Was erfordert die Kontrolle A.2.5.3?
Die Organisation legt die Länder und internationalen Organisationen fest und dokumentiert, an die personenbezogene Daten gegebenenfalls übermittelt werden können.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) behandelt eine grundlegende Transparenzanforderung. Verantwortliche müssen wissen, wo ihre Daten letztendlich landen könnten, da in verschiedenen Rechtsordnungen unterschiedliche Datenschutzstandards gelten. Ohne eine dokumentierte Liste der Übermittlungsziele kann der Verantwortliche keine Folgenabschätzungen für die Datenübermittlung durchführen oder die Einhaltung der Anforderungen für grenzüberschreitende Übermittlungen sicherstellen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.5.3) enthält folgende Hinweise:
- Normalbetrieb — Länder, die sich im normalen Geschäftsbetrieb befinden, sollten den Kunden zur Verfügung gestellt werden.
- Weitervergabe von Verarbeitungsaufträgen Die Liste sollte auch Länder umfassen, die über Unterauftragsverarbeitungsvereinbarungen beteiligt sind.
- Übertragung der Rechtsbefugnis — Außerhalb des normalen Geschäftsbetriebs können von den Behörden angeordnete Überweisungen unter Umständen nicht im Voraus festgelegt werden oder unterliegen einem Offenlegungsverbot, um die Vertraulichkeit der Ermittlungen zu wahren.
- Web Link A.2.5.9: Wechsel des Unterauftragnehmers für die Verarbeitung von PII für damit zusammenhängende Anforderungen
Die Richtlinie unterscheidet klar zwischen Datentransfers im Rahmen des normalen Geschäftsbetriebs (die dokumentiert und offengelegt werden müssen) und solchen, die von Behörden angeordnet werden (und die möglicherweise nicht vorhersehbar oder offenzulegen sind). Im Rahmen des normalen Geschäftsbetriebs muss der Auftragsverarbeiter eine umfassende Liste führen, die sowohl direkte Transferziele als auch solche, die über Unterauftragnehmer vermittelt werden, enthält.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.5.3 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 30 Absatz 2 Buchstabe c — Das Verzeichnis der im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten muss auch die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation einschließlich der Bezeichnung dieses Drittlandes oder dieser internationalen Organisation enthalten.
Datenschutz Gemäß Artikel 30 Absatz 2 Buchstabe c besteht hierfür eine zwingende Aufzeichnungspflicht. Auftragsverarbeiter müssen die Übermittlungsziele in ihre Aufzeichnungen über Verarbeitungstätigkeiten aufnehmen. Dies ist für Auftragsverarbeiter mit 250 oder mehr Beschäftigten nicht optional und gilt auch für kleinere Auftragsverarbeiter, wenn die Verarbeitung voraussichtlich ein Risiko für betroffene Personen birgt.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.5.3 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.5.3, die speziell zwischen normalen betrieblichen Übertragungen und Übertragungen aufgrund rechtlicher Befugnisse unterscheiden. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.5.3 achten die Prüfer typischerweise auf Folgendes:
- Länderregister — Eine dokumentierte, gepflegte Liste aller Länder und internationalen Organisationen, an die personenbezogene Daten im Rahmen des normalen Geschäftsbetriebs möglicherweise übermittelt werden können.
- Subunternehmerdeckung — Nachweis, dass die Länderliste nicht nur direkte Transfers, sondern auch Ziele umfasst, die durch Unterauftragsbearbeitung eingeführt wurden.
- Kundenverfügbarkeit — Nachweis, dass die Länderliste den Kunden zur Verfügung gestellt wurde, sei es durch Verträge, Kundenportale oder direkte Kommunikation
- Aufzeichnungen über Verarbeitungstätigkeiten — in den Aufzeichnungen der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 erfassten Übermittlungsziele
- Aktualisierungsverfahren — Ein dokumentierter Prozess zur Aktualisierung der Länderliste bei Hinzufügung neuer Transferziele, einschließlich der Verfahren zur Kundenbenachrichtigung.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.5.2 Grundlage für die Übertragung personenbezogener Daten | Jedes dieser Länder verlangt eine dokumentierte Rechtsgrundlage für die Überweisung. |
| A.2.5.7 Offenlegung von Subunternehmern | Die Angaben zu Subunternehmern umfassen die Länder, in denen Subunternehmer tätig sind. |
| A.2.5.8 Beauftragung von Subunternehmern | Die Verträge mit Subunternehmern müssen die Transferziele regeln. |
| A.2.2.7 Aufzeichnungen über die Verarbeitung | Übertragungsziele sind ein notwendiger Bestandteil der Datensatzverarbeitung. |
| A.2.5.4 Aufzeichnungen über die Offenlegung personenbezogener Daten | Offenlegungen gegenüber Organisationen in anderen Ländern sollten beim Zielland registriert werden. |
Für wen gilt diese Regelung?
