Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Binding Corporate Rulses nach der DS-GVO

8. Mai 2017

Datenübermittlungen in Drittstaaten erfordern aus datenschutzrechtlicher Sicht eine gesonderte Rechtsgrundlage. In der Regel sind zwischen den Beteiligten besondere Datenschutzverträge, sogenannte EU-Standardvertragsklauseln, zu vereinbaren.

Die EU-Standardvertragsklauseln

Hierbei handelt es sich um ein Vertragswerk, dass von der EU hier in zwei Versionen zum Download angeboten wird. Eine Vorlage kann für Aufträge zur Auftragsdatenverarbeitung heranzogen werden, während die zweite Vorlage für Funktionsübertragungen zu verwenden ist. Diese Vertragsvorlagen gelten als Rechtsgrundlage für Datenübermittlungen in Drittländer gemäß § 4c Abs. 2 BDSG oder künftig gemäß Artikel 46 Abs. 2 lit. c DS-GVO. Allerdings sind diese Vorlagen nur dann gültig, wenn sie in völlig unveränderter Form verwendet werden. Auch minimale Änderungen sind nicht zulässig bzw. sind durch die Aufsichtsbehörden uu genehmigen. Gerade in internationalen Konzernen ist diese Vorgehensweise daher häufig nicht oder nur mit erheblichem Aufwand möglich. Häufig bilden die fest vorgegebenen Klauseln, die reale Zusammenarbeit zwischen den Unternehmen des Konzerns schlecht ab. Darüber hinaus ergibt sich die Problematik, dass die Klauseln für jede einzelne Beziehung des Datenexports vereinbart werden müssen. D.h. bei Konzernen mit Standorten in zahlreichen Drittländern und wechselseitigen Beziehungen zwischen allen Unternehmen des Konzerns ergibt sich schnell eine große Anzahl an zu vereinbarenden Standardvertragsklauseln (n:n-Beziehung).

Binding Corporate Rules

Als weitere Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittstaaten sah bereits das BDSG darüber hinaus vor, dass verbindliche Unternehmensregelungen (Binding Corporate Rules, kurz BCR) vereinbart werden konnten, auf deren Basis eine Datenübermittlung stattfinden konnte. In der Praxis spielten diese BCR jedoch kaum eine Rolle. Zu groß war der Aufwand, datenschutzkonforme BCR zu entwickeln. Darüber hinaus waren die Aufsichtsbehörden in den Prozess der Definition der BCR mit einzubeziehen und mussten diese letztlich auch genehmigen.

Dieser Problematik wurde bei der entsprechenden Regelung der DS-GVO Rechnung getragen und die Anforderungen an BCR deutlich praxisnäher gestaltet.

Auch Gruppen von Unternehmen können BCR anwenden

Künftig können nicht nur Unternehmen eines Konzerns ihre Datenübermittlungen auf BCR stützen, sondern auch mehrere unabhängige Unternehmen der selben Branche. In der DS-GVO sind die möglichen Adressaten die „betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“. Dies erweitert den Kreis der in Frage kommenden Verwendern von BCR erheblich.

Die zuständige Aufsichtsbehörde

Genau wie im BDSG sind auch nach der DS-GVO die BCR durch die zuständige Aufsichtsbehörde zu genehmigen. Damit Konzerne nicht mit jeder einzelnen Behörde verhandeln müssen, ist in Artikel 63 DS-GVO das Kohärenzverfahren zur Bewilligung von BCR vorgesehen. BCR, die im Kohärenzverfahren durch die beteiligten Aufsichtsbehörden genehmigt wurden, entfalten gegenüber allen anderen Aufsichtsbehörden ihre Wirksamkeit. 

Genehmigung einzelner Übermittlungen

Selbst bei bestehenden und genehmigten BCR mussten nach dem BDSG einzelne Übermittlungen weiterhin durch die jeweils zuständige Aufsichtsbehörde genehmigt werden. D.h. im konkreten Fall oder bei neu hinzugekommenen Übermittlungen war wieder die jeweils zuständige Aufsichtsbehörde einzuschalten. Diese Regelung findet sich in der DS-GVO nun nicht mehr.

Inhalte der BCR

Allerdings schreibt die DS-GVO in Artikel 47 sehr genau vor, welche Mindestinhalte BCR enthalten müssen. Demnach sind folgende Mindestinhalte vorgeschrieben:

  1. Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
  2. die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
  3. interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
  4. die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
  5. die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
  6. die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
  7. die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
  8. die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;
  9. die Beschwerdeverfahren;
  10. die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
  11. die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
  12. die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
  13. die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
  14. geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten.

Fazit

Die Vereinbarung von BCR können den international Datenverkehr erheblich vereinfachen. Erfreulich ist, dass die Anforderungen an die BCR in der DS-GVO praxisnäher gestaltet wurden als nach dem bisherigen BDSG. Daher ist es gut möglich, dass künftig häufiger auf diese Möglichkeit zurückgegriffen werden wird. Dennoch bleibt ein hoher administrativer Aufwand, der sich nur für größere Unternehmen lohnen wird. In allen anderen Fällen wird die Verwendung von EU-Standardvertragsklauseln nach wie vor die Rechtsgrundlage für Datenübermittlungen in unsichere Drittländer darstellen.

Führen Sie Datenübermittlungen in unsichere Drittländer durch? Sprechen Sie uns an! Gerne unterstützen Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen.