ISO 27701, Abschnitt 8.5 – Weitergabe, Übertragung und Offenlegung personenbezogener Daten

ISO 27701-Kontrollen und -Klauseln erklärt

Live-Demo buchen

Geschäft, Frau, arbeitend, und, Tippen, auf, Laptop, Computer, auf, die

ISO 27701 Abschnitt 8.5 beschreibt die Ziele einer Organisation, wenn personenbezogene Daten an andere Länder, Organisationen und Subunternehmer übertragen oder diesen offengelegt werden sollen.

ISO 27701 Klausel 8.5.1 – Weitergabe, Übertragung und Offenlegung personenbezogener Daten

Zweck von Abschnitt 8.5.1

Wann immer PII zwischen Gerichtsbarkeiten übertragen werden sollen, müssen Organisationen den Kunden rechtzeitig über die zugrunde liegende Notwendigkeit informieren.

Anleitung zu Abschnitt 8.5.1

Die Vorschriften für die Übermittlung personenbezogener Daten können von Region zu Region unterschiedlich sein, je nachdem, wohin die Daten übertragen werden.

Transferziele können sein:

  • Lieferanten.
  • Dritte.
  • Verschiedene Länder.
  • Internationale Organisationen.

Organisationen sollten den Kunden über etwaige Übertragungen rechtzeitig informieren, damit Einwände erhoben und unter bestimmten Umständen Kündigungswünsche gestellt werden können.

Unternehmen müssen ihre Kunden nicht immer über Änderungen ihrer Datenübertragungsvereinbarungen informieren, aber Verträge sollten klar darlegen, unter welchen Umständen sie eine Vorwarnung anbieten müssen.

Bei der Übertragung personenbezogener Daten in ein anderes Land sollten Organisationen offizielle Mechanismen in Betracht ziehen, wie zum Beispiel:

  1. Mustervertragsklauseln.
  2. Verbindliche Unternehmensregeln.
  3. Grenzüberschreitende Datenschutzbestimmungen.
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISO 27701 Abschnitt 8.5.2 – Länder und internationale Organisationen, an die PII übertragen werden können

Zweck von Abschnitt 8.5.2

Organisationen sollten eine genaue und aktuelle Liste aller Länder oder Organisationen führen, in die personenbezogene Daten möglicherweise übertragen werden.

Anleitung zu Abschnitt 8.5.2

Kunden sollten jederzeit die Möglichkeit haben, eine Liste potenzieller Empfängerländer und -organisationen einzusehen, einschließlich eines Protokolls aller Länder, die an der Vergabe von PII-Unteraufträgen beteiligt sind (siehe ISO 27701 Abschnitt 8.5.1).

Unter bestimmten Umständen können Organisationen nicht immer im Voraus offenlegen, woher Transferanträge stammen – insbesondere bei Strafverfahren. Dies ist unvermeidbar und es sollte die Priorität der Organisation sein, die Integrität einer Strafverfolgungsmaßnahme aufrechtzuerhalten (siehe ISO 27701, Abschnitte 7.5.1, 8.5.4 und 8.5.5).

Relevante ISO 27701-Klauseln

  • ISO 27701 7.5.1
  • ISO 27701 8.5.1
  • ISO 27701 8.5.4
  • ISO 27701 8.5.5

ISO 27701 Abschnitt 8.5.3 – Aufzeichnungen über die Offenlegung personenbezogener Daten gegenüber Dritten

Zweck von Abschnitt 8.5.3

Organisationen sollten alle Fälle, in denen sie personenbezogene Daten an Dritte weitergeben müssen, sorgfältig protokollieren.

Anleitung zu Abschnitt 8.5.3

Wann immer personenbezogene Daten offengelegt werden – sei es im Rahmen von Standardgeschäftsabläufen oder unter besonderen Umständen, wie z. B. einem laufenden rechtlichen oder behördlichen Verfahren – sollten Organisationen aufzeichnen, was offengelegt wurde, den Empfänger und den zugrunde liegenden Grund dafür.

ISO 27701 Abschnitt 8.5.4 – Benachrichtigung über PII-Offenlegungsanfragen

Zweck von Abschnitt 8.5.4

Wenn eine rechtsverbindliche Anfrage an die Organisation gestellt wird, personenbezogene Daten offenzulegen, sofern dies zulässig ist, sollte die Organisation den PII-Auftraggeber über die Anfrage informieren.

