Binding Corporate Rules
Eines der zentralen Themen im Konzern Datenschutz sind Binding Corporate Rules (BCR). Sie stehen für ein Instrument aus dem Datenschutz, das auf einem umfassenden Regelwerk beruht. Ziel des Instruments ist es, den Austausch von Daten innerhalb der einzelnen Konzernunternehmen zu ermöglichen – und das über Ländergrenzen hinweg. Interessant dabei ist, dass die BCR letztlich für ein Datenschutzprogramm stehen, welches der Konzern selbst entwickelt und auferlegt.
Der Nutzen einer solchen Lösung ist enorm. Denn ganz egal ob personenbezogene Daten innerhalb der Europäischen Union oder auch in Drittländer übermittelt werden sollen, es besteht eine angemessene Rechtssicherheit. Unter dem Strich stehen die Binding Corporate Rules für einen internen und zugleich einheitlichen Standard im internationalen Datenschutz, an den sich sämtliche Geschäftseinheiten innerhalb des Unternehmensverbands halten.
Was bedeutet Binding Corporate Rules?
Am besten lassen sich die BCR mit einem Regelwerk vergleichen. Es umfasst eine Reihe an Unternehmensrichtlinien, die im Detail festlegen, wie Erhebung, Verarbeitung und insbesondere auch der Transfer von personenbezogenen Daten innerhalb des Konzerns zu erfolgen haben. Zugleich gelten die BCR als verbindlich, d.h. alle im Geltungsbereich aufgeführten Konzernunternehmen müssen sich einschließlich aller Mitarbeiter exakt an die vereinbarten Regeln halten.
Das Regelwerk wird unter Berücksichtigen der europäischen Datenschutzrichtlinie entworfen, damit eine hohe Rechtssicherheit besteht. Im eigentlichen Datenschutzrecht der EU sind die BCR übrigens nicht näher definiert. Vielmehr stehen sie für eine praktikable Lösung, die erfahrene Juristen im Lauf der Jahre unter penibler Berücksichtigung der Gesetzeslage entworfen haben.
Die Inhalte der BCR erstrecken sich über ein breites Themenfeld und regeln keinesfalls nur den Umgang mit Daten. Konzerne, die eigene Binding Corporate Rules entwerfen möchten, müssen außerdem sicherstellen, dass Betroffene über angemessene Rechte verfügen und beispielsweise Auskünfte zu ihren gespeicherten Daten einholen können. Außerdem muss eine Verfahrensweise geschaffen werden, die den Umgang mit Beschwerden regelt.
Inhalte der BCR
Weil keine konkrete gesetzliche Verankerung existiert, besteht Vertragsfreiheit, d.h. Unternehmen gestalten ihre Binding Corporate Rules eigenständig und individuell aus. Allerdings existiert eine ganze Reihe von Inhalten, die im Rahmen der Entwicklung zu berücksichtigen sind, damit später eine ausreichende Rechtssicherheit besteht. Folgende Bestandteile dürfen in den BCRs nicht fehlen:
Definition des Geltungsbereichs: Er legt fest, welche Geschäftseinheiten dem Regelwerk unterliegen und wo sich deren jeweiliger Landessitz befindet.
Entwicklung und Realisation eines Sicherheitskonzepts: Es regelt, wie der Schutz personenbezogener Daten erfolgt.
Auditprogramme: Die involvierten Geschäftseinheiten verpflichten sich zur Teilnahme an (regelmäßigen) Audits, um die Datensicherheit zu verifizieren.
Ergänzende Vertragswerke: Damit die Binding Corporate Rules sowohl intern als auch extern als verbindlich gelten, müssen ggf. Zusatzverträge geschlossen werden.
Verpflichtung zu Schadensersatzleistungen: Für den Fall, dass Verstöße gegen geltendes Datenschutzrecht begangen werden, sichern Geschäftseinheit oder Konzern dem Betroffenen eine Schadensersatzleistung zu.
Umgang mit Datenschutzbeschwerden: Es müssen klar definierte Verfahren existieren, die einen angemessenen Umgang mit Beschwerden regeln.
Gewährleistung von Transparenz: Die Binding Corporate Rules müssen leicht zugänglich und unter anderem für Betroffene einsehbar sein.
Vor- und Nachteile von Binding Corporate Rules
International agierende Unternehmen könnten beim Datenschutz ausschließlich auf die strikte Einhaltung geltender Standardvertragsklauseln setzen. Allerdings würden Datenverarbeitung und Transfer dadurch oftmals erschwert werden. Binding Corporate Rules schaffen ein Rahmenwerk, das für einheitliche Prozesse steht und somit den Datenschutz im internationalen Umfeld erleichtert. Zugleich ist es möglich, das Regelwerk deutlich besser an die Bedürfnisse innerhalb des Konzerns anzupassen.
Ein weiterer Vorteil ist die positive Haltung der Europäischen Union gegenüber dem Konzept der Binding Corporate Rules. Deswegen ist nicht davon auszugehen, dass die Kommission erhebliche Änderungen im Datenschutz – insbesondere der Datenschutzgrundverordnung – anstrebt, die künftig den Einsatz von BCRs ausschließt.
Außerdem wird ein hohes Maß an Rechtssicherheit gewährleistet. Ein gutes Beispiel ist das Kippen des Safe-Harbor Abkommens durch den Europäischen Gerichtshof im Jahr 2015. Unternehmen, die sich primär auf dieses Abkommen stützten, waren plötzlich aufgeschmissen, weil ihnen eine bedeutsame Rechtsgrundlage entzogen wurde.
Allerdings gibt es auch einen Nachteil. Die Entwicklung eines BCR Regelwerks gilt als äußerst komplex und steht daher für ein umfassendes Projekt. Selbst bei guten Vorkenntnissen bzw. Zugriff auf hervorragendes Juristen-Knowhow können sich Entwicklung und anschließende Umsetzung auf einen Zeitraum belaufen, der bis zu zwei Jahre beträgt.