05.06.2015
Binding Corporate Rules (BCR) – „Allheilmittel“ für den Datenschutz in multinational agierenden Unternehmen?
Inhalt
Jacqueline Neiazy
Director Datenschutz
Binding Corporate Rules – verbindliche Unternehmensrichtlinien – etablieren sich zunehmend bei multinational agierenden Unternehmen um personenbezogene Daten über Staatsgrenzen hinweg mit anderen Konzerngesellschaften zu transferieren.
Insbesondere der Datenexport in Drittstaaten, also Staaten außerhalb des europäischen Wirtschaftsraumes (EWR), stellt Unternehmen vor Herausforderungen hinsichtlich der Einhaltung strenger innereuropäischer Datenschutzstandards. Bis auf wenige Ausnahmen (bspw. Kanada) werden Drittstaaten bisher nicht als sicher, bezüglich ihres Datenschutzniveaus, durch die EU- Aufsichtsbehörden eingestuft. Hier gewinnen BCR , zur Gewährleistung eines einheitlichen hohen, an die nationalen und europäischen Anforderungen angepassten, Datenschutzniveaus innerhalb der gesamten Konzerngruppe, zunehmend an Bedeutung. Im Gegensatz zu der bisher weit verbreiteten Anwendung von EU-Standartverträgen erweisen sich BCR als wesentlich flexibleres und unter Umständen praktikableres „Sicherungsmittel“ in Fragen des Datenschutzes.
Die Implementierung von BCR im Unternehmen sollte jedoch gründlich überlegt und ebenso gründlich vorbereitet und geplant sein. Es stellt sich die Frage, ob BCR für das jeweilige Unternehmen ein adäquates Mittel darstellen. Hierfür müssen Aufwand und Nutzen der Implementierung verbindlicher Unternehmensrichtlinien gegenübergestellt werden. Es sollten sich dabei die für den Datenschutz im Unternehmen zuständigen Stellen darüber im klaren sein, dass BCR nicht schlichtweg jede Datenerhebung und Übermittlung innerhalb des Geltungsbereiches der BCR legitimieren. Erst auf der sog. „zweiten Stufe“, nämlich bei der Frage nach der Übertragbarkeit von Daten ins Ausland, kommen BCR ins Spiel. Auf der „ersten Stufe“, bei der Zulässigkeit der Datenerhebung als solche, spielen BCR hingegen keine Rolle. So werden beispielsweise im Falle der Auftragsdatenverarbeitung die zu schließenden Verträge mit dem Auftragsdatenverarbeiter nicht obsolet. In Anbetracht der strengen inhaltlichen Anforderungen und des zeitintensiven Genehmigungsverfahrens, kann hier insbesondere den Unternehmen die Implementierung von BCR empfohlen werden, die zum einen ein hohes Aufkommen personenbezogener Daten zu verzeichnen haben und, ihrem Betätigungsfeld nach, diese Daten an eine Vielzahl von Konzerngesellschaften in Drittstaaten exportieren. Dadurch wird der Abschluss unzähliger Einzelverträge für jede Datenübertragung überflüssig und ein einheitliches Datenschutzniveau innerhalb des Konzerns gesichert. Schließlich liegen noch weitere Vorteile von BCR gegenüber den EU- Standartverträgen auf der Hand, die größere Flexibilität bei der Anpassung an die jeweilige Unternehmenskultur, sowie der nicht zu vernachlässigende Marketingeffekt. Das Unternehmen zeigt, dass es dem Datenschutz einen sehr hohen Stellenwert beimisst und sorgt für größtmögliche Transparenz in dieser Hinsicht. Dieser Aspekt dürfte gerade aktuell nicht hoch genug einzuschätzen sein.
Hat sich das Unternehmen schließlich für die Einführung verbindlicher Unternehmensrichtlinien entschieden, ist die Umsetzung der inhaltlichen Voraussetzungen, idealer Weise unter Zuhilfenahme professioneller Beratung, anzugehen. Hierfür wurden durch die Art. 29 – Datenschutzgruppe verschiedene Arbeitspapiere erstellt, welchen die inhaltlichen Anforderungen an BCR entnommen werden können. Zusammengefasst müssen BCR folgende Regelungen enthalten:
- Interne und Externe Verbindlichkeit – innerhalb des Konzerns und gegenüber Dritten
- Regelung zur Umsetzung innerhalb des Konzerns – Schulungen, Audits, Zuständige Mitarbeiter zur Kontrolle der Einhaltung der BCR
- Festlegung des Geltungsbereiches der BCR
- Nachweis über Zusammenarbeit mit den Aufsichtsbehörden
- Zusicherung des Transparenzgebotes
- Verhältnis der BCR zu nationalen Rechtsvorschriften
- Regelung der Betroffenenrechte – Beschwerdeverfahren, Haftung, Gerichtsstand, Drittbegünstigung etc.