A.2.5.3 gilt ausschließlich für PII-ProzessorenVerantwortliche benötigen diese Informationen, um ihre eigenen Folgenabschätzungen für Datenübermittlungen durchzuführen und ihren Transparenzpflichten gegenüber den betroffenen Personen nachzukommen. Kann ein Auftragsverarbeiter seinen Kunden nicht mitteilen, wohin personenbezogene Daten übermittelt werden, kann der Verantwortliche seinen eigenen Datenschutzpflichten nicht nachkommen. Daher ist die Länderliste ein grundlegendes Element der Transparenz von Auftragsverarbeitern.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für die Verwaltung von Transferzielen?
ISMS.online bietet praktische Werkzeuge zur Dokumentation und Verwaltung von PII-Übertragungszielen:
- Länderregister — Führen eines zentralen, versionskontrollierten Verzeichnisses aller Länder und internationalen Organisationen, an die personenbezogene Daten übertragen werden können.
- Integration von Subunternehmern — Verknüpfen Sie die Datensätze von Unterauftragnehmern mit ihren Verarbeitungsorten und beziehen Sie die Länder der Unterauftragnehmer automatisch in Ihre Transferzielliste ein.
- Kundenberichte — Generieren Sie Transferzielberichte für Kunden, die alle an der Verarbeitung ihrer Daten beteiligten Länder aufzeigen.
- Änderungsverfolgung — Hinzufügen und Entfernen von Ländern aus der Liste mit vollständiger Protokollierung und automatisierten Kundenbenachrichtigungen nachverfolgen
- Compliance-Mapping — Ordnen Sie jedem Transferziel seine Rechtsgrundlage zu (A.2.5.2 Grundlage für die Übertragung personenbezogener Daten) und den dazugehörigen vertraglichen Bestimmungen für ein vollständiges Bild der Einhaltung der Vorschriften
Häufig gestellte Fragen
Soll die Länderliste auch Regionen von Cloud-Anbietern enthalten?
Ja. Wenn Ihre Cloud-Infrastruktur in mehreren Regionen oder Verfügbarkeitszonen betrieben wird, sollte jedes Land, in dem Daten gespeichert oder verarbeitet werden könnten, in der Länderliste aufgeführt werden. Dies umfasst primäre Verarbeitungsstandorte, Failover-Regionen und alle Standorte, die für die Datenreplikation oder -sicherung verwendet werden. Selbst wenn Sie eine bestimmte Region konfigurieren, prüfen Sie, ob die Nutzungsbedingungen Ihres Cloud-Anbieters die Verarbeitung oder vorübergehende Speicherung von Daten an anderen Standorten aus betrieblichen Gründen erlauben.
Wie verhält es sich mit Überweisungen, die von Strafverfolgungsbehörden angeordnet werden?
Die Leitlinien in Anhang B erkennen an, dass von den Behörden angeordnete Übermittlungen möglicherweise nicht im Voraus festgelegt werden können und deren Offenlegung zum Schutz der Vertraulichkeit von Ermittlungen untersagt sein kann. Diese Übermittlungen fallen nicht unter die Liste der Länder für den normalen Geschäftsbetrieb. Sie sollten jedoch Ihr Verfahren zur Bearbeitung solcher Anfragen dokumentieren (siehe Anhang B). A.2.5.5 Anfragen zur Offenlegung personenbezogener Daten und A.2.5.6 Rechtsverbindliche Offenlegungen) und die Kunden zu informieren, sofern dies gesetzlich zulässig ist.
Wie oft sollte die Länderliste überprüft werden?
Die Länderliste sollte immer dann überprüft werden, wenn sich Ihre Verarbeitungsinfrastruktur, Ihre Vereinbarungen mit Unterauftragnehmern oder Ihre Konfigurationen Ihres Cloud-Anbieters ändern. Führen Sie mindestens einmal jährlich eine Überprüfung durch, um die Aktualität der Liste sicherzustellen. Änderungen an der Liste müssen den von der Behörde vorgeschriebenen Kundenbenachrichtigungsprozess auslösen. A.2.5.2 Grundlage für die Übertragung personenbezogener DatenDadurch erhalten die Kunden die Möglichkeit, die Auswirkungen zu beurteilen und gegebenenfalls Einspruch zu erheben.
Unsere Leitfaden für grenzüberschreitende Datentransfers Umfasst sowohl die Übermittlungspflichten des Verantwortlichen als auch die des Auftragsverarbeiters gemäß ISO 27701:2025.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise Die Prüfer der Dokumentation erwarten Kontrollen bei der Übertragung von Leistungen.
