DSGVO, Brexit und Konzerne

Drittstaatentransfer

Die DSGVO stellt besondere Anforderungen an die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten. Einer Übermittlung steht die Möglichkeit eines Zugriffs auf personenbezogene Daten aus dem Drittstaat gleich, so dass auch unternehmensinterne Datenübermittlungen und –offenlegungen darunter fallen. Eine Verarbeitung personenbezogener Daten mit Drittstaatenbezug ist stets nur dann zulässig, wenn nachweislich sichergestellt ist, dass sie den von der DSGVO aufgestellten Standards entspricht. Der Nachweis ist für Verantwortliche nur dann entbehrlich, wenn es einen Angemessenheitsbeschluss der Kommission gibt. (Derzeit bestehen Angemessenheitsbeschlüsse für Andorra, Argentinien, die Färöer Inseln, Guernsey, Israel, Isle of Man, Japan Jersey, Neuseeland, die Schweiz, und Uruguay, sowie partielle Angemessenheitsbeschlüsse für die USA und Kanada.)

Fehlt es an einem Angemessenheitsbeschluss ist der Nachweis durch geeignete Garantien zu erbringen.

Binding Corporate Rules

Für internationale Konzerne dürften dafür vor allem „verbindliche interne Datenschutzvorschriften“, die im internationalen Sprachgebrauch meistens „Binding Corporate Rules“ (BCR) bezeichnet werden, interessant sein.

Diese werden in Art. 4 Nr. 20 DSGVO legaldefiniert als „Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern.“ Zu beachten ist, dass die BCR nicht nur die Übermittlung von personenbezogenen Daten regeln, sondern allgemein den Umgang mit diesen im EU-Inland, wie aber auch in Drittländern außerhalb der EU.

Art. 47 Abs. 1 DSGVO regelt, unter welchen Voraussetzungen die BCR von der zuständigen Aufsichtsbehörde genehmigt werden:

1. Sie müssen für alle betreffenden Mitglieder der Unternehmensgruppe bzw. des Unternehmensverbundes rechtlich bindend sein.
2. Sie müssen von sämtlichen Mitgliedern der jeweiligen Gruppe und deren Beschäftigten faktisch durchgesetzt werden.
3. Sie müssen den Betroffenen ausdrücklich durchsetzbare Rechte einräumen.
   1. Welche das konkret sind, lässt die DSGVO offen. Allerdings finden sich dazu Erläuterungen in den Stellungnahmen der Art. 29 Datenschutzgruppe (z.B. WP 256 Nr. 1.3, WP 155 Nr. 9).
4. Sie müssen die in Abs. 2 festgelegten Mindestanforderungen erfüllen
   1. Liegen diese Voraussetzungen kumulativ vor, genehmigt die zuständige Aufsichtsbehörde die BCR gemäß dem Kohärenzverfahren. Drittstaatentransfers auf der Basis solcher genehmigten BCR bedürfen dann keiner weiteren Rechtfertigung.

Wie?

Die verbindlichen internen Datenschutzvorschriften müssen grundsätzlich nur für personenbezogene Daten aus der EU bzw. dem EWR in Drittstaaten gelten. Unternehmen können daher den Anwendungsbereich der BCR auf personenbezogene Daten beschränken, die aus der EU bzw. dem EWR stammen. Auch können sie den Anwendungsbereich auf bestimmte Daten (z.B. Kundendaten) beschränken.

Die Datenschutzgruppe hat in zwei Workingpapers (WP 74 und WP 108) Erläuterungen zu den wesentlichen Bestandteilen von BCR zusammengefasst. Außerdem hat sie einen Leitfaden („Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules – BCR) erstellt, an dem sich Unternehmen für die Erstellung von BCR orientieren können.

Wann?

Konzerne mit UK-Bezug sollten sich bereits jetzt mit der möglichen Rechtfertigung über Bindung Corporate Rules Gedanken machen, damit sie für die Zeit nach der Übergangsfrist gewappnet sind.