bg-clear

Fachbeitrag

intersoft consulting services AG
16. Februar 2015
|intersoft consulting services AG

Binding Corporate Rules (BCR)

Update 12.10.2015: Artikel geht nun auf das Urteil des Europäischen Gerichtshofs zum Safe Harbor Abkommen ein.

Im Tagesgeschäft von international agierenden Konzernen werden häufig personenbezogene Daten über Staatsgrenzen hinaus von einem Unternehmen zum anderen übertragen. Das europäische Datenschutzrecht stellt aber an die Übertragung von personenbezogenen Daten in ein Drittland mit niedrigerem Datenschutzniveau besonders hohe Anforderungen. Da nur einige wenige Länder von der EU-Kommission als sichere Drittländer eingestuft wurden, gewinnen Binding Corporate Rules (BCR = dt.: verbindliche Unternehmensrichtlinien) bei Konzernen und Unternehmensgruppe an Bedeutung. BCR sind interne Unternehmensregeln, welche die Handhabung des Datenschutzes im Unternehmen oder der Unternehmensgruppe verbindlich festlegen. Ein solches Regelwerk ermöglicht multinationalen Konzernen die datenschutzkonforme Übertragung von personenbezogenen Daten aus Europa an ihre Standorte in unsicheren Drittstaaten.

Geschichte der Binding Corporate Rules

Die Idee von verbindlichen Unternehmensregelungen, welche den Datentransfer von international agierenden Konzernen vereinfachen, entstand schon Ende der 90er Jahre. Zu diesem Zeitpunkt mussten noch für sämtliche Datenübertragungen einzelne Verträge abgeschlossen werden. Deshalb bestand das Verlangen nach einer weiteren Möglichkeit des Datentransfers. Man überlegte, ob selbstverpflichtende Regeln als ausreichende Datenschutzgarantie bei der internen Übermittlung von personenbezogenen Daten in unsichere Drittstaaten gelten könnten. Dafür musste jedoch zunächst geklärt werden, ob und auf welcher Grundlage die europäische Datenschutzverordnung ein solches Konstrukt zulässt. Am Ende der jahrelangen Diskussion stand als Ergebnis, dass Art. 26 Abs. 2 95/46/EC eine taugliche Rechtsgrundlage für verbindliche Unternehmensregelungen ist.

Während auf europäischer Ebene noch diskutiert wurde, ergriff der deutsche Gesetzgeber bei der Umsetzung der europäischen Datenschutzrichtlinie im Jahr 2001 die Initiative und nahm Unternehmensregelungen als Beispiel für eine ausreichende Datenschutzgarantie bei Datenübertragung in unsichere Drittstaaten in den § 4c Abs. 2 BDSG auf. Dies stellte die deutschen Datenschutzbehörden vor das Problem, dass es noch keine Anhaltspunkte gab, wie solche verbindlichen Unternehmensregelungen auszusehen haben. Nichtsdestotrotz wurden im Juli 2002 die ersten zwei Unternehmensregelungen der DaimlerChrysler AG nach zeitintensiver Zusammenarbeit von den deutschen Behörden anerkannt. Die Praxisarbeit an diesen und weiteren Unternehmensreglungen machte die Notwendigkeit einer europaweiten Verfahrenskoordinierung bei der Anerkennung deutlich. Ein solches Verfahren wurde zwischen den deutschen, österreichischen und niederländischen Datenschutzbehörden diskutiert. Die Bemühungen gipfelten in einem ersten Treffen im September 2002, auf dem Anknüpfungskriterien für die Federführung einer Aufsichtsbehörde in Europa besprochen wurden.

