BCR – die Antwort bei internationaler Datenverarbeitung?

Multinational agierende Konzerne übermitteln häufig personenbezogene Daten über Staatsgrenzen hinaus. Daher sind Auftragsdatenverarbeitung und Datenübermittlungen in das Ausland mit die relevantesten Themen im Hinblick auf Datenschutz im Konzern. Eine Alternative zu den EU-Standardvertragsklauseln oder einer Safe Harbor Zertifizierung stellen die so genannten BCR (Binding Corporate Rules = verbindliche Unternehmensrichtlinien) dar. Neben bekannten Unternehmen wie American Express oder E-Bay nutzt auch die Deutsche Post bereits seit 2011 solche konzerninternen Richtlinien. Was genau BCR beinhalten und welche Vor- und Nachteile sie in der Praxis bieten, soll dieser Beitrag klären.

Die Ausgangssituation – wann spielen BCR eine Rolle?

BCR spielen bei dem Datentransfer in außereuropäische Staaten erst auf zweiter Ebene eine Rolle. Zunächst bedarf es einer Erlaubnisnorm für die Datenübermittlung (vgl. § 4 Abs. 1, 2 BDSG und §§ 27 ff. BDSG). Erst danach wird überprüft, ob seitens des Datenempfängers ein angemessenes Datenschutzniveau besteht. Die Übereinstimmung mit dem europäischen Datenschutzrecht kann dann mittels der Einführung von BCR erreicht werden.

Anforderungen an den Inhalt

Die Artikel-29-Datenschutzgruppe hat in mehreren Arbeitspapieren Hilfestellungen für die Erstellung der unternehmensinternen Datenschutzregelungen entwickelt. Zum Inhalt gehören Punkte wie:

  • die Rechtsgrundlage für die Datenverarbeitung
  • der Geltungsbereich (alle Staaten, in denen sich Unternehmensteile den BCR unterwerfen)
  • das Transparenzgebot (leichter Zugang zu den BCR für die Betroffenen)
  • die Selbstverpflichtung für ein Auditprogramm und
  • die Verpflichtung zu Schadensersatzleistungen im Fall der Missachtung der BCR ...
Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK