Binding Corporate Rules (BCR) sind bei der Übermittlung von Daten innerhalb multinationaler Unternehmen und Konzernen ein wichtiges Werkzeug. Insbesondere weil die Zulässigkeit von EU-Privacy Shield und Standardvertragsklauseln und damit darauf aufbauende Datenübermittlungen in Drittländer immer wieder in Frage gestellt werden.
Hintergrund
Unternehmen müssen bei Datenübermittlungen in Drittländer die DSGVO und deren Schutzniveau einhalten (Art. 44 DSGVO). Der Zweck dahinter ist, dass die Betroffenen Personen auch bei Übermittlung in Drittländer ihre Rechte wirksam durchsetzen sollen. Um dies zu gewährleisten sieht die DSGVO mehrere Möglichkeiten vor: ein Angemessenheitsbeschluss, Verwendung von Standardvertragsklauseln oder Erstellen von Binding Corporate Rules. Angemessenheitsbeschlüsse werden durch die Europäische Kommission erlassen, wenn das Datenschutzniveau des betreffenden Drittlandes die Voraussetzungen in Art. 45 Abs. 2 DSGVO erfüllt, wie z.B. die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden. Dadurch sind Datenübermittlungen in das Drittland möglich und es bedarf keiner weiteren gesonderten Genehmigung.
Jedoch bestehen lediglich für einige wenige Drittländer solche Angemessenheitsbeschlüsse, weswegen vor allem auch Standardvertragsklauseln verwendet werden. Standardvertragsklauseln bieten bei Datenübermittlungen ein angemessenes Datenschutzniveau und können bei Auftragsverarbeitungen wirksam vereinbart werden.
Binding Corporate Rules – ein Kind der 90er
Ein weiteres Instrument bei Datenübermittlung in Drittländer sind die sogenannten Binding Corporate Rules, welche in der DSGVO ausdrücklich geregelt sind (als „unternehmensinterne[n] Datenschutzvorschriften“ in Art. 47 DSGVO). Darunter sind selbst auferlegte Unternehmensrichtlinien zu verstehen, welche innerhalb des Unternehmens verpflichtend ausgeführt werden, um ein einheitliches Datenschutzniveau einzuführen und die Betroffenenrechte zu gewährleisten.
Das Regelwerk von Binding Corporate Rules ist keine Neuheit, da diese schon Ende der 90er Jahre von der Wirtschaft entwickelt wurden. Anlass war das Inkrafttreten der RL 95/46/EG, der europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Auf Grund dessen suchten Unternehmen nach einer Alternative zum Abschluss von vielen einzelnen Verträgen zur Datenübermittlung und dabei kam die Idee auf verbindliche unternehmensinterne Regelungen, welche zu einem einheitlichem Datenschutzsystem innerhalb der Unternehmensgruppe führen. Diese wurden auch von den Datenschutzbehörden als eine geeignete Garantie anerkannt, aber fanden sich bis jetzt nicht in einer ausdrücklichen europäischen Regelung wieder. Insbesondere weil keine einheitliche Regelung vorlag, verlangten einige Aufsichtsbehörden trotz Vorliegen von BCR noch Einzelgenehmigungen bei einzelnen Datenübermittlungen, was die BCR nicht wirklich attraktiv gemacht hatte.
Genehmigungsverfahren und inhaltliche Anforderungen
BCR müssen von der zuständigen Aufsichtsbehörde genehmigt werden, damit diese als geeignete Garantie für Datenübermittlung angesehen werden kann (Art. 47 Abs. 2 DSGVO).
Zuständig ist die Aufsichtsbehörde gemäß Art. 56 Abs. 1 DSGVO des Landes, in dem sich die Hauptniederlassung des Verantwortlichen befindet (= federführende Aufsichtsbehörde). Da der Genehmigungsprozess im Rahmen des Kohärenzverfahren durchgeführt wird, kann die federführende Aufsichtsbehörde noch die Standpunkte weiterer betroffener Aufsichtsbehörden einholen. Dennoch bleibt die federführende Aufsichtsbehörde die zentrale Anlaufstelle für die Unternehmensgruppe, was das Verfahren vereinfachen sollte.
Damit eine solche Genehmigung erteilt wird müssen die in Art. 47 Abs. 2 DSGVO festgelegten Voraussetzungen erfüllt sein. Diese sind zum Beispiel:
- Die BCR müssen für alle Mitglieder der Unternehmensgruppe und deren Mitarbeiter rechtlich verbindlich sein und durchgesetzt werden können;
- Den betroffenen Personen müssen rechtlich verbindliche Prozesse zur Verfügung gestellt werden, damit diese Rechte bei der Datenverarbeitung durchsetzen können;
- Struktur und Kontaktdaten der Unternehmensgruppe, sowie über das jeweilige einzelne Mitglied;
- betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
- Beschwerdeverfahren;
- Datenschutzrechtliche Schulungen für das Personal, welche Kontakt mit personenbezogenen Daten haben;
- interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften.
In der DSGVO finden sich keine genauen Angaben, wie die Mindestvorgaben in den BCR auszugestalten sind. Jedoch hat die Art. 29 Datenschutzgruppe schon vor der Einführung der DSGVO detailliertere Vorgaben in ihren Arbeitsdokumenten an die BCR ausgearbeitet, welche immer noch als Hilfestellung bei der Umsetzung dienen können. Denn die Voraussetzungen des Art. 47 Abs. 2 DSGVO beruhen teilweise auf deren Ausarbeitungen.
Durch die BCR kann individuell auf die jeweilige Unternehmensgruppe eingegangen werden, da die Bestimmungen auf die Bedürfnisse und Prozesse dieser zugeschnitten werden kann. Zudem sind weitere Vorteile, dass keine einzelnen Vertragsabschlüsse zwischen den Unternehmen erfolgen müssen und es als eine unternehmensweite Leitlinie zum Datenschutz verwendet werden kann, was sich förderlich auf das Ansehen des Unternehmens auswirken kann.
Wer darf BCR verwenden?
Die Verwendung von BCR ist bei Mitgliedern einer Unternehmensgruppe oder einer Gruppe von Unternehmen vorgesehen. Unter einer Unternehmensgruppe versteht die DSGVO eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht (Art. 4 Nr. 19 DSGVO). Weiter wird in Art. 4 Nr. 20 DSGVO definiert, dass es sich um Unternehmen handeln kann, die eine gemeinsame Wirtschaftstätigkeit ausüben. Darunter sind Unternehmensgruppen zu verstehen, die eng wirtschaftlich miteinander verknüpft sind und nicht im Wettbewerb zueinanderstehen. Es kommt somit nicht auf eine gesellschaftsrechtliche Verbindung, aber auf eine gleichwertige enge wirtschaftliche Verbindung an, wie zum Beispiel bei Joint Ventures. Nicht geeignet sind die BCR dagegen nur für lose Verbindungen.
BCR können auch von Unternehmensgruppen erstellt werden, die als Auftragsverarbeiter Daten von Dritten verarbeiten, was vor allem für IT-Dienstleistern oder Cloud-Dienste positiv ist, da Standardvertragsklauseln hier zu kurz greifen können.
BCR, die bereits vor der Einführung der DSGVO genehmigt worden sind, bleiben auch mit der DSGVO weiterhin gültig, sofern sie nicht von der zuständigen Aufsichtsbehörde beanstandet werden (Art. 46 Abs. 5 DSGVO). Somit haben die bereits verabschiedeten BCR Gültigkeit, es wird aber den zuständigen Behörden ermöglicht tätig zu werden. Das heißt, es empfiehlt sich bereits erlassene BCR an die DSGVO anzupassen, um ein Tätigwerden der Behörden vorab zu verhindern.
Fazit
Gerade für Konzerne, die internationale Niederlassungen haben, sind die BCR ein nützliches Instrument, um die Bestimmungen der DSGVO einzuhalten und dabei individuell auf interne Prozesse einzugehen ohne, dass ein unübersichtliches Vertragsmanagement für Datenexporte benötigt wird.
Die Schwierigkeiten die BCR noch vor der Einführung der DSGVO hatten, wie die teilweise Einzelgenehmigungen von Datentransfers trotz Vorliegen von BCR, fallen weg. Zudem sollte durch die alleinige Zuständigkeit der federführenden Aufsichtsbehörde eine Vereinfachung im Genehmigungsverfahren eintreten. Dadurch sind die BCR ein weiteres wichtiges Werkzeug für unternehmensweite Datenübermittlungen.