Zur selben Zeit arbeitete die Art. 29-Datenschutzgruppe (unabhängiges Beratungsgremium der europäischen Kommission in Fragen des Datenschutzes) an einem Arbeitsdokument mit Erwägungen zu verbindlichen Unternehmensregeln. Neben dem Begriff der Binding Corporate Rules, griff das WP-74 auch die Ansätze der deutschen, österreichischen und niederländischen Datenschutzbehörden für eine europaweite Koordination auf. Doch es sollte noch bis zu einer Konferenz der Art. 29 Datenschutzgruppe im ersten Halbjahr 2004 dauern, bevor diese Ansätze konkretisiert wurden. Auf dieser befasste sie sich intensiv mit dem Koordinationsprozess bei der Bewilligung von Binding Corporate Rules. Im Rahmen der Konferenz wurde auch festgelegt, welche europäischen Behörden jeweils die Federführung bei einem ersten Testlauf der koordinierten Annahme von BCR im Fall DaimlerChrysler, General Electric, Philips, KPMG International und British Petrol BP übernehmen.

Die Ergebnisse dieser Probeverfahren führte dazu, dass sich die Art. 29 Datenschutzgruppe am 14. April 2005 darauf verständigte, Binding Corporate Rules nach einem europaweiten einheitlichen Verfahren anzuerkennen und deren Inhalt nach einheitlichem europäischen Standard zu prüfen. Der Prozess der Koordination wird von einer federführenden Datenschutzbehörde und zwei Beisitzenden durchgeführt. Da die Teilnahme der Datenschutzbehörden an dem Koordinationsverfahren freiwillig ist, sind nicht alle Länder des EFTA-Raums an dem Verfahren beteiligt. Für die Praxis bedeutet dies, dass nach dem Verfahren die Binding Corporate Rules auch nur in den teilnehmenden Staaten wirksam sind.

Zum jetzigen Zeitpunkt (02/2015) sind dies die folgenden 21 Länder: Österreich, Belgien, Bulgarien, Zypern, Tschechien, Estland, Frankreich, Deutschland, Island, Irland, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Slowakei, Slowenien, Spanien und das Vereinigte Königreich. Die Ansprüche an das Einführungsverfahren der Binding Corporate Rules wurde im Laufe der Jahre von der Art. 29-Datenschutzgruppe konkretisiert und für Unternehmen vereinfacht. Im Zuge dessen wurden weitere Arbeitspapiere angefertigt und im Jahr 2008 veröffentlicht.

Binding Corporate Rules unter der Datenschutzgrundverordnung

Die Datenschutzgrundverordnung ist eine geplante Verordnung der europäischen Union, welche die unterschiedlichen Datenschutzregelungen der einzelnen Länder EU-weit vereinheitlichen soll. In ihrer verabschiedeten Fassung ist eine eigenständige Reglung zu den Binding Corporate Rules im Artikel 47 DSGVO vorgesehen. Demnach kann eine Aufsichtsbehörde nach dem in Art. 63 DSGVO beschriebenen Kohärenzverfahren unter bestimmten, näher aufgezählten Voraussetzungen Binding Corporate Rules genehmigen. Als Aufsichtsbehörde kommen die Datenschutzbehörden im Hoheitsgebiet in Frage. Das Kohärenzverfahren stellt dabei aber sicher, dass weiterhin andere europäische Aufsichtsbehörden in das Verfahren miteinbezogen werden. Nach Artikel 47 DSGVO stellen Binding Corporate Rules eine geeignete Garantie für eine Übertragung in unsichere Drittländer dar. Neu ist dabei der Vorschlag, dass nach Art. 46 Abs. 2 b) DSGVO Übermittlungen, welche auf Grundlage von anerkannten BCR durchgeführt werden, keiner weiteren Genehmigung von Behörden bedürfen. Auch wurde gemäß Artikel 46 Abs. 1 DSGVO der Anwendungsbereich von Unternehmensgruppen auf den der Auftragsdatenverarbeiter ausgeweitet. Beide Neuerungen könnten eine Verfahrensvereinfachung in der Praxis nach sich ziehen.

Die Anforderungen an BCR entsprechen insgesamt weitgehend denen der Art. 29-Datenschutzgruppe. Die Kommission hat aber die Möglichkeit, per Rechtsakt weitere Kriterien zu erlassen. Bei der Ausgestaltung des Werkzeugs Binding Corporate Rules handelt es sich also weiterhin um einen andauernden Prozess.

Wann spielen Binding Corporate Rules eine Rolle?

