Binding Corporate Rules
Binding Corporate Rules (BCR) sind verbindliche konzerninterne Datenschutzregeln, die nach Art. 47 DSGVO von der Aufsichtsbehörde genehmigt werden und als geeignete Garantie Datenübermittlungen in Drittländer innerhalb einer Unternehmensgruppe absichern.
Binding Corporate Rules (BCR), auf Deutsch verbindliche interne Datenschutzvorschriften, sind ein in Art. 47 DSGVO geregeltes Instrument, mit dem multinationale Unternehmensgruppen oder Gruppen gemeinsam wirtschaftlich tätiger Unternehmen personenbezogene Daten konzernintern auch an Konzerngesellschaften in Drittländern übermitteln dürfen. Sie zählen nach Art. 46 Abs. 2 lit. b DSGVO zu den geeigneten Garantien, die einen Drittlandtransfer ohne Angemessenheitsbeschluss rechtfertigen, und sorgen dafür, dass das durch die DSGVO gewährleistete Schutzniveau für die betroffenen Personen auch außerhalb des EWR nicht unterlaufen wird.
Damit BCR Wirkung entfalten, müssen sie von der zuständigen Aufsichtsbehörde im Kohärenzverfahren nach Art. 63 DSGVO genehmigt werden; der Europäische Datenschutzausschuss gibt dazu eine Stellungnahme nach Art. 64 DSGVO ab. Art. 47 Abs. 2 DSGVO schreibt einen umfangreichen Mindestinhalt vor: rechtliche Verbindlichkeit und unternehmensinterne wie externe Durchsetzbarkeit, durchsetzbare Rechte der betroffenen Personen, Angaben zu Struktur und Kontaktdaten der Gruppe, zu den Datenkategorien und Verarbeitungszwecken, zu den Datenschutzgrundsätzen, zu Haftung und Schadensersatz, zu Beschwerdeverfahren, zu Schulungen sowie zu Mechanismen der Überprüfung der Einhaltung (Audits, Datenschutz-Compliance-Funktion).
BCR sind besonders für große, global aufgestellte Konzerne attraktiv, weil sie nach einmaliger Genehmigung eine dauerhafte und einheitliche Grundlage für den gruppeninternen Datenverkehr bieten und damit die wiederholte Verhandlung von Standardvertragsklauseln zwischen jeder einzelnen Konzerngesellschaft erspart. Allerdings ist das Genehmigungsverfahren aufwendig und langwierig. Nach dem Schrems-II-Urteil des EuGH muss zudem auch bei BCR im Einzelfall geprüft werden, ob im Empfängerland ein gleichwertiges Schutzniveau besteht; gegebenenfalls sind ergänzende Maßnahmen wie ein Transfer Impact Assessment und zusätzliche technische und organisatorische Maßnahmen erforderlich.
Rechtliche Grundlage
Art. 47 DSGVO i. V. m. Art. 46 Abs. 2 lit. b und Art. 49 DSGVO; Genehmigung im Kohärenzverfahren nach Art. 63, 64 DSGVO
Praxisbeispiel
Ein in Deutschland ansässiger Maschinenbaukonzern betreibt zentrale HR- und Kundensysteme, auf die Tochtergesellschaften in den USA, Indien und Brasilien zugreifen. Statt mit jeder einzelnen Auslandsgesellschaft Standardvertragsklauseln abzuschließen, entscheidet sich der Datenschutzbeauftragte für die Einführung von Binding Corporate Rules. Er erarbeitet ein konzernweites Regelwerk mit verbindlichen Datenschutzgrundsätzen, Betroffenenrechten, einem Beschwerdemechanismus und einem internen Auditprogramm, reicht es bei der federführenden Aufsichtsbehörde ein und begleitet das Kohärenzverfahren. Nach der Genehmigung dokumentiert er die BCR im Verarbeitungsverzeichnis als Transfergrundlage und führt für kritische Länder ergänzend ein Transfer Impact Assessment durch.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren