Globus mit leuchtenden Netzwerklinien, umgeben von einem futuristischen Ring, vor einem digitalen Hintergrund.

Binding Corporate Rules: Rechtssicherer Datentransfer in Drittstaaten

Internationale Konzerne, die personenbezogene Daten in Drittländer übertragen, müssen ein angemessenes Datenschutzniveau nachweisen. Binding Corporate Rules bieten dafür eine rechtskonforme und EU-weit anerkannte Lösung – was sie genau sind und wann sie sich lohnen, erklären wir in diesem Beitrag.

Home » Datenschutz » Wissen » Binding Corporate Rules

Kurz und bündig zu Binding Corporate Rules (BCR)

Datenschutz für den konzerninternen Datentransfer in Drittländer
Binding Corporate Rules sind ein Instrument, um für die Übertragung personenbezogener Daten in Drittländer außerhalb der Europäischen Union innerhalb einer Unternehmensgruppe ein angemessenes Datenschutzniveau zu schaffen.
Gesetzliche Verankerung durch DSGVO
Mit Einführung der DSGVO haben BCR in Art. 47 DSGVO eine gesetzliche Verankerung erfahren und werden seitdem in einem einheitlichen Verfahren von den europäischen Aufsichtsbehörden genehmigt und in allen EU-Mitgliedstaaten anerkannt.
Was Binding Corporate Rules inhaltlich regeln müssen
Die Datenschutz-Grundverordnung enthält einen detaillierten Katalog von regelungsbedürftigen Inhalten der Binding Corporate Rules.
Vereinfachung des Genehmigungsprozesses
Durch das Genehmigungsverfahren soll der Genehmigungsprozess von Binding Corporate Rules vereinfacht werden.

Binding Corporate Rules: Datenschutz für den konzerninternen Datentransfer in Drittstaaten

International agierende Konzerne übertragen täglich personenbezogene Daten über Staatsgrenzen hinweg. Das europäische Datenschutzrecht stellt dabei hohe Anforderungen – besonders wenn Daten in Länder fließen, die kein vergleichbares Schutzniveau bieten. Binding Corporate Rules schaffen hier Abhilfe: Als verbindliche interne Datenschutzvorschriften ermöglichen sie multinationalen Unternehmensgruppen den rechtskonformen Datentransfer in unsichere Drittstaaten. Ergänzt wird dies, falls erforderlich, durch eine Prüfung des Schutzniveaus im Empfängerland sowie gegebenenfalls durch zusätzliche technische und organisatorische Maßnahmen.

Wie Binding Corporate Rules entstanden sind

Die Idee verbindlicher Unternehmensregelungen entstand bereits Ende der 1990er Jahre. Bis dahin musste für jede einzelne Datenübertragung ein separater Vertrag geschlossen werden – ein erheblicher administrativer Aufwand für internationale Konzerne. Die zentrale Frage lautete: Können selbstverpflichtende Regeln als ausreichende Datenschutzgarantie bei internen Übermittlungen in unsichere Drittstaaten gelten?

Der europaweite Bedarf nach einer flexibleren Lösung für den konzerninternen Datentransfer führte zur Idee selbstverpflichtender Unternehmensregeln. Nach jahrelanger Diskussion auf europäischer Ebene stand fest: Art. 26 Abs. 2 95/46/EC bildet die taugliche Rechtsgrundlage für verbindliche Unternehmensregelungen.

Der deutsche Gesetzgeber machte 2001 den ersten Schritt und verankerte Unternehmensregelungen im § 4c Abs. 2 BDSG – ohne dass es zu diesem Zeitpunkt konkrete Vorgaben für deren Ausgestaltung gab. Nichtsdestotrotz kannten deutsche Behörden im Juli 2002 nach intensiver Zusammenarbeit die ersten zwei BCR der DaimlerChrysler AG an.

Die Praxisarbeit machte schnell deutlich, dass eine europaweite Koordinierung dringend notwendig war. Deutsche, österreichische und niederländische Datenschutzbehörden diskutierten ein gemeinsames Verfahren – die Bemühungen gipfelten im September 2002 in einem ersten Treffen, auf dem Kriterien für die Federführung einer europäischen Aufsichtsbehörde besprochen wurden.

Die Idee der Unternehmensregelung war aus Sicht einiger Aufsichtsbehörden von vornherein verlockend, wird doch auf diese Art der Datenschutz in die Welt getragen, eben auch in Länder, in denen kaum oder kein Datenschutz existiert.

Anja-Maria Gardain, Pressesprecherin des Berliner Beauftragten für Datenschutz und Informationsfreiheit

Parallel dazu arbeitete die Art. 29-Datenschutzgruppe – das unabhängige Beratungsgremium der Europäischen Kommission – an einem Arbeitsdokument zu verbindlichen Unternehmensregeln. Das sogenannte WP-74 griff dabei sowohl den Begriff der Binding Corporate Rules als auch die Ansätze der deutschen, österreichischen und niederländischen Behörden für eine europaweite Koordination auf.

Konkretisiert wurden diese Ansätze erst auf einer Konferenz der Art. 29-Datenschutzgruppe im ersten Halbjahr 2004. Dort wurde der Koordinationsprozess bei der Bewilligung von BCR intensiv diskutiert und festgelegt, welche europäischen Behörden die Federführung bei einem ersten Testlauf übernehmen sollten – unter anderem in den Fällen DaimlerChrysler, General Electric, Philips, KPMG International und British Petrol B.

Die Ergebnisse der Probeverfahren führten dazu, dass sich die Art. 29-Datenschutzgruppe am 14. April 2005 auf ein europaweites einheitliches Anerkennungsverfahren für BCR einigte. Die Koordination übernahm jeweils eine federführende Behörde mit zwei Beisitzenden. Da die Teilnahme freiwillig war, beteiligten sich nicht alle EFTA-Länder – mit der Folge, dass Binding Corporate Rules zunächst nur in den teilnehmenden Staaten wirksam waren.

Zuletzt nahmen die folgenden 21 Länder an dem Verfahren teil: Österreich, Belgien, Bulgarien, Zypern, Tschechien, Estland, Frankreich, Deutschland, Island, Irland, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Slowakei, Slowenien, Spanien und das Vereinigte Königreich.

Am 14. April 2005 einigte sich die Art. 29-Datenschutzgruppe auf ein europaweites einheitliches Anerkennungsverfahren. Zuletzt nahmen 21 Länder teil – darunter Deutschland, Frankreich, die Niederlande und Österreich.

Im Laufe der Jahre konkretisierte die Art. 29-Datenschutzgruppe die Anforderungen an das Einführungsverfahren der Binding Corporate Rules und vereinfachte es schrittweise für Unternehmen. 2008 wurden weitere Arbeitspapiere veröffentlicht. Mit der Aufnahme von BCR in die Datenschutz-Grundverordnung stärkte der EU-Gesetzgeber das Instrument offiziell und verschaffte ihm EU-weite Anerkennung.

Binding Corporate Rules unter der Datenschutz-Grundverordnung

Regelung von Binding Corporate Rules in der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung verankert Binding Corporate Rules eigenständig in Artikel 47 DSGVO – mit klaren Vorgaben zu den wesentlichen Voraussetzungen und erforderlichen Mindestinhalten.

Art. 47 Abs. 1 DSGVO sieht vor, dass die zuständige Aufsichtsbehörde die Binding Corporate Rules im Kohärenzverfahren nach Art. 63 ff. DSGVO genehmigt. Die Federführung übernimmt dabei die Behörde am europäischen Hauptsitz der Unternehmensgruppe – sie ist nach Art. 56 Abs. 6 DSGVO der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter und bindet alle weiteren nationalen Aufsichtsbehörden in das Genehmigungsverfahren ein.

Binding Corporate Rules als geeignete Garantien

Nach Artikel 46 Abs. 2 lit. b DSGVO gelten BCR als geeignete Garantie für die Übertragung personenbezogener Daten in unsichere Drittländer.

Art. 46 Abs. 2 DSGVO stellt klar: Binding Corporate Rules sind ein anerkannter Nachweis für geeignete Garantien beim Drittstaatentransfer ohne, dass es für jeden einzelnen Datentransfer einer gesonderten Genehmigung bedarf. Nach einmaliger Zustimmung der federführenden Aufsichtsbehörde kann der Datentransfer innerhalb der Unternehmensgruppe dauerhaft und rechtskonform stattfinden. Gegebenenfalls ergänzt um eine Prüfung des Schutzniveaus im Empfängerland und falls erforderlich durch zusätzliche technische und organisatorische Maßnahmen ergänzt. Gemäß Art. 46 Abs. 1 DSGVO wurde der Anwendungsbereich zudem auf Auftragsverarbeiter ausgeweitet.

Die Anforderungen in Art. 47 DSGVO entsprechen weitgehend den früheren Vorgaben der Art. 29-Datenschutzgruppe. Der Europäische Datenschutzausschuss konkretisiert sie heute durch fortlaufend aktualisierte Leitlinien. Binding Corporate Rules bleiben damit ein dynamisches Instrument.

Damit Binding Corporate Rules wirksam eingesetzt werden können, müssen sie verbindlich für alle Mitglieder und Beschäftigten der Unternehmensgruppe gelten und von diesen aktiv durchgesetzt werden. Darüber hinaus müssen sie den betroffenen Personen durchsetzbare Rechte in Bezug auf ihre Daten einräumen und so ein hohes Schutzniveau innerhalb des gesamten Konzerns sicherstellen.

Wie Binding Corporate Rules in der Praxis wirken

Ein häufiges Missverständnis: BCR legitimieren nicht jeden Datentransfer innerhalb eines Konzerns automatisch. Stattdessen gilt das Zwei-Stufen-Prinzip:

Erste Stufe: Die Datenübermittlung benötigt eine Rechtsgrundlage, wie bei jedem Transfer innerhalb der EU.
Zweite Stufe: Erst wenn diese Grundlage vorliegt, kommen Binding Corporate Rules als Nachweis eines angemessenen Datenschutzniveaus beim Datenempfänger im Drittland ins Spiel.

Binding Corporate Rules greifen bei der Übertragung personenbezogener Daten in außereuropäische Staaten also erst auf der zweiten Ebene. Im Einzelfall bleibt stets zu prüfen, ob ein gesetzlicher Erlaubnistatbestand die Übertragung abdeckt. Ist das der Fall, gelten Binding Corporate Rules als ausreichende Garantie für ein angemessenes Schutzniveau und ermöglichen so einen dauerhaften, rechtssicheren Datentransfer innerhalb der Unternehmensgruppe.

Warnsymbol in Form eines Dreiecks mit einem Ausrufezeichen und einem Punkt in der Mitte, in sanften Farben.

Das Zwei-Stufen-Prinzip

STUFE 1: Zunächst wird geprüft, auf welche Rechtsgrundlage sich die Übermittlung stützt , etwa der Versand von Mitarbeiterdaten einer deutschen Tochtergesellschaft an die amerikanische Muttergesellschaft. Zu Verwaltungszwecken kann hier beispielsweise Art. 6 Abs. 1 S. 1 lit. f DSGVO einschlägig sein.

STUFE 2: Erst auf dieser Ebene kommen die BCR ins Spiel. Sie dienen als geeignete Garantien nach Art. 46 Abs. 2 lit. b DSGVO, sofern die BCR genehmigt sind und das rechtliche Umfeld im Empfängerland geprüft wurde. Ist zum Beispiel ein US Unternehmen nicht nach dem EU-US Data Privacy Framework zertifiziert, können BCR, ergänzt um eine Risikoanalyse und ggf. zusätzliche technische und organisatorische Maßnahmen, eine eigenständige Grundlage für konzerninterne Übermittlungen in die USA bieten.

Diese Inhalte werden in Bindung Rules geregelt:

Bei den Bestimmungen in Artikel 47 Abs. 2 DSGVO handelt es sich im Wesentlichen um die Umsetzung des vorigen Standards aus Art. 26 Abs. 2 DS-RL, welcher von der Artikel 29‑Datenschutzgruppe mithilfe der entsprechenden BCR Arbeitspapieren ausgearbeitet wurde.

Artikel 47 Abs. 2 DSGVO bestimmt folgende Mindestvoraussetzungen für die Gestaltung von Binding Corporate Rules.

Festlegung des Geltungsbereichs (Angabe aller Staaten, in die ein Datentransfer ermöglicht werden soll und Angabe der sich verpflichtenden Unternehmen)
transparente Beschreibung der vorgesehenen Datenübermittlungen
interne und externe Rechtsverbindlichkeit der BCR
Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere aus Art. 5 DSGVO
Rechte der betroffenen Personen / Drittbegünstigungsklauseln
Haftung für Verstöße von nicht in der Union niedergelassenen Mitgliedern
Information der betroffene Personen von den Inhalten der BCR
Überwachung der Einhaltung der BCR’s durch die dafür vorgesehenen Personen, insbesondere des Datenschutzbeauftragten durch geeignete Maßnahmen
Beschwerdeverfahren
Selbstverpflichtung auf Durchführung eines Auditprogramms
Verfahren bei Änderung der BCR
Verfahren für die Zusammenarbeit mit den Aufsichtsbehörden
Meldeverfahren für den Fall, dass Bestimmungen in Drittstaaten nachteilige Wirkung auf die durch die BCR geschaffenen Garantien haben könnten
Datenschutzschulungen für Personen mit regelmäßigem Zugang zu personenbezogenen Daten

Eine Frau mit langen, braunen Haaren trägt einen schwarzen Pullover und einen blauen Blazer, lächelt und steht mit erhobener Hand.

Dr. Alina Weskamp-Nordmann, LL.M.

Juristin

Ich berate Sie gerne

Rufen Sie uns an oder schreiben Sie uns über das Kontaktformular.

+49 40 790 235 0

sales@intersoft-consulting.de

Häufig gestellte Fragen

Wie funktionieren Binding Corporate Rules in der Praxis – und was regeln sie konkret?

Binding Corporate Rules sind verbindliche interne Datenschutzvorschriften, die multinationalen Unternehmensgruppen den rechtskonforme Datentransfer in unsichere Drittländer ermöglichen. Sie legen konzernweit fest, wie personenbezogene Daten zu handhaben sind und gelten für alle Mitglieder und Beschäftigten der Unternehmensgruppe. Als geeignete Garantien im Sinne von Art. 46 Abs. 2 lit. b DSGVO können sie Datentransfers in Drittländer ohne Angemessenheitsbeschluss rechtlich absichern – ergänzt um eine Bewertung des Schutzniveaus im Empfängerland und gegebenenfalls zusätzliche technische und organisatorische Maßnahmen.

Der Weg zur Einführung folgt einem klar strukturierten Prozess:

Bestimmung, welche nationale Behörde für die Genehmigung der BCR zuständig ist. Dies ist normalerweise die Aufsichtsbehörde am europäischen Hauptsitz (Hauptniederlassung) der Unternehmensgruppe.
Erstellung der BCR: Die BCR werden auf Basis der Leitlinien der ehemaligen Artikel‑29‑Datenschutzgruppe und des heutigen Europäischen Datenschutzausschusses (EDSA) ausgearbeitet. Inhaltliche Anforderungen ergeben sich insbesondere aus den Mindestinhalten des Art. 47 Abs. 2 DSGVO.
Kohärenzverfahren mit einheitlichem Genehmigungsverfahren mit übereinstimmenden Verfahrens- und Anerkennungsvoraussetzungen für alle EU-Mitgliedstaaten. Um Daten auf Grundlage von BCRS’s übermitteln zu können, ist eine Genehmigung der BCR durch die zuständige Aufsichtsbehörde erforderlich. Gleichwohl bleibt eine Prüfung des jeweiligen Drittlands ohne Angemessenheitsbeschluss und ggf. der Einsatz zusätzlicher Schutzmaßnahmen erforderlich.
Genehmigung der BCR durch die zuständige Aufsichtsbehörde: Beabsichtigt die federführende Aufsichtsbehörde die BCR zu genehmigen, legt sie den abgestimmten Entwurf gemäß Art. 64 Abs. 1 lit. f DSGVO dem Ausschuss zur Stellungnahme vor – inklusive der Standpunkte aller betroffenen Aufsichtsbehörden. Folgt sie der Stellungnahme nicht, kann der Europäische Datenschutzausschuss das Streitbeilegungsverfahren nach Art. 65 DSGVO einleiten.

Rechtsgrundlage: Binding Corporate Rules legitimieren nicht jeden Datentransfer innerhalb eines Konzerns automatisch. Zunächst bedarf es stets einer Rechtsgrundlage nach Art. 6 DSGVO. Erst auf zweiter Ebene kommen die BCR ins Spiel – als geeignete Garantie für ein angemessenes Datenschutzniveau beim Datenempfänger im Drittstaat.

Welche Nachteile haben Binding Corporate Rules?

Der größte Nachteil von Binding Corporate Rules liegt im erheblichen Zeit- und Kostenaufwand. Umfangreiche Behördenanforderungen, die Prüfung durch mehrere europäische Aufsichtsbehörden und zusätzlich erforderliche Verträge führten dazu, dass der Prozess von der Gestaltung bis zur Genehmigung in der Regel ein bis zwei Jahre in Anspruch nahm – ein Faktor, den Unternehmen bei der Planung nicht unterschätzen sollten. Anders als im früheren Mutual Recognition-Verfahren, bei dem alle beteiligten Länder die Entscheidung der federführenden Behörde direkt als bindend anerkannten, müssen nun erneut sämtliche Aufsichtsbehörden mit den BCR befasst werden – inklusive der Übersetzungen in alle relevanten Landessprachen. Das kostet Zeit. Für Unternehmen mit sporadischem Datentransfer sind Standarddatenschutzklauseln die pragmatischere Wahl. Sie erfordern keine individuellen Anpassungen und sind deutlich schneller implementierbar. Auch eine EU-U.S. Data Privacy Framework Zertifizierung ist für ein US Unternehmen, welches nur in der USA und Europa agiert, leichter umzusetzen.

Welche Erfolgsfaktoren sind wichtig?

Erfahrungsgemäß gibt es insbesondere zwei kritische Erfolgsfaktoren beim Aufbau eines Informationssicherheitsmanagementsystems (ISMS): Die Unterstützung durch die Geschäftsleitung und eine Person, die die Rolle des Informationssicherheitsbeauftragten (ISB) ausfüllt. Ohne die Geschäftsleitung stehen die notwendigen Ressourcen nicht bereit und es fehlt die Bereitschaft der anderen Managementebenen, das ISMS-Projekt zu unterstützen. Der ISB wiederum ist das „Gesicht“ der Informationssicherheit und repräsentiert sie nach innen und außen. Er integriert die unterschiedlichen Anforderungen und vermittelt bei Zielkonflikten. Weder die Unternehmensgröße (es gibt auch zertifizierte Unternehmen mit nur einem Mitarbeiter) noch die Branche oder der zur Verfügung stehende Zeitraum (auch in acht Wochen kann ein ISMS aufgebaut werden) haben einen wesentlichen Einfluss auf den Erfolg.

Lohnen sich Binding Corporate Rules?

Binding Corporate Rules sind bei der Datenübertragung eines Unternehmens in das Ausland nicht der Weisheit letzter Schluss. Dies liegt einerseits daran, dass ihre Entwicklung ein andauernder Prozess ist. Andererseits stellen BCR aufgrund der Kosten und der wahrscheinlich nach wie vor relativ langen Umsetzungszeit vor allem eine mittel- bis langfristige Lösung bei der Datenübertragung dar. Wer weltweit personenbezogenen Daten übermittelt, muss für eine kurzfristige Lösung weiterhin auf EU-Standardvertragsklauseln zurückgreifen – wenn ein Drittland über keinen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO verfügt. Nichtsdestotrotz sind Binding Corporate Rules für international agierende Großunternehmen eine praktikable Lösung. Wie sich die Genehmigung von BCR in der Zukunft darstellen wird, bleibt abzuwarten.

Inhaltsübersicht

Sie haben weitere Fragen?

Dr. Alina Weskamp-Nordmann, LL.M.

Juristin

Jetzt beraten lassen

„*“ zeigt erforderliche Felder an

X/Twitter

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Anrede

Vorname Nachname*

Position

Unternehmensname*

Mitarbeiteranzahl

Telefon*

E-Mail*

Bemerkungen

Wie sind Sie auf uns aufmerksam geworden?

Ihre Angaben werden selbstverständlich vertraulich behandelt. intersoft consulting services sichert Ihnen zu, Ihre persönlichen Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage zu nutzen und nicht an Dritte weiterzugeben. Die Datenübertragung erfolgt verschlüsselt.