BCR – die Antwort bei internationaler Datenverarbeitung?

europa 09
Fachbeitrag

Multinational agierende Konzerne übermitteln häufig personenbezogene Daten über Staatsgrenzen hinaus. Daher sind Auftragsdatenverarbeitung und Datenübermittlungen in das Ausland mit die relevantesten Themen im Hinblick auf Datenschutz im Konzern. Eine Alternative zu den EU-Standardvertragsklauseln oder einer Safe Harbor Zertifizierung stellen die so genannten BCR (Binding Corporate Rules = verbindliche Unternehmensrichtlinien) dar. Neben bekannten Unternehmen wie American Express oder E-Bay nutzt auch die Deutsche Post bereits seit 2011 solche konzerninternen Richtlinien. Was genau BCR beinhalten und welche Vor- und Nachteile sie in der Praxis bieten, soll dieser Beitrag klären.

Update: Bitte beachten Sie, dass Datenübermittlungen auf Grundlage von Safe Harbor Zertifizierungen mittlerweile nicht mehr zulässig sind. Dieser Beitrag wurde erstellt, bevor dies durch den Europäischen Gerichtshof am 06. Oktober 2015 entschieden wurde.

Die Ausgangssituation – wann spielen BCR eine Rolle?

BCR spielen bei dem Datentransfer in außereuropäische Staaten erst auf zweiter Ebene eine Rolle. Zunächst bedarf es einer Erlaubnisnorm für die Datenübermittlung (vgl. § 4 Abs. 1, 2 BDSG und §§ 27 ff. BDSG). Erst danach wird überprüft, ob seitens des Datenempfängers ein angemessenes Datenschutzniveau besteht. Die Übereinstimmung mit dem europäischen Datenschutzrecht kann dann mittels der Einführung von BCR erreicht werden.

Anforderungen an den Inhalt

Die Artikel-29-Datenschutzgruppe hat in mehreren Arbeitspapieren Hilfestellungen für die Erstellung der unternehmensinternen Datenschutzregelungen entwickelt. Zum Inhalt gehören Punkte wie:

  • die Rechtsgrundlage für die Datenverarbeitung
  • der Geltungsbereich (alle Staaten, in denen sich Unternehmensteile den BCR unterwerfen)
  • das Transparenzgebot (leichter Zugang zu den BCR für die Betroffenen)
  • die Selbstverpflichtung für ein Auditprogramm und
  • die Verpflichtung zu Schadensersatzleistungen im Fall der Missachtung der BCR.

Einbindung der Aufsichtsbehörden

Darüber hinaus müssen die Aufsichtsbehörden aller Länder, in welche personenbezogene Daten übermittelt werden sollen, an der Abfassung der BCR beteiligt werden, wobei zur Erleichterung der Abstimmung diese bei der Behörde eines Landes (Lead Data Protection Authority) zentriert ist. Die BCR selbst legitimieren nicht den Transfer von personenbezogenen Daten in Drittstaaten. Es bedarf vielmehr noch einer sogenannten „transfer notification“, die normalerweise auf Grund der vorgelegten BCR erteilt wird.

BCR im Vergleich – Die Vorteile

Betrachtet man BCR im Vergleich zu den anderen Instrumenten bei der Datenübermittlung in Drittstaaten, zeigen sich vor allem in der Praxis die Vor- und Nachteile.

Im Vergleich zu den EU-Standardvertragsklauseln sind BCR wesentlich flexibler und können individuell an den Konzern angepasst werden. Durch sie werden weltweit einheitliche Datenschutzstandards auf recht hohem Niveau festgelegt, zumal es einer Zustimmung von den europäischen Aufsichtsbehörden bedarf.

Gegenüber einer Safe Harbor Zertifizierung spricht klar für BCR, dass sie weltweit Geltung haben, wohingegen die Zertifizierung nur für US-amerikanische Unternehmen gilt. BCR sind quasi der „Safe Heaven“ im Vergleich zu Safe Harbor. Außerdem ist die Rechtmäßigkeit des Safe Harbor Abkommens derzeit auf dem Prüfstand und wird seit längerem insbesondere von deutschen Aufsichtsbehörden kritisch betrachtet.

Die Nachteile

Die große Stärke von BCR – die individuelle Ausgestaltung – ist zugleich auch eine große Schwäche. Die Einführung und Umsetzung dauert oft ein bis zwei Jahre (oder länger), da seitens der Aufsichtsbehörden zahlreiche detaillierte und umfangreiche Anforderungen an die Ausgestaltung gestellt werden. Für die verbindliche Umsetzung der Richtlinien sind des Weiteren oft zusätzliche Verträge erforderlich. Die Umsetzung ist folglich ein nicht zu unterschätzender Kostenfaktor.

EU-Standardvertragsklauseln sind demgegenüber praktikabler, da keine Modifikationen vom Unternehmen erforderlich bzw. möglich sind. Auch eine Selbstzertifizierung in Form von Safe Harbor ist für das Unternehmen leichter umzusetzen, da es keine komplexe Vertragsstruktur gibt und Aufsichtsbehörden weitestgehend keinen Einfluss haben.

Fazit

Auch BCR sind mithin nicht der absolute Schlüssel zum Erfolg. Auf Grund der Kosten und der langen Umsetzungszeit sind sie vor allem eine mittelfristige Lösung für Unternehmen. Wer weltweit personenbezogenen Daten übermitteln möchte, muss für eine kurzfristige Lösung weiterhin auf EU-Standardvertragsklauseln zurückgreifen. Die Safe Harbor Zertifizierung ist in diesem Bereich wie dargestellt keine Option.

Praxistipp

Alle drei Instrumente haben individuelle Vor- und Nachteile. Welches Mittel für ein Unternehmen das „richtige“ ist, hängt letztlich von mehreren Faktoren ab:

  • welche Daten sind betroffen?
  • was für Datenflüsse gibt es?
  • wie ist die Konzernstruktur und
  • welchen Stellenwert hat Datenschutz im Unternehmen?

Im Einzelfall kann es sinnvoll sein, für verschiedene Daten oder Unternehmensteile unterschiedliche Mittel zu wählen. So können etwa BCR auch neben den EU-Standardvertragsklauseln parallel zur Anwendung kommen, etwa wenn einzelne Aufsichtsbehörden den BCR (noch) nicht zugestimmt haben.

Ein Kommentar zu diesem Beitrag

  1. BCR bieten für Betriebsräte eine besondere Herausforderung. Für den lokalen Betriebsrat eines Unternehmens, das einer BCR unterliegt, kann das bedeuten, dass seine Rechte geschmälert werden. Auch ist es mit der Gegenargumentation, wenn eine Software aus einem Konernteil in einem verbundenen Drittland eingesetzt werden soll, das nicht unser DS-Niveau hat, dann nicht mehr ganz so einfach. Die Thematik Datenschutz ist für sehr viele Gremien eh schwer zu stemmen – das Spezialthema BCR um so mehr.
    Insofern bitte ich darum, dass die Spezialisten (so wie Sie) die betroffenen Betriebsräte auch hier entsprechend schulen.
    Grüße

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.