Datenschutz individuell gestalten: Die Binding Corporate Rules (BCR)

Im Jahr 1995 beschloss die EU ihre Richtlinie 95/46/EG. In ihr wird seitdem der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten geregelt. Für jeden Datenfluss in ‚unsichere Drittstaaten‘ (z.B. USA, China oder Indien) mussten zunächst noch einzeln Verträge geschlossen werden, was sich als gerade für große Unternehmen als kostenintensives Hindernis erwies. Erste Firmen entwickelten daraufhin Unternehmensrichtlinien, die das Verfahren zu vereinheitlichen suchten.
Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ dann erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben der Datenschutzgesetze erfüllt. Das Resultat war ein Verfahren, dass es Unternehmen gestattet den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen. Hierzu zählen u.a.:

- Aufbau und Umsetzung eines Sicherheitskonzeptes
- Datenschutzschulung von Mitarbeitern
- Verpflichtende Teilnahme an einem Audit-Programm
- Leistung von Schadenersatz bei Verstößen
- Geregeltes Beschwerdeverfahren
- Zusicherung von Transparenz
- Festlegung des Geltungsbereichs

Der Vorteil der Einführung von ‚Corporate Binding Rules‘ ist die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil ist vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Ein BCR-Prozess kann bis zur Einführung etwa zwei Jahre dauern. Rechnen tut sich das derzeit nur für große Unternehmen.


Konzernweit müssen alle zugehörigen Unternehmen und alle Mitarbeiter mit den gleichen Standards arbeiten. Die betreffenden Vorschriften müssen interne und externe Rechtsverbindlichkeit aufweisen und die Datenschutzgrundsätze nach Art. 5 DSGVO sollen umgesetzt und eingehalten werden.

Λ