Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
Info

Binding Corporate Rules

Binding Corporate Rules (BCR) legitimieren in einem Konzern rechtmäßige Datenübertragungen in unsichere Drittländer. Wir erklären die Hintergründe des Rahmenwerks und wann sich eine Einführung lohnt.
No anker items found

Inhaltsverzeichnis

Kurz und bündig

  • Binding Corporate Rules sind ein Instrument, um für die Übertragung personenbezogener Daten in Drittstaaten außerhalb der Europäischen Union innerhalb einer Unternehmensgruppe ein angemessenes Datenschutzniveau zu schaffen.
  • Mit Einführung der DSGVO haben Binding Corporate Rules eine gesetzliche Verankerung erfahren, so dass sie nunmehr in allen Ländern der Europäischen Union Anerkennung finden.
  • Die Datenschutz-Grundverordnung enthält einen detaillierten Katalog von regelungsbedürftigen Inhalten der Binding Corporate Rules.
  • Durch das neue Genehmigungsverfahren soll der Genehmigungsprozess von Binding Corporate Rules vereinfacht werden.

Binding Corporate Rules

Was sind Binding Corporate Rules?

Im Tagesgeschäft von international agierenden Konzernen werden häufig personenbezogene Daten über Staatsgrenzen hinaus von einem Unternehmen zum anderen übertragen. Das europäische Datenschutzrecht stellt aber an die Übertragung von personenbezogenen Daten in ein Drittland mit niedrigerem Datenschutzniveau besonders hohe Anforderungen. Da nur einige wenige Länder von der EU-Kommission als sichere Drittländer eingestuft werden, gewinnen Binding Corporate Rules (BCR = dt.: verbindliche interne Datenschutzvorschriften) bei Konzernen und Unternehmensgruppe zunehmend an Bedeutung. BCR sind interne Unternehmensregeln, welche die Handhabung des Datenschutzes in der Unternehmensgruppe verbindlich festlegen. Ein solches Regelwerk ermöglicht multinationalen Konzernen die datenschutzkonforme Übertragung von personenbezogenen Daten aus Europa an ihre Standorte in unsicheren Drittstaaten.

Geschichte der Binding Corporate Rules

Die Idee von verbindlichen Unternehmensregelungen, welche den Datentransfer von international agierenden Konzernen vereinfachen, entstand schon Ende der 90er Jahre. Zu diesem Zeitpunkt mussten noch für sämtliche Datenübertragungen einzelne Verträge abgeschlossen werden. Deshalb bestand das Verlangen nach einer weiteren Möglichkeit des Datentransfers. Man überlegte, ob selbstverpflichtende Regeln als ausreichende Datenschutzgarantie bei der internen Übermittlung von personenbezogenen Daten in unsichere Drittstaaten gelten könnten. Dafür musste jedoch zunächst geklärt werden, ob und auf welcher Grundlage die europäische Datenschutzrichtlinie ein solches Konstrukt zulässt. Am Ende der jahrelangen Diskussion stand als Ergebnis, dass Art. 26 Abs. 2 95/46/EC eine taugliche Rechtsgrundlage für verbindliche Unternehmensregelungen ist.

Während auf europäischer Ebene noch diskutiert wurde, ergriff der deutsche Gesetzgeber bei der Umsetzung der europäischen Datenschutzrichtlinie im Jahr 2001 die Initiative und nahm Unternehmensregelungen als Beispiel für eine ausreichende Datenschutzgarantie bei Datenübertragung in unsichere Drittstaaten in den § 4c Abs. 2 BDSG auf. Dies stellte die deutschen Datenschutzbehörden vor das Problem, dass es noch keine Anhaltspunkte gab, wie solche verbindlichen Unternehmensregelungen auszusehen haben. Nichtsdestotrotz wurden im Juli 2002 die ersten zwei Unternehmensregelungen der DaimlerChrysler AG nach zeitintensiver Zusammenarbeit von den deutschen Behörden anerkannt. Die Praxisarbeit an diesen und weiteren Unternehmensreglungen machte die Notwendigkeit einer europaweiten Verfahrenskoordinierung bei der Anerkennung deutlich. Ein solches Verfahren wurde zwischen den deutschen, österreichischen und niederländischen Datenschutzbehörden diskutiert. Die Bemühungen gipfelten in einem ersten Treffen im September 2002, auf dem Anknüpfungskriterien für die Federführung einer Aufsichtsbehörde in Europa besprochen wurden.