Vor der Einführung von Binding Corporate Rules macht es Sinn, sich über deren Zweck zu informieren. Denn oftmals wird fälschlicherweise angenommen, dass diese jegliche Datentransfers innerhalb des Unternehmens legitimieren. Dabei spielen Binding Corporate Rules bei der Übertragung von personenbezogenen Daten in außereuropäische Staaten erst auf zweiter Ebene eine Rolle. Zunächst bedarf es einer Rechtfertigung für die Datenübertragung. Es bleibt im Einzelfall zu prüfen, ob die Übertragung der Daten von einem gesetzlichen Erlaubnistatbestand des BDSG erfasst wird. Erst dann wird nach einem angemessenen Datenschutzniveau seitens des Datenempfängers gefragt. Binding Corporate Rules gelten dann als ausreichende Garantie für ein angemessenes Datenschutzniveau.

Welcher Inhalt wird in Binding Corporate Rules geregelt?

Die Anforderungen an den Inhalt von Binding Corporate Rules sind in den letzten Jahren von der Art. 29-Datenschutzgruppe in mehreren Arbeitspapieren ausgearbeitet worden. Dabei handelt es sich nur um einen rechtlichen Rahmen, welcher von den Unternehmen ausgefüllt wird. Der Inhalt des Rahmens umfasst folgende Punkte:

  • Festlegung des Geltungsbereichs (alle Staaten, in die ein Datentransfer ermöglicht werden soll)
  • Zusicherung des Transparenzgebots (leichter Zugang zu den BCR und den verarbeiteten Daten für die Betroffenen)
  • Einrichtung von Sicherheitsprinzipien zum Schutz der Daten
  • Selbstverpflichtung auf Durchführung eines Auditprogramms
  • Sicherstellung der Verbindlichkeit der BCR (intern und extern)
  • Verpflichtung zu Schadensersatzleistungen im Fall der Missachtung der BCR.

Welche Nachteile haben Binding Corporate Rules?

Die individuelle Ausgestaltungsmöglichkeit der Binding Corporate Rules führt zu ihrem größten Nachteil: Der hohen Zeitaufwand bei der Einführung und Umsetzung von BCR. Dazu kommt, dass die Aufsichtsbehörden zahlreiche detaillierte und umfangreiche Anforderungen an die Ausgestaltung stellen. Zu guter Letzt werden die Binding Corporate Rules von den verschiedenen europäischen Aufsichtsbehörden geprüft. Obwohl es ein koordiniertes Verfahren gibt, benötigt man von der Gestaltung bis zur Genehmigung der Binding Corporate Rules ein bis zwei Jahre. Für die verbindliche Umsetzung der Richtlinien sind des Weiteren oft zusätzliche Verträge erforderlich. All diese Faktoren führen zu einem erheblichen Zeit- und Arbeitsaufwand. Der Kostenfaktor für das Verfahren ist daher nicht zu unterschätzen.

Dagegen sind die EU-Standardvertragsklauseln bei sporadischer Datenübertragung praktikabler, weil keinerlei Modifikationen vom Unternehmen erforderlich sind. Auch eine Safe Harbor Zertifizierung war für ein Unternehmen, welches nur in der USA und Europa agiert, leichter umzusetzen. Denn diese erforderte keine komplexe Vertragsstruktur und die Aufsichtsbehörden hatten weitestgehend keinen Einfluss auf den Prozess. Mit dem Urteil des Europäischen Gerichtshofs vom 06.08.2015 wurde das Safe Harbor Abkommen jedoch bis auf Weiteres ausgesetzt.

Welche Vorteile haben Binding Corporate Rules?

Der Vorteil von Binding Corporate Rules ist die einheitliche Handhabung des Datenschutzes auf einem hohen Niveau innerhalb des Konzerns. Dies bietet einen optimalen Ansatzpunkt, um den Datenschutz mit der Unternehmenskultur zu verknüpfen. Folge ist eine höhere Compliance. Ein weiterer Vorteil ergibt sich aus der marketingtechnischen Wirkung nach außen. Der Konzern signalisiert seinen Kunden, dass er das Thema Datenschutz ernst nimmt.

