05. Juni 2015

Binding Corporate Rules (BCR) – „Allheilmittel“ für den Datenschutz in multinational agierenden Unternehmen?

Binding Corporate Rules – verbindliche Unternehmensrichtlinien – etablieren sich zunehmend bei multinational agierenden Unternehmen um personenbezogene Daten über Staatsgrenzen hinweg mit anderen Konzerngesellschaften zu transferieren.

Insbesondere der Datenexport in Drittstaaten, also Staaten außerhalb des europäischen Wirtschaftsraumes (EWR), stellt Unternehmen vor Herausforderungen hinsichtlich der Einhaltung strenger innereuropäischer Datenschutzstandards. Bis auf wenige Ausnahmen (bspw. Kanada) werden Drittstaaten bisher nicht als sicher, bezüglich ihres Datenschutzniveaus, durch die EU- Aufsichtsbehörden eingestuft.  Hier gewinnen BCR , zur Gewährleistung eines einheitlichen hohen, an die nationalen und europäischen Anforderungen angepassten, Datenschutzniveaus innerhalb der gesamten Konzerngruppe, zunehmend an Bedeutung.  Im Gegensatz zu der bisher weit verbreiteten Anwendung von EU-Standartverträgen erweisen sich BCR als wesentlich flexibleres und unter Umständen praktikableres „Sicherungsmittel“ in Fragen des Datenschutzes.

Die Implementierung von BCR im Unternehmen sollte jedoch gründlich überlegt und ebenso gründlich vorbereitet und geplant sein. Es stellt sich die Frage, ob BCR für das jeweilige Unternehmen ein adäquates Mittel darstellen. Hierfür müssen Aufwand und Nutzen der Implementierung verbindlicher Unternehmensrichtlinien gegenübergestellt werden. Es sollten sich dabei die für den Datenschutz im Unternehmen zuständigen Stellen darüber im klaren sein, dass BCR nicht schlichtweg jede Datenerhebung und Übermittlung innerhalb des Geltungsbereiches der BCR legitimieren. Erst auf der sog. „zweiten Stufe“, nämlich bei der Frage nach der Übertragbarkeit von Daten ins Ausland, kommen BCR ins Spiel. Auf der „ersten Stufe“, bei der Zulässigkeit der Datenerhebung als solche, spielen BCR hingegen keine Rolle. So werden beispielsweise im Falle der Auftragsdatenverarbeitung die zu schließenden Verträge mit dem Auftragsdatenverarbeiter nicht obsolet. In Anbetracht der strengen inhaltlichen Anforderungen und des zeitintensiven Genehmigungsverfahrens, kann hier insbesondere den Unternehmen die Implementierung von BCR empfohlen werden, die zum einen ein hohes Aufkommen personenbezogener Daten zu verzeichnen haben und, ihrem Betätigungsfeld nach, diese Daten an eine Vielzahl von Konzerngesellschaften in Drittstaaten exportieren. Dadurch wird der Abschluss unzähliger Einzelverträge für jede Datenübertragung überflüssig und ein einheitliches Datenschutzniveau innerhalb des Konzerns gesichert. Schließlich liegen noch weitere Vorteile von BCR gegenüber den EU- Standartverträgen auf der Hand, die größere Flexibilität bei der Anpassung an die jeweilige Unternehmenskultur, sowie der nicht zu vernachlässigende Marketingeffekt. Das Unternehmen zeigt, dass es dem Datenschutz einen sehr hohen Stellenwert beimisst und sorgt für größtmögliche Transparenz in dieser Hinsicht. Dieser Aspekt dürfte gerade aktuell nicht hoch genug einzuschätzen sein.

Hat sich das Unternehmen schließlich für die Einführung verbindlicher Unternehmensrichtlinien entschieden, ist die Umsetzung der inhaltlichen Voraussetzungen, idealer Weise unter Zuhilfenahme professioneller Beratung, anzugehen. Hierfür wurden durch die Art. 29 – Datenschutzgruppe verschiedene Arbeitspapiere erstellt, welchen die inhaltlichen Anforderungen an BCR entnommen werden können. Zusammengefasst müssen BCR folgende Regelungen enthalten:

  • Interne und Externe Verbindlichkeit – innerhalb des Konzerns und gegenüber Dritten
  • Regelung zur Umsetzung innerhalb des Konzerns – Schulungen, Audits, Zuständige Mitarbeiter zur Kontrolle der Einhaltung der BCR
  • Festlegung des Geltungsbereiches der BCR
  • Nachweis über Zusammenarbeit mit den Aufsichtsbehörden
  • Zusicherung des Transparenzgebotes
  • Verhältnis der BCR zu nationalen Rechtsvorschriften
  • Regelung der Betroffenenrechte – Beschwerdeverfahren, Haftung, Gerichtsstand, Drittbegünstigung etc.

