Ein Überblick
Binding Corporate Rules (BCR) sind bindende Unternehmensrichtlinien, welche unternehmensinterne Datentransfers erlauben. BCR werden auch in Zukunft auch eine grosse Rolle spielen: in der Datenschutz-Grundverordnung (DSGVO) wurde sich dem Thema umfangreich gewidmet. Dieser Beitrag zeigt Änderungen auf, die sich durch die DSGVO ergeben.
Als „geeignete Garantie“ sind Binding Corporate Rules eine Möglichkeit für die unternehmensinterne Datenübermittlung in unsichere Drittländer (z.B. USA und China), da dann davon auszugehen ist, dass das EU-Datenschutzniveau innerhalb der Unternehmensgruppe (auch Gruppen von Unternehmen) herrscht. Die Einführung von BCR ist jedoch ein langwieriger und kostenintensiver Prozess. Unternehmensgruppen beabsichtigen langfristig alle Unternehmensteile in allen Ländern verbindlich dem Standard der Datenschutz-Grundverordnung anzupassen. BCR sollen neben der internen Wirkung auch nach aussen Betroffenenrechte wahren. Bisher haben 82 Unternehmen erfolgreich Binding Corporate Rules eingeführt – Tendenz steigend.
Gemäss Art. 46 Abs. 1 DSGVO werden Datenübermittlungen in einen unsicheren Drittstaat erlaubt, wenn die verantwortliche Stelle oder der Auftragsverarbeiter geeignete Garantien vorsieht und für den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Es ist wichtig, dass bei der Vertragsgestaltung ein besonderes Augenmerk auf die durchsetzbaren Rechte der Betroffenen und auf wirksame Rechtsbehelfe gelegt wird. Diese sind essentiell für eine Datenübermittlung in einen Drittstaat nach der DSGVO. Art. 46 Abs. 2 DSGVO regelt, dass die Anforderungen an geeignete Garantien, ohne dass es im Einzelfall einer spezifischen Genehmigung einer Datenschutzaufsichtsbehörde bedarf, durch BCR nachgewiesen werden können. Das heisst, dass nach einmaliger Zustimmung der federführenden Aufsichtsbehörde ein ständiger Datentransfer innerhalb der Unternehmensgruppe stattfinden kann.
Die Grundanforderungen an Binding Corporate Rules sind in Art. 47 Abs. 1 DSGVO beschrieben. Diese sind:
• BCR müssen durch Aufsichtsbehörden genehmigt werden.
• Alle Mitarbeiter und Unternehmen müssen auf BCR verpflichtet werden.
• Alle Mitarbeiter und Unternehmen müssen BCR durchsetzen.
• Die Rechte der betroffenen Personen in Bezug auf die Verarbeitung müssen gewahrt werden.
Ausserdem muss nach Artikel 4 Nr. 20 DSGVO und Artikel 47 Abs. 1 lit. a DSGVO eine gemeinsame Tätigkeit von einer „Gruppe von Unternehmen“ oder von „Unternehmensgruppen“ ausgeübt werden. Wenn dies vorliegt, sind auch Vertriebs- und Kooperationspartner sowie Dienstleister ausserhalb der Unternehmensgruppe umfasst.
Im Wesentlichen geht es in Artikel 47 Abs. 2 DSGVO um die Umsetzung des vorigen Standards aus Art. 26 Abs. 2 DS-RL, welcher von der Artikel-29-Datenschutzgruppe mithilfe der entsprechenden BCR Arbeitspapieren (Working Paper) entwickelt wurde. Artikel 47 Abs. 2 DSGVO bestimmt einen genauen und umfangreichen Mindestumfang an die Gestaltung von Binding Corporate Rules. In Artikel 47 Abs. 2 DSGVO wird der Mindestumfang genau definiert. Hier eine grobe Zusammenfassung:
• a) Daten für einen transparent ersichtlichen Geltungsbereich;
• b) Informationen über die Datenübermittlungen;
• c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
• d) die allgemeinen Datenschutzgrundsätze der DSGVO;
• e) Es müssen Drittbegünstigungsklauseln aufgenommen werden;
• f) die verantwortliche und haftende Stelle muss hervorgehen;
• g) Informierungspflichten über Art und Umfang der für betroffenen einschlägigen Datenverarbeitungen und über Rechte, Rechtsbehelfe;
• h) Bezeichnung der überwachenden internen Stellen von: Einhaltung der BCR, Schulungsmassnahmen und Beschwerde;
• i) die Beschwerdeverfahren;
• j) Audit von BCR und Datenschutz;
• k) Verfahren zur Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
• l) Verfahren der Kooperation mit der zuständigen Aufsichtsbehörde;
• m) Meldeverfahren über nachteilig auf Garantien der BCR auswirkende Rechtsvorschriften an die zuständige Aufsichtsbehörde;
• n) geeignete Datenschutzschulungen für Personal mit stätigem oder regelmässigem Zugang zu personenbezogenen Daten.
Das Kohärenzverfahren ist in Artikel 63 DSGVO geregelt. Es verpflichtet alle Mitgliedsstaaten Binding Corporate Rules uneingeschränkt anzuerkennen. Es kommt zum Einsatz, wenn der Datenfluss die Grenzen der EWR überschreiten soll. Durch dieses verbindliche Instrument können Konflikte zwischen Aufsichtsbehörden behoben werden. Dies hat zur Folge, dass die Harmonisierung des Europäischen Datenschutzrechtes vorangetrieben wird. Damit wird das datenschutzrechtliche Forum Shopping in Europa endgültig unterbunden. So kann beispielsweise Facebook keine Vorteile mehr aus dem Standort in Irland ziehen.
Das Kohärenzverfahren gewährleistet eine einheitliche Rechtsanwendung. Dem Erwägungsgrund 135 der DSGVO ist zu entnehmen, dass das Kohärenzverfahren eine einheitliche Anwendung der Verordnung in der gesamten Union sicherstellen soll. Dies fördert die Zusammenarbeit und die Kommunikation der Aufsichtsbehörden und beschleunigt den Prozess der Genehmigung von Binding Corporate Rules.
Die Datenschutz-Grundverordnung hat im Vergleich zur aktuellen Rechtslage eine Menge Vorteile.
• Durch das Kohärenzverfahren wird eine Möglichkeit geschaffen, den Prozess zwischen den Aufsichtsbehörden unbürokratischer und somit schneller zu gestalten. Dies ist eine wichtige Entwicklung, welche den Harmonisierungsvorgang entfesselt. So können Unternehmen kein datenschutzrechtliches Forum Shopping mehr betreiben und somit von der unzureichendem Datenschutzniveau eines Landes profitieren.
• Nach Art 46 Abs. 2 DSGVO müssen nach Anerkennung der BCR keine weiteren Genehmigungen für Datentransfers eingeholt werden.
• Durch die Aufnahme von Binding Corporate Rules in die Datenschutz-Grundverordnung wurden das Instrument offiziell vom EU-Gesetzgeber gestärkt und weiter anerkannt.
• Der Anwendungsbereich von BCR wurde auf Auftragsverarbeiter erweitert (siehe Art. 4 Nr. 8 DSGVO).
Auch wenn Binding Corporate Rules einen zeit- und kostenaufwendigen Prozess darstellen, kommt dieses Instrument für Unternehmen immer mehr in Frage, da sie im Vergleich zu Standardvertragsklauseln individueller an das Unternehmen angepasst werden können.
Datenschutzbeauftragter-info.de; Dr. Datenschutz; 24.03.2017
https://www.datenschutzbeauftragter-info.de/internationale-datentransfers-binding-corporate-rules-nach-dsgvo/