Was erfordert die Kontrolle A.1.5.2?
Die Organisation ermittelt und dokumentiert die relevanten Grundlagen für die Übermittlung personenbezogener Daten zwischen verschiedenen Rechtsordnungen.
Diese Steuerung befindet sich innerhalb der PII-Übertragung Ziel (A.1.5) stellt sicher, dass Organisationen über robuste Mechanismen zur Steuerung der grenzüberschreitenden Übermittlung personenbezogener Daten verfügen. Es handelt sich um eine der letzten Verantwortlichen-spezifischen Kontrollen in Anhang A und bildet die Grundlage für alle anderen Transferkontrollen innerhalb der Gruppe.
Unsere Leitfaden für grenzüberschreitende Datentransfers bietet eine umfassende Anleitung zur Implementierung von Transferschutzmaßnahmen gemäß ISO 27701:2025.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.5.2) enthält folgende Hinweise:
- Ermitteln Sie die rechtlichen Mechanismen, die für internationale Transfers zur Verfügung stehen, wie z. B. Angemessenheitsbeschlüsse, Standardvertragsklauseln, verbindliche Unternehmensregeln, ausdrückliche Zustimmung oder gesetzliche Ausnahmen.
- Dokumentieren Sie die konkrete Grundlage für jede Übermittlung personenbezogener Daten zwischen verschiedenen Rechtsordnungen.
- Überprüfen Sie die dokumentierte Grundlage immer dann, wenn sich die rechtlichen Rahmenbedingungen ändern, beispielsweise wenn ein Angemessenheitsbeschluss aufgehoben wird oder neue Gesetze in Kraft treten.
- Sofern mehrere Mechanismen zur Verfügung stehen, wählen Sie den am besten geeigneten Mechanismus aus und begründen Sie Ihre Wahl anhand der Art, des Umfangs und der Sensibilität der zu übertragenden personenbezogenen Daten.
Die Leitlinien stellen klar, dass die alleinige Anwendung eines einzigen pauschalen Mechanismus wahrscheinlich nicht ausreicht. Jeder Transferfluss sollte individuell bewertet werden, und die gewählte Grundlage sollte sowohl gegenüber Aufsichtsbehörden als auch gegenüber Wirtschaftsprüfern nachvollziehbar sein.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.5.2 ist einem wesentlichen Block zugeordnet DSGVO-Bestimmungen:
- Artikel 44 — Allgemeiner Grundsatz für internationale Geldtransfers (Geldtransfers nur mit angemessenen Schutzmaßnahmen)
- Artikel 45(1–9) — Überweisungen auf der Grundlage eines Angemessenheitsbeschlusses
- Artikel 46(1–5) — Überweisungen unterliegen angemessenen Schutzmaßnahmen (Standardvertragsklauseln, Geschäftsordnungsvorschriften, Verhaltenskodizes)
- Artikel 47(1–3) — Verbindliche Unternehmensregeln
- Artikel 48 — Übertragungen, die nach Unionsrecht nicht zulässig sind
- Artikel 49(1–6) — Ausnahmen für bestimmte Situationen (ausdrückliche Einwilligung, Vertragserfordernis, öffentliches Interesse)
- Artikel 30(1)(e) — Die Verarbeitungsaufzeichnungen müssen auch Übermittlungen in Drittländer umfassen.
- Artikel 15 (2) — Das Zugangsrecht umfasst Informationen über internationale Datentransfers und Schutzmaßnahmen.
Die Breite dieser Kartierung spiegelt wider, wie zentrale Transfermechanismen zu Datenschutz Einhaltung. Organisationen, die unter beiden Rahmenwerken tätig sind, werden feststellen, dass die Erfüllung von A.1.5.2 einen großen Beitrag zur Einhaltung von Kapitel V der DSGVO leistet.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt zwei ISO 29100 Datenschutzgrundsätze:
- Verantwortlichkeit — Die Dokumentation der Rechtsgrundlage für jeden Datentransfer belegt die Verantwortlichkeit für grenzüberschreitende Datenflüsse.
- Nutzungs-, Aufbewahrungs- und Offenlegungsbeschränkungen — Die Dokumentation der Übermittlungsgrundlage stellt sicher, dass personenbezogene Daten nur dann grenzüberschreitend weitergegeben werden, wenn ein gerechtfertigter und dokumentierter Grund dafür vorliegt.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.5.2 achten die Prüfer typischerweise auf Folgendes:
- Übertragungsmechanismusregister — Eine dokumentierte Liste aller grenzüberschreitenden Übermittlungen personenbezogener Daten mit Angabe des jeweils geltenden Rechtsmechanismus.
- Sorgfaltsprüfungsunterlagen — Nachweis, dass die Organisation die Angemessenheit des Schutzes im Aufnahmeland geprüft hat.
