Die BCR können in zwei Typen eingesetzt werden:

1. Vorschriften für Verantwortliche: Controller BCR (BCR-C)

Diese Vorschriften dienen der Datenübermittlung durch Verantwortliche, die in einem Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) niedergelassen sind, an andere Verantwortliche oder Auftragsverarbeiter außerhalb des EWR. Dabei sind die beteiligten Unternehmen Teil einer Gruppe.
Dieses Instrument kommt in Frage für Unternehmensgruppen oder Gruppen von Unternehmen, in denen ein regelmäßiger Austausch personenbezogener Daten erfolgt. Die Unternehmen erarbeiten ein Regelwerk, welches Datenschutzgarantien für die Personen schafft, deren Daten im Konzern verarbeitet werden. Dieses Regelwerk kann sich auch auf bestimmte Bereiche beschränken, zum Beispiel auf die Verarbeitung von Personaldaten innerhalb eines Konzerns. Es bietet dann nur für diese Bereiche geeignete Garantien gemäß Art. 46 DS-GVO.

2. Vorschriften für Auftragsverarbeiter: Processor BCR (BCR-P)

Der Fokus dieser Vorschriften liegt auf Drittlandübermittlungen solcher Daten, die von einem Verantwortlichen, der kein Mitglied der Gruppe ist, erhalten werden und anschließend von den Mitgliedern der Gruppe als Auftragsverarbeiter und/oder Unterauftragsverarbeiter verarbeitet werden. Denkbar ist dies etwa im Zusammenhang mit der Auslagerung von IT-Dienstleistungen.

Für die Antragstellung bei der LDI NRW haben wir Empfehlungen. Siehe dazu unten.

Der Europäische Datenschutzausschuss (im Folgenden: EDSA)  erläutert das Koordinierungsverfahren der europäischen Datenschutzaufsichtsbehörden für die Genehmigung von BCR in seinem Dokument, welches Sie hier abrufen können. 

Bestimmung der EWR-Federführung

Zuerst muss die federführende Aufsichtsbehörde identifiziert werden (sog. „Lead SA“). Die Antragsteller*innen stellen den Antrag bei der Behörde, die ihrer Meinung nach federführend ist. Zur Ermittlung, wann eine Aufsichtsbehörde federführend ist, hat der EDSA die Leitlinie ‚Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority‘ veröffentlicht.

Die Behörde, die den Antrag erhalten hat, prüft die Angaben, um unter Einbindung der anderen Aufsichtsbehörden die EWR-Federführung zu bestimmen.

Das Genehmigungsverfahren selbst besteht aus den folgenden Phasen:

Phase 1: Überprüfung durch die federführende Behörde

Sobald die Federführung feststeht, beginnt die Prüfung der Unterlagen durch die Lead SA. Hierzu müssen Antragsteller*innen die folgenden Dokumente einreichen:

• Vollständig ausgefülltes Antragsformular sowie die Prüftabelle für die notwendigen Inhalte von BCR:
  • Für BCR-C: EDSA Empfehlungen 1/2022
  • Für BCR-P: EDSA Empfehlungen 1/2026
• BCR
• Ggf. begleitende Dokumente

Phase 2: Gemeinsame Überprüfung

Auf die Prüfung der Lead SA folgt die Prüfung durch maximal zwei weitere EWR-Aufsichtsbehörden als sog. Co-Reviewer. 

Phase 3: Zusammenarbeit der EDSA-Mitglieder

Sobald die Prüfung durch die Co-Reviewer beendet ist, erhalten alle EWR-Aufsichtsbehörden Gelegenheit zur Stellungnahme im Rahmen des Kooperationsverfahrens. 

In Phase 2 und 3 hat die Lead SA grundsätzlich eine neutrale Funktion, indem sie die Anmerkungen der Aufsichtsbehörden, einschließlich der Verbesserungsvorschläge und Änderungswünsche den Antragsteller*innen mitteilt. Die Antragsteller*innen haben dann die Gelegenheit, die BCR anzupassen.

Ergebnis dieses Kooperationsverfahrens ist eine konsolidierte Fassung der BCR-Unterlagen, die die Antragsteller*innen angepasst haben und die die Aufsichtsbehörden als grundsätzlich genehmigungsfähig einschätzen.

Phase 4: Stellungnahme des EDSA

Vor der Genehmigung muss die Lead SA im Rahmen des formellen Kohärenzverfahrens eine Stellungnahme des EDSA nach Art. 64 Abs. 1 Buchstabe f DS-GVO beantragen.

Gemäß Art. 64 Abs. 5 Buchstabe b DS-GVO werden die Stellungnahmen des EDSA veröffentlicht.

Phase 5: Genehmigung durch die federführende Behörde

Nach Abschluss des Kohärenzverfahrens erteilt die Lead SA den Antragsteller*innen die Genehmigung ihrer BCR gemäß Art. 58 Abs. 3 lit. j) in Verbindung mit Art. 46 Abs. 2 lit. b) und 47 Abs. 1 DS-GVO.

Wie bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen.

Der EDSA stellt eine Übersicht über die genehmigten BCR und die nationalen Genehmigungsentscheidungen zur Verfügung.

Es empfiehlt sich, schon vor der Antragstellung Kontakt mit der zuständigen Aufsichtsbehörde aufzunehmen, um Fragen zu Eignung, Zuständigkeit und Verfahren zu klären.

Antragsteller*innen, die die LDI NRW als Lead SA identifiziert haben und ein BCR-Genehmigungsverfahren durchführen wollen, sollten im ersten Schritt die folgenden Unterlagen einreichen:

• Part 1 des Antragsformulars für den entsprechenden BCR-Typ
  • Antragsformular für BCR-C (Part 1 und Part 2 der 1/2022 EDSA Empfehlungen)
  • Antragsformular für BCR-P (Part 1 und Part 2 der 1/2026 EDSA Empfehlungen)
• Aussagekräftiges Organigramm der Gruppe
• Liste der Gruppeneinheiten, die an den BCR teilnehmen, samt Kontaktdaten. Aus den Angaben sollte sich die jeweilige Rechtsform der Einheiten ergeben.
• Informationen zu den vorgesehenen Datenflüssen

Alle Unterlagen sollen auf Englisch eingereicht werden, da in dieser Sprache die Zusammenarbeit mit den EWR-Aufsichtsbehörden erfolgt. Damit können zeitaufwendige Übersetzungen im Genehmigungsprozess vermieden werden. Eine deutsche Übersetzung muss der LDI NRW zwar vorgelegt werden. Dies ist aber erst erforderlich, wenn das Kohärenzverfahren abgeschlossen ist und die (nationale) Genehmigungsentscheidung ansteht.

Zur Vermeidung von Verzögerungen empfehlen wir Antragsteller*innen, in das Genehmigungsverfahren erst dann einzusteigen, wenn sämtliche erforderlichen Unterlagen finalisiert sind. Hierzu zählen die Antragsformulare, die Prüftabellen sowie insbesondere die BCR.