Normabkürzung Normtitel Verkündungsstand, letzte Änderung Normgeber
[BCR-Übersicht] [Übersicht unternehmensinterner Datenschutzregelungen] Text gilt seit 24.06.2008 (EU)EU

Artikel-29-Datenschutzgruppe Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR)[1] [2]

Vom 24. Juni 2008


Einführung

Die nachstehende Übersicht wurde von der Artikel-29-Datenschutzgruppe in der Absicht erstellt, Unternehmensgruppen, die Daten an ihre Mitglieder außerhalb der EU übermitteln, die Anwendung ihrer verbindlichen unternehmensinternen Datenschutzregelungen (Binding Corporate Rules – BCR) zu erleichtern:

  • In der Übersicht ist aufgeführt, was in den BCR nach Maßgabe der Arbeitsdokumente WP 743 und WP 1084 geregelt werden muss.

  • Es wird genau angegeben, welche Bestimmungen in die BCR aufzunehmen sind und welche Angaben das Antragsformular für die Genehmigung der BCR enthalten muss (Arbeitsdokument WP 1335 ).

  • Zum besseren Verständnis wird grundsätzlich auf die entsprechenden Textstellen in den Arbeitsdokumenten WP 746 und WP 1087 verwiesen.

  • Jeder Grundsatz wird gesondert erläutert bzw. kommentiert.

Kriterien für die Genehmigung der BCR
In den BCR
Im Antrag
Quelle
Bemerkungen
1 – BINDUNG IM




INNENVERHÄLTNIS




1.1 Pflicht zur Einhaltung der BCR
JA
JA
WP 74 Ziff. 3.3.1 (Seiten 10-11) + WP 108 Ziff. 5.3 bis 5.9 (Seiten 5-6)
Die BCR müssen für alle Mitglieder der Unternehmensgruppe und für alle Beschäftigten eine klare Pflicht zur Einhaltung der BCR begründen.
1.2 Erläuterung, wie die Verbindlichkeit der BCR gegenüber den Mitgliedern der Unternehmensgruppe und den Beschäftigten garantiert wird
NEIN
JA
WP 74 Ziff. 3.3.1 (Seiten 10-11) + WP 108 Ziff. 5.3 bis 5.9 (Seiten 5-6)
In ihrem Antrag muss die Unternehmensgruppe erläutern, wie die Verbindlichkeit der BCR garantiert werden soll:
  • i)im Verhältnis zwischen den Unternehmen/Unternehmensteilen der Gruppe durch:
    Vereinbarungen innerhalb der Gruppe
    Einseitige Erklärungen/Verpflichtungen
    Interne Regelungen
    Unternehmensgrundsätze oder
    Andere Maßnahmen
  • ii)gegenüber den Beschäftigten durch:
    Individuelle Vereinbarung/Verpflichtung mit Sanktionen
    Klausel in Arbeitsverträgen mit Sanktionen
    Interne Unternehmensgrundsätze mit Sanktionen oder
    Tarifvertragliche Vereinbarungen mit Sanktionen

