Was erfordert die Kontrolle A.2.5.4?
Die Organisation ist verpflichtet, die Weitergabe personenbezogener Daten an Dritte zu dokumentieren, einschließlich der Angabe, welche personenbezogenen Daten an wen und wann weitergegeben wurden.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) regelt die Rechenschaftspflicht bei der Weitergabe von Daten an Dritte. Jedes Mal, wenn ein Auftragsverarbeiter personenbezogene Daten an Dritte weitergibt, sei es an einen Unterauftragnehmer, eine Behörde, einen Wirtschaftsprüfer oder einen anderen Empfänger, muss ein Protokoll erstellt werden. Dieses Protokoll muss den Umfang der weitergegebenen Daten, die Identität des Empfängers und das Datum der Weitergabe enthalten.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.5.4) enthält folgende Hinweise:
- Normalbetrieb — Offenlegungen von Daten, die im Rahmen normaler Verarbeitungsvorgänge erfolgen, wie z. B. Übermittlungen an Unterauftragnehmer oder Datenrückgaben an Kunden
- Nicht routinemäßige Offenlegungen — Erfassen Sie auch zusätzliche Offenlegungen, die sich aus rechtlichen Ermittlungen oder externen Prüfungen ergeben.
- Quelle und Autorität — Die Aufzeichnungen sollten die Quelle der Offenlegung (wer sie veranlasst hat) und die Quelle der Befugnis (welche rechtliche oder vertragliche Grundlage sie autorisiert hat) enthalten.
- Web Link A.2.5.2: Grundlage für die Übermittlung personenbezogener Daten zwischen Rechtsordnungen für damit zusammenhängende Anforderungen
- Web Link A.2.5.8: Beauftragung eines Unterauftragnehmers zur Verarbeitung personenbezogener Daten für damit zusammenhängende Anforderungen
Die Richtlinien stellen klar, dass Offenlegungsdokumente sowohl routinemäßige als auch nicht routinemäßige Offenlegungen umfassen müssen. Routinemäßige Offenlegungen beinhalten regelmäßige Datenübermittlungen an Unterauftragnehmer im Rahmen der normalen Datenverarbeitung. Nicht routinemäßige Offenlegungen umfassen die Beantwortung von Anfragen von Justizbehörden, den Zugriff im Rahmen externer Prüfungen und jede andere Ad-hoc-Weitergabe personenbezogener Daten an Dritte.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.5.4 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 30 Absatz 1 Buchstabe d — Das Verzeichnis der Verarbeitungstätigkeiten muss die Kategorien der Empfänger enthalten, denen die personenbezogenen Daten offengelegt wurden oder werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
Während Datenschutz Artikel 30 verlangt Aufzeichnungen über Empfängerkategorien. ISO 27701 A.2.5.4 geht noch weiter und fordert Aufzeichnungen über konkrete Offenlegungen, einschließlich der genauen Art der offengelegten personenbezogenen Daten, des jeweiligen Empfängers und des Datums. Dies ermöglicht eine detailliertere Nachverfolgung als die Mindestanforderungen der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.5.4 als eigenständige Kontrollmaßnahme mit Umsetzungshinweisen in B.2.5.4, die sich speziell mit der Erfassung von nicht routinemäßigen Offenlegungen aus rechtlichen Ermittlungen und externen Prüfungen befasst und vorschreibt, dass die Aufzeichnungen die Quelle der Offenlegung und die entsprechende Befugnis enthalten müssen. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.5.4 achten die Prüfer typischerweise auf Folgendes:
- Offenlegungsregister — Ein geführtes Register oder Protokoll aller Offenlegungen personenbezogener Daten an Dritte mit Einträgen für jedes Offenlegungsereignis
- Vollständigkeit der Aufzeichnungen — Jeder Datensatz sollte Folgendes enthalten: die Kategorien oder spezifischen Elemente der offengelegten personenbezogenen Daten, die Identität des Empfängers, Datum und Uhrzeit der Offenlegung, die Quelle der Offenlegung (wer sie initiiert hat) und die Rechtsgrundlage für die Offenlegung (Rechtsgrundlage oder vertragliche Bestimmung).
- Routine- und Nicht-Routine-Abdeckung — Nachweis, dass das Register sowohl routinemäßige betriebliche Offenlegungen (wie z. B. Übertragungen an Unterauftragnehmer) als auch nicht routinemäßige Offenlegungen (wie z. B. Anfragen von Rechtsbehörden und Prüfungszugriffe) umfasst.
- Aufbewahrung von Aufzeichnungen — Offenlegungsunterlagen werden für den gesetzlich und vertraglich vorgeschriebenen Zeitraum aufbewahrt.
- Kundenberichte — Nachweis, dass Offenlegungsunterlagen auf Anfrage den Kunden zur Verfügung gestellt werden können, damit diese ihren eigenen Transparenzpflichten nachkommen können.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.5.5 Benachrichtigung über Anfragen zur Offenlegung personenbezogener Daten | Kunden müssen über rechtsverbindliche Auskunftsersuchen informiert werden; diese sollten auch protokolliert werden. |
| A.2.5.6 Rechtsverbindliche Offenlegung personenbezogener Daten | Rechtsverbindliche Offenlegungen müssen bei der Rechtsbehörde, die sie veranlasst hat, protokolliert werden. |
| A.2.5.7 Offenlegung von Subunternehmern | Offenlegungen von Subunternehmern sind eine Kategorie der Offenlegungen gegenüber Dritten, die Aufzeichnungen erfordern. |
| A.2.2.7 Aufzeichnungen über die Verarbeitung | Offenlegungsprotokolle sind Teil der umfassenderen Verarbeitungsprotokolle. |
| A.2.5.3 Länder für die Übermittlung personenbezogener Daten | Bei Offenlegungen gegenüber Empfängern in anderen Ländern sollte das Länderregister überprüft werden. |
Für wen gilt diese Regelung?
A.2.5.4 gilt ausschließlich für PII-ProzessorenAuftragsverarbeiter geben personenbezogene Daten im Rahmen ihrer Geschäftstätigkeit regelmäßig an Dritte weiter, sei es durch Unterauftragnehmerverträge, Datenrückgaben an Kunden, Anfragen von Behörden oder Zugriffe im Rahmen externer Prüfungen. Ohne eine systematische Dokumentation dieser Weitergaben können weder der Auftragsverarbeiter noch der Verantwortliche die Rechenschaftspflicht für die Art und Weise der Weitergabe personenbezogener Daten nachweisen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Nachverfolgung der Offenlegung personenbezogener Daten?
ISMS.online bietet praktische Werkzeuge zur Erfassung und Verwaltung von Offenlegungen personenbezogener Daten:
- Offenlegungsregister — Führen eines zentralen Registers aller Offenlegungen personenbezogener Daten mit strukturierten Feldern für Kategorien personenbezogener Daten, Empfängeridentität, Datum, Quelle und Genehmigung
- Automatisierte Protokollierung — Erstellung von Offenlegungsprotokollen aus Workflow-Triggern, um sicherzustellen, dass routinemäßige Offenlegungen systematisch und ohne manuelle Eingriffe erfasst werden
- Autoritätsverfolgung — Jede Offenlegung muss mit ihrer Rechtsgrundlage oder Vertragsbestimmung verknüpft werden, um nachzuweisen, dass jede Offenlegung autorisiert war.
- Kundenberichte — Erstellung von Offenlegungsberichten für einzelne Kunden, die alle Weitergaben ihrer personenbezogenen Daten an Dritte aufzeigen
- Prüfungsbereitschaft — Offenlegungsdokumente in strukturierter Form für interne und externe Prüfungen vorlegen, mit Filtern nach Datum, Empfänger, PII-Kategorie und Befugnis
Häufig gestellte Fragen
Was gilt als Offenlegung gegenüber Dritten?
Eine Offenlegung liegt vor, sobald personenbezogene Daten einer Stelle außerhalb der Organisation zugänglich gemacht werden. Dies umfasst: die Übermittlung an Unterauftragnehmer zur Verarbeitung; die Rückgabe von Daten an den Kunden (den Verantwortlichen); die Beantwortung von Anfragen von Behörden; die Gewährung des Zugriffs an externe Prüfer; die Weitergabe an andere Auftragsverarbeiter oder Verantwortliche; und jede andere Situation, in der personenbezogene Daten die Kontrolle der Organisation verlassen. Interne Übermittlungen zwischen Abteilungen oder Systemen innerhalb der Organisation gelten nicht als Offenlegungen an Dritte, Übermittlungen an separate juristische Personen innerhalb eines Konzerns hingegen schon.
Wie detailliert sollten Offenlegungsunterlagen sein?
Die Aufzeichnungen sollten mindestens Folgendes enthalten: welche personenbezogenen Daten offengelegt wurden (Kategorien oder spezifische Datenelemente); an wen (die konkrete Empfängerorganisation); wann (Datum und Uhrzeit); wer die Offenlegung veranlasst hat; und auf welcher Rechtsgrundlage sie erfolgte (Vertragsklausel, gesetzliche Vorschrift oder Kundenanweisung). Bei nicht routinemäßigen Offenlegungen, wie z. B. Anfragen aufgrund gesetzlicher Ermächtigung, sollten zusätzlich die Referenznummer der Anfrage, die angeführte Rechtsgrundlage und etwaige Einschränkungen hinsichtlich der Benachrichtigung des Kunden aufgeführt werden.
Wie lange sollten Offenlegungsunterlagen aufbewahrt werden?
Die Aufbewahrungsfristen für Offenlegungsdokumente sollten sich nach geltendem Datenschutzrecht richten (die DSGVO legt keine Frist fest, schreibt aber vor, dass die Dokumente der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden müssen), sowie nach dem Kundenvertrag (der eine Aufbewahrungsfrist vorsehen kann) und den eigenen Aufbewahrungsrichtlinien des Unternehmens. Üblicherweise werden Offenlegungsdokumente für die Dauer der Geschäftsbeziehung zuzüglich eines Zeitraums aufbewahrt, der potenzielle Rechtsansprüche abdeckt (in der Regel sechs Jahre in Großbritannien). Die Dokumente dürfen nicht vernichtet werden, solange eine damit zusammenhängende Untersuchung oder ein Rechtsstreit anhängig ist.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die von Wirtschaftsprüfern geforderten Offenlegungsdokumente.
Sie finden weitere Information in der Produktübersicht für Leitfaden zur Lieferantenbewertung wie Kunden die Offenlegungspraktiken von Prozessoren bewerten.
