15. Oktober 2014
Filesharing
Datenschutzrecht

Datenschutz-ABC: B wie Binding Corporate Rules („BCRs″)

Binding Corporate Rules - zum Begriff der verbindlichen Regeln zur Sicherung unternehmensinterner Datenströme.

Binding Corporate Rules (kurz BCRs) sind verbindliche Unternehmensregelungen, die sich Unternehmen einer Gruppe geben können, um die unternehmensinternen Datenströme in sogenannte Drittstaaten außerhalb der Europäischen Union, beziehungsweise des Europäischen Wirtschaftsraums, abzusichern. Ein Datentransfer in solche Drittstaaten ist nur zulässig, wenn beim Empfänger ein angemessenes Datenschutzniveau gewährleistet ist (§ 4c Abs. 2 BDSG).

Mit dem von der Art. 29-Arbeitsgruppe (einem europäischen Beratungsgremium zum Datenschutz, dem Vertreter der Aufsichtsbehörden aus den Mitgliedstaaten angehören) entwickelten Rechtsinstrument, können innerhalb einer Unternehmensgruppe rechtsverbindliche Regelungen zum Umgang mit personenbezogenen Daten innerhalb der Gruppe festgelegt werden.

Binding Corporate Rules beim Datenverkehr innerhalb Europas

Darüber hinaus können BCRs auch im Rahmen des innereuropäischen Datenverkehrs eine Rolle spielen. Das Bundesdatenschutzgesetz stellt keine besondere Rechtsgrundlage für Datenflüsse zwischen Unternehmen einer Unternehmensgruppe bereit (Datenschutzrechtler sprechen hier von dem sogenannten fehlenden Konzernprivileg). Daher bedarf jeder einzelne Datentransfer einer eigenen Rechtsgrundlage.

Aufgrund der eingeschränkten Auswahl an Rechtsgrundlagen, wird ein Datentransfer oft nur aufgrund einer Interessenabwägung (§ 28 I Nr. 2 BDSG) in Betracht kommen. Bei dieser Abwägung sind die Interessen des Betroffenen, des Empfängers und des Übertragenden abzuwägen. BCRs können dabei eine wichtige Rolle spielen und den Ausschlag dafür geben, dass das Interesse des Betroffenen an einer möglichst geringen Verbreitung seiner Daten zurücktritt.

BCRs in der Praxis komplex, aber lohnenswert

Aufgrund der Vielzahl der Beteiligten, der strengen inhaltlichen Anforderungen und der Genehmigungsbedürftigkeit, erweist sich der Abschluss von BCRs in der Praxis als komplex. Den hiermit verbundenen Aufwand haben bisher im Wesentlichen nur große Unternehmensgruppen auf sich genommen. Das Working Paper Nr. 154 der Art. 29-Arbeitsgruppe stellt klar, dass BCRs individuell auf die jeweilige Unternehmenssituation zugeschnitten sein müssen. Die bloße Übernahme eines Standardtextes ist nicht ausreichend.

Inhaltlich sollen die BCRs ein umfassendes Datenschutzkonzept für die Unternehmensgruppe enthalten, angefangen von der Festlegung des Geltungsbereiches bis hin zum Umgang mit den Rechten der Betroffenen auf Auskunft oder Löschung ihrer Daten. FAQs zu Inhalt und Wirkung der BCRs beantwortet das Working Paper Nr. 155 der Art. 29.-Arbeitsgruppe. BCRs bedürfen aufgrund ihrer europaweiten Geltung grundsätzlich der Zustimmung der Datenschutzbehörden aller EU-Mitgliedstaaten.

Mit Ausnahme von Portugal und Ungarn haben sich die Aufsichtsbehörden der Mitgliedstaaten jedoch auf ein Verfahren verständigt, bei dem eine nationale Aufsichtsbehörde mit Wirkung für die übrigen Mitgliedstaaten prüft. Typischerweise wird sie dabei von einem bis zwei Co-Prüfern aus anderen Mitgliedstaaten unterstützt.

Die Europäische Kommission hat eine Liste der Unternehmen veröffentlicht, deren BCRs eine Genehmigung erhalten haben. Es ist kein Zufall, dass sich auf dieser Liste vor allem Banken und Großkonzerne finden.

Gleichwohl sind die Erleichterungen durch BCRs nicht zu unterschätzen. Gerade wenn Datenverarbeitungsprozesse in erheblichem Umfang gruppenintern ausgesourct oder zentralisiert werden, kann sich der Aufwand langfristig lohnen.

Dies ist der zweite Teil unser Serie „Datenschutz-ABC“. Hier erläutern wir in loser Folge Grundbegriffe des Datenschutzrechts. Auch erschienen sind Artikel zur AuftragsdatenverarbeitungBinding Corporate Rules, Datenschutzerklärungen, Einwilligung und Fernmeldegeheimnis.

Tags: BCRs BDSG Binding Corporate Rules Datenschutz-ABC Datentransfer Datenverkehr fehlendes Konzernprivileg Interessenabwägung unternehmensinterne Datenströme