Möglichkeit von Binding Corporate Rules in DS-GVO geregelt

Geschrieben am 05.04.2017 von:

Sabine Pernikas

Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil

Kontaktiere mich:

+49 (0) 6232 – 100119 0
E-Mail senden

Mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 können auch Binding Corporate Rules (BCR) als Nachweis für ein angemessenes Datenschutzniveau bei Datentransfers in Drittländer verwendet werden.

Nach § 4b Abs. 2, 3 BDSG bedarf es für die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU und des EWR neben einer Einwilligung oder Ermächtigungsgrundlage immer auch des Nachweises eines angemessenen Datenschutzniveaus im jeweiligen Drittland. Dieses Datenschutzniveau wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind.

Nicht viele Alternativen

Bisher gibt es zum Nachweis dieses angemessenen Datenschutzniveaus nur wenige ernstzunehmende Alternativen. So können zum einen verschiedene zwischenstaatliche Vereinbarungen wie das Privacy Shield-Abkommen herangezogen werden. Alle daran teilnehmenden Unternehmen verpflichten sich dadurch, ein mit der EU vergleichbares Datenschutzniveau einzuhalten. Zum anderen gibt es die sogenannten EU-Standardvertragsklauseln, welche als Bestandteil der entsprechenden Verträge ebenfalls die Einhaltung bestimmter Standards sicherstellen sollen.

Beide Möglichkeiten werden jedoch aktuell stark kritisiert. Die EU-Kommission wird das Privacy Shield-Abkommen wegen der Ankündigungen von Präsident Trump zum Thema Datenschutz bei seiner jährlichen Prüfung besonders sorgfältig in Augenschein nehmen. Außerdem wird auch über die Standardvertragsklauseln diskutiert, weshalb der Europäische Gerichtshof wahrscheinlich über deren Gültigkeit entscheiden muss. Die von der DS-GVO vorgesehenen BCR könnten deshalb eine gute Alternative darstellen.

Was sind BCR?

Nach Art. 46 Abs. 1 DS-GVO sind Übermittlungen in einen unsicheren Drittstaat erlaubt, wenn die verantwortliche Stelle oder der Auftragsverarbeiter geeignete Garantien vorsieht und für den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Nach Art. 46 Abs. 2 DS-GVO wird geregelt, dass solche Garantien durch Bindung Corporate Rules umgesetzt werden können.

Die Anforderungen an diese BCR sind dabei in Art. 47 DS-GVO geregelt. Die BCR müssen von der zuständigen Aufsichtsbehörde einmalig genehmigt werden, es müssen alle Mitarbeiter und Unternehmen eines Konzerns verpflichtet werden und alle Mitarbeiter und Unternehmen müssen die BCR auch tatsächlich durchsetzen. Außerdem müssen die Rechte betroffener Personen gewahrt werden. Weiterhin wird der Mindestumfang der BCR in dieser Vorschrift sehr genau definiert:

  • Es muss sich um Daten für einen transparent ersichtlichen Geltungsbereich handeln
  • Informationen zur Datenübermittlungen müssen angegeben werden
  • Interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften
  • Die allgemeinen Datenschutzgrundsätze der DSGVO müssen eingehalten werden
  • Es müssen Drittbegünstigungsklauseln aufgenommen werden
  • Verantwortliche und haftende Stelle muss hervorgehen
  • Informationen zu Art und Umfang der für Betroffene einschlägigen Datenverarbeitungen und über Rechte müssen enthalten sein
  • Bezeichnung der überwachenden internen Stellen
  • Beschwerdeverfahren müssen dargestellt werden
  • Audit von BCR und Datenschutz muss vorgesehen sein
  • Verfahren zur Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde
  • Verfahren der Kooperation mit der zuständigen Aufsichtsbehörde
  • Meldeverfahren über nachteilig auf Garantien der BCR auswirkende Rechtsvorschriften an die zuständige Aufsichtsbehörde
  • Geeignete Datenschutzschulungen für Personal mit stätigem oder regelmäßigem Zugang zu personenbezogenen Daten

Vorzüge der BCR

Durch das in Art. 63 DS-GVO festgelegte Kohärenzverfahren sind alle Mitgliedsstaaten der EU verpflichtet, von einer zuständigen Aufsichtsbehörde genehmigte BCR anzuerkennen. Dies soll die Zusammenarbeit und Kommunikation der Aufsichtsbehörden fördern und den Prozess der Genehmigung von BCR beschleunigen. Unternehmensinterne Datentransfers werden, wenn die BCR erst etabliert und genehmigt sind, so deutlich einfacher und wesentlich unbürokratischer werden. Sie gelten im Übrigen auch für Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO).

Insgesamt dürften BCR daher für international tätige Unternehmen eine attraktive Alternative zu Privacy Shield und Standardvertragsklauseln werden. Die Umsetzung und Einführung dürfte sich allerdings als zeitaufwendig und kostenintensiv erweisen.


Zurück zu den News