Eines der zentralen Themen im Konzern Datenschutz sind Binding Corporate Rules (BCR). Sie stehen für ein Instrument aus dem Datenschutz, das auf einem umfassenden Regelwerk beruht. Ziel des Instruments ist es, den Austausch von Daten innerhalb der einzelnen Konzernunternehmen zu ermöglichen – und das über Ländergrenzen hinweg. Interessant dabei ist, dass die BCR letztlich für ein Datenschutzprogramm stehen, welches der Konzern selbst entwickelt und auferlegt.
Der Nutzen einer solchen Lösung ist enorm. Denn ganz egal ob personenbezogene Daten innerhalb der Europäischen Union oder auch in Drittländer übermittelt werden sollen, es besteht eine angemessene Rechtssicherheit. Unter dem Strich stehen die Binding Corporate Rules für einen internen und zugleich einheitlichen Standard im internationalen Datenschutz, an den sich sämtliche Geschäftseinheiten innerhalb des Unternehmensverbands halten.
Was bedeutet Binding Corporate Rules?
Am besten lassen sich die BCR mit einem Regelwerk vergleichen. Es umfasst eine Reihe an Unternehmensrichtlinien, die im Detail festlegen, wie Erhebung, Verarbeitung und insbesondere auch der Transfer von personenbezogenen Daten innerhalb des Konzerns zu erfolgen haben. Zugleich gelten die BCR als verbindlich, d.h. alle im Geltungsbereich aufgeführten Konzernunternehmen müssen sich einschließlich aller Mitarbeiter exakt an die vereinbarten Regeln halten.
Das Regelwerk wird unter Berücksichtigen der europäischen Datenschutzgrundverordnung entworfen, damit eine hohe Rechtssicherheit besteht. In Art. 47 DS-GVO sind die BCR als Mittel zum sicheren Drittlandstransfer genannt. In Absatz 2 sind die Mindestinhalte gelistet.
Die Inhalte der BCR erstrecken sich über ein breites Themenfeld und regeln keinesfalls nur den Umgang mit Daten. Konzerne, die eigene Binding Corporate Rules entwerfen möchten, müssen außerdem sicherstellen, dass Betroffene über angemessene Rechte verfügen und beispielsweise Auskünfte zu ihren gespeicherten Daten einholen können. Außerdem muss eine Verfahrensweise geschaffen werden, die den Umgang mit Beschwerden regelt.
Inhalte der BCR
Es existiert eine ganze Reihe von Inhalten, die im Rahmen der Entwicklung zu berücksichtigen sind, damit später eine ausreichende Rechtssicherheit besteht. Folgende Bestandteile dürfen in den BCRs nicht fehlen:
- Definition des Geltungsbereichs: Er legt fest, welche Geschäftseinheiten dem Regelwerk unterliegen und wo sich deren jeweiliger Landessitz befindet.
- Entwicklung und Realisation eines Sicherheitskonzepts: Es regelt, wie der Schutz personenbezogener Daten erfolgt.
- Auditprogramme: Die involvierten Geschäftseinheiten verpflichten sich zur Teilnahme an (regelmäßigen) Audits, um die Datensicherheit zu verifizieren.
- Ergänzende Vertragswerke: Damit die Binding Corporate Rules sowohl intern als auch extern als verbindlich gelten, müssen ggf. Zusatzverträge geschlossen werden.
- Verpflichtung zu Schadensersatzleistungen: Für den Fall, dass Verstöße gegen geltendes Datenschutzrecht begangen werden, sichern Geschäftseinheit oder Konzern dem Betroffenen eine Schadensersatzleistung zu.
- Umgang mit Datenschutzbeschwerden: Es müssen klar definierte Verfahren existieren, die einen angemessenen Umgang mit Beschwerden regeln.
- Gewährleistung von Transparenz: Die Binding Corporate Rules müssen leicht zugänglich und unter anderem für Betroffene einsehbar sein.
Vor- und Nachteile von Binding Corporate Rules
International agierende Unternehmen könnten beim Datenschutz ausschließlich auf die strikte Einhaltung geltender Standardvertragsklauseln setzen. Allerdings würden Datenverarbeitung und Transfer dadurch oftmals erschwert werden. Binding Corporate Rules schaffen ein Rahmenwerk, das für einheitliche Prozesse steht und somit den Datenschutz im internationalen Umfeld erleichtert. Zugleich ist es möglich, das Regelwerk deutlich besser an die Bedürfnisse innerhalb des Konzerns anzupassen.
Außerdem wird ein hohes Maß an Rechtssicherheit gewährleistet. Ein gutes Beispiel ist das Kippen des Privacy-Shield Abkommens durch den Europäischen Gerichtshof im Jahr 2020. Unternehmen, die sich beim Transfer personenbezogener Daten in die USA primär auf dieses Abkommen stützten, waren plötzlich aufgeschmissen, weil ihnen eine bedeutsame Rechtsgrundlage entzogen wurde.
Allerdings gibt es auch einen Nachteil. Die Entwicklung eines BCR Regelwerks ist komplex und steht daher für ein umfassendes Projekt. Selbst bei guten Vorkenntnissen bzw. Zugriff auf hervorragendes Juristen-Knowhow können sich Entwicklung und anschließende Umsetzung auf einen Zeitraum belaufen, der mehrere Jahre beträgt.
Was kann ein externer Datenschutzbeauftragter tun?
In der Datenschutzberatung erfordern die Entwicklung und Einführung von Binding Corporate Rules erfordern Fachwissen. Deshalb kann ein externer Datenschutzbeauftragter sehr wertvolle Unterstützung leisten – insbesondere wenn er bereits Konzerne betreut, die mit BCRs arbeiten.
Sie spielen mit dem Gedanken, Binding Corporate Rules in Ihrer Organisation einzuführen und suchen professionelle Unterstützung? Dann freuen wir uns auf Ihre Anfrage.