Binding Corporate Rules (BCR)

Verbindliche interne Datenschutzvorschriften bzw. Binding Corporate Rules (BCR) nach Art. 47 DSGVO sind interne Datenschutzregelungen, die von multinationalen Unternehmen verabschiedet und von der jeweils zuständigen Aufsichtsbehörde (im internationalen Kohärenzverfahren) genehmigt werden. Es wird damit der Schutz personenbezogener Daten bei ihrer Übermittlung von einer Gruppengesellschaft im EU/EWR-Raum an eine Gruppengesellschaft in einem Drittstaat (ohne Angemessenheitsbeschluss) sichergestellt. BCR decken dabei immer nur unternehmensinterne Transfers ab.

BCR sind aber keinesfalls ein Ersatz für die Einhaltung der datenschutzrechtlichen Gesetzesbestimmungen; ganz im Gegenteil müssen sie diesen Vorschriften genügen. Da es sich jedoch um ein vom Unternehmen ausgearbeitetes Vertragswerk handelt, bieten sie nebst den Voraussetzungen nach Art. 47 DSGVO einen gewissen Spielraum. Sie können zum Beispiel auch als unternehmensinterne Datenschutzrichtlinie ausgestaltet werden.

Controller BCR und Processor BCR

Es gibt grundsätzlich zwei Arten von BCR:

  1. Controller BCR (BCR-C) sind für Konzerne geeignet, die Daten, deren Verantwortlicher sie sind, an ein konzerninternes Unternehmen in einem Drittstaat weitergeben möchten.
  2. Processor BCR (BCR-P) sind geeignet für Konzerne, die Daten im Auftrag eines externen Unternehmens verarbeiten und dazu die Daten an ein konzerninternes Unternehmen in einem Drittstaat weiterleiten. 

Beide Arten von BCR können auch parallel bestehen.

Antrag für BCR-C: Für die praktische Orientierung und Umsetzung von BCR-C hat der Europäische Datenschutzausschuss im Juni 2023 Empfehlungen bezüglich des Antrags auf Genehmigung und der in BCR-C enthaltenen Elemente verabschiedet. In diesem Dokument finden sich Erläuterungen zur Anwendbarkeit von BCR-C, der Antrag auf Genehmigung wie auch eine Tabelle mit Elementen und Prinzipien, die in BCR-C enthalten sein müssen.

Antrag für BCR-P: Ein Äquivalent dieser Empfehlungen wird derzeit auch für BCR-P ausgearbeitet. Bis dahin sind für BCR-P weiterhin insbesondere die Arbeitspapiere WP 257 (de/en) und WP 265 (PDF, DOCvon Relevanz.

Die Ausgestaltung wie auch die Genehmigung von BCR stellen einen komplexeren und vor allem langwierigen Prozess dar. Aus diesem Grund wird angeraten, sich bei Interesse frühzeitig mit der Datenschutzstelle in Verbindung zu setzen.

Weitere Informationen zu Instrumenten für den internationalen Datentransfer, einschliesslich BCR, finden sich auch hier.