Nach erfolgreichem Abschluss einiger Verfahren zur Genehmigung von Binding Corporate Rules (BCR) hat das Bayerische Landesamt für Datenschutz nun im Rahmen des Jahresberichts für das Jahr 2013/14 einige Erfahrungen veröffentlicht, die es im Rahmen der Verfahren machen konnte. An dieser Stelle möchten wir Ihnen daher kurz darstellen, zu welchen Problemen es in diesen BCR-Verfahren gekommen ist und wie diese vermieden werden können.
Update BCR unter DSGVO
Auch unter der Datenschutz-Grundverordnung (DSGVO) bleibt das Instrument der „verbindlichen internen Datenschutzvorschriften“ erhalten. Sie sind künftig sogar EU-weit ausführlich in Art. 47 DSGVO geregelt. Dort ist auch das Verfahren im Detail beschrieben. An der Wirkung ändert sich nichts. BCR dienen als taugliche „Datenschutzgarantie“ für Datentransfers innerhalb einer Unternehmensgruppe auch außerhalb von EU bzw. EWR. Weder ersetzten sie eine Rechtsgrundlage, noch machen sie einen Vertrag zur Auftragsverarbeitung überflüssig. Ebenso wenig sind sie anwendbar, wenn die Unternehmensgruppe verlassen wird; etwa durch den Einsatz von (Sub-)Dienstleistern.
Bitte beachten Sie, dass dieser Artikel noch unter der alten Rechtslage des BDSG verfasst wurde. Hier finden Sie Grundlegendes zu BCR unter der DSGVO.
Definition des Anwendungsbereichs der BCR
Grundsätzlich ist das Ziel der meisten Konzerne, die Binding Corporate Rules etablieren möchten, einen einheitlichen Datenschutz-Standard im gesamten Konzern zu gewährleisten und diesen auch nach außen zu tragen. Jedoch zeigt sich häufig, dass Unternehmen außerhalb Europas nicht bereit sind, sich denselben strengen und umfangreichen Vorschriften über den Umgang mit Daten zu unterwerfen, wie es das europäische Datenschutzrecht vorschreibt.
Dies ist jedoch auch nicht zwingend notwendig. Denn der Schutz von personenbezogenen Daten aus Drittstaaten, deren Verarbeitung nicht innerhalb der EU erfolgt, fällt nicht in den Anwendungsbereich des europäischen Datenschutzrechts. Die Rechtmäßigkeit von deren Verarbeitung beurteilt sich daher nicht nach den europäischen Grundsätzen. Personenbezogene Daten ohne europäischen Bezug müssen also nicht zwangsläufig mit demselben Schutzstandard behandelt werden die solche mit europäischem Bezug.
Das „angemessene Schutzniveau“, also der Schutzstandard des europäischen Datenschutzrechts, ist also nur für solche Daten verbindlich, die auch in irgendeiner Form einen europäischen Bezug aufweisen, sei es durch die Herkunft oder den Ort der Erhebung, Verarbeitung oder Nutzung. Eine für alle konzernangehörigen Unternehmen umsetzbare und zufriedenstellende Lösung kann also auch darin bestehen, den Anwendungsbereich der Richtlinien dementsprechend zu begrenzen. So ist es beispielsweise möglich, verbindliche Regelungen nur für Datenverarbeitungen im europäischen Raum oder für Daten aus dem europäischen Raum festzulegen. Hier eine trennscharfe und praxistaugliche Abgrenzung zu finden, ist jedoch meist leichter gesagt als getan.
Festsetzung der konzernweiten Verbindlichkeit von BCR
Darüber hinaus müssen Binding Corporate Rules festlegen, auf welche Art und Weise die Einhaltung der enthaltenen Regelungen gewährleistet ist. Denn auf der einen Seite müssen die Richtlinien intern für alle zugehörigen Unternehmen und Mitarbeiter verbindlich sein. Auf der anderen Seite muss auch die Durchsetzbarkeit drittbegünstigender Regelungen durch Außenstehende, beispielsweise die Betroffenen, gegeben sein. Solche drittbegünstigenden Rechte sind u. a. das Recht auf Auskunft oder Löschung von Daten oder auch Schadensersatzansprüche.