AUSSENVERHÄLTNIS




1.3 Drittbegünstigung für Betroffene einschließlich der Möglichkeit der Beschwerde bei den zuständigen Datenschutzbehörden und der gerichtlichen Klage (wahlweise am Gerichtsstand des Datenexporteurs/der EU-Hauptniederlassung/des Unternehmens, das in der EU für den Datenschutz zuständig ist)
JA
JA
WP 74 Ziff. 3.3.2 (Seiten 11-13), Ziff. 5.5.1 (Seite 18) und Ziff. 5.6 (Seite 20) + WP 108 Ziff. 5.12 bis 5.14, Ziff. 5.16, Ziff. 5.20 (Seiten 6-7)
Die BCR müssen den betroffenen Personen als Drittbegünstigte Durchsetzungsrechte einräumen. Hierzu zählen gerichtliche Rechtsbehelfe bei Verstoß gegen garantierte Rechte und Schadenersatzansprüche (vgl. Artikel 22 und 23 der EU-Richtlinie).
1.4 Das Unternehmen akzeptiert die Pflicht zur Leistung von Schadenersatz und zur Abhilfe bei Verstößen gegen die BCR.
JA
JA
WP 74 Ziff. 3.3.1, (Seite 11), Ziff. 5.5.1 (Seite 18), Ziff. 5.5.2 (Seite 19), Ziff. 5.6 (Seite 20) + WP 108 Ziff. 5.17 (Seite 7)
Die BCR müssen die EU-Hauptniederlassung oder das in der EU haftende Unternehmen verpflichten, die Haftung für Handlungen anderer Gruppenmitglieder außerhalb der EU, die an die BCR gebunden sind, zu übernehmen, Verstößen gegen die BCR abzuhelfen und Schadenersatz zu leisten.
In den BCR muss auch festgelegt werden, dass im Falle eines Verstoßes gegen die BCR durch ein Mitglied der Unternehmensgruppe außerhalb der EU die Gerichte oder sonstige Behörden in der EU zuständig sind und der betroffenen Person gegenüber dem Mitglied, das die Haftung übernommen hat, dieselben Rechte und Abhilfen zustehen, als wenn der Verstoß von einem Mitglied innerhalb der EU begangen worden wäre.
Ist es im Falle von Unternehmensgruppen mit einer besonderen Struktur nicht möglich, einem Mitglied der Gruppe die Haftung für außerhalb der EU begangene Verstöße gegen die BCR aufzuerlegen, können die Datenschutzbehörden im Einzelfall alternative Haftungslösungen akzeptieren, wenn der Antragsteller hinreichende Garantien bietet, dass die Rechte der Betroffenen durchsetzbar sind und dass diese bei der Durchsetzung ihrer Rechte nicht benachteiligt werden. Eine Möglichkeit bestünde in einer gesamtschuldnerischen Haftung der Datenimporteure und -exporteure wie in den EU-Standardvertragsklauseln 2001/497/EG vom 15. Juni 2001 oder in einer alternativen Haftungsregelung auf der Grundlage von Sorgfaltspflichten wie in den EU-Standardvertragsklauseln 2004/915/EG vom 27. Dezember 2004. Insbesondere bei der Weitergabe von Daten von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter käme auch die Anwendung einer Haftungsregelung auf der Grundlage der Standardvertragsklauseln 2002/16/EG vom 27. Dezember 2001 in Frage.
1.5 Das Unternehmen verfügt über ausreichende Mittel.
NEIN
JA
WP 74 Ziff. 5.5.2 (Seite 19) + WP 108 Ziff. 5.17 (Seite 7)
Dem Antrag muss eine Bestätigung beigefügt sein, wonach das Unternehmen, das die Haftung für Handlungen anderer Mitglieder außerhalb der EU, die an die BCR gebunden sind, übernommen hat, über ausreichende Mittel verfügt, um den Schaden zu ersetzen, der aus einer Verletzung der BCR entstanden ist.
1.6 Die Beweislast trägt das Unternehmen, nicht die betroffene Person.
JA
JA
WP 74 Ziff. 5.5.2 (Seiten 19-20) + WP 108 Ziff. 5.19 (Seite 7)
Aus den BCR muss hervorgehen, dass es dem Unternehmen, das die Haftung übernommen hat, obliegt nachzuweisen, dass der Verstoß gegen die BCR, mit dem die betroffene Person ihre Schadenersatzforderung begründet, nicht dem außerhalb der EU ansässigen Mitglied der Unternehmensgruppe zuzurechnen ist.
Kann das Unternehmen, das die Haftung übernommen hat, nachweisen, dass die schadensbegründende Handlung nicht dem außerhalb der EU ansässigen Mitglied der Unternehmensgruppe zuzurechnen ist, so ist selbst von der Haftung befreit[8] .
1.7 Die BCR sind für die betroffenen Personen leicht zugänglich. Gleiches gilt für Informationen über die Rechte der Betroffenen als Drittbegünstigte.
JA
NEIN
WP 74 Ziff. 5.7 (Seite 20)
Die BCR müssen für jede betroffene Person das Recht auf einfachen Zugang zu den BCR festschreiben.
Auch die Klausel über die Drittbegünstigung sollte für alle betroffenen Personen, die Rechte als Drittbegünstigte in Anspruch nehmen können, leicht zugänglich sein.
Beispielsweise könnte in den BCR festgehalten werden, dass die BCR im Internet oder im Intranet (wenn die Betroffenen Beschäftigte des Unternehmens sind) veröffentlicht werden.
2 – WIRKSAMKEIT




