Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 29ff.
Konzerne mit Niederlassungen in mehreren europäischen Ländern und außerhalb der EU nutzen gerne Binding Corporate Rules (BCR) für den internationalen Datentransfer. Dieses Instrument hat durch die Datenschutz-Grundverordnung eine deutliche Aufwertung erfahren. Da die Wirtschaft ein gesteigertes Bedürfnis an einem rechtssicheren Datenaustausch hat, rechne ich mit einer zunehmenden Zahl von Verfahren zur datenschutzrechtlichen Anerkennung von BCR.
Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) einer Unternehmensgruppe sind eine Möglichkeit, Richtlinien zum Umgang mit personenbezogenen Daten als Voraussetzung für einen Datentransfer in das außereuropäische Ausland zu schaffen. Dabei entwickelt das Unternehmen einen eigenen Datenschutzrahmen, der für alle Mitglieder der Unternehmensgruppe Anwendung finden soll. Die Aufsichtsbehörden prüfen zunächst, ob diese eigenen Datenschutzregelungen ein angemessenes Schutzniveau im Sinne der Datenschutz-Grundverordnung (DS-GVO) schaffen und genehmigen nach durchlaufenem Kohärenzverfahren die BCR anschließend. BCR bieten viele Vorteile für Unternehmen, insbesondere da sie anders als etwa die EU-Standardvertragsklauseln auf die besonderen Bedürfnisse der jeweiligen Unternehmen zugeschnitten sind.
Anforderungen der Art. 29-Gruppe übernommen
Die DS-GVO regelt erstmals die Voraussetzungen für die Genehmigung von BCR ausdrücklich.
Zuvor waren diese Voraussetzungen in Working Paper der Art. 29-Gruppe (früherer Zusammenschluss der europäischen Aufsichtsbehörden) zusammengefasst. Der Inhalt dieser Working Paper wurde in die DS-GVO übernommen, was eine Weiterführung der inhaltlichen Anforderungen an BCR sichert.
Die DS-GVO legt nun z. B. eindeutig fest, dass die BCR eine rechtliche Bindungswirkung nach
innen und gegenüber den betroffenen Personen garantieren müssen. Daneben werden in Art. 47 Abs. 2 DS-GVO inhaltliche Mindestangaben für BCR gesetzlich festgelegt. So müssen etwa die
neuen Regelungen der DS-GVO zur Informationspflicht gegenüber den betroffenen Personen,
zum Beschwerderecht der Betroffenen und zur Rechenschaftspflicht des Verantwortlichen in die BCR aufgenommen werden. Die DS-GVO schafft damit Rechtssicherheit bezüglich der Anforderungen an BCR in ganz Europa.
EDSA entscheidet über Anerkennung
Eine entscheidende Neuerung betrifft das Verfahren zur Genehmigung von BCR. Nach Art. 63,
64 Abs. 1 DS-GVO entscheidet nun der Europäische Datenschutzausschuss (EDSA) im Kohärenz-
verfahren über die Anerkennung von BCR. Vor Geltung der DS-GVO genügte die Genehmigung
der jeweils für den Verantwortlichen zuständigen Aufsichtsbehörde, welche je nach dem geo-
grafischen Anwendungsbereich der BCR die anderen betroffenen Aufsichtsbehörden in der EU
beteiligte (BCR müssen dem EDSA verpflichtend zur Stellungnahme vorgelegt werden. Die Aufsichtsbehörde hat der Stellungnahme des Ausschusses weitestgehend Rechnung zu tragen.).
Durch die Entscheidung im EDSA wird das Verfahren zur Anerkennung von BCR nun europaweit
vereinheitlicht. Auch die entsprechende Genehmigung von konkreten BCR gilt folglich unmittelbar in allen europäischen Mitgliedstaaten. Das Verfahren vor dem EDSA ist gesetzlich genau bestimmt – etwa hinsichtlich der Fristen für bestimmte Verfahrensschritte – und damit auch berechenbarer für das antragstellende Unternehmen.
Da nach neuem Recht über vorgelegte BCR im EDSA entschieden wird, haben sämtliche Aufsichtsbehörden die Gelegenheit, eingebrachte BCR zu prüfen, um eine fundierte Entscheidung treffen zu können. Auch dies trägt zur Vereinheitlichung und zur weiteren Harmonisierung von Datenschutzthemen innerhalb der EU bei. Darüber hinaus erhalten in der Praxis alle Aufsichtsbehörden schon im Vorfeld Gelegenheit zur Stellungnahme und können sich mit Anmerkungen und Kritik zu den vorgelegten BCR beteiligen. Die deutschen Aufsichtsbehörden sind aufgerufen, aktiv an dieser Prüfung teilzunehmen. Daher wird sich auch Niedersachsen künftig stärker in die Diskussion um bestimmte BCR in Europa einbringen.
Eine erste Gelegenheit zur Mitwirkung an einem Prüfungsverfahren nach neuem Recht ergab sich im Jahr 2019 durch die BCR eines Unternehmens mit Hauptsitz in Spanien und einer Niederlassung in Niedersachsen. Das BCR-Verfahren wurde federführend durch die spanische Aufsichtsbehörde betrieben. Niedersachsen beteiligte sich im Rahmen der Co-Prüfung und nahm so Einfluss auf die konkrete Ausgestaltung der BCR.
Erstes Verfahren unter niedersächsischer Federführung
Bereits 2018 stellte ein Unternehmen mit Hauptsitz in Niedersachsen und weltweiten Niederlassungen den Antrag auf Genehmigung der eigenen verbindlichen Datenschutzregelungen. Da die Federführung bei der LfD Niedersachsen lag, konnte meine Behörde sogleich als eine der ersten europäischen Aufsichtsbehörden im neu festgelegten BCR-Verfahren tätig werden. Diese BCR sollen in mehreren europäischen Ländern Geltung erhalten. Meine Behörde überarbeitete den Entwurf gemeinsam mit der italienischen Aufsichtsbehörde, die in diesem Verfahren Co-Prüferin war. Die BCR stehen nun kurz vor der Anerkennung durch den EDSA, womit im ersten Halbjahr 2020 zu rechnen ist.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 29ff.