Binding Corporate Rules – ein unternehmenseigener Privacy Shield

Der Privacy Shield wurde unlängst vom Europäischen Gerichtshof (EuGH) gekippt. Daher ist fraglich, ob und wie eine Übermittlung personenbezogener Daten in die USA zukünftig noch möglich ist. Eine Möglichkeit zur rechtssicheren Übermittlung könnten Binding Corporate Rules (BCR) sein.

Dabei handelt es sich um einen datenschutzrechtlichen Mechanismus, um die Datenübermittlung personengeschützter Daten von einem europäischen Staat in einen sogenannten Drittstaat zu ermöglichen.

Was sind BCR?

Unter BCR versteht man einen unternehmensinternen, festgelegten Rahmen bzw. Richtlinien zum Umgang mit personenbezogenen Daten. BCR sind damit Teil eines umfassenden Datenschutzkonzepts. Diese Richtlinien gelten für alle Mitglieder einer Unternehmensgruppe und garantieren so den einheitlichen Umgang mit personenbezogenen Daten innerhalb dieser Unternehmensgruppe. 

Warum sind Datentransfermechanismen nötig?

Die Datenübermittlung in Drittländer ist nur unter strengen Voraussetzungen möglich. Die Übermittlung ist beispielsweise zulässig, wenn demjenigen Land, in welches die Daten übermittelt werden sollen, durch einen Angemessenheitsbeschluss der Europäischen Kommission ein angemessenes Datenschutzniveau bescheinigt wird. In einem solchen Fall spricht man von einem sicheren Drittstaat. Sofern kein solcher Beschluss vorliegt, ist eine Datenübertragung in den Drittstaat nur zulässig, wenn auf andere Weise ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet wird.

Zur Sicherstellung des geeigneten Schutzniveaus kann ein Vertrag geschlossen werden, welcher den Umgang mit personenbezogenen Daten reguliert. In einem solchen Vertrag legen der Übermittler und der Empfänger der Daten verbindlich Regeln für die Datenübermittlung von personenbezogenen Daten fest. Dies ist beispielsweise durch Standarddatenschutzklauseln (auch Standardvertragsklauseln genannt) möglich. Dabei handelt es sich um einen Mustervertrag der EU-Kommission, dessen Abschluss zur Annahme eines angemessenen Schutzniveaus führt.

Die Datenschutz-Grundverordnung (DSGVO) sieht als weitere Möglichkeit vor, dass in einem Unternehmen für alle Mitglieder der Unternehmensgruppe verbindliche interne Datenschutzvorschriften erlassen werden. Diese werden als BCR bezeichnet.

Was wird mit BCR geregelt?

Die BCR regeln insgesamt den Umgang mit personenbezogenen Daten im Unternehmen. Es werden insbesondere 

  • die Erhebung, 
  • die Verarbeitung und 
  • die Übermittlung 

von Daten innerhalb der Unternehmensgruppe festgelegt.

Neben diesen Punkten werden über BCR oft auch Schulungen für Mitarbeiter und ähnliche Punkte geregelt. Ebenso werden in BCR die Rechte der Betroffenen, etwa Auskunftsrechte und das Recht auf Löschung bzw. Berichtigung der Daten geregelt.

Letztlich gibt sich eine Unternehmensgruppe damit interne Regeln, die gleichermaßen für alle Gruppenunternehmen gelten, unabhängig davon, in welchem Land die tatsächliche Datenverarbeitung stattfindet.

BCR müssen von Datenschutzbehörde genehmigt werden

BCR müssen von der zuständigen Datenschutzbehörde genehmigt werden. Dafür muss ein Antrag bei der Behörde gestellt werden. Dann werden die BCR von der Aufsichtsbehörde im Rahmen eines Kohärenzverfahrens (d.h. mit anderen Aufsichtsbehörden gemeinsam) eingehend geprüft und bei Erfüllung der gesetzlichen Voraussetzungen genehmigt.

Vor- und Nachteile von BCR

Der größte Vorteil von BCR liegt darin, dass die Unternehmensgruppe ein Datenschutzprogramm erhält, das auf die jeweiligen besonderen Bedürfnisse zugeschnitten ist. Dadurch ist es möglich, dass der Datenschutz in die Unternehmenskultur eingearbeitet wird, wodurch auch eine höhere Compliance erreicht wird.

