Internationaler Datenaustausch mit Binding Corporate Rules (BCRs)

Global agierende Konzerne haben das Problem, wie sie datenschutzkonform Daten austauschen können. Binding Corporate Rules können eine Lösung sein.

Binding Corporate Rules (BCRs), die in der DSGVO auch als verbindliche interne Datenschutzvorschriften bezeichnet werden, stellen einen verbindlichen Rahmen von Normen dar, die den Umgang mit personenbezogenen Daten innerhalb eines internationalen Konzerns oder einer Unternehmensgruppe regeln.

Kein Konzernprivileg

Auch wenn die Unternehmen einer Unternehmensgruppe wirtschaftlich eng verbunden sind, kennt die DSGVO kein sogenanntes Konzernprivileg und die Übermittlung zwischen Unternehmen eines Konzerns wird so behandelt wir die Übermittlung zwischen völlig eigenständigen Unternehmen und bedarf deshalb einer rechtlichen Grundlage. Dies können BCRs ein. Ein Vorteil von Binding Corporate Rules besteht darin, dass sie es internationalen Konzernen ermöglichen, personenbezogene Daten in einen Drittstaat zu übermitteln, auch wenn in diesem kein angemessenes Datenschutzniveau gegeben ist gemäß europäischem Recht. BCRs fungieren dann quasi wie ein geschützter Tunnel, der Datentransfers erlaubt, die andernfalls nicht möglich wären. Damit stellen sie eine „geeignete Garantie“ dar, die gerade die unternehmensinterne Übermittlung personenbezogener Daten in unsichere Drittländer wie beispielsweise China ermöglichen.

Vor ihrer Wirksamkeit müssen Binding Corporate Rules eines Konzerns von der zuständigen Datenschutzbehörde genehmigt werden. Ein Verfahren, das durchaus Jahre in Anspruch nehmen kann und im Kohärenzverfahren nach Art. 63 DSGVO geregelt ist. Dieses regelt die Zusammenarbeit mehrerer Aufsichtsbehörden, so dass das Genehmigungsverfahren vereinfacht und beschleunigt werden kann.

Elemente der BCRs

In der DSGVO ist der Mindestumfang der BCRs unter der Überschrift „Verbindliche interne Datenschutzvorschriften“ in Art. 47 DSGVO normiert. Diese müssen rechtlich bindend sein für alle Unternehmen sowie Mitarbeiter des Konzerns oder der Unternehmensgruppe. Sie räumen Betroffenenrechte ein und garantieren weitere Grundsätze analog zur DSGVO wie beispielsweise die Grundsätze der Zweckbindung, Datenminimierung oder die Sicherstellung der Datensicherheit und Grundsätze für die Übermittlung personenbezogener Daten an Dritte. Sie enthalten die Beschreibung und Festlegung von Verfahren, um sicherzustellen, dass die BCRs vollumfänglich eingehalten werden und die Rechte der Betroffenen geschützt sind. Zudem müssen alle zugehörigen Mitarbeiter und Unternehmen sie durchsetzen.

Kurz zusammengefasst umfassen die Regelungen des Art. 47 II DSGVO:

  1. die Struktur der Unternehmensgruppe
  2. genaue Informationen zu den Datenübermittlungen
  3. die interne und externe Rechtsverbindlichkeit der internen Datenschutzvorschriften
  4. die Gültigkeit der allgemeinen Datenschutzgrundsätze der DSGV0
  5. die Rechte der Betroffenen, also der Mitarbeiter, der Kunden und Lieferanten
  6. Angaben zur verantwortlichen Stelle, die auch in der Haftung ist
  7. die Verwirklichung der Informationspflichten darüber, in welchem Umfang und in welcher Art Daten von Betroffenen verarbeitet werden sowie über mögliche Rechtsbehelfe
  8. die Aufgaben des Konzerndatenschutzbeauftragten
  9. die Beschwerdeverfahren
  10. die Verfahren zur Überprüfung der Einhaltung der BCRs
  11. mögliche Verfahren zur Anpassung und Änderung der internen Datenschutzvorschriften
  12. Verfahrensbeschreibungen zur Zusammenarbeit mit den Aufsichtsbehörden
  13. Meldeverfahren zu Garantien in Drittländern, die sich negativ auf die BCRs auswirken
  14. Mitarbeiterschulungen

Vorteile von Binding Corporate Rules

Binding Corporate Rules bieten eine Reihe von Vorteilen, gerade für international oder global tätige Konzerne und Unternehmensgruppen, auch wenn das Genehmigungsverfahren einige Zeit auf sich nimmt.

  • Sie sind ein effektives Mittel, um den Datentransfer in Drittländer mit nicht ausreichendem Datenschutzniveau zu regeln
  • BCRs erhöhen insgesamt die Compliance
  • Durch die freie Gestaltungsmöglichkeit können sie als effektives Marketinginstrument genutzt werden, um die Bedeutung von Datenschutz für den Konzern zu betonen und dadurch Vertrauen bei Kunden, Partnern, den Medien und der allgemeinen öffentlichen Wahrnehmung zu erzeugen. Zudem können sie wichtige Elemente der Unternehmenskultur betonen und kodifizieren
  • Sobald die BCRs ihre Geltung entfalten, sind keine weitere Genehmigungen für Datentransfers notwendig
  • Gerade durch das Kohärenzverfahren, das die Zusammenarbeit mehrerer Aufsichtsbehörden zur Genehmigung der BCRs regelt, wurde eine Möglichkeit geschaffen, die Genehmigung zu beschleunigen.
Tags
  • DSGVO
  • Datenschutz
  • Management
  • Globalisierung
  • Datenaustausch
  • Binding Corporate Rules
  • BCR

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649