Skyline von Frankfurt in der Dämmerung

Binding Corporate Rules (BCR)

Für den Fall, dass kein AngemessenheitsbeschlussÖffnet sich in einem neuen Fenster für die Übermittlung personenbezogener Daten in ein Drittland vorliegt, dürfen Verantwortliche oder Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern diese hierfür geeignete Garantien vorgesehen haben, Art. 46 Abs. 1 DS-GVO. Als eine solche geeignete Garantie sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO nunmehr ausdrücklich verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, kurz: BCR) vor.

Im Vergleich zu BCR stellen StandarddatenschutzklauselnÖffnet sich in einem neuen Fenster für die Datenübermittlung innerhalb multinationaler Unternehmensgruppen regelmäßig kein praktikables Instrument dar. Der Grund hierfür ist, dass jeder Verantwortliche mit jedem einzelnen Datenempfänger in einem Drittland einen einzelnen, jeweils auf den konkreten Übermittlungsvorgang angepassten Standardvertrag abschließen müsste.

Dabei ist zu beachten, dass die Möglichkeit geeigneter Garantien durch BCR nur Unternehmensgruppen oder einer Gruppe von Unternehmen eröffnet ist, Art. 47 Abs. 1 lit. a) DS-GVO. Des Weiteren sind durch die BCR nur Datenübermittlungen zwischen gruppenangehörigen Unternehmen abgedeckt, nicht hingegen solche an gruppenfremde Dienstleister.

Zu unterscheiden sind „BCR für Verantwortliche“, die Datentransfers durch Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO (an gruppenangehörige Verantwortliche oder Auftragsverarbeiter) regeln, und „BCR für Auftragsverarbeiter“, die Datenflüsse innerhalb von Unternehmensgruppen abdecken, deren sämtliche Gruppenmitglieder als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO für konzernfremde Auftraggeber agieren.

Die BCR als solche stehen unter einem Genehmigungsvorbehalt durch die zuständige Aufsichtsbehörde, die hierbei das Kohärenzverfahren nach Art. 63 DS-GVO anzuwenden hat. Ein solches Kohärenzverfahren setzt voraus, dass auf der Basis der BCR Datentransfers aus mehr als nur einem Mitgliedstaat vorgesehen sind. Dies geht zwar nicht aus dem Wortlaut von Art. 47 Abs. 1 DS-GVO hervor, es folgt jedoch daraus, dass ein Kohärenzverfahren gem. Art. 64 Abs. 4 DS-GVO voraussetzt, dass es mehrere betroffene Aufsichtsbehörden gibt. Dies ist aber nur dann der Fall, wenn eine grenzüberschreitende Verarbeitung im Sinne von Art. 4 Nr. 23 DS-GVO vorliegt. Sofern eine BCR nur Datentransfers aus einem einzigen Mitgliedstaat abdecken soll und auch keine erheblichen Auswirkungen auf Betroffene in anderen Mitgliedstaaten haben kann, ist ein Kohärenzverfahren nicht durchzuführen. Das Genehmigungsverfahren wird dann allein von der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde durchgeführt.

Die einzelnen auf die genehmigten BCR gestützten Übermittlungen oder Übermittlungsarten bedürfen indes keiner erneuten behördlichen Genehmigung.

Unter der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“) haben 130 Unternehmen das Genehmigungsverfahren für BCR abgeschlossen. Eine Liste der noch vor dem 25. Mai 2018 unter der EU-Datenschutzrichtlinie genehmigten BCRÖffnet sich in einem neuen Fenster hat der Europäische Datenschutzausschuss (EDSA) auf seiner Website veröffentlicht. Dort führt er auch ein Register der BCR, die bisher unter der DS-GVO genehmigt wurdenÖffnet sich in einem neuen Fenster.

Inhaltliche Anforderungen an BCR (Art. 47 DS-GVO)

Die inhaltlichen Anforderungen an BCR ergeben sich aus Art. 47 DS-GVO. In seiner Ausgestaltung ist Art. 47 DS-GVO dabei an die bisher geltenden Praktiken und Anforderungen der Datenschutzaufsichtsbehörden angelehnt. Diese wurden durch die Artikel-29-Datenschutzgruppe in zahlreichen Arbeitspapieren festgehalten, welche auch weiterhin als Orientierung dienen können:

Kontakt

Sie haben Fragen zu diesem Thema? Dann kontaktieren Sie:

Frau Lange, Frau Bormann, Frau Berg

Stabsstelle S3

Frau Lange
Telefon: +49 611 1408-148

Frau Bormann
Telefon: +49 611 1408-135

Frau Berg
Telefon: +49 611 1408-167

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Internationaler Datentransfer
Stabstelle S3
Postfach 3163
65021 Wiesbaden

Schlagworte zum Thema