Matthias Weber
Datenschutzbeauftragter
Bei Binding Corporate Rules (BCR) handelt es sich um bindende interne Richtlinien für Unternehmen die das Ziel haben ein einheitliches Datenschutz-Niveau in Konzernen zu gewährleisten. Dies soll einen sicheren Datentransfer in Drittländer ermöglichen, die nicht den strengen Sicherheitsauflagen Europas nach der DSGVO unterliegen.
Die BCR haben natürlich auch Vorteile für Unternehmen und nicht nur Verpflichtungen. Die Einführung von BCR ermöglicht es, diesen internationalen Konzernen, Vereinigungen und Organisationen möglich personenbezogene Daten auch in Drittländer zu übertragen, die ein nicht ausreichendes Datenschutz-Niveau haben.
Obwohl die Integration von BCR ein zeit- und kostenaufwendiges Verfahren darstellt, kann es für Unternehmen aber durchaus als geeignetes Mittel für einheitliche Sicherheitsstandards fungieren. Die beinhalteten Klauseln können sehr viel individueller in die Konzernstruktur eingefügt werden als Standardklauseln. Dies ermöglicht ein auf das Unternehmen abgestimmtes Konzept.
Ein entsprechend konzernweites Datenschutz-Niveau ist auch als Aushängeschild zu benutzen. Sowohl Mitarbeiter, Kunden und Lieferanten wissen dadurch, dass das Unternehmen sich dafür stark macht, dass ihren personenbezogenen Daten weltweit mit konstant hohen Sicherheitsstandards bearbeitet werden.
Zudem bilden BCR eine Ergänzung zu Safe Harbor und dem EU-US Privacy Shield. Obwohl der EUGH am 06. Oktober 2015 entschieden hat, dass das Safe Harbor Abkommen mit den USA ungültig ist, übertrugen viele internationale Unternehmen unrechtmäßig immer noch Daten in die USA. Am 2. Februar 2016 trat jedoch der EU-US Privacy Shield in Kraft und seitdem folgten weitere Angemessenheitsbeschlüsse mit Ländern wie Israel, Japan und Neuseeland.
In Artikel 63 DSGVO wird das Kohärenzverfahren, welches alle Mitgliedsstaaten dazu verpflichtet die BCR anzuerkennen, geregelt.
Es stellt also ein bindendes Konzept dar, welches dann zum Einsatz kommt, wenn der Datentransfer über die Grenzen des Europäischen Wirtschaftsraums (EWR) hinaus gehen soll. Dadurch können Unstimmigkeiten oder Differenzen zwischen Aufsichtsbehörden unterbunden werden, was zur Vereinheitlichung des Europäischen Datenschutz-Standards beiträgt.
Dies wiederum hat zur Folge, dass die Möglichkeiten des datenschutzrechtlichen Forum Shoppings in EWR nicht mehr gegeben sein werden.
Als Beispiel wäre hier Amazon anzuführen, die sich im Abhörskandal um ihr Produkt Alexa darauf beriefen, dass die diesbezüglichen Gesetze aufgrund ihres Sitzes in Irland für sie nicht greifen.
Erwägungsgrund 135 DSGVO ist zu entnehmen, dass das Verfahren eine vereinheitlichte Benutzung der Verordnung in der EU gewährleisten soll; das Kohärenzverfahren bildet demnach eine konforme Rechtsanwendung. Als u. a. angeführte Begründung ist die verbesserte Zusammenarbeit unter den Aufsichtsbehörden aufzuzählen, wie auch eine schnellere Genehmigung von BCR.
Abs. 1 von Artikel 47 DSGVO fasst die Anforderungen zusammen, die Vorrausetzung sind. Dazu gehören z.B.:
Die zusätzlich vorgegebenen Inhalte der BCR sind in Artikel 47 Abs. 2 DSGVO beschrieben.
Im Großen und Ganzen geht es im oben genannten Artikel um die Ausarbeitung und Abwicklung des vorangehenden Standards aus Artikel 26 Abs. 2 DS-RL. Er wurde unter Zuhilfenahme von passenden BCR Working Papers ausgearbeitet.
Obwohl die Binding Corporate Rules individuelle Unternehmensrichtlinien sind, müssen diese auch vorgegebene Inhalte aufweisen, um von den Aufsichtsbehörden genehmigt zu werden. In Artikel 47 Abs. DSGVO wird genau und ausführlich definiert, welche Kerninhalte BCR zu enthalten haben:
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!