Binding Corporate Rules und die DSGVO

Viele Unternehmensgruppen oder Konzerne verfügen über Standorte auch außerhalb Europas. Oft sehen sich selbige als rechtliche Einheit und vergessen, dass das Datenschutzrecht bisher und auch unter der EU-Datenschutz-Grundverordnung (DSGVO) kein Konzernprivileg kennt. Der Datentransfer ist auch innerhalb eines Konzerns oder einer Unternehmensgruppe genauso zu behandeln, wie ein Transfer zwischen fremden Unternehmen. Es muss eine Rechtsgrundlage für die Verarbeitung gegeben sein, ggf. müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt werden und die Empfängerstelle muss ein angemessenes Datenschutzniveau gewährleisten bzw. Datenschutzgarantien bieten. Für letzteres bieten sich sogenannte Binding Corporate Rules (BCR) an.

Was sind Binding Corporate Rules?

Binding Corporate Rules, zu Deutsch verbindliche Unternehmensrichtlinien, sind konzernweit gültige und verbindliche Vorgaben zur Regelung von Datenflüssen. Durch sie wird in der gesamten Unternehmensgruppe ein einheitliches Datenschutzsystem errichtet und ein gemeinsamer Datenschutzstandard aufgebaut.

Durch aufsichtsbehördliche Genehmigung erlangen diese Regelungen den Status einer Datenschutzgarantie. Unter der Datenschutz-Grundverordnung werden diese Garantien EU-weit anerkannt. Bislang akzeptierten nur Belgien, Bulgarien, Deutschland, Estland, Frankreich, Irland, Island, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Österreich, Slowakei, Slowenien, Spanien Tschechien, das Vereinigte Königreich und Zypern das Instrument.

Was beinhalten Binding Corporate Rules?

Verbindliche Unternehmensrichtlinien sind meist sehr umfangreiche Schriftwerke, da sie durch ihre Regelungsinhalte im Wesentlichen das Schutzniveau des europäischen Datenschutzrechts wiedergeben müssen. Schwerpunktmäßig beinhalten derartige Richtlinien Regelungen über Anwendungsbereich, Haftung, Sicherstellung der Verbindlichkeit, Auditierungen, die Zulässigkeit des Umgangs mit personenbezogenen Daten sowie Maßnahmen zum Schutz der Daten.

Konkrete Anforderungen an den Inhalt konnten bislang nur den Working Papers 74, 107, 108, 153, 154 und 155 der Artikel-29-Datenschutzgruppe der europäischen Kommission entnommen werden. Die DSGVO enthält nunmehr selbst eine ausführliche Regelung in Art. 47. Im zweiten Absatz der Vorschrift ist der umfangreiche Anforderungskatalog beschrieben.

Wer ist zuständig für die Genehmigung von Binding Corporate Rules?

Die Genehmigung von BCR erfolgt durch die „federführende“ Aufsichtsbehörde nach Art. 56 DSGVO. Dies wird regelmäßig die Aufsichtsbehörde sein, in deren Zuständigkeitsbereich die Hauptniederlassung des beantragenden Konzerns liegt. Die Behörde muss hierbei das Koheränzverfahren nach Art. 63 DSGVO anwenden. Eine Abstimmung mit anderen Aufsichtsbehörden ist (wie auch bisher) regelmäßig notwendig und eine Stellungnahme des europäischen Datenschutzausschusses ist vor Genehmigung einzuholen

Für wen sind Binding Corporate Rules sinnvoll?

Binding Corporate Rules eignen sich insbesondere dann, wenn die konzernweiten Datenströme nicht lediglich auf eine Muttergesellschaft kanalisiert sind, sondern wenn alle konzernangehörigen Unternehmen untereinander Daten in jede Richtung austauschen. In diesem Fall wäre der Abschluss von EU-Standardvertragsklauseln zu umständlich und würde zu einer unüberschaubaren Vielzahl von Verträgen führen.

Aber auch für Konzerne, die auf einen auditierbaren konzernweiten Standard Wert legen, wie es beispielsweise in der Versicherungsbranche häufig vorkommt, sind Binding Corporate Rules ein sehr interessantes Mittel. Denn nur diese können eine prüfbare und einheitliche Datenschutz-Compliance gewährleisten.

Daneben sind wohl auch der konzernweite Einsatz einer gemeinsamen IT-Lösung oder auch eine konzernweite Bearbeitung von Aufträgen am besten durch den Abschluss verbindlicher Unternehmensrichtlinien zu untermauern.

Was passiert mit bereits vorhandenen BCR?

Art. 46 Abs. 5 DSGVO sieht vor, dass bereits erteilte Genehmigungen gültig bleiben, solange sie die zuständige Aufsichtsbehörde nicht ändert, ersetzt oder aufhebt.

 

Bitte bewerten Sie diese Inhalte!
[4 Bewertung(en)/ratings]

Dieser in Bezug auf die DSGVO aktualisierte Artikel erschien zuerst am 27. April 2015.