Die Übermittlung von Personendaten ins Ausland wird insbesondere bei internationalen Konzerngesellschaften immer mehr zur Norm. Für die Übermittlung diesbezüglicher Daten werden insbesondere die sogenannten verbindlichen internen Datenschutzvorschriften, Binding Corporate Rules (BCR), nach Art. 47 DSGVO eingesetzt. Mittels BCR können international tätige Konzerne oder Organisationen nach geltendem europäischem Recht (DSGVO) intern personenbezogene Daten in Drittstaaten ohne angemessenen Datenschutz transferieren. In der Praxis haben sich BCR weithin bewährt.
Binding Corporate Rules sind keinesfalls ein Ersatz für die Einhaltung der datenschutzrechtlichen Gesetzesbestimmungen; ganz im Gegenteil müssen sie diesen Vorschriften genügen.
Controller BCR und Processor BCR
Es gibt grundsätzlich zwei Arten von BCR:
- Controller BCR (C-BCR), sind für Konzerne geeignet, die Daten, deren Verantwortlicher sie sind, an ein konzerninternes Unternehmen in einem Drittstaat weitergeben möchten.
- Processor BCR (P-BCR), wiederum sind geeignet für Konzerne, die Daten im Auftrag eines externen Unternehmens verarbeiten und dazu die Daten an ein konzerninternes Unternehmen in einem Drittstaat weiterleiten.
Beide Arten von BCR können auch kombiniert werden.
Der Antrag für Controller BCR sind unter folgendem Link abrufbar: Recommendation on the approval of the Controller Binding Corporate Rules form (WP264), 11. April 2018. (Direktlink: PDF, DOCX)
Der Antrag für Processor BCR sind unter folgendem Link abrufbar: Recommendation on the approval of the Processor Binding Corporate Rules form (WP265), 11. April 2018. (Direktlink PDF, DOC)
Beide genannten Anträge wurden bei der ersten Sitzung des Europäischen Datenschutzausschusses am 25. Mai 2018 bestätigt.
Der Europäische Datenschutzausschuss verabschiedete im April 2018 zum Thema das Arbeitspapier WP263. Dieses Dokument erläutert den Ablauf und das Genehmigungsverfahren, insbesondere was die Kooperation zwischen Unternehmen und Aufsichtsbehörde(n) betrifft.