Klausel 8.5, Weitergabe, Übertragung und Offenlegung personenbezogener Daten

ISO 27701 - Klausel 8.5 - PII -Freigabe, Übertragung und Offenlegung

Abschnitt 27701 der ISO/IEC 8.5 beschreibt die Anforderungen an Organisationen hinsichtlich der Weitergabe, Übertragung und Offenlegung personenbezogener Daten (PII). Dabei wird die Einhaltung gesetzlicher, behördlicher und vertraglicher Verpflichtungen sichergestellt, während gleichzeitig Transparenz gewahrt und die Privatsphäre geschützt wird.

Grundlegendes zu Klausel 27701 der ISO 8.5: Weitergabe, Übertragung und Offenlegung personenbezogener Daten

ISO 27701 Abschnitt 8.5 beschreibt die Ziele einer Organisation, wenn personenbezogene Daten an andere Länder, Organisationen und Subunternehmer übertragen oder diesen offengelegt werden sollen.

ISO 27701 Klausel 8.5.1 – Weitergabe, Übertragung und Offenlegung personenbezogener Daten

Zweck von Abschnitt 8.5.1

Wann immer PII zwischen Gerichtsbarkeiten übertragen werden sollen, müssen Organisationen den Kunden rechtzeitig über die zugrunde liegende Notwendigkeit informieren.

Anleitung zu Abschnitt 8.5.1

Die Vorschriften für die Übermittlung personenbezogener Daten können von Region zu Region unterschiedlich sein, je nachdem, wohin die Daten übertragen werden.

Transferziele können sein:

Lieferanten.
Dritte.
Verschiedene Länder.
Internationale Organisationen.

Organisationen sollten den Kunden über etwaige Übertragungen rechtzeitig informieren, damit Einwände erhoben und unter bestimmten Umständen Kündigungswünsche gestellt werden können.

Unternehmen müssen ihre Kunden nicht immer über Änderungen ihrer Datenübertragungsvereinbarungen informieren, aber Verträge sollten klar darlegen, unter welchen Umständen sie eine Vorwarnung anbieten müssen.

Bei der Übertragung personenbezogener Daten in ein anderes Land sollten Organisationen offizielle Mechanismen in Betracht ziehen, wie zum Beispiel:

Mustervertragsklauseln.
Verbindliche Unternehmensregeln.
Grenzüberschreitende Datenschutzbestimmungen.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

ISO 27701 Abschnitt 8.5.2 – Länder und internationale Organisationen, an die PII übertragen werden können

Zweck von Abschnitt 8.5.2

Organisationen sollten eine genaue und aktuelle Liste aller Länder oder Organisationen führen, in die personenbezogene Daten möglicherweise übertragen werden.

Anleitung zu Abschnitt 8.5.2

Kunden sollten jederzeit die Möglichkeit haben, eine Liste potenzieller Empfängerländer und -organisationen einzusehen, einschließlich eines Protokolls aller Länder, die an der Vergabe von PII-Unteraufträgen beteiligt sind (siehe ISO 27701 Abschnitt 8.5.1).

Unter bestimmten Umständen können Organisationen nicht immer im Voraus offenlegen, woher Transferanträge stammen – insbesondere bei Strafverfahren. Dies ist unvermeidbar und es sollte die Priorität der Organisation sein, die Integrität einer Strafverfolgungsmaßnahme aufrechtzuerhalten (siehe ISO 27701, Abschnitte 7.5.1, 8.5.4 und 8.5.5).

Relevante ISO 27701-Klauseln

ISO 27701 7.5.1
ISO 27701 8.5.1
ISO 27701 8.5.4
ISO 27701 8.5.5

ISO 27701 Abschnitt 8.5.3 – Aufzeichnungen über die Offenlegung personenbezogener Daten gegenüber Dritten

Zweck von Abschnitt 8.5.3

Organisationen sollten alle Fälle, in denen sie personenbezogene Daten an Dritte weitergeben müssen, sorgfältig protokollieren.

Anleitung zu Abschnitt 8.5.3

Wann immer personenbezogene Daten offengelegt werden – sei es im Rahmen von Standardgeschäftsabläufen oder unter besonderen Umständen, wie z. B. einem laufenden rechtlichen oder behördlichen Verfahren – sollten Organisationen aufzeichnen, was offengelegt wurde, den Empfänger und den zugrunde liegenden Grund dafür.

