Was erfordert die Kontrolle A.2.5.6?
Die Organisation lehnt alle Anfragen zur Offenlegung personenbezogener Daten ab, die nicht rechtsverbindlich sind, konsultiert den jeweiligen Kunden, bevor sie personenbezogene Daten offenlegt, und akzeptiert alle vertraglich vereinbarten Anfragen zur Offenlegung personenbezogener Daten, die vom jeweiligen Kunden autorisiert wurden.
Diese Steuerung befindet sich innerhalb der PII-Prozessorsteuerung Anhang (A.2) legt einen klaren Entscheidungsrahmen für die Bearbeitung von Anfragen zur Offenlegung personenbezogener Daten fest. Er sieht eine Hierarchie vor: Anfragen ohne Rechtsgrundlage werden abgelehnt, vor der Offenlegung wird der Verantwortliche konsultiert, und vertraglich vereinbarte Offenlegungen, die der Kunde genehmigt hat, werden befolgt. Dies verhindert, dass Auftragsverarbeiter personenbezogene Daten ohne entsprechende Befugnis offenlegen.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.2.5.6) enthält folgende Hinweise:
- Vertragsdetails — Einzelheiten zur Bearbeitung von Auskunftsersuchen können im Kundenvertrag enthalten sein.
- Quellen der Anfragen — Auskunftsersuchen können von Gerichten, Tribunalen, Verwaltungsbehörden oder jeder anderen Stelle mit Zuständigkeit ausgehen.
- Web Link A.2.5.3: Länder und internationale Organisationen für den Transfer personenbezogener Daten für damit zusammenhängende Anforderungen
- Web Link A.2.5.7: Offenlegung der zur Verarbeitung personenbezogener Daten eingesetzten Unterauftragnehmer für damit zusammenhängende Anforderungen
Die Leitlinien sind bewusst kurz gefasst, da die Kontrollmaßnahme selbst sehr detailliert ist. Die dreiteilige Verpflichtung ist eindeutig: Unverbindliche Anfragen ablehnen, bei verbindlichen Anfragen den Kunden konsultieren und vom Kunden autorisierte Anfragen annehmen. Der Vertrag sollte die Verfahren für jeden Fall festlegen, einschließlich der Frage, wie der Auftragsverarbeiter die Rechtsverbindlichkeit einer Anfrage beurteilt, wie die Kundenkonsultation erfolgt und welchen vorab genehmigten Offenlegungen der Kunde zugestimmt hat.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.2.5.6 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 48 — Urteile von Gerichten oder Tribunalen sowie Entscheidungen von Verwaltungsbehörden eines Drittlandes, die einen Verantwortlichen oder Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichten, sind nur dann anerkannt oder vollstreckbar, wenn sie auf einem internationalen Abkommen, wie beispielsweise einem Rechtshilfeabkommen, beruhen, das zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat besteht.
Datenschutz Artikel 48 ist insbesondere für international tätige Auftragsverarbeiter relevant. Er legt fest, dass ausländische Gerichtsbeschlüsse und Verwaltungsentscheidungen allein nicht zur Offenlegung personenbezogener Daten erzwingen können, sofern kein internationales Abkommen besteht. Dies bekräftigt die Verpflichtung des Auftragsverarbeiters, unverbindliche Anfragen abzulehnen und die Rechtsgrundlage vor der Offenlegung zu prüfen.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung im Rahmen der übergeordneten Klauselstruktur behandelt. Die Ausgabe von 2025 enthält A.2.5.6 als eigenständige Kontrollmaßnahme mit Implementierungshinweisen in B.2.5.6, die die Quellen von Auskunftsersuchen (Gerichte, Schiedsgerichte, Verwaltungsbehörden) und die Rolle des Kundenvertrags erläutern. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.2.5.6 achten die Prüfer typischerweise auf Folgendes:
- Offenlegungsentscheidungsverfahren — Ein dokumentiertes Verfahren zur Bewertung von Auskunftsersuchen, einschließlich der Frage, wie die Organisation feststellt, ob ein Ersuchen rechtlich bindend ist.
- Ablehnungsdatensätze — Aufzeichnungen über abgelehnte, unverbindliche Auskunftsersuchen, einschließlich der Ablehnungsgründe und jeglicher Korrespondenz mit dem anfragenden Dritten
- Kundenberatungsaufzeichnungen — Nachweise über die Kundenberatung vor der Offenlegung der Informationen, einschließlich der Kommunikation, der Reaktion des Kunden und der getroffenen Entscheidung
- Vorab genehmigte Offenlegungen — Vertragsklauseln, die Offenlegungen definieren, die der Kunde vorab genehmigt hat, wodurch die Notwendigkeit einer Einzelfallberatung entfällt
- Fähigkeit zur rechtlichen Beurteilung — Nachweis, dass die Organisation Zugang zu Rechtsberatung hat, um zu beurteilen, ob Anfragen rechtsverbindlich sind, insbesondere Anfragen aus ausländischen Gerichtsbarkeiten.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.2.5.5 Benachrichtigung über Auskunftsersuchen | Die Benachrichtigung ist der erste Schritt; diese Kontrollmaßnahme regelt die Entscheidung über die Offenlegung oder Ablehnung. |
| A.2.5.4 Aufzeichnungen über die Offenlegung personenbezogener Daten | Alle Offenlegungen (und Ablehnungen) sollten protokolliert werden. |
| A.2.2.2 Kundenvereinbarung | Der Vertrag regelt das Verfahren zur Offenlegungsentscheidung und die vorab genehmigten Offenlegungen. |
| A.2.5.2 Grundlage für die Übertragung personenbezogener Daten | Rechtlich vorgeschriebene Offenlegungen gegenüber ausländischen Behörden müssen eine gültige Übermittlungsgrundlage haben. |
| A.2.2.4 Nutzung für Marketing und Werbung | Für die Offenlegung von Informationen zu Marketingzwecken ist eine gesonderte Zustimmung des Kunden erforderlich. |
Für wen gilt diese Regelung?
