Binding Corporate Rules (BCR)

Fotolia_190673703_S.jpg

Bild Unternehmen

Allgemeine Informationen

Für den Fall, dass kein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in ein Drittland vorliegt, dürfen Verantwortliche oder Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern diese hierfür geeignete Garantien vorgesehen haben, Art. 46 Abs. 1 DS-GVO. Als eine solche geeignete Garantie sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO nunmehr ausdrücklich verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, kurz: BCR) vor.

Im Vergleich zu BCR stellen Standarddatenschutzklauseln für die Datenübermittlung innerhalb multinationaler Unternehmensgruppen regelmäßig kein praktikables Instrument dar. Der Grund hierfür ist, dass jeder Verantwortliche mit jedem einzelnen Datenempfänger in einem Drittland einen einzelnen, jeweils auf den konkreten Übermittlungsvorgang angepassten Standardvertrag abschließen müsste.

Dabei ist zu beachten, dass die Möglichkeit geeigneter Garantien durch BCR nur Unternehmensgruppen oder einer Gruppe von Unternehmen eröffnet ist, Art. 47 Abs. 1 lit. a) DS-GVO. Des Weiteren sind durch die BCR nur Datenübermittlungen zwischen gruppenangehörigen Unternehmen abgedeckt, nicht hingegen solche an gruppenfremde Dienstleister.

Zu unterscheiden sind „BCR für Verantwortliche“, die Datentransfers durch Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO (an gruppenangehörige Verantwortliche oder Auftragsverarbeiter) regeln, und „BCR für Auftragsverarbeiter“, die Datenflüsse innerhalb von Unternehmensgruppen abdecken, deren sämtliche Gruppenmitglieder als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO für konzernfremde Auftraggeber agieren.

Die BCR als solche stehen unter einem Genehmigungsvorbehalt durch die zuständige Aufsichtsbehörde, die hierbei das Kohärenzverfahren nach Art. 63 DS-GVO anzuwenden hat. Ein solches Kohärenzverfahren setzt voraus, dass auf der Basis der BCR Datentransfers aus mehr als nur einem Mitgliedstaat vorgesehen sind. Dies geht zwar nicht aus dem Wortlaut von Art. 47 Abs. 1 DS-GVO hervor, es folgt jedoch daraus, dass ein Kohärenzverfahren gem. Art. 64 Abs. 4 DS-GVO voraussetzt, dass es mehrere betroffene Aufsichtsbehörden gibt. Dies ist aber nur dann der Fall, wenn eine grenzüberschreitende Verarbeitung im Sinne von Art. 4 Nr. 23 DS-GVO vorliegt. Sofern eine BCR nur Datentransfers aus einem einzigen Mitgliedstaat abdecken soll und auch keine erheblichen Auswirkungen auf Betroffene in anderen Mitgliedstaaten haben kann, ist ein Kohärenzverfahren nicht durchzuführen. Das Genehmigungsverfahren wird dann allein von der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde durchgeführt.

Die einzelnen auf die genehmigten BCR gestützten Übermittlungen oder Übermittlungsarten bedürfen indes keiner erneuten behördlichen Genehmigung.

Gegenwärtig (Stand: 24. Mai 2018) beläuft sich die Zahl derjenigen Unternehmen, die das Genehmigungsverfahren für BCR abgeschlossen haben, auf 130.

Inhaltliche Anforderungen an BCR (Art. 47 DS-GVO)

Die inhaltlichen Anforderungen an BCR ergeben sich aus Art. 47 DS-GVO. In seiner Ausgestaltung ist Art. 47 DS-GVO dabei an die bisher geltenden Praktiken und Anforderungen der Datenschutzaufsichtsbehörden angelehnt. Diese wurden durch die Artikel-29-Datenschutzgruppe in zahlreichen Arbeitspapieren festgehalten, welche auch weiterhin als Orientierung dienen können:

  • Grundlage der BCR waren die Arbeitspapiere WP 74 (Anwendung von Art. 26 Abs. 2 EG-Datenschutzrichtlinie auf BCR), WP 107 (Kooperationsverfahren der Datenschutzbehörden) und WP 108 (Muster-Checkliste für Anträge auf Genehmigungen).
  • Im Januar 2007 hat die Artikel-29-Datenschutzgruppe ein Standardformular für einen Antrag auf Genehmigung von BCR (WP 133) veröffentlicht.
  • Hieran anknüpfend veröffentlichte die Artikel-29-Datenschutzgruppe eine Reihe von insgesamt auch als „Tool Box“ beschriebenen Arbeitspapieren, die z.T. zwischenzeitlich mehrfach überarbeitet und aktualisiert wurden: WP 153 (Übersicht über die Bestandteile und Grundsätze von BCR, eine Checkliste der inhaltlichen Anforderungen, aktualisiert durch WP 256rev.01, siehe unten), WP 154 (Rahmen für BCR, eine Hilfestellung zur Struktur von BCR) und WP 155rev.05 (Häufig gestellte Fragen zu BCR, eine Interpretationshilfe).
  • Bezogen sich die bisherigen Arbeitspapiere allesamt auf die Datenverarbeitung durch Verantwortliche, folgte später mit der Veröffentlichung der Arbeitspapiere WP 195 (Bestandteile und Grundsätze, aktualisiert durch WP 257rev.01, siehe unten), WP 195a (Standardformular zur Antragstellung auf Genehmigung von BCR) und später noch WP 204rev.01 (erläuterndes Dokument) die Kodifizierung der Anforderungen für Auftragsverarbeiter.
  • Im Februar 2018 hat die Artikel-29-Datenschutzgruppe die Arbeitsdokumente mit Übersichten über die Bestandteile und Grundsätze von BCR sowohl für Verantwortliche (WP 256 rev.01) als auch für Auftragsverarbeiter (WP 257 rev.01) aktualisiert, um die Anforderungen in Bezug auf BCR, die durch die DS-GVO festgelegt wurden, widerzuspiegeln.
  • Im April 2018 hat die Artikel-29-Datenschutzgruppe Empfehlungen zum Standardformular für einen Antrag auf Genehmigung von BCR sowohl für Verantwortliche (WP 264) als auch für Auftragsverarbeiter (WP 265) veröffentlicht.

SERVICE