- Ausgeführte Transfervereinbarungen — Kopien von Standardvertragsklauseln, BCRs oder gleichwertigen Instrumenten
- Akten prüfen — Nachweis regelmäßiger Überprüfungen, insbesondere nach Änderungen der rechtlichen Rahmenbedingungen (z. B. Rücknahme von Angemessenheitsbeschlüssen)
- Folgenabschätzungen für den Transfer — Sofern erforderlich, dokumentierte Risikobewertungen im Zusammenhang mit spezifischen Transfers
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.5.3 Länder und internationale Organisationen für die Übermittlung personenbezogener Daten | Legt fest, wohin personenbezogene Daten übertragen werden dürfen; die in Abschnitt A.1.5.2 genannte Grundlage bestimmt, welche Ziele zulässig sind. |
| A.1.5.4 Aufzeichnungen über die Übermittlung von personenbezogenen Daten | Erfasst jeden tatsächlichen Transfer auf der hier dokumentierten Grundlage. |
| A.1.5.5 Aufzeichnungen über die Offenlegung personenbezogener Daten gegenüber Dritten | Erweiterte Offenlegungsunterlagen, die grenzüberschreitende Geldtransfers umfassen |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Die Transferbasis fließt in die Gesamtaufzeichnungen der Verarbeitungstätigkeiten ein. |
| A.1.3.3 Informationen für PII-Verantwortliche Ermittlung von Informationen für personenbezogene Datenverantwortliche | Die Verantwortlichen für personenbezogene Daten haben das Recht, die Übertragungsgrundlagen und die bestehenden Schutzmaßnahmen zu erfahren. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Fassung von 2019 war diese Anforderung in Klausel 7.5.1 (Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen ermitteln) geregelt. Die Regelungen für 2025 sind im Wesentlichen gleich, jedoch wurde die Struktur geändert. Anhang ADas /B-Format sorgt für eine klarere Trennung zwischen Kontrollerklärung und Durchführungshinweisen. Die Hinweise legen nun verstärkt Wert auf die Überprüfung von Transfermechanismen bei Änderungen der Rechtsrahmen und tragen damit den Turbulenzen im internationalen Transferrecht seit 2019 Rechnung. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung internationaler PII-Übertragungen?
ISMS.online bietet praktische Werkzeuge zur Dokumentation und Verwaltung grenzüberschreitender Transfermechanismen:
- Übertragungsmechanismusregister — Jeder grenzüberschreitende Datenfluss soll mit seiner Rechtsgrundlage, dem Empfängerland und den Schutzmaßnahmen in einem zentralen Register erfasst werden.
- Automatisierte Überprüfungserinnerungen — Legen Sie Überprüfungstermine für Übertragungsmechanismen fest und erhalten Sie Benachrichtigungen, wenn sich rechtliche Rahmenbedingungen ändern oder Überprüfungen anstehen.
- Dokumenten-Management — Der Store unterzeichnete die Standardvertragsklauseln (SCCs), die Geschäftsbedingungen (BCRs) und die Folgenabschätzungen für den Transfer zusammen mit dem entsprechenden Transferdokument.
- Prüfungsfertige Nachweispakete — Export der Übertragungsdokumentation mit vollständiger Versionshistorie für Zertifizierungsaudits
- Querverweise — Verknüpfung von Übertragungsprotokollen mit Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Anträgen betroffener Personen
- Regulatorische Zuordnung — Sehen Sie im direkten Vergleich, wie Ihre Transferkontrollen mit der DSGVO, ISO 27701 und anderen Rahmenwerken übereinstimmen.
Häufig gestellte Fragen
Was gilt als Transfer zwischen verschiedenen Gerichtsbarkeiten?
Jegliche Übermittlung oder Offenlegung personenbezogener Daten von einem Rechtsraum in einen anderen. Dies umfasst das Senden von Daten an einen Cloud-Anbieter, dessen Server sich in einem anderen Land befinden, die Weitergabe personenbezogener Daten an ein Konzernunternehmen in einem anderen Rechtsraum oder die Gewährung des Fernzugriffs aus einem anderen Land. Selbst wenn Daten nicht physisch übertragen werden, kann der Fernzugriff aus einem anderen Rechtsraum nach manchen Datenschutzgesetzen eine Übermittlung darstellen.
Wie häufig sollten Transfermechanismen überprüft werden?
In geplanten Abständen (in der Regel jährlich) und immer dann, wenn sich die Rechtslage wesentlich ändert. Beispiele für Auslöser sind ein Gerichtsurteil, das einen Übermittlungsmechanismus für ungültig erklärt, ein neuer Angemessenheitsbeschluss, der erlassen oder widerrufen wird, oder Änderungen des Datenschutzrechts im Empfängerland. Die Organisation sollte außerdem überprüfen, wenn sich Art oder Umfang der übermittelten personenbezogenen Daten wesentlich ändern.
Kann die Einwilligung als alleinige Grundlage für internationale Datentransfers dienen?
Die Einwilligung ist zwar ein anerkannter Übermittlungsmechanismus, wird nach der DSGVO jedoch in bestimmten Fällen als Ausnahme (Artikel 49) und nicht als primärer Mechanismus behandelt. Sie muss ausdrücklich, informiert und freiwillig erfolgen. Aufsichtsbehörden erwarten im Allgemeinen, dass Organisationen bei fortlaufenden, systematischen Übermittlungen auf robustere Mechanismen wie Angemessenheitsbeschlüsse oder Standardvertragsklauseln zurückgreifen und die Einwilligung nur für gelegentliche oder nicht wiederkehrende Übermittlungen einholen.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Transferdokumente, die die Prüfer erwarten.