Für die Umsetzung der inhaltlichen Anforderungen ist es unerlässlich bereits im Vorfeld ein umfassendes Datenschutzkonzept für das jeweilige Unternehmen zu erstellen. Auf Grundlage dessen ist dann ein Entwurf der BCR zu verfassen und das Genehmigungsverfahren einzuleiten.

Die Voraussetzungen und Abläufe des Genehmigungsverfahrens können ebenso den Arbeitspapieren der Art. 29 – Datenschutzgruppe entnommen werden. Es empfiehlt sich möglichst frühzeitig die zuständige Aufsichtsbehörde zu bestimmen und diese vom Vorhaben der BCR – Implementierung zu informieren. Als „federführende“ Behörde kommt dieser im Genehmigungsverfahren eine zentrale Bedeutung zu. In erster Linie ist für die Entscheidung hinsichtlich der federführenden Behörde das Land des Hauptsitzes des Konzerns ausschlaggebend, es können jedoch auch andere Aspekte ausschlaggebend sein. Da Grundsätzlich alle Aufsichtsbehörden der Länder, aus denen heraus später Daten in Drittstaaten exportiert werden sollen, die BCR genehmigen müssen, wurde zur Beschleunigung und Vereinfachung das Verfahren der gegenseitigen Anerkennung (mutual recognition) eingeführt. Die federführende Behörde leitet, nach eigener Prüfung, den Entwurf der BCR an zwei Co-Prüfer, also zwei weiteren Aufsichtsbehörden, weiter die ebenfalls eigene Prüfungen vornehmen. Werden die BCR durch diese drei Behörden genehmigt, schließen sich alle anderen am Verfahren der gegenseitigen Anerkennung beteiligten Aufsichtsbehörden der Genehmigung, ohne eigene Prüfung, an. Nach aktuellem Stand nehmen derzeit sämtliche Aufsichtsbehörden der EU/EWR mit Ausnahmen von Portugal und Ungarn am Verfahren der gegenseitigen Anerkennung teil. Alles in allem ist, trotz des koordinierten Anerkennungsverfahrens, von einen Zeitraum von mindestens zwei Jahren auszugehen, um die BCR im Unternehmen erfolgreich einzuführen.

Schlussendlich muss das Unternehmen, nach erfolgreicher Implementierung der BCR, die zuständige Aufsichtsbehörde vor jeder Übertragung personenbezogener Daten informieren. Ob darüber hinaus noch eine gesonderte Genehmigung der einzelnen Übertragungen erforderlich ist, wird von den verschieden nationalen und internationalen Aufsichtsbehörden unterschiedlich gehandhabt. Auch dieser Gesichtspunkt sollte bei der Bestimmung der federführenden Aufsichtsbehörde berücksichtigt werden.

Zusammengefasst kann man sagen, dass BCR sicherlich kein „Allheilmittel“ für multinational agierende Unternehmen in Sachen Datenschutz darstellen. Je nach Art des Datenexportes und Art der gesellschaftsrechtlichen Ausgestaltungen zwischen den jeweiligen internationalen Konzernmitgliedern beleiben weiterhin zusätzliche Vertragsabschlüsse (Stichwort: Auftragsdatenverarbeitung) erforderlich. Verbindliche Unternehmensrichtlinien ersparen jedoch gerade multinational agierende Unternehmen ein zunehmen ausuferndes Vertragsmanagement für Datenexporte und heben den Datenschutz innerhalb des Konzerns auf ein einheitlich hohes Niveau. In Zeiten zunehmend kritischer Betrachtung von Datenerhebung und Datenverarbeitung dürften Unternehmen auch unter Image- Gesichtspunkten von der Einführung von BCR spürbar profitieren.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!