„Die Idee der Unternehmensregelung war aus Sicht einiger Aufsichtsbehörden von vornherein verlockend, wird doch auf diese Art der Datenschutz in die Welt getragen, eben auch in Länder, in denen kaum oder kein Datenschutz existiert.“
Anja-Maria Gardain,
Pressesprecherin des Berliner Beauftragter für Datenschutz und Informationsfreiheit

Zur selben Zeit arbeitete die Art. 29‑Datenschutzgruppe (unabhängiges Beratungsgremium der europäischen Kommission in Fragen des Datenschutzes) an einem Arbeitsdokument mit Erwägungen zu verbindlichen Unternehmensregeln. Neben dem Begriff der Binding Corporate Rules, griff das WP-74 auch die Ansätze der deutschen, österreichischen und niederländischen Datenschutzbehörden für eine europaweite Koordination auf. Doch es sollte noch bis zu einer Konferenz der Art. 29‑Datenschutzgruppe im ersten Halbjahr 2004 dauern, bevor diese Ansätze konkretisiert wurden. Auf dieser befasste sie sich intensiv mit dem Koordinationsprozess bei der Bewilligung von Binding Corporate Rules. Im Rahmen der Konferenz wurde auch festgelegt, welche europäischen Behörden jeweils die Federführung bei einem ersten Testlauf der koordinierten Annahme von BCR im Fall DaimlerChrysler, General Electric, Philips, KPMG International und British Petrol BP übernehmen.

Die Ergebnisse dieser Probeverfahren führte dazu, dass sich die Art. 29‑Datenschutzgruppe am 14. April 2005 darauf verständigte, Binding Corporate Rules nach einem europaweiten einheitlichen Verfahren anzuerkennen und deren Inhalt nach einheitlichem europäischen Standard zu prüfen. Der Prozess der Koordination wurde von einer federführenden Datenschutzbehörde und zwei Beisitzenden durchgeführt. Da die Teilnahme der Datenschutzbehörden an dem Koordinationsverfahren freiwillig war, waren nicht alle Länder des EFTA-Raums an dem Verfahren beteiligt. Für die Praxis bedeutet dies, dass nach dem Verfahren die Binding Corporate Rules auch nur in den teilnehmenden Staaten wirksam waren.

Zuletzt nahmen die folgenden 21 Länder an dem Verfahren teil: Österreich, Belgien, Bulgarien, Zypern, Tschechien, Estland, Frankreich, Deutschland, Island, Irland, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Slowakei, Slowenien, Spanien und das Vereinigte Königreich.

Die Ansprüche an das Einführungsverfahren der Binding Corporate Rules wurde im Laufe der Jahre von der Art. 29‑Datenschutzgruppe konkretisiert und für Unternehmen vereinfacht. Im Zuge dessen wurden weitere Arbeitspapiere angefertigt und im Jahr 2008 veröffentlicht.

Durch die Aufnahme von BCR in die Datenschutz-Grundverordnung wurde das Instrument offiziell vom EU-Gesetzgeber gestärkt und erfuhr dadurch EU-weite Anerkennung.

Binding Corporate Rules unter der Datenschutz-Grundverordnung

Regelung von Binding Corporate Rules in der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung enthält eine eigenständige Reglung zu Binding Corporate Rules in Artikel 47 DSGVO. Dort werden die wesentlichen Voraussetzungen und die erforderlichen Mindestinhalte festgeschrieben

Art. 47 Abs. 1 DSGVO sieht vor, dass die Genehmigung der BCR durch die zuständige Aufsichtsbehörde im Kohärenzverfahren nach Art. 63 ff. DSGVO erfolgen soll.

Nach dem Kohärenzverfahren wird die am europäischen Hauptsitz der Unternehmensgruppe zuständige Behörde als nach Art. 56 Abs. 6 einzig zuständige Behörde die Federführung für das Verfahren übernehmen und die anderen nationalen Aufsichtsbehörden, die für die verschiedenen Unternehmensgruppenmitglieder in anderen Mitgliedstaaten zuständig sind, im Rahmen des Genehmigungsverfahrens beteiligen.

Binding Corporate Rules als geeignete Garantien

Nach Artikel 47 DSGVO stellen Binding Corporate Rules eine geeignete Garantie für eine Übertragung in unsichere Drittländer dar.

Art. 46 Abs. 2 DSGVO regelt, dass die Anforderungen an geeignete Garantien durch BCR nachgewiesen werden können, ohne dass es im Einzelfall einer spezifischen Genehmigung einer Datenschutzaufsichtsbehörde bedarf. Das heißt, dass nach einmaliger Zustimmung der federführenden Aufsichtsbehörde ein ständiger Datentransfer innerhalb der Unternehmensgruppe stattfinden kann. Auch wurde gemäß Artikel 46 Abs. 1 DSGVO der Anwendungsbereich von Unternehmensgruppen auf den der Auftragsverarbeiter ausgeweitet.

