Was erfordert die Kontrolle A.1.5.3?
Die Organisation legt die Länder und internationalen Organisationen fest und dokumentiert, an die personenbezogene Daten gegebenenfalls übermittelt werden können.
Diese Steuerung befindet sich innerhalb der PII-Übertragung Ziel (A.1.5) im PII-Controller-Steuerungen. Woher A.1.5.2 Grundlage für die Übertragung personenbezogener Daten A.1.5.3 befasst sich mit dem rechtlichen Mechanismus und konzentriert sich auf die genaue Dokumentation, wo personenbezogene Daten landen können.
Unsere Leitfaden für grenzüberschreitende Datentransfers bietet eine umfassende Anleitung zur Implementierung von Transferschutzmaßnahmen gemäß ISO 27701:2025.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.5.3) enthält folgende Hinweise:
- Führen Sie ein Verzeichnis aller Länder und internationalen Organisationen, an die personenbezogene Daten übermittelt werden können.
- Bei der Beurteilung, ob Überweisungen zulässig sind, ist der Angemessenheitsstatus jedes Ziellandes zu berücksichtigen.
- Stellen Sie Informationen über Übermittlungsziele den Verantwortlichen für personenbezogene Daten entweder direkt oder über veröffentlichte Datenschutzdokumente zur Verfügung.
- Halten Sie das Register aktuell, sobald neue Überweisungsziele hinzugefügt oder bestehende entfernt werden.
Die praktische Folge ist, dass Organisationen internationale Geldtransfers nicht als Blackbox behandeln können. Jedes potenzielle Zielland muss sichtbar, bewertet und dokumentiert werden, bevor personenbezogene Daten dorthin fließen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.5.3 ist zwei Tasten zugeordnet DSGVO-Bestimmungen:
- Artikel 15 (2) — Die betroffene Person hat das Recht, über die Länder, in die ihre personenbezogenen Daten übermittelt werden, und die dort getroffenen geeigneten Schutzmaßnahmen informiert zu werden.
- Artikel 30(1)(e) — Die Aufzeichnungen über Verarbeitungstätigkeiten müssen Übermittlungen an Drittländer oder internationale Organisationen sowie die Dokumentation geeigneter Schutzmaßnahmen umfassen.
Der DatenschutzDiese Informationen müssen sowohl den betroffenen Personen als auch den Aufsichtsbehörden auf Anfrage leicht zugänglich sein.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die ISO 29100 Prinzip von VerantwortlichkeitDie Führung eines dokumentierten Registers der Übermittlungsziele beweist, dass die Organisation weiß, wohin personenbezogene Daten gelangen, und dass sie gezielte Maßnahmen ergriffen hat, um jedes Ziel zu bewerten und zu genehmigen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.5.3 achten die Prüfer typischerweise auf Folgendes:
- Länderregister — Eine dokumentierte, aktuelle Liste aller Länder und internationalen Organisationen, an die personenbezogene Daten übermittelt werden dürfen.
- Angemessenheitsbewertungen — Nachweis, dass der Angemessenheitsstatus jedes Reiseziels geprüft und dokumentiert wurde
- Datenschutzhinweise — Veröffentlichte Datenschutzdokumentation, die die Verantwortlichen für die Verarbeitung personenbezogener Daten über die Länder informiert, in denen ihre Daten verarbeitet werden können.
- Änderungsdatensätze — Nachweis, dass das Register aktualisiert wird, wenn neue Ziele hinzugefügt werden, beispielsweise bei der Beauftragung eines neuen Cloud-Anbieters oder Unterauftragnehmers.