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

ISO 27701 Abschnitt 8.5.4 – Benachrichtigung über PII-Offenlegungsanfragen

Zweck von Abschnitt 8.5.4

Wenn eine rechtsverbindliche Anfrage an die Organisation gestellt wird, personenbezogene Daten offenzulegen, sofern dies zulässig ist, sollte die Organisation den PII-Auftraggeber über die Anfrage informieren.

Anleitung zu Abschnitt 8.5.4

Organisationen sollten ein Verfahren entwerfen, das regelt, wie PII-Auftraggeber über rechtsverbindliche Informationsanfragen Dritter informiert werden, einschließlich eines angemessenen Zeitrahmens und einer vertraglichen Vereinbarung, die den gesamten Prozess umreißt.

Organisationen müssen es vor allem tun den Aufforderungen der Strafverfolgungsbehörden nachzukommen, die das Recht haben, zu verlangen, dass der Kunde nicht über eine Anfrage informiert wird, und sicherzustellen, dass sie nicht gegen Gesetze verstoßen, indem sie den Kunden versehentlich oder vorsätzlich über die Situation informieren.

ISO 27701 Klausel 8.5.5 – Rechtsverbindliche PII-Offenlegungen

Zweck von Abschnitt 8.5.5

Organisationen sollten umgehend Widerspruch gegen jede Anfrage zur Offenlegung personenbezogener Daten einlegen, die gegen geltende Datenschutzgesetze verstößt oder in irgendeiner Weise nicht rechtsverbindlich ist.

PII-Verantwortliche sollten konsultiert werden, bevor die Organisation PII-bezogene Informationen offenlegt, und Organisationen sollten sich an Vertragsbedingungen halten, die darlegen, welche Offenlegungen aus Sicht des Kunden zulässig sind.

Anleitung zu Abschnitt 8.5.5

In Verträgen muss klar dargelegt werden, was sie als rechtmäßigen Antrag betrachten, zusätzlich zu allen, die vom Kunden genehmigt wurden, einschließlich solcher, die von Folgendem stammen:

Gerichte.
Arbeitsgerichte.
Arbeitskämpfe.
Regulierungs-/Verwaltungsbehörden.

ISO 27701 Klausel 8.5.6 – Rechtsverbindliche PII-Offenlegungen

Zweck von Abschnitt 8.5.6

Bevor die Organisation mit Subunternehmern zusammenarbeitet, die personenbezogene Daten verarbeiten müssen, sollte sie zunächst die Einzelheiten der Beziehung offenlegen, bevor sie dem Subunternehmer die Ausübung seiner Aufgaben gestattet.

Anleitung zu Abschnitt 8.5.6

Alle Bestimmungen für den Einsatz von Subunternehmern sollten als solche im SLA/Kundenvertrag aufgeführt sein.

Informationen zu Subunternehmern sollten Folgendes umfassen:

Der Name des Subunternehmers.
Alle Länder, in die der Subunternehmer Daten übertragen kann (siehe ISO 27701 Abschnitt 8.5.2), damit der Kunde alle PII-Auftraggeber informieren kann.
Wie vom Subunternehmer erwartet wird, dass er die Anforderungen der Organisation erfüllt (siehe ISO 27701 Abschnitt 8.5.7).

NDAs sollten so gestaltet werden, dass alle Informationen offengelegt werden, deren öffentliche Offenlegung ein erhöhtes Sicherheitsrisiko darstellen würde.

Relevante ISO 27701-Klauseln

ISO 27701 8.5.2
ISO 27701 8.5.7

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

ISO 27701 Klausel 8.5.7 – Beauftragung eines Subunternehmers mit der Verarbeitung personenbezogener Daten

Zweck von Abschnitt 8.5.7

Die Vergabe von PII-Verarbeitungsaktivitäten an Subunternehmer ist nur dann akzeptabel, wenn die in einer vertraglichen Vereinbarung enthaltenen Bestimmungen erfüllt sind.

Anleitung zu Abschnitt 8.5.7

Organisationen müssen die schriftliche Genehmigung ihrer Kunden einholen, bevor personenbezogene Daten von einer Drittorganisation verarbeitet werden.

Subunternehmer sollten einer verbindlichen Vereinbarung (normalerweise in Form eines schriftlichen Vertrags) unterliegen, die sicherstellt, dass Subunternehmer ihre Pflichten zur Umsetzung der in ISO 27701 Anhang B aufgeführten Kontrollen verstehen.