Die Anforderungen an BCR entsprechen insgesamt weitgehend denen der Art. 29‑Datenschutzgruppe. Die Kommission hat aber die Möglichkeit, per Rechtsakt weitere Kriterien zu erlassen. Bei der Ausgestaltung des Werkzeugs Binding Corporate Rules handelt es sich also weiterhin um einen andauernden Prozess.

Voraussetzung für den Einsatz von BCR ist, dass diese rechtlich bindend für alle Mitglieder der Unternehmensgruppe sind, von den Mitgliedern durchgesetzt werden können und auch für deren Beschäftigte gelten. Zusätzlich müssen sie den betroffenen Personen in Bezug auf ihre Daten durchsetzbare Rechte einräumen.

Wirkung von Binding Corporate Rules

Vor der Einführung von BCR macht es Sinn, sich über deren Zweck zu informieren. Denn oftmals wird fälschlicherweise angenommen, dass diese jegliche Datentransfers innerhalb des Unternehmens legitimieren. Datenübermittlungen in Drittstaaten erfolgen stets nach dem Zwei-Stufen-Prinzip. Zuerst bedarf es – wie auch bei Datenübermittlungen innerhalb von Deutschland oder der EU – einer Rechtfertigung. Bei Datenübermittlung in Staaten außerhalb der EU/des EWR kommt auf der zweiten Stufe schließlich die Schaffung eines angemessenen Datenschutzniveaus hinzu.

Dabei spielen Binding Corporate Rules bei der Übertragung von personenbezogenen Daten in außereuropäische Staaten erst auf zweiter Ebene eine Rolle. Es bleibt also im Einzelfall zu prüfen, ob die Übertragung der Daten von einem gesetzlichen Erlaubnistatbestand erfasst wird. Erst dann wird nach einem angemessenen Datenschutzniveau seitens des Datenempfängers gefragt. Binding Corporate Rules gelten dann als ausreichende Garantie für ein angemessenes Datenschutzniveau.

Das Zwei-Stufen-Prinzip

STUFE 1: Es wird z.B. geprüft, auf welche Rechtsgrundlage der Versand von Mitarbeiterdaten der deutschen Tochter an die amerikanische Mutter gestützt werden kann. Zu Verwaltungszwecken wäre dies Art. 6 Abs. 1 S. 1 f) DSGVO.

STUFE 2: Erst hier greifen die Binding Coporate Rules und stellen ein angemessenes Datenschutzniveau in dem unsicheren Drittstaat der USA sicher. Eine Zertifizierung der nach amerikanische Muttergesellschaft nach dem Privacy Shield ist somit nicht notwendig.

Welcher Inhalt wird in Binding Corporate Rules geregelt?

Bei den Bestimmungen in Artikel 47 Abs. 2 DSGVO handelt es sich im Wesentlichen um die Umsetzung des vorigen Standards aus Art. 26 Abs. 2 DS-RL, welcher von der Artikel 29‑Datenschutzgruppe mithilfe der entsprechenden BCR Arbeitspapieren ausgearbeitet wurde.

Artikel 47 Abs. 2 DSGVO bestimmt folgende Mindestvoraussetzungen für die Gestaltung von Binding Corporate Rules.

  • Festlegung des Geltungsbereichs (Angabe alle Staaten, in die ein Datentransfer ermöglicht werden soll und Angabe der sich verpflichtenden Unternehmen.)
  • transparente Beschreibung der vorgesehenen Datenübermittlungen.
  • interne und externe Rechtsverbindlichkeit der BCR
  • Anwendung der allgemeinen Datenschutzgrundsätze insbesondere aus Art. 5 DSGVO
  • echte der betroffenen Personen / Drittbegünstigungsklauseln
  • Haftung für Verstöße von nicht in der Union niedergelassenen Mitgliedern
  • Information der betroffene Personen von den Inhalten der BCR
  • Überwachung der Einhaltung der BCR’s durch die dafür vorgesehenen Personen, insbesondere des Datenschutzbeauftragten durch geeignete Maßnahmen
  • Beschwerdeverfahren
  • Selbstverpflichtung auf Durchführung eines Auditprogramms
  • Verfahren bei Änderung der BCR
  • Verfahren für die Zusammenarbeit mit den Aufsichtsbehörden
  • Meldeverfahren für den Fall, dass Bestimmungen in Drittstaaten nachteilige Wirkung auf die durch die BCR geschaffenen Garantien haben könnten
  • Datenschutzschulungen für Personen mit regelmäßigem Zugang zu personenbezogenen Daten