- Abstimmung mit Übertragungsdatensätzen — Dass tatsächliche Überweisungen (aufgezeichnet unter A.1.5.4 Aufzeichnungen über die Übertragung personenbezogener Daten) nur zu dokumentierten Reisezielen fahren
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.5.2 Grundlage für die Übermittlung personenbezogener Daten ermitteln | Die Rechtsgrundlage bestimmt, welche Länder zulässige Reiseziele sind. |
| A.1.5.4 Aufzeichnungen über die Übermittlung von personenbezogenen Daten | Die tatsächlichen Transferaufzeichnungen sollten mit der genehmigten Zielliste übereinstimmen. |
| A.1.5.5 Aufzeichnungen über die Offenlegung personenbezogener Daten | Die Weitergabe von Informationen an Dritte in anderen Rechtsordnungen muss dokumentiert werden. |
| A.1.3.3 Informationen für PII-Verantwortliche Ermittlung von Informationen für personenbezogene Datenverantwortliche | Die Transferziele gehören zu den Informationen, die den Reisenden mitgeteilt werden müssen. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Das Zielregister speist sich in die Gesamtverarbeitungsdatensätze ein. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 7.5.2 (Länder und internationale Organisationen, an die personenbezogene Daten übermittelt werden können) enthalten. Der Inhalt bleibt unverändert, die Umstrukturierung von 2025 stellt jedoch einen klareren Zusammenhang zwischen der Kontrollerklärung (A.1.5.3) und den Durchführungshinweisen (B.1.5.3) her. Die Bereitstellung von Zielinformationen für die Verantwortlichen für personenbezogene Daten bleibt eine zentrale Anforderung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verfolgung von PII-Übertragungszielen?
ISMS.online bietet Ihnen die Werkzeuge, um eine klare und nachvollziehbare Aufzeichnung darüber zu führen, wohin personenbezogene Daten gelangen:
- Transferzielregister — Führen einer zentralen Liste der anerkannten Länder und Organisationen mit Angemessenheitsstatus und Überprüfungsdaten
- Subprozessor-Verfolgung — Verknüpfen Sie jeden Drittanbieter-Prozessor mit den Ländern, in denen er tätig ist, mit automatischer Kennzeichnung bei der Einführung eines neuen Ziellandes
- Integration des Datenschutzhinweises — Halten Sie die Datenschutzdokumentation durch verknüpfte Datensätze an die Liste der genehmigten Zielorte angepasst.
- Arbeitsabläufe überprüfen — Legen Sie für jedes Reiseziel regelmäßige Überprüfungen fest und erhalten Sie Benachrichtigungen, wenn sich Angemessenheitsentscheidungen oder rechtliche Rahmenbedingungen ändern.
- Prüfnachweis — Export des vollständigen Zielregisters mit Änderungshistorie für Zertifizierungsaudits und behördliche Anfragen
Häufig gestellte Fragen
Müssen wir jedes Land auflisten, in dem ein Cloud-Anbieter tätig ist?
Ja, sofern personenbezogene Daten von diesen Standorten aus gespeichert oder abgerufen werden können. Cloud-Anbieter verarbeiten Daten häufig über mehrere Regionen hinweg und haben möglicherweise Supportmitarbeiter in anderen Ländern als dem, in dem die Daten gehostet werden. Sie sollten mit Ihren Anbietern zusammenarbeiten, um eine vollständige Liste aller Länder zu erhalten, in denen personenbezogene Daten verarbeitet, gespeichert oder abgerufen werden können, und jedes dieser Länder in Ihr Register aufnehmen.
Was passiert, wenn sich die Liste der Länder häufig ändert?
Das Register sollte ein dynamisches Dokument sein. Es sollte ein Prozess entwickelt werden, der es aktualisiert, sobald ein neues Transferziel vorgeschlagen wird, beispielsweise im Rahmen von Beschaffungs- oder Lieferantenintegrationsprozessen. Jede Änderung sollte anhand der unter [Link einfügen] dokumentierten Transfergrundlage bewertet werden. A.1.5.2 Grundlage für die Übertragung personenbezogener Datenund die Datenschutzhinweise sollten aktualisiert werden, um die aktuelle Situation widerzuspiegeln.
Gilt dies auch für Transfers innerhalb der EU/des EWR?
Gemäß DSGVO gelten Übermittlungen innerhalb der EU/des EWR nicht als internationale Übermittlungen und erfordern keinen speziellen Übermittlungsmechanismus. ISO 27701 verfolgt jedoch einen umfassenderen, länderneutralen Ansatz. Es empfiehlt sich, alle Länder zu dokumentieren, in denen personenbezogene Daten verarbeitet werden, auch innerhalb des EWR, da andere anwendbare Gesetze (z. B. nationale Umsetzungsgesetze) zusätzliche Anforderungen stellen können.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Transferdokumente, die die Prüfer erwarten.
