Binding Corporate Rules

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) macht konkrete Vorgaben, unter welchen Voraussetzungen Datenübermittlungen in Drittstaaten stattfinden dürfen. Dies kann z.B.

  • ein Angemessenheitsbeschluss der EU-Kommission sein,
  • geeignete Garantien z.B. über EU-Standarddatenschutzklauseln oder
  • verbindliche internen Datenschutzvorschriften (DS-GVO Art. 47), den so genannten Binding Corporate Rules, kurz BCR.

BCR sind – sofern hinreichend genau beschrieben und definiert – verbindliche Unternehmensrichtlinien, die den Umgang mit personenbezogenen Daten formulieren. Diese Regelungen sollten das Unternehmen in einem Drittstaat dazu verpflichten, die Anforderungen der DS-GVO zu erfüllen. Rechtswirksam abgeschlossene BCRs können dann genutzt werden, um das Schutzniveau in einem Drittstaat festzustellen. Für die Datenübermittlung selbst ist eine entsprechende Rechtsgrundlage, zum Beispiel in Form eines Auftragsverarbeitungsvertrages zu verwenden.

Anforderungen an Binding Corporate Rules

Zunächst müssen in dem Unternehmen im Drittstaat entsprechende Regelungen erarbeitet und verabschiedet werden, die ein ähnliches Schutzniveau wie das der DS-GVO sicherstellt. Sowohl alle Mitarbeiter, als auch das Unternehmen selbst ist auf diese Richtlinien zu verpflichten. Der Verpflichtung ist zwingend nachzukommen und von allen Mitarbeitern umzusetzen. Die Rechte der Betroffenen, die gemäß Kapitel 3 DS-GVO allen Betroffenen zustehen, sind sicherzustellen. Die Umsetzung der BCRs kann und sollte in einem übergeordneten Datenschutz-Konzept definiert werden.

Sofern alle Anforderungen an die BCRs erfüllt sind, genehmigt die Aufsichtsbehörde gemäß Kohärenzverfahren nach Artikel 63 die verbindlichen Datenschutzvorschriften.

Für wen eigenen sich BCRs und was ist ihr Nutzen?

Grundsätzlich könnten für die Sicherstellung des Schutzniveaus in dem Drittland Standarddatenschutzklauseln der EU eingesetzt werden. Für Konzerne und eng miteinander verbundene Unternehmen können als Alternative Binding Corporate Rules eingesetzt werden. Diese schaffen ein einheitliches Rahmenwerk, mit einheitlichen Prozessen und ermöglichen so eine Anpassung an die Bedürfnisse innerhalb des Konzerns.

Sie wissen nicht, wie Sie wirksame Binding Corporate Rules erstellen oder wie Sie dabei vorgehen? Sprechen Sie uns gerne an!

Hilfreiche Links:
Working Papers der Artikel 29 Gruppe: Working Papers 256 rev.01, 257 rev.01, 263 rev.01, 264 und 265

Verfasser: Steven Bösel 24.04.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!