Von der Einführung der BCR bis zur Datenübertragung

Bestimmung der federführende Aufsichtsbehörde

Im ersten Schritt muss bestimmt werden, welche nationale Behörde für die Genehmigung der BCR zuständig ist. Dies ist normalerweise die Aufsichtsbehörde im Land des Konzernhauptsitzes bzw. des europäischen Hauptsitzes. Dies erfolgt im Kohärenzverfahren, wonach regelmäßig die am europäischen Hauptsitz der Unternehmensgruppe zuständige Behörde die Federführung für das Verfahren übernimmt.

Erstellung der BCR

Danach erstellt der Konzern seine eigenen BCR. Als Rahmen dienen dabei die Vorgaben der Art. 29‑Datenschutzgruppe. Die inhaltlichen Anforderungen können den Arbeitspapieren und den Vorgaben aus Art. 47 Abs. 2 DSGVO entnommen werden. Dieser Entwurf wird der federführenden Aufsichtsbehörde übersandt und mit dieser abgestimmt.

Kohärenzverfahren

Das Prinzip des bisherigen Koordinierungs- und mutual recognition-Verfahrens wird mit dem One-Stop-Shop Prinzip der DSGVO effizient zu Ende geführt. Für sämtliche Mitgliedstaaten gilt hinsichtlich BCR nun ein einheitliches Genehmigungsverfahren mit übereinstimmenden Verfahrens- und Anerkennungsvoraussetzungen. Um Daten auf Grundlage von BCRS’s übermitteln zu können ist nunmehr lediglich eine Genehmigung der BCR durch die zuständige Aufsichtsbehörde sowohl erforderlich als auch ausreichend.

Genehmigung der BCR

Beabsichtigt die federführende Aufsichtsbehörde, die BCR zu genehmigen, legt sie den mit der Unternehmensgruppe abgestimmten BCR-Entwurf gem. Art. 64 Abs. 1 lit. f DSGVO dem Ausschuss zur Stellungnahme vor. Neben einer Darstellung des Sachverhaltes sind hierbei auch die Standpunkte anderer betroffener Aufsichtsbehörden mitzuteilen Sofern die zuständige Aufsichtsbehörde dieser Stellungnahme nicht oder teilweise nicht folgt, leitet der Vorsitz des Europäischen Datenschutzausschusses das Streitbeilegungsverfahren nach Art. 65 DSGVO ein.

Rechtsgrundlage für die Übermittlung

Die Binding Corporate Rules legitimieren nicht alle Übertragungen von personenbezogenen Daten innerhalb eines Konzerns. Eine Übertragung bedarf zunächst einer Erlaubnisnorm für die Datenübermittlung (vgl. § Art. 6 DSGVO) oder der Einwilligung des Betroffenen. Die BCR spielen bei dem Datentransfer in außereuropäische Staaten erst auf zweiter Ebene eine Rolle; wenn überprüft wird, ob bei der legitimierten Übertragung auch ein angemessenes Datenschutzniveau seitens des Datenempfängers herrscht. Eine Garantie für ein solches Niveau wird durch die Binding Corporate Rules erreicht.

Vor- und Nachteile von Binding Corporate Rules

Welche Nachteile haben Binding Corporate Rules?

Die individuelle Ausgestaltungsmöglichkeit der Binding Corporate Rules führte bisher zu ihrem größten Nachteil: Dem hohen Zeitaufwand bei der Einführung und Umsetzung von BCR. Dazu kam, dass die Aufsichtsbehörden zahlreiche detaillierte und umfangreiche Anforderungen an die Ausgestaltung stellten. Zu guter Letzt wurden die Binding Corporate Rules von den verschiedenen europäischen Aufsichtsbehörden geprüft. Obwohl es ein koordiniertes Verfahren gab, benötigte man von der Gestaltung bis zur Genehmigung der Binding Corporate Rules ein bis zwei Jahre. Für die verbindliche Umsetzung der Richtlinien sind des Weiteren oft zusätzliche Verträge erforderlich gewesen. All diese Faktoren führten zu einem erheblichen Zeit- und Arbeitsaufwand. Der Kostenfaktor für das Verfahren war daher nicht zu unterschätzen.