Verträge sollten verschiedene Risikobewertungsprozesse (siehe ISO 27701 Abschnitt 5.4.1.2) und den gesamten Umfang des PII-Verarbeitungsvorgangs der Organisation (siehe ISO 27701 Abschnitt 6.12) berücksichtigen. Wie oben sollten alle in Anhang B aufgeführten Kontrollen eingehalten werden, wobei etwaige Auslassungen zusammen mit den Begründungen dafür aufgeführt werden sollten.

Relevante ISO 27701-Klauseln

ISO 27701 5.4.1.2
ISO 27701 6.12

ISO 27701 Abschnitt 8.5.8 – Wechsel des Subunternehmers zur Verarbeitung personenbezogener Daten

Zweck von Abschnitt 8.5.8

Wenn die Notwendigkeit besteht, die Art und Weise zu ändern, in der die Organisation Elemente ihrer PII-Verarbeitung auslagert, sollten Kunden rechtzeitig über die Änderungen informiert werden, um ihnen Zeit zu geben, diese Änderungen in Frage zu stellen oder Einwände dagegen zu erheben.

Anleitung zu Abschnitt 8.5.8

Verträge sollten Klauseln enthalten, die eine schriftliche Genehmigung des Kunden zur Durchführung der Änderung vorsehen, bevor personenbezogene Daten verarbeitet werden.

Organisationen können die Genehmigung für Änderungen auch im Rahmen schriftlicher Ad-hoc-Vereinbarungen außerhalb etwaiger Vertragsbedingungen einholen.

Unterstützende DSGVO-Artikel

Verschiedene Elemente von ISO 27701 Abschnitt 8.5 sind im Vereinigten Königreich anwendbar Datenschutz Gesetzgebung. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.

ISO 27701-Klauselkennung	Name der ISO 27701-Klausel	Zugehörige DSGVO-Artikel
8.5.1	Grundlage für die PII-Übertragung zwischen Gerichtsbarkeiten	Beiträge (44), (46)(48) (49)
8.5.2	Länder und internationale Organisationen, an die PII übertragen werden können	Artikel (30)
8.5.3	Aufzeichnungen über die Offenlegung personenbezogener Daten an Dritte	Artikel (30)
8.5.4	Benachrichtigung über PII-Offenlegungsanfragen	Artikel (28)
8.5.5	Rechtsverbindliche PII-Offenlegungen	Artikel (48)
8.5.6	Offenlegung von Subunternehmern, die zur Verarbeitung personenbezogener Daten eingesetzt werden	Artikel (28)
8.5.7	Beauftragung eines Subunternehmers mit der Verarbeitung personenbezogener Daten	Artikel (28)
8.5.8	Wechsel des Subunternehmers zur Verarbeitung personenbezogener Daten	Artikel (28)

Wie ISMS.online hilft

Bei ISMS.online erleichtern wir Ihrer Organisation die Dokumentation Ihres Datenschutz-Informationsmanagementsystems. Wir stellen Ihnen eine logische, benutzerfreundliche, cloudbasierte Informationsmanagement-Schnittstelle zur Verfügung, die Ihrem Unternehmen dabei hilft, seine Datenschutzprozesse zu überprüfen und Fortschritte im Hinblick auf den ISO 27701/PIMS-Standard zu erzielen.

Unsere cloudbasierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre PIMS-Ressourcen an einem Ort.

Mit unserer benutzerfreundlichen Plattform können Sie alles dokumentieren, was Sie benötigen, um nachzuweisen, dass Sie die Anforderungen von ISO 27701 erfüllen. Unsere Assured Results Method (ARM) entmystifiziert die Anforderungen von ISO 27701 und gibt Ihnen Sicherheit auf Ihrem Weg zur Erreichung Zertifizierung.

Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27701-Zertifizierung zu unterstützen.

Erfahren Sie mehr von eine Demo buchen.

Mike Jennings

Mike ist der Manager des Integrierten Managementsystems (IMS) hier bei ISMS.online. Zusätzlich zu seiner täglichen Verantwortung, dafür zu sorgen, dass das IMS-Sicherheitsvorfallsmanagement, Bedrohungsinformationen, Korrekturmaßnahmen, Risikobewertungen und Audits effektiv verwaltet und auf dem neuesten Stand gehalten werden, ist Mike ein zertifizierter leitender Auditor für ISO 27001 und ist dies auch weiterhin Er vertieft seine weiteren Fähigkeiten in den Bereichen Informationssicherheit und Datenschutzmanagement-Standards und -Frameworks, darunter Cyber Essentials, ISO 27001 und viele mehr.

ISO 27701-Klauseln

Wir sind führend auf unserem Gebiet