Im Vergleich zu den anderen Möglichkeiten der Datenübertragung in Drittländer liegt der Vorteil von Binding Corporate Rules auf der Hand. Sie sind wesentlich flexibler und können im Gegensatz zu den EU-Standardvertragsklauseln individuell an den Konzern angepasst werden. Zudem müssen nicht für jede Übertragung von personenbezogenen Daten Verträge erstellt werden. Des Weiteren spricht für die BCR eindeutig, dass sie eine weltweite Geltung haben. Außerdem hält die EU auch in der geplanten Datenschutzgrundverordnung an diesem Modell fest. Es handelt sich daher um einen zukunftssicheren Ansatz Daten zu übertragen.

Von der Einführung der BCR bis zur Datenübertragung

Federführende Aufsichtsbehörde

Im ersten Schritt muss bestimmt werden, welche nationale Behörde die Aufsicht für das Koordinationsverfahren übernimmt. Dies ist normalerweise die Aufsichtsbehörde im Land des Konzernhauptsitzes bzw. des europäischen Hauptsitzes.

Erstellung der BCR

Danach erstellt der Konzern seine eigenen BCR. Als Rahmen dienen dabei die Vorgaben der Art. 29-Datenschutzgruppe. Die inhaltlichen Anforderungen können den Arbeitspapieren entnommen werden. Dieser Entwurf wird der federführenden Aufsichtsbehörde übersandt. Diese beginnt dann mit der Prüfung.

Koordinationsverfahren

Im Koordinationsverfahren schickt die zuständige Aufsichtsbehörde die BCR an die nationalen Behörden, aus dessen Ländern später Daten in unsichere Drittstaaten übertragen werden sollen.

Genehmigung der BCR

Nachdem die Behörden, welche am Koordinationsverfahren teilnehmen, die Gültigkeit der Binding Corporate Rules bestätigt haben, treten diese in Kraft. In den Ländern, die nicht am Kooperationsverfahren teilnehmen, muss der Konzern bei Bedarf die BCR bei der zuständigen Behörde prüfen lassen.

Rechtsgrundlage für die Übermittlung

Die Binding Corporate Rules legitimieren nicht alle Übertragungen von personenbezogenen Daten innerhalb eines Konzerns. Eine Übertragung bedarf zunächst einer Erlaubnisnorm für die Datenübermittlung (vgl. § 4 Abs. 1, 2 BDSG und §§ 27 ff. BDSG) oder der Einwilligung des Betroffenen. Die BCR spielen bei dem Datentransfer in außereuropäische Staaten erst auf zweiter Ebene eine Rolle; wenn überprüft wird, ob bei der legitimierten Übertragung auch ein angemessenes Datenschutzniveau seitens des Datenempfängers herrscht. Eine Garantie für ein solches Niveau wird durch die Binding Corporate Rules erreicht.

Transfer Notification

Vor der Übertragung von personenbezogenen Daten muss die Behörde, aus dessen Land die Daten in ein unsicheres Drittland übertragen werden, in einer sog. transfer notification informiert werden. In der Praxis entfällt dabei der Prozess der Genehmigung, da diese auf Grund der vorliegenden BCR sofort erteilt wird.

Lohnen sich Binding Corporate Rules?

Binding Corporate Rules sind bei der Datenübertragung eines Unternehmens in das Ausland nicht der Weisheit letzter Schluss. Dies liegt einerseits daran, dass ihre Entwicklung ein andauernder Prozess ist. Andererseits stellen BCR aufgrund der Kosten und langen Umsetzungszeit vor allem eine mittel- bis langfristige Lösung bei der Datenübertragung dar. Wer weltweit personenbezogenen Daten übermittelt, muss für eine kurzfristige Lösung weiterhin auf EU-Standardvertragsklauseln zurückgreifen. Nichtsdestotrotz sind Binding Corporate Rules für international agierende Großunternehmen eine praktikable Lösung. Durch die geplanten Änderungen an den BCR in der Datenschutzgrundverordnung wird diese für Unternehmen noch attraktiver.