Binding Corporate Rules (BCRs), die in der DSGVO auch als verbindliche interne Datenschutzvorschriften bezeichnet werden, stellen einen verbindlichen Rahmen von Normen dar, die den Umgang mit personenbezogenen Daten innerhalb eines internationalen Konzerns oder einer Unternehmensgruppe regeln.
Kein Konzernprivileg
Auch wenn die Unternehmen einer Unternehmensgruppe wirtschaftlich eng verbunden sind, kennt die DSGVO kein sogenanntes Konzernprivileg und die Übermittlung zwischen Unternehmen eines Konzerns wird so behandelt wir die Übermittlung zwischen völlig eigenständigen Unternehmen und bedarf deshalb einer rechtlichen Grundlage. Dies können BCRs ein. Ein Vorteil von Binding Corporate Rules besteht darin, dass sie es internationalen Konzernen ermöglichen, personenbezogene Daten in einen Drittstaat zu übermitteln, auch wenn in diesem kein angemessenes Datenschutzniveau gegeben ist gemäß europäischem Recht. BCRs fungieren dann quasi wie ein geschützter Tunnel, der Datentransfers erlaubt, die andernfalls nicht möglich wären. Damit stellen sie eine „geeignete Garantie“ dar, die gerade die unternehmensinterne Übermittlung personenbezogener Daten in unsichere Drittländer wie beispielsweise China ermöglichen.
Vor ihrer Wirksamkeit müssen Binding Corporate Rules eines Konzerns von der zuständigen Datenschutzbehörde genehmigt werden. Ein Verfahren, das durchaus Jahre in Anspruch nehmen kann und im Kohärenzverfahren nach Art. 63 DSGVO geregelt ist. Dieses regelt die Zusammenarbeit mehrerer Aufsichtsbehörden, so dass das Genehmigungsverfahren vereinfacht und beschleunigt werden kann.
Elemente der BCRs
In der DSGVO ist der Mindestumfang der BCRs unter der Überschrift „Verbindliche interne Datenschutzvorschriften“ in Art. 47 DSGVO normiert. Diese müssen rechtlich bindend sein für alle Unternehmen sowie Mitarbeiter des Konzerns oder der Unternehmensgruppe. Sie räumen Betroffenenrechte ein und garantieren weitere Grundsätze analog zur DSGVO wie beispielsweise die Grundsätze der Zweckbindung, Datenminimierung oder die Sicherstellung der Datensicherheit und Grundsätze für die Übermittlung personenbezogener Daten an Dritte. Sie enthalten die Beschreibung und Festlegung von Verfahren, um sicherzustellen, dass die BCRs vollumfänglich eingehalten werden und die Rechte der Betroffenen geschützt sind. Zudem müssen alle zugehörigen Mitarbeiter und Unternehmen sie durchsetzen.
Kurz zusammengefasst umfassen die Regelungen des Art. 47 II DSGVO:
- die Struktur der Unternehmensgruppe
- genaue Informationen zu den Datenübermittlungen
- die interne und externe Rechtsverbindlichkeit
der internen Datenschutzvorschriften - die Gültigkeit der allgemeinen
Datenschutzgrundsätze der DSGV0 - die Rechte der Betroffenen, also der
Mitarbeiter, der Kunden und Lieferanten - Angaben zur verantwortlichen Stelle, die auch in
der Haftung ist - die Verwirklichung der Informationspflichten darüber,
in welchem Umfang und in welcher Art Daten von Betroffenen verarbeitet werden
sowie über mögliche Rechtsbehelfe - die Aufgaben des Konzerndatenschutzbeauftragten
- die Beschwerdeverfahren
- die Verfahren zur Überprüfung der Einhaltung der
BCRs - mögliche Verfahren zur Anpassung und Änderung
der internen Datenschutzvorschriften - Verfahrensbeschreibungen zur Zusammenarbeit mit
den Aufsichtsbehörden - Meldeverfahren zu Garantien in Drittländern, die
sich negativ auf die BCRs auswirken - Mitarbeiterschulungen
Vorteile von Binding Corporate Rules
Binding Corporate Rules bieten eine Reihe von Vorteilen, gerade für international oder global tätige Konzerne und Unternehmensgruppen, auch wenn das Genehmigungsverfahren einige Zeit auf sich nimmt.
- Sie sind ein effektives Mittel, um den
Datentransfer in Drittländer mit nicht ausreichendem Datenschutzniveau zu
regeln - BCRs erhöhen insgesamt die Compliance
- Durch die freie Gestaltungsmöglichkeit können
sie als effektives Marketinginstrument genutzt werden, um die Bedeutung von
Datenschutz für den Konzern zu betonen und dadurch Vertrauen bei Kunden,
Partnern, den Medien und der allgemeinen öffentlichen Wahrnehmung zu erzeugen.
Zudem können sie wichtige Elemente der Unternehmenskultur betonen und
kodifizieren - Sobald die BCRs ihre Geltung entfalten, sind
keine weitere Genehmigungen für Datentransfers notwendig - Gerade durch das Kohärenzverfahren, das die
Zusammenarbeit mehrerer Aufsichtsbehörden zur Genehmigung der BCRs regelt,
wurde eine Möglichkeit geschaffen, die Genehmigung zu beschleunigen.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: