Viele Unternehmensgruppen oder Konzerne verfügen über Standorte auch außerhalb Europas. Oft sehen sich selbige als rechtliche Einheit und vergessen, dass das Datenschutzrecht auch unter der EU-Datenschutz-Grundverordnung (DSGVO) weiterhin kein Konzernprivileg kennt. Der Datentransfer ist auch innerhalb eines Konzerns oder einer Unternehmensgruppe grundsätzlich zu behandeln, wie ein Transfer zwischen völlig fremden Unternehmen. Es muss eine Rechtsgrundlage für die Verarbeitung gegeben sein, ggf. müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt werden und die Empfängerstelle muss ein angemessenes Datenschutzniveau gewährleisten bzw. Datenschutzgarantien bieten. Für letzteres bieten sich sogenannte Binding Corporate Rules (BCR) an.
Was sind Binding Corporate Rules?
Binding Corporate Rules, zu Deutsch „verbindliche Unternehmensrichtlinien“, sind konzernweit gültige, verbindliche Vorgaben zur Regelung von Datenflüssen. Durch sie wird in der gesamten Unternehmensgruppe ein einheitliches Datenschutzsystem errichtet und ein gemeinsamer Datenschutzstandard geschaffen.
Durch aufsichtsbehördliche Genehmigung erlangen diese Regelungen den Status einer Datenschutzgarantie. Unter der DSGVO werden diese Garantien nunmehr EU-weit anerkannt.
Für wen sind Binding Corporate Rules sinnvoll?
Binding Corporate Rules eignen sich insbesondere dann, wenn die konzernweiten Datenströme nicht lediglich auf eine Muttergesellschaft kanalisiert sind, sondern wenn alle konzernangehörigen Unternehmen untereinander Daten in jede Richtung austauschen. In diesem Fall wäre der Abschluss von EU-Standardvertragsklauseln zu umständlich und würde zu einer unüberschaubaren Vielzahl von Verträgen führen.
Aber auch für Konzerne, die auf einen auditierbaren konzernweiten Standard Wert legen, wie es beispielsweise in der Versicherungsbranche häufig vorkommt, sind Binding Corporate Rules ein sehr interessantes Mittel. Denn nur diese können eine prüfbare und einheitliche Datenschutz-Compliance gewährleisten.
Daneben sind wohl auch der konzernweite Einsatz einer gemeinsamen IT-Lösung oder eine konzernweite Bearbeitung von Aufträgen am besten durch den Abschluss verbindlicher Unternehmensrichtlinien zu untermauern.
Anwendungsbereich von BCR
BCR dienen als taugliche „Datenschutzgarantie“ im Rahmen von Datentransfers innerhalb einer Unternehmensgruppe auch außerhalb von EU bzw. EWR. Wie unter alter Rechtslage auch, ersetzen sie weiterhin weder eine Rechtsgrundlage, noch machen sie einen Vertrag zur Auftragsverarbeitung überflüssig. Ebenso wenig sind sie anwendbar, wenn die Unternehmensgruppe verlassen wird; etwa durch den Einsatz von (Sub-)Dienstleistern.
Was beinhalten Binding Corporate Rules?
Verbindliche Unternehmensrichtlinien sind meist sehr umfangreiche Schriftwerke, da sie durch ihre Regelungsinhalte im Wesentlichen das Schutzniveau des europäischen Datenschutzrechts wiedergeben müssen. Schwerpunktmäßig beinhalten derartige Richtlinien Regelungen über Anwendungsbereich, Haftung, Sicherstellung der Verbindlichkeit, Auditierungen, die Zulässigkeit des Umgangs mit personenbezogenen Daten sowie Maßnahmen zum Schutz der Daten.
Die DSGVO enthält in Art. 47 einen umfangreichen Anforderungskatalog für BCR.
Festsetzung der konzernweiten Verbindlichkeit von BCR
Binding Corporate Rules müssen konzernweit gültige Festlegungen enthalten. Sie müssen intern für alle zugehörigen Unternehmen und Mitarbeiter verbindlich sein. Zugleich muss die Durchsetzbarkeit drittbegünstigender Regelungen durch Außenstehende, beispielsweise die Betroffenen, gewährleistet sein.
Da sich die rechtlichen Rahmenbedingungen in Staaten außerhalb des Geltungsbereichs der DSGVO teilweise immer noch unterscheiden, ist es nicht einfach, hier eine passende Lösung zu finden. Einseitige Erklärungen sind beispielsweise nicht in allen Staaten rechtlich bindend und von außen durchsetzbar. Reguläre Verträge gelten wiederum im Regelfall nur „inter partes“, also ausschließlich zwischen den Vertragsparteien, so dass sich Dritte nicht auf mögliche Vertragsverstöße berufen können. Daher gilt es, ein rechtliches Konstrukt zu schaffen, welches allen Anforderungen genügt. Im Regelfall werden vertragliche Vereinbarungen zwischen den teilnehmen Unternehmen geschlossen, in denen notwendige Drittbegünstigungen enthaltenen sind.
Haftungsregelungen im Rahmen von BCR
Ein weiterer wichtiger Teil sind die Regelungen der Haftung und der Verantwortlichkeiten beim Verstoß gegen drittbegünstigende Klauseln der Richtlinien. Der Haftungsumfang muss dabei stets dem Mindeststandard entsprechen, der auch im europäischen Raum vorherrscht. Zudem muss gewährleistet sein, dass dem Betroffenen der Rechtsweg vor ein europäisches Gericht offensteht.
Auditierung der BCR-Umsetzung
Binding Corporate Rules müssen auch Regelungen zur regelmäßigen internen Überprüfung und Hinwirkung auf die Einhaltung der Richtlinien enthalten. Verlangt sind regelmäßige Audits durch neutrale Personen, mit grundlegender Prüfung und Bewertung der Umsetzung der Richtlinien.
Wer ist zuständig für die Genehmigung von Binding Corporate Rules?
Die Genehmigung von BCR erfolgt durch die „federführende“ Aufsichtsbehörde nach Art. 56 DSGVO. Dies wird regelmäßig die Aufsichtsbehörde sein, in deren Zuständigkeitsbereich die Hauptniederlassung des beantragenden Konzerns liegt. Die Behörde muss hierbei das Kohärenzverfahren nach Art. 63 DSGVO anwenden. Eine Abstimmung mit anderen Aufsichtsbehörden ist (wie auch bisher) regelmäßig notwendig und eine Stellungnahme des europäischen Datenschutzausschusses ist vor Genehmigung einzuholen
Was passiert mit bereits vorhandenen BCR?
Art. 46 Abs. 5 DSGVO sieht vor, dass bereits vor Anwendbarkeit der DSGVO erteilte Genehmigungen für BCR gültig bleiben, solange sie die zuständige Aufsichtsbehörde nicht ändert, ersetzt oder aufhebt.
Dieser aktualisierte Artikel erschien zuerst am 27. April 2015.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.