Es bleibt abzuwarten, ob die unter der DSGVO geltenden Verfahrensregelungen in der Praxis zu einer Beschleunigung des Genehmigungsverfahrens führen werden. Zwar ist die zuständige Behörde nunmehr gesetzlich vorgeschrieben und muss nicht mehr ermittelt werden. Inwiefern dies bei der Gesamtverfahrensdauer ins Gewicht fällt, bleibt angesichts des anschließenden, mitunter zeitintensiven Abstimmungsverfahren während des tatsächlichen Genehmigungsprozesses fraglich.

Anders als im mutual recognition-Verfahrens, wo die betroffenen Länder auf eine eigene Prüfung verzichteten und die Entscheidung der federführenden Aufsichtsbehörde auch für sich als bindend anerkannten –, sind nun in einem ersten Schritt erneut sämtliche betroffene Aufsichtsbehörden mit den BCR zu befassen. Die Einholung dieser Stellungnahmen dürfte aber wiederum einen nicht unerheblichen Zeitraum beanspruchen, unter anderem auch, weil die jeweiligen Aufsichtsbehörden wahrscheinlich weiterhin Übersetzungen in die maßgeblichen Landessprachen fordern werden.

Dagegen sind die Standarddatenschutzklauseln bei sporadischer Datenübertragung praktikabler, weil keinerlei Modifikationen vom Unternehmen erforderlich sind. Auch eine EU-U.S. Privacy Shield Zertifizierung ist für ein Unternehmen, welches nur in der USA und Europa agiert, leichter umzusetzen. Denn diese erfordert keine komplexe Vertragsstruktur und die Aufsichtsbehörden haben weitestgehend keinen Einfluss auf den Prozess.

Welche Vorteile haben Binding Corporate Rules?

Der Vorteil von Binding Corporate Rules ist die einheitliche Handhabung des Datenschutzes auf einem hohen Niveau innerhalb des Konzerns. Dies bietet einen optimalen Ansatzpunkt, um den Datenschutz mit der Unternehmenskultur zu verknüpfen. Folge ist eine höhere Compliance. Ein weiterer Vorteil ergibt sich aus der marketingtechnischen Wirkung nach außen. Der Konzern signalisiert seinen Kunden, dass er das Thema Datenschutz ernst nimmt.

Im Vergleich zu den anderen Möglichkeiten der Datenübertragung in Drittländer liegt der Vorteil von Binding Corporate Rules auf der Hand. Sie sind wesentlich flexibler und können im Gegensatz zu den EU-Standardvertragsklauseln individuell an den Konzern angepasst werden. Zudem müssen nicht für jede Übertragung von personenbezogenen Daten Verträge erstellt werden. Des Weiteren spricht für die BCR eindeutig, dass sie eine weltweite Geltung haben. Insbesondere durch die EU-weite Einführung der Binding Corporate Rules durch die Datenschutz-Grundverordnung, handelt es sich bei ihnen um einen zukunftssicheren Ansatz, Daten zu übertragen.

Nicht nur die Politik, sondern auch die Wirtschaft hat die Ursprungsidee der Binding Corporate Rules fortentwickelt. So gibt es Bestrebungen, dass es ermöglicht werden soll, die verbindlichen internen Datenschutzvorschriften von verschiedenen Unternehmen aufeinander abzustimmen, um so ein Netzwerk zu schaffen, in dem vereinfachte Datenübermittlungen zwischen den teilnehmenden Unternehmen möglich sind.

Lohnen sich Binding Corporate Rules?

Binding Corporate Rules sind bei der Datenübertragung eines Unternehmens in das Ausland nicht der Weisheit letzter Schluss. Dies liegt einerseits daran, dass ihre Entwicklung ein andauernder Prozess ist. Andererseits stellen BCR aufgrund der Kosten und der wahrscheinlich nach wie vor relativ langen Umsetzungszeit vor allem eine mittel- bis langfristige Lösung bei der Datenübertragung dar. Wer weltweit personenbezogenen Daten übermittelt, muss für eine kurzfristige Lösung weiterhin auf EU-Standardvertragsklauseln zurückgreifen. Nichtsdestotrotz sind Binding Corporate Rules für international agierende Großunternehmen eine praktikable Lösung. Wie sich die Genehmigung von BCR in der Zukunft darstellen wird, bleibt abzuwarten.

Hintergrundgrafik intersoft consulting services AG
Als Datenschutzbeauftragte können wir internationale Datentransfers im Konzern rechtlich absichern. Informieren Sie sich hier: Externer Datenschutzbeauftragter
NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge