen Expertise im Bereich des IT-Rechts sowie der Datenschutzgrundverordnung (DSGVO) und unserer Spezialisierung im Bereich der KI-Verordnung (AI Act) können wir Sie und Ihr Unternehmen bzw. Ihre Organisation bei der Projektsteuerung zur Einführung und Optimierung eines Datenschutzmanagementsytstems und den damit verbundenen datenschutzrechtlichen Prozessen umfassend begleiten und unterstützen.
Häufig gestellte Fragen (FAQ)
Was ist ISO/IEC 27701:2025?
Ein internationaler Standard für ein Datenschutz Informationsmanagementsystem, häufig als Privacy Information Management System, kurz PIMS, bezeichnet. Er strukturiert Datenschutz als dauerhaftes Managementsystem mit klaren Zuständigkeiten, Prozessen, Kontrollen und Nachweisen.
Warum war eine Reform des Vergaberechts notwendig?
Die ISO/IEC 27701:2025 ist seit Oktober 2025 veröffentlicht und als eigenständiger Managementsystemstandard ausgestaltet. Damit steht Datenschutzmanagement systematisch im Vordergrund und nicht mehr nur als Anhang oder bloße Erweiterung zur Informationssicherheit. Das erleichtert Unternehmen die Umsetzung, die Implementierung und perspektivisch auch die Zertifizierung.
Brauche ich dafür zwingend ISO/IEC 27001?
Nicht zwingend. Auch ohne bestehendes ISMS kann ein PIMS aufgebaut werden. In der Praxis bleibt eine enge Verzahnung mit Informationssicherheit dennoch sinnvoll, weil viele Datenschutzanforderungen technisch organisatorische Schutzmaßnahmen voraussetzen.
Ersetzt ein PIMS die DSGVO Compliance Prüfung?
Nein. Ein PIMS ersetzt keine rechtliche Bewertung einzelner Verarbeitungen. Es schafft aber ein belastbares Organisations und Nachweissystem, das die Umsetzung der DSGVO Anforderungen dauerhaft steuerbar und auditierbar macht.
Für welche Organisationen lohnt sich ISO/IEC 27701:2025 besonders?
Für Unternehmen mit komplexen Datenflüssen, vielen Dienstleistern, internationalen Strukturen oder hohen Nachweisanforderungen gegenüber Kunden, Partnern oder Aufsichtsbehörden. Auch Auftragsverarbeiter profitieren, weil sie ihre Datenschutzprozesse standardisiert und prüffähig darstellen können.
Welche Vorteile bringt die Managementsystemstruktur konkret?
Mehr Governance, klare Verantwortlichkeiten, definierte Prozesse im Betrieb, regelmäßige Wirksamkeitskontrollen und kontinuierliche Verbesserung. Das reduziert Reibungsverluste, erhöht die Nachweisfähigkeit und macht Datenschutz im Alltag verlässlicher.
Was bedeutet die stärkere Differenzierung zwischen Verantwortlichem und Auftragsverarbeiter?
Kontrollen werden passgenauer entlang Ihrer Rolle umgesetzt. Das erleichtert die rechtssichere Ausgestaltung von Dienstleisterbeziehungen, verbessert Auditfähigkeit und verhindert typische Nachweis und Zuständigkeitslücken.
Wie starte ich sinnvoll mit Einführung oder Umstellung?
Mit Scope Definition und Gap Analyse gegen ISO/IEC 27701:2025. Danach folgt ein Umsetzungsfahrplan, der nicht nur Dokumente, sondern vor allem Prozesse, Zuständigkeiten, Schulungen, Kontrollen und Nachweise umfasst, damit das System im Audit und im Tagesgeschäft trägt. Für viele Unternehmen empfiehlt sich zusätzlich ein früher Abgleich interner Leitlinien, der Umgang mit personenbezogenen Daten und PII Klassifikationen sowie die Vorbereitung der Zertifizierung.