Binding Corporate Rules (BCR)
Verbindliche interne Datenschutzvorschriften
Im Tagesgeschäft von international agierenden Konzernen werden häufig personenbezogene Daten über Staatsgrenzen hinaus von einem Unternehmen zum anderen übertragen. Das europäische Datenschutzrecht stellt aber die Anforderung, dass durch die Datenübertragung in ein Drittland außerhalb des Europäischen Wirtschaftsraums das durch die Datenschutz-Grundverordnung (DS-GVO) gewährleistete Schutzniveau nicht untergraben wird.
Für die meisten Drittländer liegt kein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in ein Drittland vor. Somit dürfen Verantwortliche oder Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern diese hierfür geeignete Garantien vorgesehen haben, Art. 46 Abs. 1 DS-GVO. Als eine solche geeignete Garantie sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO nunmehr ausdrücklich verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, kurz: BCR) vor. BCR sind interne Unternehmensregeln, welche die Handhabung des Datenschutzes in der Unternehmensgruppe verbindlich festlegen.
Die Möglichkeit zur Nutzung von BCR ist lediglich Unternehmensgruppen oder einer Gruppe von Unternehmen, Art. 47 Abs. 1 lit. a) DS-GVO vorbehalten. Des Weiteren sind durch die BCR nur Datenübermittlungen zwischen gruppenangehörigen Unternehmen abgedeckt, nicht hingegen solche an gruppenfremde Dienstleister.
Es wird unterschieden zwischen „BCR für Verantwortliche“, die Datentransfers durch Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO (an gruppenangehörige Verantwortliche oder Auftragsverarbeiter, häufig abgekürzt als „BCR-C“) regeln, und „BCR für Auftragsverarbeiter“, die Datenflüsse innerhalb von Unternehmensgruppen abdecken („BCR-P“), deren sämtliche Gruppenmitglieder als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO für konzernfremde Auftraggeber agieren.
Die BCR stehen unter dem Vorbehalt der Genehmigung durch die jeweils zuständige Aufsichtsbehörde. Die Genehmigung ist durch das Kohärenzverfahren nach Art. 63 DS-GVO herbeizuführen, sofern auf der Basis der BCR Datentransfers aus mehr als nur einem Mitgliedstaat vorgesehen sind. Sofern eine BCR nur Datentransfers aus einem einzigen Mitgliedstaat abdecken soll, und auch keine erheblichen Auswirkungen auf Betroffene in anderen Mitgliedstaaten haben kann, ist ein Kohärenzverfahren nicht notwendig. Das Genehmigungsverfahren wird dann allein von der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde durchgeführt. Für die einzelnen auf die genehmigten BCR gestützten Übermittlungen oder Übermittlungsarten sind keine weiteren behördlichen Genehmigungen notwendig.
Inhaltliche Anforderungen an BCR
Die inhaltlichen Anforderungen an BCR ergeben sich aus Art. 47 DS-GVO. Die BCR müssen daher u.a. rechtlich bindend sein für alle betreffenden Mitglieder der Unternehmensgruppe und den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen. Außerdem müssen sie weitere in Art. 47 Abs. 2 DS-GVO festgelegte Anforderungen erfüllen.
Folgende durch die ehemalige Artikel-29-Datenschutzgruppe erstellte und vom Europäischen Datenschutzausschuss übernommene Arbeitspapiere können weiterhin genutzt werden:
Im Februar 2018 wurden Übersichten über die Bestandteile und Grundsätze von BCR sowohl für Verantwortliche (WP 256 rev.01) als auch für Auftragsverarbeiter (WP 257 rev.01) aktualisiert, um die Anforderungen in Bezug auf BCR, die durch die DS-GVO festgelegt wurden, zu verdeutlichen.
Im April 2018 hat die Artikel-29-Datenschutzgruppe Empfehlungen zum Standardformular für einen Antrag auf Genehmigung von BCR sowohl für Verantwortliche (WP 264) als auch für Auftragsverarbeiter (WP 265) veröffentlicht.