Was erfordert die Kontrolle A.1.5.5?
Die Organisation ist verpflichtet, die Weitergabe personenbezogener Daten an Dritte zu dokumentieren, einschließlich der Angabe, welche personenbezogenen Daten an wen und zu welchem Zeitpunkt weitergegeben wurden.
Dies ist die letzte Kontrollinstanz in der PII-Übertragung Ziel (A.1.5) innerhalb der PII-Controller-Steuerungen. Während A.1.5.4 Aufzeichnungen über die Übertragung personenbezogener Daten Während sich Abschnitt A.1.5.5 auf die Erfassung formeller Übertragungen konzentriert, wird der Anwendungsbereich erweitert, um alle Offenlegungen zu erfassen, einschließlich solcher, die nicht unter den typischen Übertragungsrahmen fallen.
Unsere Leitfaden für grenzüberschreitende Datentransfers bietet eine umfassende Anleitung zur Implementierung von Transferschutzmaßnahmen gemäß ISO 27701:2025.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.1.5.5) enthält folgende Hinweise:
- Normale betriebliche Offenlegungen sollte protokolliert werden, beispielsweise die Weitergabe personenbezogener Daten an einen Auftragsverarbeiter, einen Geschäftspartner oder einen Dienstleister im Rahmen des routinemäßigen Geschäftsbetriebs.
- Zusätzliche Offenlegungen Auch Informationen außerhalb des normalen Geschäftsbetriebs sollten dokumentiert werden, beispielsweise Offenlegungen im Rahmen von Ermittlungen, Prüfungsanfragen von Aufsichtsbehörden oder Gerichtsbeschlüssen.
- Die Aufzeichnungen sollten Folgendes enthalten: Quelle der Offenlegung — die Person oder das System, das die Offenlegung initiiert oder genehmigt hat
- Die Aufzeichnungen sollten Folgendes enthalten: Befugnis zur Offenlegung — die Rechtsgrundlage, vertragliche Verpflichtung oder interne Genehmigung, die dies erlaubte
Die Unterscheidung zwischen „normalen“ und „zusätzlichen“ Offenlegungen ist wichtig. Viele Organisationen erfassen zwar routinemäßige Datenweitergaben, versäumen es aber, unter Druck erfolgte Ad-hoc-Offenlegungen, beispielsweise auf Anfrage von Strafverfolgungsbehörden, zu dokumentieren. Beide Arten der Offenlegung müssen erfasst werden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.1.5.5 ist zugeordnet zu Datenschutz Artikel 30(1)(d) verlangt, dass die Aufzeichnungen über Verarbeitungstätigkeiten die Kategorien der Empfänger enthalten, denen personenbezogene Daten offengelegt wurden oder werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.
Dies geht über die bloße Auflistung von Empfängerkategorien hinaus. Die Kombination aus A.1.5.4 Aufzeichnungen über die Übertragung personenbezogener Daten und A.1.5.5 stellt sicher, dass Organisationen bis ins kleinste Detail nachweisen können, was genau mit wem und wann geteilt wurde.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Dieses Steuerelement unterstützt die ISO 29100 Prinzip von Nutzungs-, Aufbewahrungs- und OffenlegungsbeschränkungenDurch die Aufzeichnung jeder Offenlegung wird eine Beweisgrundlage geschaffen, um nachzuweisen, dass personenbezogene Daten nur dann weitergegeben werden, wenn ein dokumentierter und gerechtfertigter Grund vorliegt, und dass unnötige oder unberechtigte Offenlegungen identifiziert und untersucht werden können.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.1.5.5 achten die Prüfer typischerweise auf Folgendes:
- Offenlegungsregister — Ein strukturiertes Protokoll aller Offenlegungen personenbezogener Daten, das die offengelegten personenbezogenen Daten, den Empfänger, Datum/Uhrzeit und die Befugnis zur Offenlegung enthält.
- Autorisierungsaufzeichnungen — Nachweise darüber, wer die jeweilige Offenlegung genehmigt hat, insbesondere bei nicht routinemäßigen Offenlegungen wie z. B. Anfragen von Strafverfolgungsbehörden
- Prozessdokumentation — Festgelegte Verfahren zur Erfassung von Offenlegungen, einschließlich der Zuständigkeit für die Führung des Registers
- Berichterstattung über nicht routinemäßige Offenlegungen — Nachweise dafür, dass der Prozess auch Offenlegungen außerhalb des normalen Geschäftsbetriebs erfasst, nicht nur den routinemäßigen Datenaustausch.
- Übereinstimmung mit den Übertragungsaufzeichnungen — Diese Offenlegungsaufzeichnungen stimmen mit den unter geführten Übertragungsaufzeichnungen überein A.1.5.4 Aufzeichnungen über die Übertragung personenbezogener Daten
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.1.5.4 Aufzeichnungen über die Übermittlung von personenbezogenen Daten | Übertragungsunterlagen erfassen formale Übertragungen; Offenlegungsunterlagen erfassen das Gesamtbild einschließlich Ad-hoc-Offenlegungen. |
| A.1.5.2 Grundlage für die Übermittlung personenbezogener Daten ermitteln | Die Rechtsgrundlage für Übermittlungen gilt auch für Offenlegungen, die grenzüberschreitende Datenflüsse betreffen. |
| A.1.5.3 Länder für die Übermittlung personenbezogener Daten | Offenlegungen gegenüber Parteien in anderen Rechtsordnungen sollten mit der genehmigten Zielliste übereinstimmen. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Offenlegungsunterlagen sind Bestandteil der gesamten Aufzeichnungen über Verarbeitungstätigkeiten |
| A.1.3.3 Informationen für PII-Verantwortliche Ermittlung von Informationen für personenbezogene Datenverantwortliche | Personenbezogene Datenverantwortliche müssen möglicherweise über die Offenlegung ihrer Daten informiert werden. |
| A.1.3.8 Informationspflichten gegenüber Dritten | Bestimmte Offenlegungen können Benachrichtigungspflichten gegenüber den Verantwortlichen für den Schutz personenbezogener Daten auslösen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
In der Ausgabe von 2019 war diese Anforderung in Klausel 7.5.4 (Aufzeichnungen über die Weitergabe personenbezogener Daten an Dritte) enthalten. Die Fassung von 2025 behält die gleichen Kernanforderungen bei, aber die überarbeiteten Leitlinien in Anhang B unterscheiden nun deutlicher zwischen normalen betrieblichen Offenlegungen und zusätzlichen Offenlegungen (z. B. im Rahmen von Rechtsermittlungen oder Audits). Auch die Pflicht zur Aufzeichnung der Quelle und der Rechtsgrundlage für jede Offenlegung wird stärker hervorgehoben. Siehe dazu die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Nachverfolgung von Offenlegungen personenbezogener Daten?
ISMS.online macht es einfach, ein vollständiges Offenlegungsprotokoll zu führen:
- Offenlegungsregister — Jede Offenlegung personenbezogener Daten wird mit strukturierten Feldern für Empfänger, Kategorien personenbezogener Daten, Datum/Uhrzeit, Quelle und Autorisierung protokolliert.
- Arbeitsablauf für nicht routinemäßige Offenlegungen — Integrierte Genehmigungsworkflows für Anfragen von Strafverfolgungsbehörden und andere außergewöhnliche Offenlegungen gewährleisten, dass die erforderliche Autorisierung vor der Datenweitergabe eingeholt wird.
- Verknüpfte Datensätze — Verknüpfen Sie Offenlegungseinträge mit den entsprechenden Datenverarbeitungsvereinbarungen, Übertragungsprotokollen und PII-Hauptprofilen
- Audit-Trail — Jeder Offenlegungsbericht enthält eine vollständige Historie darüber, wer ihn erstellt, geändert oder überprüft hat.
- Reporting — Generierung von Offenlegungsberichten nach Empfänger, Zeitraum, PII-Kategorie oder Autorisierungsart für Managementprüfungen und Audits
Häufig gestellte Fragen
Worin besteht der Unterschied zwischen einer Übertragung und einer Offenlegung?
Eine Übermittlung bezieht sich typischerweise auf die systematische Weitergabe personenbezogener Daten (PII) von einer Gerichtsbarkeit oder Organisation an eine andere im Rahmen einer festgelegten Vereinbarung (z. B. einer Datenverarbeitungsvereinbarung). Eine Offenlegung ist weiter gefasst und umfasst jede Weitergabe von PII an Dritte, unabhängig davon, ob diese routinemäßig oder einmalig erfolgt. Jede Übermittlung ist eine Offenlegung, aber nicht jede Offenlegung ist eine Übermittlung. Beispielsweise ist die Bereitstellung von PII an eine Strafverfolgungsbehörde aufgrund einer gerichtlichen Anordnung eine Offenlegung, aber möglicherweise keine Übermittlung im herkömmlichen Sinne.
Wie sollten wir mit Meldungen an Strafverfolgungsbehörden umgehen?
Die Weitergabe von personenbezogenen Daten an Strafverfolgungsbehörden muss einem festgelegten Verfahren folgen. Dokumentieren Sie die eingegangene Anfrage, die angeführte Rechtsgrundlage, die Person innerhalb der Organisation, die die Weitergabe genehmigt hat, welche personenbezogenen Daten weitergegeben wurden, wann und an welche Stelle. Handelt es sich um eine informelle Anfrage (z. B. eine mündliche Anfrage ohne richterliche Anordnung), dokumentieren Sie den Entscheidungsprozess und die Gründe für die erfolgte oder verweigerte Weitergabe.
Müssen wir die Verantwortlichen für die Offenlegung personenbezogener Daten benachrichtigen?
Das hängt von der Gerichtsbarkeit und der Art der Offenlegung ab. DatenschutzBetroffene Personen haben das Recht, die Kategorien der Empfänger zu erfahren. Für bestimmte Offenlegungen kann eine Benachrichtigung erforderlich sein gemäß A.1.3.8 Informationspflichten gegenüber Dritten (Benachrichtigung über Änderung, Verarbeitung oder Offenlegung). Bestimmte Offenlegungen, insbesondere gegenüber Strafverfolgungsbehörden, können jedoch von den Benachrichtigungspflichten ausgenommen sein, wenn die Information der betroffenen Person die Ermittlungen beeinträchtigen würde.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für die spezifischen Transferdokumente, die die Prüfer erwarten.
