Was erfordert die Kontrolle A.1.5.4?
Die Organisation ist verpflichtet, Übermittlungen personenbezogener Daten an oder von Dritten zu protokollieren und die Zusammenarbeit mit diesen Dritten sicherzustellen, um künftige Anfragen im Zusammenhang mit Verpflichtungen gegenüber den Verantwortlichen für die personenbezogenen Daten zu unterstützen.
Diese Steuerung befindet sich innerhalb der PII-Übertragung Ziel (A.1.5) im PII-Controller-Steuerungen. Während A.1.5.2 Grundlage für die Übertragung personenbezogener Daten identifiziert die Rechtsgrundlage und A.1.5.3 Länder für die Übermittlung personenbezogener Daten A.1.5.4 dokumentiert die Bestimmungsorte und erstellt den operativen Datensatz darüber, was tatsächlich bewegt wurde.
Unsere Leitfaden für grenzüberschreitende Datentransfers bietet eine umfassende Anleitung zur Implementierung von Transferschutzmaßnahmen gemäß ISO 27701:2025.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.5.4) enthält folgende Hinweise dazu, was Übertragungsaufzeichnungen enthalten sollten:
- Welche personenbezogenen Daten wurden übertragen? — Die Kategorien und der Umfang der in jeder Übermittlung enthaltenen personenbezogenen Daten
- An wen — Die Identität des Empfängers einschließlich seiner Rolle (Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter)
- Wenn die Funktion — Datum und gegebenenfalls Uhrzeit der Übertragung
- Rechtliche Grundlage — Die dokumentierte Grundlage, auf der die Übertragung erfolgte
- Bestimmungen zur Zusammenarbeit — Vorkehrungen, um sicherzustellen, dass die empfangende Partei bei Anfragen der betroffenen Person bezüglich personenbezogener Daten, wie z. B. Auskunft, Berichtigung oder Löschung, mitwirken kann
Die Aufzeichnungen sind für den in der Datenaufbewahrungsrichtlinie der Organisation festgelegten Aufbewahrungszeitraum aufzubewahren. Die Leitlinien betonen, dass die Bestimmungen zur Zusammenarbeit keine optionalen Zusatzleistungen darstellen, sondern integraler Bestandteil der laufenden Verpflichtungen gegenüber den Betroffenen personenbezogener Daten sind, deren Daten übermittelt wurden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.5.4 ist zugeordnet zu Datenschutz Artikel 30(1)(e) verlangt, dass die Aufzeichnungen über Verarbeitungstätigkeiten Informationen über Übermittlungen an Drittländer oder internationale Organisationen enthalten, einschließlich der Identifizierung des Empfängers und gegebenenfalls der Dokumentation geeigneter Garantien.
Das Kooperationselement steht im Einklang mit dem umfassenderen Datenschutz Verpflichtung der Verantwortlichen, die Ausübung der Rechte der betroffenen Personen zu erleichtern (Artikel 12–22), auch wenn personenbezogene Daten an Dritte weitergegeben wurden.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die ISO 29100 Prinzip von VerantwortlichkeitDie Führung detaillierter Übertragungsaufzeichnungen belegt, dass die Organisation nachvollziehen kann, wohin personenbezogene Daten gelangt sind und diese bei Rückfragen entlang der Verarbeitungskette zurückverfolgen kann.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.5.4 achten die Prüfer typischerweise auf Folgendes:
- Übertragungsprotokoll — Eine chronologische Aufzeichnung der Übermittlungen personenbezogener Daten, aus der hervorgeht, welche Daten wann, an wen und auf welcher Rechtsgrundlage übermittelt wurden.
- Kooperationsvereinbarungen — Vertragliche Bestimmungen oder dokumentierte Vereinbarungen, die die empfangenden Parteien zur Zusammenarbeit bei Anfragen von Personen mit personenbezogenen Daten verpflichten.
- Datenverarbeitungsvereinbarungen — Abgeschlossene Vereinbarungen mit Dritten, die Kooperationsklauseln für die Rechte betroffener Personen enthalten.
- Nachweise für Kooperation in der Praxis — Aufzeichnungen, die belegen, dass die Zusammenarbeit auf die Probe gestellt wurde, beispielsweise wenn ein Betroffener seine Rechte ausübte und die empfangende Partei dabei half
- Einhaltung der Aufbewahrungspflicht — Nachweis, dass die Übertragungsunterlagen für den festgelegten Aufbewahrungszeitraum geführt werden
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.5.2 Grundlage für die Übermittlung personenbezogener Daten ermitteln | Die rechtliche Grundlage ist dokumentiert in A.1.5.2 Grundlage für die Übertragung personenbezogener Daten wird bei jeder Überweisung vermerkt. |
| A.1.5.3 Länder für die Übermittlung personenbezogener Daten | Transfers sollten nur zu dokumentierten und genehmigten Zielen erfolgen. |
| A.1.5.5 Aufzeichnungen über die Offenlegung personenbezogener Daten | Offenlegungsunterlagen ergänzen Übertragungsunterlagen und erfassen Offenlegungen, die möglicherweise keine formelle Übertragung beinhalten. |
| A.1.3.7 Zugang, Berichtigung oder Löschung Zugriff auf personenbezogene Daten | Die Kooperationsbestimmungen gewährleisten, dass die Verantwortlichen für personenbezogene Daten ihre Zugriffsrechte entlang der gesamten Übertragungskette ausüben können. |
| A.1.3.7 Zugang, Berichtigung oder Löschung | Zusammenarbeit ist unerlässlich, damit Löschanträge von den Empfängern erfüllt werden können. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Übertragungsaufzeichnungen sind Teil der umfassenderen Aufzeichnungen über Verarbeitungstätigkeiten. |
Was hat sich gegenüber ISO 27701:2019 geändert?
In der Ausgabe von 2019 war diese Anforderung in Klausel 7.5.3 (Aufzeichnungen über die Übermittlung personenbezogener Daten) enthalten. Die Kernanforderung bleibt unverändert, die Leitlinien für 2025 enthalten jedoch detailliertere Angaben zum Inhalt der Übermittlungsaufzeichnungen und legen einen stärkeren Schwerpunkt auf die Bestimmungen zur Zusammenarbeit mit den empfangenden Parteien. Die umstrukturierte Anhang ADas /B-Format trennt die Kontrollanweisung deutlicher von den detaillierten Implementierungshinweisen. Siehe dazu Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Aufzeichnung von PII-Übertragungen?
ISMS.online bietet speziell entwickelte Tools zur Führung umfassender Übertragungsaufzeichnungen:
- Übertragungsprotokoll — Jede Übermittlung personenbezogener Daten wird mit strukturierten Feldern für Empfänger, Kategorien personenbezogener Daten, Datum, Rechtsgrundlage und Kooperationsstatus protokolliert.
- Verwaltung von Drittanbietern — Verknüpfung von Übertragungsdatensätzen mit Lieferantenprofilen inklusive Datenverarbeitungsvereinbarungen und Kooperationsklauseln
- Nachverfolgung von Anfragen betroffener Personen — Wenn eine betroffene Person ihre Rechte ausübt, verfolgen Sie ihre Daten entlang der Übertragungskette und stimmen Sie sich mit den empfangenden Parteien ab
- Aufbewahrungsverwaltung — Automatische Kennzeichnung von Übertragungsdatensätzen, die sich dem Ende ihrer Aufbewahrungsfrist nähern, zur Überprüfung oder Löschung.
- Compliance-Dashboards — Sehen Sie auf einen Blick, welche Überweisungen vollständig dokumentiert sind und welche noch Aufmerksamkeit benötigen.
Häufig gestellte Fragen
Welcher Detaillierungsgrad ist in den Übertragungsunterlagen erforderlich?
Die Übermittlungsprotokolle müssen so detailliert sein, dass die übertragenen Kategorien personenbezogener Daten, der Empfänger, das Datum und die Rechtsgrundlage eindeutig identifiziert werden können. Es ist nicht erforderlich, jedes einzelne Datenfeld zu erfassen, die Kategorien sollten jedoch aussagekräftig sein (z. B. „Kontaktdaten und Gehaltsdaten von Mitarbeitern“ statt nur „personenbezogene Daten“). Der Detaillierungsgrad muss es dem Unternehmen ermöglichen, auf Anfragen von Betroffenen bezüglich personenbezogener Daten zu reagieren und die Einhaltung der Vorschriften gegenüber Prüfern nachzuweisen.
Wie sollte die Zusammenarbeit mit Dritten dokumentiert werden?
Bestimmungen zur Zusammenarbeit sollten in Datenverarbeitungsvereinbarungen oder gleichwertigen Verträgen enthalten sein. Diese sollten Reaktionszeiten für Anfragen von Betroffenen bezüglich personenbezogener Daten, das Verfahren zur Weiterleitung von Anfragen, Zuständigkeiten für die Unterstützung bei der Löschung oder Berichtigung sowie Eskalationsverfahren festlegen. Es empfiehlt sich, diese Kooperationsmechanismen regelmäßig zu testen, anstatt erst bei einer konkreten Anfrage festzustellen, dass sie nicht funktionieren.
Zählen interne Versetzungen zwischen Konzerngesellschaften dazu?
Ja, sofern die Konzerngesellschaften rechtlich selbstständige Einheiten sind. Jede dieser Einheiten ist ein eigenständiger Verantwortlicher oder Auftragsverarbeiter, sodass Übermittlungen zwischen ihnen im Sinne dieser Kontrolle als Übermittlungen an Dritte gelten. Konzerninterne Datenweitergabevereinbarungen sollten dieselben Kooperationsbestimmungen wie externe Vereinbarungen enthalten, und die Übermittlungen sollten im Übermittlungsprotokoll erfasst werden.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Transferdokumente, die die Prüfer erwarten.
