Datenschutz Verstehen – Binding Corporate Rules erstellen.
Kurze Einleitung: Für den Großteil der Unternehmen sind internationale Datenübermittlungen ohnehin von hoher Bedeutung, da einige Softwarelösungen aus Drittländern genutzt werden sollen. Für internationale Konzerne oder Unternehmensgruppen ist die Bedeutung noch größer, denn nur so können globale Unternehmen miteinander arbeiten. Die Absicherung dieser internationalen Datentransfers für Konzerne kann durch den Abschluss von sog. Binding Corporate Rules (BCR) erfolgen. Doch wie erstellt ein Konzern wirksame BCR und welche Vorteile entstehen hierdurch?
Unsere zertifizierten Juristen erklären in diesem Beitrag, wann der Abschluss von Binding Corporate Rules Sinn ergibt und welche Anforderungen zwingend eingehalten werden müssen.
Was sind Binding Corporate Rules?
Binding Corporate Rules sind verbindliche interne Datenschutzregeln zwischen mehreren Unternehmen in einem Konzern. Die ursprüngliche Grundlage wurde durch ein Arbeitsdokument vom 24.06.2008 der Artikel-29-Datenschutzgruppe gebildet. In diesem Arbeitsdokument wird eine Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen geschaffen (Working Paper 153 der Artikel-29-Datenschutzgruppe).
Gemäß diesem Arbeitsdokument haften Hauptniederlassungen von Konzernen in der EU bzw. ein von der Unternehmensgruppe benanntes Gruppenmitglied, welches in der EU ansässig ist, für eventuelle Datenschutz-Verstöße aller verbundenen Unternehmen außerhalb der EU. Im Ergebnis sollen die BCR für Konzerne eine Erleichterung bei Datenübermittlungen in Drittländer mit unsicheren Datenschutzniveaus darstellen.
Binding Corporate Rules gemäß DSGVO
Die Binding Corporate Rules werden in der Datenschutz-Grundverordnung (DSGVO) geregelt. Eine eigenständige Reglung zu den Binding Corporate Rules findet sich demnach in Artikel 47 DSGVO. Dort werden die Anforderungen und die erforderlichen Inhalte an die BCR definiert. Der Artikel 47 Abs. 1 DSGVO schreibt vor, dass die Genehmigung der Binding Corporate Rules durch die zuständige Aufsichtsbehörde im sog. Kohärenzverfahren nach Art. 63 ff. DSGVO erfolgen soll. Das Kohärenzverfahren dient dazu, dass die Genehmigung durch eine zentrale Aufsichtsbehörde begleitet werden kann.
Die zuständige Aufsichtsbehörde wird durch den Standort der europäischen Hauptniederlassung eines Konzerns bestimmt. Die zuständige Aufsichtsbehörde wird dann die nationalen Aufsichtsbehörden der übrigen Standorte eines Konzerns involvieren und die zentrale Koordination der BCR übernehmen. Erfolgt dann die Zustimmung der Aufsichtsbehörde zu den erstellen Binding Corporate Rules eines Konzerns, dann bedarf es keiner weiteren Prüfung im Einzelfall, sodass die Datenübermittlungen fortlaufend getätigt werden können. Das bedeutet, dass im Ergebnis die BCR als geeignete Garantie anerkannt werden kann und somit ein angemessenes Schutzniveau für diese Datenübermittlungen besteht. Hierbei sollte unbedingt beachtet werden, dass durch die Binding Corporate Rules im Wesentlichen nur das Sicherheitsniveau definiert wird, nicht aber die Rechtmäßigkeit von Verarbeitungstätigkeiten. Hierfür bedarf es weiterhin einer Überprüfung der Erlaubnistatbestände für die geplanten Zwecke der Verarbeitungen gemäß Art. 6 DSGVO.
Hinsichtlich der BCR bietet die Datenschutz-Grundverordnung mit Art. 46 Abs. 2 lit. b) in Verbindung mit Art. 47 DSGVO die neue Grundlage für verbindliche interne Datenschutzvorschriften. Weitere Garantien, wie z.B. Standarddatenschutzklauseln werden hingegen durch Art. 46 Abs. 2 lit. c) und lit. d) DSGVO – und Genehmigungen durch die EU-Kommission gebildet.
