Verbindliche interne Datenschutzvorschriften (BCR) | LDI - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, können verbindliche interne Datenschutzvorschriften nutzen, die von einer Datenschutzaufsichtsbehörde genehmigt sind.

Verbindliche interne Datenschutzvorschriften oder "Binding Corporate Rules" (BCR) können die Grundlage für eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau sein, sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1, Abs. 2 Buchstabe b) DS-GVO). Die BCR müssen dafür von einer zuständigen Aufsichtsbehörde genehmigt sein. Konkrete Übermittlungen, für die die BCR gelten, müssen dann nicht genehmigt werden (Art. 46 Abs. 2 DS-GVO).

BCR betreffen Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Eine Unternehmensgruppe ist eine Gruppe, die aus einem herrschenden Unternehmen und von diesem abhängigen Unternehmen besteht (Art. 4 Nr. 19 DS-GVO). Die erforderlichen Mindestinhalte für BCR sind in Art. 47 DS-GVO geregelt.

BCR-Typen

Die BCR können in zwei Typen eingesetzt werden:

1. Vorschriften für Verantwortliche: Controller BCR (BCR-C)

Diese Vorschriften dienen der Datenübermittlung durch Verantwortliche, die in einem Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) niedergelassen sind, an andere Verantwortliche oder Auftragsverarbeiter außerhalb des EWR. Dabei sind die beteiligten Unternehmen Teil einer Gruppe.
Dieses Instrument kommt in Frage für Unternehmensgruppen oder Gruppen von Unternehmen, in denen ein regelmäßiger Austausch personenbezogener Daten erfolgt. Die Unternehmen erarbeiten ein Regelwerk, welches Datenschutzgarantien für die Personen schafft, deren Daten im Konzern verarbeitet werden. Dieses Regelwerk kann sich auch auf bestimmte Bereiche beschränken, zum Beispiel auf die Verarbeitung von Personaldaten innerhalb eines Konzernverbundes. Es bietet dann nur für diese Bereiche geeignete Garantien gemäß Art. 46 DS-GVO.

2. Vorschriften für Auftragsverarbeiter: Processor BCR (BCR-P)

Der Fokus dieser Regelungen liegt auf Weiterübermittlungen solcher Daten, die von einem Verantwortlichen, der kein Mitglied der Gruppe ist, erhalten werden und anschließend von den Mitgliedern der Gruppe als Auftragsverarbeiter und/oder Unterauftragsverarbeiter verarbeitet werden. Denkbar ist dies etwa im Zusammenhang mit der Auslagerung von IT-Dienstleistungen. Insgesamt können diese Vorschriften auch als BCR für Daten Dritter bezeichnet werden.

Genehmigungsverfahren

Für die Antragstellung bei der LDI NRW haben wir Empfehlungen. Siehe dazu unten.

Das vom Europäischen Datenschutzausschuss bestätigte Arbeitspapier WP263 rev.01 (ehemals WP107) erläutert das Koordinierungsverfahren der europäischen Datenschutzaufsichtsbehörden für die Genehmigung von BCR. Dieses Verfahren besteht aus den folgenden Schritten:

1. Bestimmung der EWR-Federführung

Zuerst muss die federführende Aufsichtsbehörde identifiziert werden (BCR Lead SA). Die Antragsteller*innen stellen den Antrag bei der Behörde, die ihrer Meinung nach federführend ist. Zur Ermittlung, wann eine Aufsichtsbehörde die Lead SA ist, hat der EDSA die Leitlinie ‚Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority‘ veröffentlicht.

Die Behörde, die den Antrag erhalten hat, überprüft die Angaben, um unter Einbindung der anderen Aufsichtsbehörden die EWR-Federführung zu bestimmen (vgl. Ziff. 2.1 WP263 rev.01).

2. Prüfung der Unterlagen und Kooperationsverfahren

Sobald die Federführung feststeht, beginnt die Prüfung der Unterlagen durch die BCR Lead SA. Hierzu müssen Antragsteller*innen die folgenden Dokumente einreichen:

Vollständig ausgefülltes Antragsformular Part 1 und Part 2 der 1/2022 EDSA Empfehlungen zur Beantragung von BCR
Checkliste für den entsprechenden BCR-Typ:
- Prüftabelle für die notwendigen Inhalte von BCR-C (Annex 2 der 1/2022 EDSA Empfehlung)
- Prüftabelle für die notwendigen Inhalte von BCR-P (WP257 rev.01)
BCR
Begleitende Dokumente, falls vorhanden.

Auf die Prüfung der BCR Lead SA folgt die Prüfung durch maximal zwei weitere EWR-Aufsichtsbehörden als Co-Prüfer (sog. Co-Reviewer, vgl. Ziff. 2.2 WP263). Sobald die Prüfung durch die Co-Reviewer beendet ist, erhalten alle EWR-Aufsichtsbehörden Gelegenheit zur Stellungnahme im Rahmen des Kooperationsverfahrens. Anmerkungen der Aufsichtsbehörden, einschließlich von Verbesserungsvorschlägen und Änderungswünschen, teilt die BCR Lead SA den Antragsteller*innen bei allen genannten Schritten mit. Die Antragsteller*innen haben dann die Gelegenheit, die BCR anzupassen.

3. Kohärenzverfahren (Art. 63 DS-GVO)

Ergebnis des Kooperationsverfahrens ist in der Regel eine konsolidierte Fassung der BCR-Unterlagen, die die Antragsteller*innen angepasst haben und die die Aufsichtsbehörden als grundsätzlich genehmigungsfähig einschätzen. Vor der Genehmigung muss die BCR Lead SA im Rahmen des formellen Kohärenzverfahrens eine Stellungnahme des Europäischen Datenschutzausschusses nach Art. 64 Abs. 1 Buchstabe f DS-GVO beantragen (vgl. Ziff. 2.5 WP263).

Gemäß Art. 64 Abs. 5 Buchstabe b DS-GVO werden die Stellungnahmen des EDSA veröffentlicht.

Ergänzende Maßnahmen

Wie bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen.

Weitere Informationen

Der Europäische Datenschutzausschuss stellt eine Übersicht über die genehmigten BCR und die nationalen Genehmigungsentscheidungen zur Verfügung.

Bereits vor der DS-GVO genehmigte BCR behalten ihre Gültigkeit (Art. 46 Abs. 5 Satz 1 DS-GVO). BCR-Inhaber*innen mussten sie aber an die DS-GVO anpassen. Die federführende Aufsichtsbehörde sollte darüber im Rahmen der jährlichen Änderungsmeldungen informiert werden.

Infolge des Brexit kann die Aufsichtsbehörde im Vereinigten Königreich (ICO) im BCR-Genehmigungsverfahren nach Art. 47 DS-GVO nicht mehr als BCR Lead SA agieren.

BCR-Inhaber*innen und BCR-Antragsteller*innen, die bisher ICO als BCR Lead SA bestimmt hatten, müssen daher eine neue Aufsichtsbehörde im EWR als BCR Lead SA identifizieren. Für eine eventuell erforderliche Überarbeitung bereits genehmigter BCR bzw. der Antragsunterlagen kann die vom Europäischen Datenschutzausschuss veröffentlichte Prüftabelle herangezogen werden.

Empfehlungen

Es empfiehlt sich, schon vor der Antragstellung Kontakt mit der zuständigen Aufsichtsbehörde aufzunehmen, um Fragen zu Eignung, Zuständigkeit und Verfahren zu klären.

Antragsteller*innen, die die LDI NRW als BCR Lead SA identifiziert haben und ein BCR-Genehmigungsverfahren durchführen wollen, sollen im ersten Verfahrensschritt die folgenden Unterlagen einreichen:

Part 1 des Antragsformulars für den entsprechenden BCR-Typ
- Antragsformular für BCR-C (Part 1 und Part 2 der 1/2022 EDSA Empfehlung)
- Antragsformular für BCR-P (WP 265)
Aussagekräftiges Organigramm der Gruppe
Liste der Gruppeneinheiten, die an den BCR teilnehmen, samt Kontaktdaten (Ziff. 2 von Part 1 der 1/2022 EDSA Empfehlung“ bzw. WP265). Aus den Angaben sollte sich die jeweilige Rechtsform der Einheiten ergeben.
Informationen zu den vorgesehenen Datenflüssen

Alle Unterlagen sollten auf Englisch eingereicht werden, da in dieser Sprache die Zusammenarbeit mit den EWR-Aufsichtsbehörden erfolgt. Damit können zeit- und kostenaufwendige Übersetzungen im Genehmigungsprozess vermieden werden. Eine deutsche Übersetzung muss der LDI NRW zwar vorgelegt werden. Dies ist aber erst erforderlich, wenn das Kohärenzverfahren abgeschlossen ist und die (nationale) Genehmigungsentscheidung ansteht.

Zur Vermeidung von Verzögerungen empfehlen wir Antragsteller*innen, in das Genehmigungsverfahren erst dann einzusteigen, wenn sämtliche erforderlichen Unterlagen ausgefüllt bzw. finalisiert sind. Hierzu zählen die Antragsformulare, die Prüftabellen sowie insbesondere die BCR.