Falls ein Unternehmen sich dazu entschließt, BCR zu nutzen, fällt dies auch nach außen hin positiv auf, da damit gezeigt wird, dass Datenschutz dem Unternehmen wichtig ist und das Unternehmen sich mit diesem Thema eindringlich beschäftigt.

Durch den Umfang von BCR und auch wegen der Dauer des Entwicklungsprozesses ist zudem sichergestellt, dass das Thema Datenschutz auch bei den Mitarbeitern im Bewusstsein ist. Ein weiterer Vorteil liegt darin, dass durch die Genehmigung durch die Aufsichtsbehörde sichergestellt ist, dass das von dem Unternehmen entwickelte Datenschutzkonzept keine wesentlichen Lücken enthält.

Wegen des recht aufwendigen Genehmigungsverfahrens ist die Dauer der Erstellung von BCR ein Nachteil. Die Erstellung und Genehmigung von BCR sind selten unter zwölf Monaten machbar.

BCR ideal für Unternehmensgruppen

Insgesamt handelt es sich bei BCR um eine gute Möglichkeit, den Datenschutz passend für eine Unternehmensgruppe zu gestalten und umzusetzen. Im Gegensatz zu Standardvertragsklauseln können bei BCR individuelle Unternehmensbedürfnisse berücksichtigt werden und man ist insgesamt sicherer aufgestellt, da die Standardvertragsklauseln als Transfermechanismus durchgehend in Frage gestellt werden.

Zuletzt hat der EuGH in der berühmten Schrems-II-Entscheidung (EuGH, vom 16.07.2020 – C-311/18, WM 2020, 1495) festgestellt, dass die Vereinbarung von Standardvertragsklauseln allein nicht ausreicht. Vielmehr muss zusätzlich geprüft werden, ob eine tatsächliche Durchsetzbarkeit der darin enthaltenen Bestimmungen im Land des Datenimporteuers überhaupt möglich erscheint. Auch bei BCR muss detailliert geprüft werden, wie es sich um das Datenschutzniveau im Land des Datenexporteuers verhält und welche ergänzenden Sicherheitsmaßnahmen umgesetzt werden müssen, um einen effektiven Schutz zu gewährleisten.

Unsere Beratungsleistungen zu Binding Corporate Rules

Falls Ihr Unternehmen bei der Gestaltung und Einführung von BCR Hilfe benötigt, stehen wir Ihnen gern beratend während des gesamten Prozesses zur Seite. Wir unterstützen Sie bei

  • der Identifizierung der zuständigen europäischen Aufsichtsbehörde in Europa, wenn mehrere Konzernunternehmen vorhanden sind,
  • der Erstellung und Formulierung der Binding Corporate Rules,
  • der Kommunikation mit der Aufsichtsbehörde sowie
  • der Kooperation mit Partnern im Ausland, wenn Daten in unterschiedliche Drittstaaten transferiert werden sollen.

Ihr Anwalt für Binding Corporate Rules (BCR)

Ihre Ansprechpartner zu Datenschutz und Binding Corporate Rules sind Rechtsanwältin Olga Stepanova (Externe Datenschutzbeauftragte) und Rechtsanwalt Lars Gerbe (Datenschutzauditor). Kontaktieren Sie uns jederzeit gern unter info@winheller.com oder 069 / 76 75 77 80 für ein unverbindliches Angebot durch unsere Experten.

"Datenschutz": Die neusten Beiträge in unserem Blog

Google muss unangenehme Berichterstattungen nicht immer löschen

- Olga Stepanova

Google muss unangenehme Berichterstattungen nicht immer löschen

AOK muss Bußgeld in Millionenhöhe bezahlen

- Olga Stepanova

AOK muss Bußgeld in Millionenhöhe bezahlen

Schutz von Daten und Geschäftsgeheimnissen im Unternehmen – Synergieeffekte nutzen

- Olga Stepanova

Schutz von Daten und Geschäftsgeheimnissen im Unternehmen – Synergieeffekte nutzen

Aktuelles

1601559545 > 1602540000

Datenschutzexpertin Olga Stepanova zur Kooperation von Deutsche Bank und Google

Mehr

Kontakt

Kontakt

Auszeichnungen

Juve AwardLegal 500 Deutschland 2019 – Top 2 im Nonprofit-Sektor
azur100: Top-Arbeitgeber für Juristen 2018