Einführung

Häufig haben Unternehmensgruppen, die international tätig sind und mit selbständigen Einheiten in unterschiedlichen Ländern auch außerhalb Europas agieren, ein großes Interesse daran, personenbezogene Daten der gesamten Unternehmensgruppe verfügbar zu machen. Für eine solche internationale Datenübermittlung kommen besondere Vorschriften der DS-GVO zum Tragen. Denn in der Regel wird der Transfer in mindestens ein Land erfolgen, in dem kein angemessenes Datenschutzniveau besteht, so dass der Transfer in die besagten Länder, einer weiteren Rechtfertigung bedarf, um die Mängel hinsichtlich des Datenschutzniveaus auszugleichen.

Zum einen kann eine Angemessenheitsentscheidung der Europäischen Kommission nach Art. 45 Abs. 3 DS-GVO ergehen, wie es im Falle des EU-US Privacy Shield passiert ist, wenn hinreichende Garantien bestehen, dass ein vergleichbares Schutzniveau im Drittland herrscht. Fehlt es an einem solchen vergleichbaren Schutzniveau, darf keine Angemessenheitsentscheidung getroffen werden und das entsprechende Land gilt als sog. Unsicherer Drittstaat. In diesem Fall kommen die Garantiemaßnahmen des Art. 46 Abs. 2 DS-GVO in Betracht. Zu nennen sind hierbei die Möglichkeit von rechtlich bindenden und durchsetzbaren Dokumenten zwischen den Behörden oder öffentlichen Stellen, Standarddatenschutzklauseln, die von der Kommission erlassen wurden, genehmigten Zertifizierungsmechanismen gem. Art. 42 DS-GVO oder verbindliche interne Datenschutzvorschriften, auf Englisch Binding Corporate Rules (BCR) genannt. 

Binding Corporate Rules vor der DS-GVO 

BCR sind Unternehmensrichtlinien, zu deren Einhaltung sich ein im Hoheitsgebiet der EU niedergelassener Verantwortlicher im Hinblick auf grenzüberschreitende Datenverarbeitung verpflichtet und die in der Form eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten binden und für diese einen verbindlichen Datenschutzstandard schaffen. Auch vor der Normierung der Binding Corporate Rules in den Art. 46, 47 DS-GVO, wurde von diesem Instrument Gebrauch gemacht. Bereits 82 Unternehmen haben sich seit 2002 BCR von den Aufsichtsbehörden genehmigen lassen. Rechtlich gestützt waren diese Maßnahmen auf Art. 26 Abs. 2 DSRL, der jedoch keinen ausdrücklichen Hinweis auf diese Form einer Garantiemaßnahme zur Legitimation von Datenübermittlungen in Drittländer enthält. Mangels einer expliziten Nennung der BCR als zulässiges datenschutzrechtliches Instrument, griff der deutsche Gesetzgeber diese Möglichkeit in § 4 c Abs. 2 BDSG auf, während ganz im Gegenteil dazu in Portugal BCR überhaupt nicht als Übermittlungsgrundlage anerkannt waren. Angesichts dessen, ist die klare Normierung mit detaillierten Voraussetzungen zu Inhalt und Verfahren in der neuen DSGVO sehr praxisfreundlich ausgefallen. 