Anleitung zu Abschnitt 8.5.4

Organisationen sollten ein Verfahren entwerfen, das regelt, wie PII-Auftraggeber über rechtsverbindliche Informationsanfragen Dritter informiert werden, einschließlich eines angemessenen Zeitrahmens und einer vertraglichen Vereinbarung, die den gesamten Prozess umreißt.

Organisationen müssen es vor allem tun den Aufforderungen der Strafverfolgungsbehörden nachzukommen, die das Recht haben, zu verlangen, dass der Kunde nicht über eine Anfrage informiert wird, und sicherzustellen, dass sie nicht gegen Gesetze verstoßen, indem sie den Kunden versehentlich oder vorsätzlich über die Situation informieren.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISO 27701 Klausel 8.5.5 – Rechtsverbindliche PII-Offenlegungen

Zweck von Abschnitt 8.5.5

Organisationen sollten umgehend Widerspruch gegen jede Anfrage zur Offenlegung personenbezogener Daten einlegen, die gegen geltende Datenschutzgesetze verstößt oder in irgendeiner Weise nicht rechtsverbindlich ist.

PII-Verantwortliche sollten konsultiert werden, bevor die Organisation PII-bezogene Informationen offenlegt, und Organisationen sollten sich an Vertragsbedingungen halten, die darlegen, welche Offenlegungen aus Sicht des Kunden zulässig sind.

Anleitung zu Abschnitt 8.5.5

In Verträgen muss klar dargelegt werden, was sie als rechtmäßigen Antrag betrachten, zusätzlich zu allen, die vom Kunden genehmigt wurden, einschließlich solcher, die von Folgendem stammen:

  • Gerichte.
  • Arbeitsgerichte.
  • Arbeitskämpfe.
  • Regulierungs-/Verwaltungsbehörden.

ISO 27701 Klausel 8.5.6 – Rechtsverbindliche PII-Offenlegungen

Zweck von Abschnitt 8.5.6

Bevor die Organisation mit Subunternehmern zusammenarbeitet, die personenbezogene Daten verarbeiten müssen, sollte sie zunächst die Einzelheiten der Beziehung offenlegen, bevor sie dem Subunternehmer die Ausübung seiner Aufgaben gestattet.

Anleitung zu Abschnitt 8.5.6

Alle Bestimmungen für den Einsatz von Subunternehmern sollten als solche im SLA/Kundenvertrag aufgeführt sein.

Informationen zu Subunternehmern sollten Folgendes umfassen:

  1. Der Name des Subunternehmers.
  2. Alle Länder, in die der Subunternehmer Daten übertragen kann (siehe ISO 27701 Abschnitt 8.5.2), damit der Kunde alle PII-Auftraggeber informieren kann.
  3. Wie vom Subunternehmer erwartet wird, dass er die Anforderungen der Organisation erfüllt (siehe ISO 27701 Abschnitt 8.5.7).

NDAs sollten so gestaltet werden, dass alle Informationen offengelegt werden, deren öffentliche Offenlegung ein erhöhtes Sicherheitsrisiko darstellen würde.

Relevante ISO 27701-Klauseln

  • ISO 27701 8.5.2
  • ISO 27701 8.5.7

ISO 27701 Klausel 8.5.7 – Beauftragung eines Subunternehmers mit der Verarbeitung personenbezogener Daten

Zweck von Abschnitt 8.5.7

Die Vergabe von PII-Verarbeitungsaktivitäten an Subunternehmer ist nur dann akzeptabel, wenn die in einer vertraglichen Vereinbarung enthaltenen Bestimmungen erfüllt sind.

Anleitung zu Abschnitt 8.5.7

Organisationen müssen die schriftliche Genehmigung ihrer Kunden einholen, bevor personenbezogene Daten von einer Drittorganisation verarbeitet werden.

Subunternehmer sollten einer verbindlichen Vereinbarung (normalerweise in Form eines schriftlichen Vertrags) unterliegen, die sicherstellt, dass Subunternehmer ihre Pflichten zur Umsetzung der in ISO 27701 Anhang B aufgeführten Kontrollen verstehen.

Verträge sollten verschiedene Risikobewertungsprozesse (siehe ISO 27701 Abschnitt 5.4.1.2) und den gesamten Umfang des PII-Verarbeitungsvorgangs der Organisation (siehe ISO 27701 Abschnitt 6.12) berücksichtigen. Wie oben sollten alle in Anhang B aufgeführten Kontrollen eingehalten werden, wobei etwaige Auslassungen zusammen mit den Begründungen dafür aufgeführt werden sollten.

Relevante ISO 27701-Klauseln

  • ISO 27701 5.4.1.2
  • ISO 27701 6.12

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Vivian Kroner
Leitender Implementierer von ISO 27001, 27701 und DSGVO Aperian Global
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

ISO 27701 Abschnitt 8.5.8 – Wechsel des Subunternehmers zur Verarbeitung personenbezogener Daten

Zweck von Abschnitt 8.5.8

Wenn die Notwendigkeit besteht, die Art und Weise zu ändern, in der die Organisation Elemente ihrer PII-Verarbeitung auslagert, sollten Kunden rechtzeitig über die Änderungen informiert werden, um ihnen Zeit zu geben, diese Änderungen in Frage zu stellen oder Einwände dagegen zu erheben.

Anleitung zu Abschnitt 8.5.8

Verträge sollten Klauseln enthalten, die eine schriftliche Genehmigung des Kunden zur Durchführung der Änderung vorsehen, bevor personenbezogene Daten verarbeitet werden.

Organisationen können die Genehmigung für Änderungen auch im Rahmen schriftlicher Ad-hoc-Vereinbarungen außerhalb etwaiger Vertragsbedingungen einholen.

Unterstützende DSGVO-Artikel

Verschiedene Elemente von ISO 27701 Abschnitt 8.5 sind im Vereinigten Königreich anwendbar DSGVO Gesetzgebung. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.

ISO 27701-KlauselkennungName der ISO 27701-KlauselZugehörige DSGVO-Artikel
8.5.1Grundlage für die PII-Übertragung zwischen GerichtsbarkeitenBeiträge (44), (46)(48) (49)
8.5.2Länder und internationale Organisationen, an die PII übertragen werden könnenArtikel (30)
8.5.3Aufzeichnungen über die Offenlegung personenbezogener Daten an DritteArtikel (30)
8.5.4Benachrichtigung über PII-OffenlegungsanfragenArtikel (28)
8.5.5Rechtsverbindliche PII-OffenlegungenArtikel (48)
8.5.6Offenlegung von Subunternehmern, die zur Verarbeitung personenbezogener Daten eingesetzt werdenArtikel (28)
8.5.7Beauftragung eines Subunternehmers mit der Verarbeitung personenbezogener DatenArtikel (28)
8.5.8Wechsel des Subunternehmers zur Verarbeitung personenbezogener DatenArtikel (28)

Wie ISMS.online hilft

Bei ISMS.online erleichtern wir Ihrer Organisation die Dokumentation Ihres Datenschutz-Informationsmanagementsystems. Wir stellen Ihnen eine logische, benutzerfreundliche, cloudbasierte Informationsmanagement-Schnittstelle zur Verfügung, die Ihrem Unternehmen dabei hilft, seine Datenschutzprozesse zu überprüfen und Fortschritte im Hinblick auf den ISO 27701/PIMS-Standard zu erzielen.

Unsere cloudbasierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre PIMS-Ressourcen an einem Ort.

Mit unserer benutzerfreundlichen Plattform können Sie alles dokumentieren, was Sie benötigen, um nachzuweisen, dass Sie die Anforderungen von ISO 27701 erfüllen. Unsere Assured Results Method (ARM) entmystifiziert die Anforderungen von ISO 27701 und gibt Ihnen Sicherheit auf Ihrem Weg zur Erreichung Zertifizierung.

Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27701-Zertifizierung zu unterstützen.

Erfahren Sie mehr von eine Demo buchen.

Sehen Sie, wie wir Ihnen helfen können

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Unsicher, ob Sie bauen oder kaufen sollen?

Entdecken Sie den besten Weg zum ISMS-Erfolg

Holen Sie sich Ihren kostenlosen Ratgeber

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.