Für die Umsetzung der inhaltlichen Anforderungen ist es unerlässlich bereits im Vorfeld ein umfassendes Datenschutzkonzept für das jeweilige Unternehmen zu erstellen. Auf Grundlage dessen ist dann ein Entwurf der BCR zu verfassen und das Genehmigungsverfahren einzuleiten.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Die Voraussetzungen und Abläufe des Genehmigungsverfahrens können ebenso den Arbeitspapieren der Art. 29 – Datenschutzgruppe entnommen werden. Es empfiehlt sich möglichst frühzeitig die zuständige Aufsichtsbehörde zu bestimmen und diese vom Vorhaben der BCR – Implementierung zu informieren. Als „federführende“ Behörde kommt dieser im Genehmigungsverfahren eine zentrale Bedeutung zu. In erster Linie ist für die Entscheidung hinsichtlich der federführenden Behörde das Land des Hauptsitzes des Konzerns ausschlaggebend, es können jedoch auch andere Aspekte ausschlaggebend sein. Da Grundsätzlich alle Aufsichtsbehörden der Länder, aus denen heraus später Daten in Drittstaaten exportiert werden sollen, die BCR genehmigen müssen, wurde zur Beschleunigung und Vereinfachung das Verfahren der gegenseitigen Anerkennung (mutual recognition) eingeführt. Die federführende Behörde leitet, nach eigener Prüfung, den Entwurf der BCR an zwei Co-Prüfer, also zwei weiteren Aufsichtsbehörden, weiter die ebenfalls eigene Prüfungen vornehmen. Werden die BCR durch diese drei Behörden genehmigt, schließen sich alle anderen am Verfahren der gegenseitigen Anerkennung beteiligten Aufsichtsbehörden der Genehmigung, ohne eigene Prüfung, an. Nach aktuellem Stand nehmen derzeit sämtliche Aufsichtsbehörden der EU/EWR mit Ausnahmen von Portugal und Ungarn am Verfahren der gegenseitigen Anerkennung teil. Alles in allem ist, trotz des koordinierten Anerkennungsverfahrens, von einen Zeitraum von mindestens zwei Jahren auszugehen, um die BCR im Unternehmen erfolgreich einzuführen.
Schlussendlich muss das Unternehmen, nach erfolgreicher Implementierung der BCR, die zuständige Aufsichtsbehörde vor jeder Übertragung personenbezogener Daten informieren. Ob darüber hinaus noch eine gesonderte Genehmigung der einzelnen Übertragungen erforderlich ist, wird von den verschieden nationalen und internationalen Aufsichtsbehörden unterschiedlich gehandhabt. Auch dieser Gesichtspunkt sollte bei der Bestimmung der federführenden Aufsichtsbehörde berücksichtigt werden.
Zusammengefasst kann man sagen, dass BCR sicherlich kein „Allheilmittel“ für multinational agierende Unternehmen in Sachen Datenschutz darstellen. Je nach Art des Datenexportes und Art der gesellschaftsrechtlichen Ausgestaltungen zwischen den jeweiligen internationalen Konzernmitgliedern beleiben weiterhin zusätzliche Vertragsabschlüsse (Stichwort: Auftragsdatenverarbeitung) erforderlich. Verbindliche Unternehmensrichtlinien ersparen jedoch gerade multinational agierende Unternehmen ein zunehmen ausuferndes Vertragsmanagement für Datenexporte und heben den Datenschutz innerhalb des Konzerns auf ein einheitlich hohes Niveau. In Zeiten zunehmend kritischer Betrachtung von Datenerhebung und Datenverarbeitung dürften Unternehmen auch unter Image- Gesichtspunkten von der Einführung von BCR spürbar profitieren.
Weitere Neuigkeiten
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
09.01.2025
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen … Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
03.01.2025
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen … Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können