Die Übermittlung von Personendaten ins Ausland wird insbesondere bei internationalen Konzerngesellschaften immer mehr zur Norm. In der Praxis haben sich für solche Organisationen deshalb verbindliche interne Datenschutzvorschriften bzw. Binding Corporate Rules (BCR) bewährt. Kürzlich wurden nun auch die entsprechenden Empfehlungen und Vorlagen des Europäischen Datenschutzausschusses überarbeitet. Weitere Informationen dazu finden Sie hier auf unserer Internetseite.
Gleichzeitig möchten wir dies auch zum Anlass nehmen, um über die ersten in Liechtenstein genehmigten BCR zu informieren. Im vergangenen Herbst hat die Hilti AG die Genehmigung für ihre BCR-C (Controller BCR) erhalten. Nach nun knapp einem Jahr Erfahrung mit der neuen Grundlage für Drittlanddatentransfers, haben wir ein paar Fragen an die Verantwortlichen gestellt:
Wie kam es dazu, dass sich die Hilti AG entschieden hat BCR-C umzusetzen?
Hilti AG: Internationale Datenübertragungen sind nach wie vor ein Top Compliance Thema. Die Unsicherheiten aus den verschiedenen Rechtsräumen insbesondere innerhalb der EU und mit Hinblick auf die Datenverarbeitung ausserhalb der EU führen zu einer Komplexität bei zentralen Datenverarbeitungsansätzen, die sich aus unserer Sicht nur mit übergreifenden Konzepten abbilden lassen. Eines dieser Konzepte sind BCR, mit welchen wir mindestens 46 Datenschutzbehörden (27 EU, 3 EWR, zzgl. 16 deutsche Landesbehörden) abdecken konnten – dazu kommen vergleichbare Jurisdiktionen, welche die DSGVO-konformen BCR mit keinen oder geringen Abwandlungen für Datentransfers im internationalen Kontext ihrerseits akzeptieren – z.B. Schweiz, U.K., Singapore, Brasilien, Australien und Südafrika. Der IT- und Datenschutzbereich der Hilti AG sieht die BCR-C, also die BCR für die Daten, deren Verantwortlicher wir im Sinne der Norm sind, als eine Massnahme, die Hilti Unternehmensstrategie zu unterstützen und Komplexität zu reduzieren. BCR werden oft als Goldstandard für Programme zum Schutz der Privatsphäre und des Datenschutzes angesehen. Sie fungieren also auch als eine weiche Zertifizierung, die unseren Geschäftspartnern und Mitarbeitenden unser Engagement für den Datenschutz und die Einhaltung der Datenschutzbestimmungen demonstriert.
Wie beurteilt die Hilti AG den gesamten Prozess der Ausarbeitung bis zur Genehmigung?
Hilti AG: Wir sind sehr froh, dass uns die Liechtensteinische Datenschutzbehörde als federführende EU/EWR-Behörde und als lokaler Ansprechpartner unterstützt hat. Schwierig war, dass der Europäische Datenschutzausschuss einige der Leitlinien erst parallel zu unserem Genehmigungsprozess erarbeitet hat. Dies hat die Genehmigung verzögert, aber auch die Gelegenheit geboten, auf Punkte im Verfahren hinzuweisen. Der Prozess kann daher nicht als Spaziergang bezeichnet werden. Die Nähe zur liechtensteinischen Behörde ist aber aus unserer Sicht ein grosser Vorteil für Unternehmen im Prozess und erlaubt eine enge zeitnahe Abstimmung, was sich positiv auf den gesamten Prozess auswirkte.
Die Ausarbeitung und das Genehmigungsverfahren sind ein arbeitsaufwändiger Prozess. Seit knapp einem Jahr stützt die Hilti AG unternehmensinterne Datentransfers in Drittstaaten auf ihre BCR-C. Würde die Hilti AG rückblickend nochmals die Umsetzung von BCR-C anstreben?
Hilti AG: Für die Hilti AG war dies unfraglich der richtige Schritt. Unternehmen sollten sich aber genau anschauen, wie BCR und welche – C oder P – für sie einen unternehmerischen Mehrwert schaffen und welche Themen dadurch vereinfacht werden, aber auch welche Aufgaben im Gegenzug auf sie zukommen. Globale IT- und Datensicherheit, Schulungs- und Auditierungsaufgaben, globale Gewährung von Datenschutzrechten als einige der Bestandteile von BCR sind mit dauerhaften Kosten und Aufwand verbunden, dessen sollte man sich bei der Implementierung bewusst sein.
Gibt es Tipps und Hinweise, welche die Hilti AG anderen interessierten Liechtensteiner Unternehmen geben möchte?
Hilti AG: Analysieren Sie genau, für welche Zwecke Ihnen die BCR dienen. Machen Sie sich bewusst, dass BCR eine fortlaufende Aufgabe sind, die entsprechende Ressourcen benötigen.