A.2.5.6 gilt ausschließlich für PII-ProzessorenAuftragsverarbeiter handeln im Auftrag der Verantwortlichen und dürfen personenbezogene Daten nicht eigenständig an Dritte weitergeben. Diese Regelung stellt sicher, dass Auftragsverarbeiter personenbezogene Daten nur dann weitergeben, wenn eine rechtliche Verpflichtung dazu besteht oder eine ausdrückliche Einwilligung des Kunden vorliegt. Freiwillige Weitergaben ohne Einwilligung des Kunden oder rechtliche Verpflichtung sind unzulässig.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für das Management von Offenlegungsentscheidungen?
ISMS.online bietet praktische Instrumente für den Umgang mit Entscheidungen zur Offenlegung personenbezogener Daten:
- Entscheidungsabläufe — Strukturierte Arbeitsabläufe zur Auswertung von Auskunftsersuchen mit Verzweigungslogik für rechtsverbindliche, unverbindliche und vom Kunden autorisierte Anfragen
- Rechtsbewertungsverfolgung — Rechtliche Einschätzungen zur Verbindlichkeit von Anfragen protokollieren, einschließlich der Gerichtsbarkeit, der angeführten Rechtsgrundlage und der eingeholten Rechtsberatung.
- Kundenberatung — Kundenberatungen innerhalb der Plattform verwalten und Anfrage, Kommunikation, Antwort und endgültige Entscheidung nachverfolgen
- Ablehnungsmanagement — Abgelehnte Anträge mit Begründung dokumentieren, um eine stichhaltige Dokumentation für behördliche oder rechtliche Prüfungen zu schaffen.
- Vertragsintegration — Verknüpfung der Offenlegungsverfahren mit den Bestimmungen des Kundenvertrags, um sicherzustellen, dass vorab genehmigte Offenlegungen identifiziert und einheitlich behandelt werden.
Häufig gestellte Fragen
Wie stellt der Prozessor fest, ob eine Anfrage rechtlich bindend ist?
Der Auftragsverarbeiter prüft, ob die anfragende Behörde die rechtliche Befugnis zur Erzwingung der Offenlegung besitzt und ob die Anfrage nach geltendem Recht ordnungsgemäß gestellt wurde. Dies erfordert in der Regel Rechtsberatung, insbesondere bei Anfragen aus dem Ausland. Zu den Schlüsselfaktoren zählen: ob die Anfrage eine konkrete Rechtsvorschrift anführt; ob sie von einem zuständigen Gericht, Tribunal oder einer Verwaltungsbehörde gestellt wurde; und ob sie den formalen Anforderungen des geltenden Rechts entspricht. Informelle Anfragen, Anfragen auf freiwilliger Zusammenarbeit und Anfragen ohne Rechtsgrundlage sind abzulehnen.
Darf der Auftragsverarbeiter personenbezogene Daten ohne Rücksprache mit dem Kunden weitergeben?
Nur in Ausnahmefällen. Enthält der Kundenvertrag vorab genehmigte Offenlegungen (z. B. die Genehmigung zur Offenlegung aufgrund gültiger Gerichtsbeschlüsse in einem bestimmten Rechtsgebiet), kann der Auftragsverarbeiter ohne Einzelfallabsprache vorgehen. Ist eine Benachrichtigung zudem rechtlich untersagt (siehe Abschnitt 1000), gilt dies ebenfalls. A.2.5.5 Anfragen zur Offenlegung personenbezogener DatenDer Auftragsverarbeiter muss unter Umständen Informationen offenlegen, bevor er den Kunden benachrichtigen kann. In allen anderen Fällen ist gemäß dieser Regelung eine Rücksprache mit dem Kunden vor der Offenlegung erforderlich.
Wie verhält es sich mit Anfragen von ausländischen Gerichten oder Behörden?
Artikel 48 DSGVO legt fest, dass ausländische Gerichtsurteile und Verwaltungsentscheidungen nur dann vollstreckbar sind, wenn sie auf einem internationalen Abkommen, wie beispielsweise einem Rechtshilfeabkommen, beruhen. Dies bedeutet, dass ein ausländischer Gerichtsbeschluss allein nicht zwangsläufig eine „rechtsverbindliche“ Anfrage nach EU-Recht darstellt. Der Auftragsverarbeiter sollte sich vor der Offenlegung personenbezogener Daten auf Anfrage ausländischer Behörden rechtlich beraten lassen und den Kunden konsultieren. Besteht kein internationales Abkommen, ist die Anfrage grundsätzlich abzulehnen, es sei denn, es greifen andere Übermittlungsmechanismen der DSGVO.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise umfasst die von Wirtschaftsprüfern geforderten Offenlegungsdokumente.
Sie finden weitere Information in der Produktübersicht für Leitfaden zur Lieferantenbewertung wie Kunden die Offenlegungspraktiken von Prozessoren bewerten.