Voraussetzungen für zulässige BCR 

Art. 46 Abs. 1 DS-GVO gewährt eine Datenübermittlung in unsichere Drittstaaten, wenn der Verantwortliche geeignete Garantien vorsieht und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Diese Voraussetzungen gelten für alle Garantiemaßnahmen des Art. 46 Abs.2, während in Art. 47 DS-GVO zur Zulässigkeit von Binding Corporate Rules engere Voraussetzungen gezogen werden: Zum einen müssen die internen Datenschutzvorschriften für alle Mitglieder der Unternehmensgruppe bindend sein, dazu können vertragliche Vereinbarungen zwischen den Unternehmensteilen oder einseitige Erklärungen oder Verpflichtungen des Mutterunternehmens eingesetzt werden, allerdings müssen auch die Beschäftigten beispielsweise durch Verpflichtungen in Arbeitsverträgen mit bedacht und auf Einhaltung und Durchsetzung der BCR verpflichtet werden. Zum anderen müssen die betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eingeräumt bekommen, das bedeutet, sie müssen verfahrensrechtliche Möglichkeiten eingeräumt bekommen, um die Einhaltung der BCR durch die Datenschutzbehörden oder durch Gerichte durchsetzen zu können. Als dritte Voraussetzung nennt Art. 46 Abs. 1 DS-GVO, dass die in Absatz 2 genannten Voraussetzungen eingehalten werden müssen. Unter den genannten 14 Voraussetzungen sind folgende Angaben aufgeführt, die in den verbindlichen internen Datenschutzvorschriften enthalten sein müssen: 

1. Struktur und Kontaktdaten der Unternehmensgruppe 
2. Detaillierte Informationen über die Datenübermittlung, einschließlich Zweck der Datenverarbeitung, Art der betroffenen Personen und betroffenes Drittland 
3. Interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften
4. Angaben zur Anwendung der allgemeinen Datenschutzgrundsätze 
5. Rechte der betroffenen Personen, Drittbegünstigungsklauseln 
6. Der Verantwortliche und die haftende Stelle muss erkennbar sein 
7. Informationspflichten über Art und Umfang der Betroffenenrechte 
8. Aufgaben des Datenschutzbeauftragten oder einer anderen überwachenden internen Stelle 
9. Beschwerdeverfahren 
10. Bestehende Verfahren zur Überprüfung der Einhaltung der BCR 
11. Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde 
12. Verfahren für die Zusammenarbeit mit den Aufsichtsbehörden 
13. Meldeverfahren an zuständige Aufsichtsbehörde über nachteilige rechtliche Bestimmungen in einem Drittland 
14. Geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten
    
    

Genehmigungsverfahren 

Sind all diese Voraussetzungen erfüllt, können die Durchführungsrechtsakte nach einem erfolgreichen Prüfverfahren nach Art. 93 Abs.2 DS-GVO seitens der Europäischen Kommission erlassen werden. Wird der Durchführungsrechtsakt mittels einer befürwortenden Stellungnahme und damit einer Zustimmung der Kommission erlassen, sind alle Aufsichtsbehörden der Mitgliedstaaten durch das in Art. 63 DSGVO niedergelegte Kohärenzverfahren dazu verpflichtet die Binding Corporate Rules anzuerkennen. Dies dient der einheitlichen Rechtsanwendung und der Harmonisierung des europäischen Datenschutzrechts. 

Bewertung der Binding Corporate Rules 

Auffälligster Vorteil der Binding Corporate Rules ist die einheitliche Ausgestaltung in allen betroffenen EU-Mitgliedstaaten, sodass Unternehmen nicht mehr sog. Forum Shopping betreiben und von einem niedrigeren Datenschutzniveau anderer Länder profitieren können. Außerdem macht die anfängliche Genehmigung der BCR durch die Kommission, weitere Genehmigungen einzelner Datenübermittlungen überflüssig, sodass Prozesse unbürokratischer und schneller gestaltet werden können. Insbesondere negativ für die Unternehmen fällt auf, dass das Genehmigungsverfahren sehr umfangreich und zeitintensiv ausfällt. Da die Kommission ihre Entscheidung mit allen betroffenen Datenschutzbehörden der unterschiedlichen Länder abgleichen muss, liegt der zeitliche Aufwand bei mindestens 12 Monaten. Trotz allem stellt dieses Instrument eine gute Alternative zu einem fehlenden Angemessenheitsbeschluss oder anderen Instrumenten wie den Standardvertragsklauseln dar, um grenzüberschreitenden Datentransfer zu ermöglichen.