Wie werden Binding Corporate Rules erstellt?
Wie bereits erwähnt bedarf es einer Genehmigung durch die Aufsichtsbehörden zur Wirksamkeit von Binding Corporate Rules. Damit diese Genehmigung erfolgen kann, müssen grundsätzlich diese Anforderungen aus Art. 47 Abs. 1 DSGVO erfüllt werden:
Interne rechtliche Verbindlichkeit
Eine wesentliche Anerkennungsvoraussetzung von BCR ist ihre rechtliche Verbindlichkeit innerhalb der Unternehmensgruppe. Somit muss die Verbindlichkeit gegenüber allen betreffenden Unternehmen der Gruppe oder des Konzerns gewährleistet sein. Nicht erforderlich ist dagegen eine Verpflichtung auch aller übrigen Mitglieder der Unternehmensgruppe. In sachlicher Hinsicht müssen die BCR sämtliche personenbezogene Daten einbeziehen, die Gegenstand einer Übermittlung an Empfänger in einem Drittland oder an internen Organisationen sind, soweit kein anderer Erlaubnistatbestand im Sinne des Art. 45 ff. DSGVO greift. Die rechtliche Verbindlichkeit der BCR muss auch die Beschäftigten der entsprechenden Gruppenunternehmen erfassen. Zu diesem Zweck können den Mitarbeitern zum Beispiel dies bezügliche Verpflichtungen in den Arbeitsverträgen auferlegt werden.
Vermittlung durchsetzbarer Rechte
BCR müssen nicht nur innerhalb der Unternehmensgruppe rechtlich verbindlich sein, sondern auch im Außenverhältnis Wirkung entfalten. Von Datenübermittlungen im Anwendungsbereich der BCR betroffene Personen müssen als Drittbegünstigte die Möglichkeit haben, die Einhaltung der Regelungen sowohl durch die Aufsichtsbehörden als auch auf gerichtlichem Wege zu erzwingen.
Inhaltliche Mindestanforderungen an Binding Corporate Rules
Der Artikel 47 Abs. 2 DSGVO enthält eine umfangreiche Auflistung an Mindestanforderungen an die BCR, die einerseits den Unternehmen eine Abfassung erleichtern, andererseits den Aufsichtsbehörden bei einer einheitlichen Anwendung des Art. 47 DSGVO helfen sollen. Folgende Kriterien müssen somit mindestens beachtet werden:
1. Struktur und Kontaktdaten der Unternehmensgruppe:
Zur Ermöglichung einer Genehmigungsentscheidung und aus Transparenzgesichtspunkten ist es erforderlich, dass sich der konkrete Geltungsbereich unmittelbar aus den BCR selbst ergibt und nicht erst über einen zusätzlichen Rechercheaufwand ermittelt werden muss. Aus diesem Grund müssen die BCR belastbare Informationen zur Struktur und Kontaktdaten der Unternehmensgruppe, für welche die BCR gelten, sowie ihrer Mitglieder enthalten.
2. BCR umfasste Datenübermittlungen:
Ebenfalls zum Zwecke der Genehmigungsentscheidung und einer anschließenden Rechtmäßigkeits-Kontrolle sind die von den jeweiligen BCR umfassten Datenübermittlungen festzulegen, einschließlich der betroffenen Arten personenbezogener Daten, der Art und des Zweckes der Datenverarbeitung, der Art der betroffenen Personen sowie einer Angabe der Drittländer, in welche die Datenübermittlungen erfolgen sollen.
3. Interne und externe Rechtsverbindlichkeit:
Gemäß Art. 47 Abs. 2 lit. c) DSGVO müssen die BCR Angaben zu ihrer Rechtsverbindlichkeit enthalten. Davon umfasst ist sowohl die interne Verbindlichkeit der BCR innerhalb der Unternehmensgruppe als auch die externe Verbindlichkeit.
4. Allgemeine Datenschutzgrundsätze:
Insbesondere in Drittländern, die keine oder nur wenige Datenschutzvorschriften aufweisen und keine Datenschutzkultur besitzen, steht zu befürchten, dass die allg. Datenschutzgrundsätze den Unternehmen und Arbeitnehmern, die personenbezogene Daten dort verarbeiten, wenig bedeuten. Auch insofern bedarf es deshalb klarer Regelungen, die von den Personen, die innerhalb des Unternehmens für den Datenschutz zuständig sind, verstanden und tatsächlich angewandt werden können.
5. Drittbegünstigung:
Die Drittbegünstigtenrechte müssen gegenüber dem haftenden Unternehmen geltend gemacht werden können und sicherstellen, dass die betroffenen Personen so gestellt werden, als ob ihre Daten das Gebiet der Europäischen Union nie verlassen hätten.
6. Haftung bei Verstößen:
Aus den BCR muss hervorgehen, welches der Unternehmensgruppe angehörige Unternehmen mit Sitz in der EU für etwaige Verstöße eines in einem Drittland niedergelassenen Unternehmens gegen die BCR einsteht.
7. Erfüllung der Informationspflichten:
Für die in Art. 47 Abs. 2 lit. g) DSGVO genannten Informationen müssen die BCR für die Betroffenen das Recht auf einfachen Zugang zu den BCR festschreiben. Auch die Klausel über die Drittbegünstigung sollte für alle betroffenen Personen, die entsprechende Rechte in Anspruch nehmen können, leicht zugänglich sein. Wie konkret zu informieren ist, ist eine Frage des Einzelfalles und hängt von den BCR und dabei insbesondere davon ab, welche personenbezogenen Daten welches Personenkreises auf Grundlage der BCR übermittelt werden.
8. Überwachung der Einhaltung der BCR:
Es ist eine unabhängige Stelle zu benennen, welche zentral die Einhaltung der BCR überwachen. Hierfür bietet sich auch eine externe Stelle wie z.B. ein externer Datenschutzbeauftragter an. Konkret ist speziell festzulegen, dass die Datenschutzaudits regelmäßig oder auf Antrag der für die Überwachung der Einhaltung der BCR zuständigen Personen oder Einrichtungen erfolgen, dass sie alle Aspekte der BCR abdecken und Verfahren vorhanden sind, die die Durchführung von Abhilfemaßnahmen sicherstellen.
9. Beschwerdeverfahren:
Die BCR müssen ein Verfahren beschreiben, das es betroffenen Personen ermöglicht, gegen Verstöße von Mitgliedern der Unternehmensgruppe gegen die BCR Beschwerde zu erheben.
10. Mitteilungen von Änderungen der BCR:
Die BCR müssen ein Verfahren für die Erfassung und interne Meldung von Änderungen der BCR und die externe Meldung dieser Änderungen an die zuständige Aufsichtsbehörde aufweisen.
11. Zusammenarbeit mit Aufsichtsbehörden:
Um die Befolgung der BCR durch sämtliche Mitglieder der Unternehmensgruppe sicherzustellen, ist in den BCR ein Verfahren der Zusammenarbeit mit der zuständigen Aufsichtsbehörde festzulegen. Aufsichtsbehörden haben die Aufgabe, betroffene Personen bei der Wahrnehmung der ihnen zustehenden Rechte hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu unterstützen.
12. Regelung zu Schulungen der Beschäftigten:
Die BCR müssen eine Verpflichtung von regelmäßigen Schulungen zum Umgang mit personenbezogenen Daten für die Beschäftigten der relevanten Unternehmen enthalten.
Binding Corporate Rules als geeignete Garantie?
Gemäß Art. 46 Abs. 1 DSGVO darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Für Konzerne bieten sich die verbindlichen internen Datenschutzvorschriften an, da damit wohl Kontinuität über diverse Rechtssprechung (z.B. EuGH-Urteil) hinaus gewahrt werden kann. Besonders wichtig ist hierbei oftmals die Weitergabe von Beschäftigtendaten im Konzern.
Wir empfehlen bei Abschluss der Binding Corporate Rules die dokumentierte Durchführung von Transfer Impact Assessments (TIA), wie es schon bekannt ist für den Abschluss von Standarddatenschutzklauseln. Gerne unterstützen wir Sie bei dem gesamten Prozess, um eine geeignete Garantie für Ihren Konzern zu schaffen. Hier treten Sie mit uns in Kontakt.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.