Da sich die rechtlichen Rahmenbedingungen in den einzelnen Staaten teilweise sehr unterscheiden, ist es nicht einfach, hier eine passende Lösung zu finden. Einseitige Erklärungen sind beispielsweise nicht in allen Staaten rechtlich bindend und von außen durchsetzbar. Reguläre Verträge gelten wiederum im Regelfall nur „inter partes“, also ausschließlich zwischen den Vertragsparteien, so dass sich Dritte nicht auf mögliche Vertragsverstöße berufen können.
Daher gilt es, hier ein geeignetes rechtliches Konstrukt zu schaffen, welches allen Anforderungen genügt. Im Regelfall wird dies in Form von vertraglichen Vereinbarungen zwischen den teilnehmen Unternehmen erfolgen, welche durch schriftliche Festlegung der Drittbegünstigung der enthaltenen Regelungen erweitert werden.
Haftungsregelungen im Rahmen von BCR
Ein weiterer wichtiger Teil sind die Regelungen der Haftung und der Verantwortlichkeiten beim Verstoß gegen drittbegünstigende Klauseln der Richtlinien. Die von der Artikel-29-Gruppe bevorzugte Lösung besteht darin, die Haftung bei einem einzelnen konzernangehörigen Unternehmen, welches seinen Sitz innerhalb des Anwendungsbereichs der europäischen Datenschutzrichtlinie hat, zu konzentrieren. Da dies in der Praxis jedoch häufig auf starken Widerstand stößt, werden inzwischen auch andere Haftungsmodelle akzeptiert, beispielsweise das Modell entsprechend den EU-Standardvertragsklauseln. Der Haftungsumfang muss dabei jedoch stets dem Mindeststandard entsprechen, der auch im europäischen Raum vorherrscht. Zudem muss gewährleistet sein, dass dem Betroffenen der Rechtsweg vor ein europäisches Gericht offen steht.
Auditierung der BCR-Umsetzung
Weitere Probleme tauchen oft auch im Hinblick auf die Auditierung der Einhaltung der Richtlinien auf. Denn Binding Corporate Rules müssen unter anderem Regelungen zur regelmäßigen internen Überprüfung und Hinwirkung auf die Einhaltung der Richtlinien im Alltag enthalten. Zusätzlich werden in gewissen Abständen gesonderte Audits verlangt, die grundlegend die Umsetzung der Richtlinien prüfen und bewerten sollen.
Hier darf es nach Ansicht der Aufsichtsbehörden jedoch nicht zu einer Überschneidung von Zuständigkeiten kommen. Die Personen, die die regelmäßige interne Überprüfung durchführen, dürfen nicht zugleich für das gesonderte Audit zuständig sein. Dies ist durchaus nachvollziehbar, da eine Personenidentität der vorbereitenden und der überprüfenden Stelle keine objektiven Ergebnisse ermöglichen würde.
Weitere Genehmigungen
Viele Konzerne sind der Meinung, dass nach erfolgreichem Abschluss des Genehmigungsverfahrens sämtliche Hürden für den Datenaustausch genommen sind. Dies ist jedoch nicht immer der Fall. Denn einige Aufsichtsbehörden verlangen neben dem Anerkennungsverfahren der Richtlinien noch eine gesonderte Datenexportgenehmigung nach § 4c Abs. 2 Satz 1 BDSG. Eine solche Genehmigung muss das datenexportierende Unternehmen bei der jeweils zuständigen Aufsichtsbehörde beantragen. Im Regelfall wird eine solche Genehmigung auch erteilt werden, jedoch stellt sie eine zusätzliche formale Voraussetzung an den Datenexport dar.
Interessanter Weise gibt es bei dem Erfordernis einer solchen Genehmigung auch innerhalb Deutschlands regionale Unterschiede. Wird in Bayern beispielsweise eine solche nicht verlangt, so muss diese in Berlin oder Nordrhein-Westfalen stets vorhanden sein. Grund für diese unterschiedliche Behandlung sind dogmatische Streitigkeiten über die rechtliche Einstufung von Binding Corporate Rules (entweder nach § 4b Abs. 2 BDSG ohne Genehmigungserfordernis oder aber nach § 4c Abs. 2 BDSG mit Genehmigungserfordernis). Hier finden Sie eine Auflistung aller Aufsichtsbehörden, die eine zusätzliche Datenexportgenehmigung verlangen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!