Neue EU-Datenschutzgrundverordnung: Wie übermittle ich sensible Daten?

von Simone Rosenthal

Binding Corporate Rules, kurz BCR, haben sich gerade in großen Konzernen, welche innerhalb ihres Unternehmens personenbezogene Daten übermitteln wollen, bereits seit einigen Jahren etabliert. Diese spielen dann eine Rolle, wenn Daten nicht nur in der EU, sondern auch in sog. unsichere Drittstaaten, also solche für die keine Angemessenheitsbeschlüsse der EU-Kommission vorliegen, übermittelt werden sollen. 

Inhaltsübersicht:

• Die Idee der Binding Corporate Rules
• Änderungen durch die neue EU-Datenschutzgrundverordnung
• Und was hat Donald Trump nun damit zu tun?

Binding Corporate Rules sind neben den EU-Standardvertragsklauseln mit den jeweiligen Drittstaaten und dem EU-US Privacy Shield, dem Nachfolger des Safe Harbor Abkommens, eine Möglichkeit ausreichende Garantien dafür zu schaffen, dass beim Datenempfänger ein ausreichendes Schutzniveau im Hinblick auf personenbezogene Daten besteht.

Die Idee der Binding Corporate Rules

Die Idee zu BCR ist bereits einige Jahre alt und entstand schon Ende der 90er Jahre, nach dem Inkrafttreten der RL 95/46/EG, der europäischen Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Auf der Suche nach einer Möglichkeit, den Abschluss einer Vielzahl von Verträgen zu vermeiden, kam die Idee auf, unternehmensinterne Regelungen zu etablieren, um konzernweit ein einheitliches Datenschutzniveau zu schaffen.

Diese Idee wurde in der Folge von den Aufsichtsbehörden und dem Gesetzgeber aufgegriffen und, wenn auch nicht ausdrücklich im Gesetzestext genannt, jedenfalls als ausreichende Garantien im Sinne des Bundesdatenschutzgesetztes BDSG anerkannt.

Änderungen durch die neue EU-Datenschutzgrundverordnung

Durch die im Mai 2018 wirksam werdende EU-Datenschutzgrundverordnung (EU-DSGVO) bekommen BCR nun eine eigene ausdrückliche Regelung in den Art. 44 ff. EU-DSGVO. Explizit in Art. 46 EU-DSGVO als Beispiel für Garantien eines ausreichenden Datenschutzniveaus genannt, werden die verbindlichen internen Datenschutzvorschriften in Art. 47 EU-DSGVO definiert und die inhaltlichen Anforderungen erläutert.

Beibehalten wird insofern ein Abstimmungsverfahren („Mutual Recognition“) der jeweiligen Aufsichtsbehörden bei der Einführung von BCR, welches mit Wirksamwerden der EU-DSGVO durch das in Art. 63 EU-DSGVO geregelte Kohärenzverfahren reguliert wird. Schließlich wird durch die neuen Regelungen des Art. 46 Abs. 1 EU-DSGVO der Anwendungsbereich von Unternehmensgruppen auf Auftragsdatenverarbeiter (die nunmehr „Autragsverarbeiter“ in der EU-DSGVO heißen) erweitert.

Insgesamt geht damit eine weitere Vereinheitlichung einher und die Aussichten auf eine Beschleunigung und Strukturierung bei der Implementierung von BCR sind positiv. Insofern sollten Unternehmen dieses Instrument, auch bereits vor Wirksamwerden der EU-DSGVO, in Betracht ziehen und ausloten inwieweit diese für sie in Frage kommen.

Und was hat Donald Trump nun damit zu tun?

Die aktuelle Entwicklung in den USA in diesem Kontext, insbesondere durch die Anordnung zur Verbesserung der inneren Sicherheit der USA durch Präsident Donald Trump, lässt die Zweifel am weiteren Bestehen des EU-US Privacy Shield stärker werden. Die Unsicherheit, welche schon zuvor bestand, und das Vertrauen darin, dass das Privacy Shield eine belastbare Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA darstellt, wird dadurch nur stärker.

Ausgerechnet jetzt stehen die EU-Standardvertragsklauseln auf dem gerichtlichen Prüfstand. Diese werden derzeit unter Beteiligung der irischen Datenschutzbehörde im Hinblick auf die Datenübermittlung in die USA gerichtlich geprüft. Erreicht werden soll durch die Überprüfung des irischen High Court die erneute Vorlage vor dem EuGH.

Da nun auch noch die EU-Standardvertragsklauseln unter „Beschuss“ stehen, könnten BCR eine attraktive Alternative für Unternehmen darstellen, welche konzernintern Daten nach außerhalb des EWR und insbesondere in die USA übermitteln wollen. Wenn dies in Angriff genommen werden soll, kann bereits jetzt der Grundstein gelegt werden, um mit Wirksamwerden der EU-DSGVO in etwas mehr als einem Jahr von dem dann eingeführten Kohärenzverfahren zu profitieren.

Anmmerkung:

^{[1] www.isico-datenschutz.de}