Binding Corporate Rules

Binding Corporate Rules oder „verbindliche interne Datenschutzvorschriften“ unterscheiden sich in diversen zentralen Punkten von Codes of Conduct. Für diese enthält Art. 4 Nr. 20 DSGVO sogar eine Definition.

Anders als Codes of Conduct werden Binding Corporate Rules – wie in der deutschen Übersetzung auch deutlicher ersichtlich – jeweils nur für die interne Datenweitergabe in einem Unternehmen oder einer Unternehmensgruppe erlassen. Auch der Anwendungsbereich ist deutlich begrenzter: Geregelt wird hier lediglich der Datentransfer in Länder außerhalb der EU (sog. Drittländer). Sie sollen die Daten innerhalb des Unternehmens grenzüberschreitend verfügbar machen können.

Verfahren

Auch diese verbindlichen internen Vorschriften sind von der zuständigen Aufsichtsbehörde zu genehmigen. Bei Niederlassungen in mehreren Mitgliedsstaaten muss, wie bei den Codes of Conduct beschrieben, ein Kohärenzverfahren nach Art. 63 DSGVO stattfinden.

Zentrale Genehmigungsvoraussetzung ist dabei nach Art. 47 Abs. 1 lit. a DSGVO die rechtliche Verbindlichkeit der Datenschutzvorschriften innerhalb des Unternehmens oder Unternehmensgruppe. Wie dies genau zu erreichen ist, hängt unter anderem auch von den Rechtsformen der beteiligten Unternehmensteile ab und kann hier nicht im Detail nicht dargestellt werden. Vertragliche Verpflichtungen untereinander werden aber als genügend angesehen. Andere Konstruktionen sind denkbar, sofern sie eben zu einer rechtlichen Verbindlichkeit führen. Eine genauere Regelung des Verfahrens kann in Zukunft nach Art. 47 Abs. 3 DSGVO ggf. noch durch die Europäische Kommission erfolgen.

Inhaltliche Anforderungen

Auch inhaltlich enthält die DSGVO Vorgaben für die Aufstellung von Binding Corporate Rules. So ist eine Genehmigungsvoraussetzung die Aufnahme von durchsetzbaren Rechten für die Betroffenen (Art. 40 Abs. 1 lit. b DSGVO). Die Regelungen sollen nicht nur innerhalb des Unternehmens verbindlich sein, sondern auch nach außen Wirkungen entfalten.

Daneben enthält Art. 40 Abs. 2 DSGVO einen umfangreichen Katalog an Mindestangaben, der bei der Erstellung abzuarbeiten ist.

Verwendung in der Datenschutzkommunikation

Das Thema der Übermittelung von Daten in Drittländer hat in den letzten Jahren eine enorme mediale Aufmerksamkeit erfahren. Gerade die Übermittelung von Daten in die USA wurde dabei als skandalträchtiges Thema im Rahmen der Offenlegung dortiger Geheimdienst-Praktiken breit diskutiert. Das Schlagwort „Safe Harbor“, welches die damaligen Regelungen für solche Übermittelungen zusammenfasste, war medial über Monate präsent. Auch das ebenfalls häufig kritisierte Nachfolgeabkommen „Privacy Shield“ ist in aller Munde.

Gerade bei solchen Übermittelungsprozessen gilt es also, das möglicherweise erschütterte Vertrauen der Betroffenen zurückzugewinnen. Der Aufstellung und Genehmigung von Binding Corporate Rules kann dabei aber auch wie schon bei den Codes of Conduct geschildert nur der erste Schritt sein und schafft nur die rechtliche wie kommunikative Grundlage.

Eine transparente Offenlegung der Übermittelung kann hier dann zusätzliches Vertrauen schaffen. Letztendlich liegt hier durch die umfangreichen Mindestinhalte auch wieder eine gute Informationsgrundlage vor, auf die in der weiteren öffentlichen Kommunikation aufgebaut werden kann. Die Genehmigung durch die Aufsichtsbehörde wirkt hier als zusätzliches Vertrauensmerkmal.

Auch ist es durch die individuelle Regelung innerhalb des Unternehmens bzw. der Unternehmensgruppe hier wiederum für den Verarbeiter möglich, sich positiv von anderen Mitbewerbern abzuheben und eine durch oben geschilderte Skandale sensibilisierte Gruppe von Betroffenen für sich zu gewinnen.