Was erfordert die Kontrolle A.2.5.2?
Die Organisation unterrichtet den Kunden rechtzeitig über die Grundlage für die Übermittlung personenbezogener Daten zwischen verschiedenen Rechtsordnungen sowie über alle diesbezüglichen geplanten Änderungen, damit der Kunde gegen diese Änderungen Einspruch erheben oder den Vertrag kündigen kann.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) behandelt einen der komplexesten Bereiche des Datenschutzes: grenzüberschreitende Datenübermittlungen. Übermittelt ein Auftragsverarbeiter personenbezogene Daten über Ländergrenzen hinweg, muss der Verantwortliche die Rechtsgrundlage für diese Übermittlung kennen. Ändert sich die Rechtsgrundlage, muss der Verantwortliche die Möglichkeit haben, Widerspruch einzulegen oder die Vereinbarung zu beenden, bevor die Änderung wirksam wird.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.5.2) enthält folgende Hinweise:
- Dokumentieren Sie die Rechtsgrundlage Die Organisation muss die Einhaltung der rechtlichen Anforderungen als Grundlage für die Übertragung dokumentieren.
- Kunden über Überweisungen informieren — Der Kunde muss über Überweisungen an Lieferanten, andere Parteien, andere Länder oder andere Organisationen informiert werden.
- Vorabinformation — Der Kunde muss im Voraus informiert werden, damit er Änderungen widersprechen oder den Vertrag kündigen kann.
- Klauseln zur vertraglichen Flexibilität — Vereinbarungen können Klauseln enthalten, die es der Organisation gestatten, Änderungen ohne vorherige Ankündigung vorzunehmen, vorbehaltlich festgelegter Grenzen
- Transfermechanismen — Bei internationalen Datentransfers sind die Standardvertragsklauseln, die verbindlichen Unternehmensregeln (BCRs), die grenzüberschreitenden Datenschutzbestimmungen sowie die jeweiligen Länder und Umstände zu ermitteln.
- Web Link A.2.5.5: Benachrichtigung über Anfragen zur Offenlegung personenbezogener Daten für damit zusammenhängende Anforderungen
- Web Link A.2.5.6: Rechtsverbindliche Offenlegung personenbezogener Daten für damit zusammenhängende Anforderungen
Die Leitlinien stellen klar, dass Transparenz Standard ist. Der Auftragsverarbeiter muss den Verantwortlichen proaktiv über die Rechtsgrundlage für die Übermittlungen informieren und darf nicht auf dessen Anfrage warten. Sofern vertragliche Flexibilitätsklauseln vorhanden sind, müssen diese klar definierte Grenzen haben und dürfen nicht dazu missbraucht werden, das Aufsichtsrecht des Verantwortlichen zu umgehen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.5.2 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 44 — Allgemeiner Grundsatz für Transfers: Transfers finden nur statt, wenn Datenschutz Bedingungen sind erfüllt
- Artikel 46 (1) — Angemessene Schutzmaßnahmen für Transfers in Ermangelung eines Angemessenheitsbeschlusses
- Artikel 46(2)(af) — Spezifische Schutzmaßnahmen, darunter verbindliche Unternehmensregeln, Standardvertragsklauseln, Verhaltenskodizes und Zertifizierungsmechanismen
- Artikel 46(3)(ab) — Vertragsklauseln und Verwaltungsregelungen, die von den Aufsichtsbehörden genehmigt wurden
- Artikel 48 — Übermittlungen oder Offenlegungen, die nach dem Unionsrecht nicht zulässig sind
- Artikel 49(1)(ag) — Ausnahmen für bestimmte Situationen, einschließlich ausdrücklicher Einwilligung, vertraglicher Notwendigkeit und lebenswichtiger Interessen
- Artikel 49(2-6) — Bedingungen und Beschränkungen für auf Ausnahmeregelungen beruhende Übertragungen
Dies ist eine der am umfassendsten beschriebenen Kontrollmechanismen im Standard und spiegelt die Komplexität des Übermittlungsrahmens der DSGVO wider. Auftragsverarbeiter müssen in der Lage sein, den jeweils anwendbaren DSGVO-Mechanismus für jede Übermittlung zu identifizieren und zu dokumentieren.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.5.2 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.5.2, die verbindliche Unternehmensregeln, Standardvertragsklauseln und grenzüberschreitende Datenschutzbestimmungen explizit als Übertragungsmechanismen abdecken. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.5.2 achten die Prüfer typischerweise auf Folgendes:
- Folgenabschätzungen für den Transfer — Dokumentierte Bewertungen der Rechtsgrundlage für jede grenzüberschreitende Datenübermittlung, einschließlich des spezifischen DSGVO-Mechanismus, auf den sich die Daten stützen
- Kundenbenachrichtigungen — Aufzeichnungen über Benachrichtigungen an Kunden über die Grundlage von Überweisungen, einschließlich Versanddatum und etwaiger Kundenreaktionen oder -einwände
- Änderungsmanagementaufzeichnungen — Nachweis, dass Kunden im Voraus über beabsichtigte Änderungen der Übertragungsvereinbarungen informiert werden und ausreichend Zeit haben, Widerspruch einzulegen oder den Vertrag zu kündigen.
- Dokumentation der Übertragungsmechanismen — Kopien der Standardvertragsklauseln, der verbindlichen Unternehmensregeln, der Angemessenheitsbeschlüsse oder anderer Mechanismen, auf die sich die Übertragung stützt.
- Vertragliche Bestimmungen — Vertragsklauseln, die grenzüberschreitende Geldtransfers regeln, einschließlich etwaiger Flexibilitätsklauseln und deren festgelegten Grenzen
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.5.3 Länder für die Übermittlung personenbezogener Daten | Dokumentiert die spezifischen Länder, in die personenbezogene Daten übertragen werden können. |
| A.2.5.7 Offenlegung von Subunternehmern | Die Offenlegungspflichten für Unterauftragnehmer umfassen die Länder, in denen sie personenbezogene Daten verarbeiten. |
| A.2.4.4 PII-Getriebesteuerung | Technische Kontrollen zur Sicherung personenbezogener Daten bei grenzüberschreitender Übermittlung |
| A.2.2.2 Kundenvereinbarung | Die Übertragungsgrundlage und die Benachrichtigungsverfahren sollten im Vertrag festgelegt werden. |
| A.2.5.4 Aufzeichnungen über die Offenlegung personenbezogener Daten | Grenzüberschreitende Geldtransfers an Dritte sollten als Offenlegungen erfasst werden. |
Für wen gilt diese Regelung?
A.2.5.2 gilt ausschließlich für PII-ProzessorenVerantwortliche sind rechtlich dafür verantwortlich, dass grenzüberschreitende Datenübermittlungen den Datenschutzbestimmungen entsprechen. Diese Verpflichtung können sie jedoch nur erfüllen, wenn ihre Auftragsverarbeiter transparent agieren. Diese Kontrollmaßnahme stellt sicher, dass Auftragsverarbeiter die Verantwortlichen über die Rechtsgrundlage der Übermittlungen informieren und ihnen die Möglichkeit geben, Widerspruch einzulegen, bevor Änderungen in Kraft treten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für das grenzüberschreitende Transfermanagement?
ISMS.online bietet praktische Werkzeuge für die Verwaltung grenzüberschreitender PII-Übermittlungen:
- Transferzuordnung — Alle grenzüberschreitenden Datenflüsse erfassen und dabei die Rechtsgrundlage, den Übertragungsmechanismus und das Zielland für jede Übertragung dokumentieren.
- Benachrichtigungs-Workflows — Kundenbenachrichtigungen zu Transfervereinbarungen und Änderungen verwalten mit nachverfolgter Kommunikation und Aufzeichnung der Antworten
- Dokumenten-Management — Standardvertragsklauseln, BCRs und Angemessenheitsentscheidungsverweise sind zusammen mit jedem Übertragungsdatensatz zu speichern.
- Änderungsmanagement — Vorgeschlagene Änderungen an Übertragungsvereinbarungen mithilfe von Genehmigungsprozessen verfolgen und sicherstellen, dass Kunden vor Inkrafttreten der Änderungen benachrichtigt werden.
- Compliance-Dashboard — Überwachen Sie den Status aller grenzüberschreitenden Geldtransfers, deren Rechtsgrundlagen und den Benachrichtigungsstatus aus einer einzigen Ansicht
Häufig gestellte Fragen
Was gilt als Transfer zwischen verschiedenen Gerichtsbarkeiten?
Eine Übermittlung zwischen Rechtsordnungen liegt vor, wenn personenbezogene Daten von einer Rechtsordnung in eine andere übertragen werden. Dies umfasst physische Übermittlungen (Versand von Datenträgern zwischen Ländern), elektronische Übermittlungen (Übertragung von Daten an Server in einem anderen Land), Fernzugriff (Zugriff von Mitarbeitern in einem anderen Land auf lokal gespeicherte personenbezogene Daten) und Cloud-Verarbeitung (Nutzung von Cloud-Diensten, die Daten in mehreren Regionen speichern oder verarbeiten). Selbst vorübergehende Übermittlungen, wie z. B. die Durchleitung von Daten über einen Netzwerkknoten in einer anderen Rechtsordnung, können je nach anwendbarem Recht als Übermittlung gelten.
Wie viel Vorlaufzeit sollten Kunden vor Änderungen der Überweisung erhalten?
Die Norm fordert eine „rechtzeitige“ Benachrichtigung, legt jedoch keine Mindestfrist fest. Die Benachrichtigungsfrist sollte dem Kunden ausreichend Zeit geben, die Änderung zu prüfen, gegebenenfalls erforderliche Bewertungen (z. B. eine Folgenabschätzung) durchzuführen und die Änderung entweder zu akzeptieren, Anpassungen auszuhandeln oder den Vertrag zu kündigen. Üblicherweise beträgt die Frist mindestens 30 Tage, die genaue Frist sollte jedoch je nach Komplexität und Sensibilität der Verarbeitung im Vertrag festgelegt werden.
Kann ein Vertrag Überweisungen ohne vorherige Benachrichtigung des Kunden zulassen?
Die Leitlinien in Anhang B erkennen an, dass Vereinbarungen Klauseln enthalten können, die es der Organisation gestatten, Änderungen ohne vorherige Benachrichtigung vorzunehmen. Diese Klauseln müssen jedoch klar definierte Grenzen haben. In der Praxis beziehen sich solche Klauseln typischerweise auf Datenübermittlungen innerhalb desselben Rechtsrahmens (z. B. zwischen EU-Mitgliedstaaten, wo Angemessenheit automatisch gegeben ist) und nicht auf Übermittlungen in Rechtsordnungen mit deutlich unterschiedlichen Datenschutzstandards. Das Aufsichtsrecht des Verantwortlichen darf nicht durch übermäßig weit gefasste Flexibilitätsklauseln beeinträchtigt werden.
Unsere Leitfaden für grenzüberschreitende Datentransfers Umfasst sowohl die Übermittlungspflichten des Verantwortlichen als auch die des Auftragsverarbeiters gemäß ISO 27701:2025.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise Die Prüfer der Dokumentation erwarten Kontrollen bei der Übertragung von Leistungen.
