Für den Fall, dass kein AngemessenheitsbeschlussÖffnet sich in einem neuen Fenster für die Übermittlung personenbezogener Daten in ein Drittland vorliegt, dürfen Verantwortliche oder Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern diese hierfür geeignete Garantien vorgesehen haben, Art. 46 Abs. 1 DS-GVO. Als eine solche geeignete Garantie sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO nunmehr ausdrücklich verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, kurz: BCR) vor.
Im Vergleich zu BCR stellen StandarddatenschutzklauselnÖffnet sich in einem neuen Fenster für die Datenübermittlung innerhalb multinationaler Unternehmensgruppen regelmäßig kein praktikables Instrument dar. Der Grund hierfür ist, dass jeder Verantwortliche mit jedem einzelnen Datenempfänger in einem Drittland einen einzelnen, jeweils auf den konkreten Übermittlungsvorgang angepassten Standardvertrag abschließen müsste.
Dabei ist zu beachten, dass die Möglichkeit geeigneter Garantien durch BCR nur Unternehmensgruppen oder einer Gruppe von Unternehmen eröffnet ist, Art. 47 Abs. 1 lit. a) DS-GVO. Des Weiteren sind durch die BCR nur Datenübermittlungen zwischen gruppenangehörigen Unternehmen abgedeckt, nicht hingegen solche an gruppenfremde Dienstleister.
Zu unterscheiden sind „BCR für Verantwortliche“, die Datentransfers durch Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO (an gruppenangehörige Verantwortliche oder Auftragsverarbeiter) regeln, und „BCR für Auftragsverarbeiter“, die Datenflüsse innerhalb von Unternehmensgruppen abdecken, deren sämtliche Gruppenmitglieder als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO für konzernfremde Auftraggeber agieren.
Die BCR als solche stehen unter einem Genehmigungsvorbehalt durch die zuständige Aufsichtsbehörde, die hierbei das Kohärenzverfahren nach Art. 63 DS-GVO anzuwenden hat. Ein solches Kohärenzverfahren setzt voraus, dass auf der Basis der BCR Datentransfers aus mehr als nur einem Mitgliedstaat vorgesehen sind. Dies geht zwar nicht aus dem Wortlaut von Art. 47 Abs. 1 DS-GVO hervor, es folgt jedoch daraus, dass ein Kohärenzverfahren gem. Art. 64 Abs. 4 DS-GVO voraussetzt, dass es mehrere betroffene Aufsichtsbehörden gibt. Dies ist aber nur dann der Fall, wenn eine grenzüberschreitende Verarbeitung im Sinne von Art. 4 Nr. 23 DS-GVO vorliegt. Sofern eine BCR nur Datentransfers aus einem einzigen Mitgliedstaat abdecken soll und auch keine erheblichen Auswirkungen auf Betroffene in anderen Mitgliedstaaten haben kann, ist ein Kohärenzverfahren nicht durchzuführen. Das Genehmigungsverfahren wird dann allein von der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde durchgeführt.
Die einzelnen auf die genehmigten BCR gestützten Übermittlungen oder Übermittlungsarten bedürfen indes keiner erneuten behördlichen Genehmigung.
Unter der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“) haben 130 Unternehmen das Genehmigungsverfahren für BCR abgeschlossen. Eine Liste der noch vor dem 25. Mai 2018 unter der EU-Datenschutzrichtlinie genehmigten BCRÖffnet sich in einem neuen Fenster hat der Europäische Datenschutzausschuss (EDSA) auf seiner Website veröffentlicht. Dort führt er auch ein Register der BCR, die bisher unter der DS-GVO genehmigt wurdenÖffnet sich in einem neuen Fenster.
Inhaltliche Anforderungen an BCR (Art. 47 DS-GVO)
Die inhaltlichen Anforderungen an BCR ergeben sich aus Art. 47 DS-GVO. In seiner Ausgestaltung ist Art. 47 DS-GVO dabei an die bisher geltenden Praktiken und Anforderungen der Datenschutzaufsichtsbehörden angelehnt. Diese wurden durch die Artikel-29-Datenschutzgruppe in zahlreichen Arbeitspapieren festgehalten, welche auch weiterhin als Orientierung dienen können:
- Grundlage der BCR waren die Arbeitspapiere WP 74Öffnet sich in einem neuen Fenster (Anwendung von Art. 26 Abs. 2 EG-Datenschutzrichtlinie auf BCR), WP 107Öffnet sich in einem neuen Fenster (Kooperationsverfahren der Datenschutzbehörden) und WP 108Öffnet sich in einem neuen Fenster (Muster-Checkliste für Anträge auf Genehmigungen).
- Im Januar 2007 hat die Artikel-29-Datenschutzgruppe ein Standardformular für einen Antrag auf Genehmigung von BCR (WP 133Öffnet sich in einem neuen Fenster) veröffentlicht.
- Hieran anknüpfend veröffentlichte die Artikel-29-Datenschutzgruppe eine Reihe von insgesamt auch als „Tool Box“ beschriebenen Arbeitspapieren, die z.T. zwischenzeitlich mehrfach überarbeitet und aktualisiert wurden: WP 153Öffnet sich in einem neuen Fenster (Übersicht über die Bestandteile und Grundsätze von BCR, eine Checkliste der inhaltlichen Anforderungen, aktualisiert durch WP 256rev.01Öffnet sich in einem neuen Fenster, siehe unten), WP 154Öffnet sich in einem neuen Fenster (Rahmen für BCR, eine Hilfestellung zur Struktur von BCR) und WP 155rev.05Öffnet sich in einem neuen Fenster (Häufig gestellte Fragen zu BCR, eine Interpretationshilfe).
- Bezogen sich die bisherigen Arbeitspapiere allesamt auf die Datenverarbeitung durch Verantwortliche, folgte später mit der Veröffentlichung der Arbeitspapiere WP 195Öffnet sich in einem neuen Fenster (Bestandteile und Grundsätze, aktualisiert durch WP 257rev.01Öffnet sich in einem neuen Fenster, siehe unten), WP 195aÖffnet sich in einem neuen Fenster Öffnet sich in einem neuen Fenster(Standardformular zur Antragstellung auf Genehmigung von BCR) und später noch WP 204rev.01Öffnet sich in einem neuen Fenster (erläuterndes Dokument) die Kodifizierung der Anforderungen für Auftragsverarbeiter.
- Im Februar 2018 hat die Artikel-29-Datenschutzgruppe die Arbeitsdokumente mit Übersichten über die Bestandteile und Grundsätze von BCR sowohl für Verantwortliche (WP 256 rev.01Öffnet sich in einem neuen Fenster) als auch für Auftragsverarbeiter (WP 257 rev.01Öffnet sich in einem neuen Fenster) aktualisiert, um die Anforderungen in Bezug auf BCR, die durch die DS-GVO festgelegt wurden, widerzuspiegeln.
- Im April 2018 hat die Artikel-29-Datenschutzgruppe Empfehlungen zum Standardformular für einen Antrag auf Genehmigung von BCR sowohl für Verantwortliche (WP 264Öffnet sich in einem neuen Fenster) als auch für Auftragsverarbeiter (WP 265Öffnet sich in einem neuen Fenster) veröffentlicht.