2.1 Geeignete Schulungsprogramme
JA
JA
WP 74 Ziff. 5.1 (Seite 16) + WP 108 Ziff. 5.8-5.9 (Seite 6).
In den BCR muss festgelegt sein, dass die Mitarbeiter, die ständigen oder regelmäßigen Zugang zu Personaldaten haben, die solche Daten erheben oder Systeme zur Verarbeitung solcher Daten entwickeln, eine geeignete Schulung zur Anwendung der BCR erhalten.
Die Datenschutzbehörden, die den Antrag auf Genehmigung der BCR prüfen, können verlangen, dass das Schulungsprogramm, das im Antrag anzugeben ist, anhand von Beispielen oder anderweitig erläutert wird.
2.2 Beschwerdeverfahren
JA
JA
WP 74 Ziff. 5.3 (Seite 17) + WP 108 Ziff. 5.15 und 5.18 (Seite 7)
In den BCR ist ein internes Beschwerdeverfahren vorzusehen. Jede betroffene Person muss Beschwerde erheben können, wenn ein Mitglied der Unternehmensgruppe gegen die BCR verstößt.
Mit den Beschwerden muss sich eine klar bezeichnete Beschwerdeabteilung oder Person befassen, die bei der Wahrnehmung dieser Aufgabe über ein entsprechendes Maß an Unabhängigkeit verfügt.
Im Antrag ist anzugeben, wie die betroffenen Personen über die praktischen Aspekte des Beschwerdeverfahrens informiert werden, u.a.:
  • wo die Beschwerde einzureichen ist
  • in welcher Form
  • welche Fristen für die Bearbeitung der Beschwerde gelten
  • welche Folgen die Ablehnung der Beschwerde hat
  • welche Folgen die Anerkennung der Beschwerde hat
  • welche Rechtsbehelfe der betroffenen Person zur Verfügung stehen, wenn sie mit der Behandlung ihrer Beschwerde nicht zufrieden ist (Einlegung eines Rechtsbehelfs bei Gericht/der Datenschutzbehörde)

2.3 BCR-Audit
JA
JA
WP 74 Ziff. 5.2 (Seiten 16-17) + WP 108 Ziff. 6 (Seiten 7-8)
In den BCR muss festgeschrieben sein, dass die Unternehmensgruppe verpflichtet ist, regelmäßig oder auf Antrag des Datenschutzbeauftragten (oder einer anderen zuständigen Stelle im Unternehmen) Datenschutzaudits durchzuführen (entweder durch interne oder durch externe akkreditierte Auditoren).
Aus den BCR muss hervorgehen, dass sich das Auditprogramm auf alle Aspekte der BCR erstreckt und Verfahren vorsieht, mit denen sichergestellt wird, dass Abhilfemaßnahmen getroffen werden. In den BCR ist auch festzuhalten, dass das Ergebnis des Audits dem Datenschutzbeauftragten/der Datenschutzabteilung des Unternehmens sowie dem Aufsichtsrat der Muttergesellschaft mitgeteilt wird.
Ferner ist in den BCR vorzusehen, dass den Datenschutzbehörden auf Antrag Zugang zu den Ergebnissen des Audits zu gewähren ist und dass sie berechtigt sind, bei Bedarf selbst einen Datenschutzaudit durchzuführen.
Dem Antrag ist eine Beschreibung des Auditsystems beizufügen. Darin ist zum Beispiel anzugeben,
  • welche Abteilung innerhalb des Unternehmens über den Auditplan/das Auditprogramm entscheidet,
  • welche Abteilung das Audit durchführt,
  • wann das Audit durchgeführt wird (regelmäßig oder auf Antrag des Datenschutzbeauftragten),
  • Umfang des Audits (z.B. Anwendungen, IT-Systeme, Datenbanken, in denen Personaldaten verarbeitet werden, oder Weiterübermittlungen, Beschlüsse im Hinblick auf zwingende Erfordernisse nach nationalem Recht, die den BCR entgegenstehen, Überprüfung der Vertragsklauseln, auf deren Grundlage Daten an für die Verarbeitung Verantwortliche oder Auftragsverarbeiter außerhalb der Unternehmensgruppe übermittelt werden, Abhilfemaßnahmen usw.),
  • wer die Auditergebnisse erhält.

2.4 Einrichtung eines Stabs von Datenschutzbeauftragten oder sonstigen befähigten Mitarbeitern, die Beschwerden bearbeiten, die Vorschriften überwachen und für deren Einhaltung sorgen
JA
NEIN
WP 74 Ziff. 5.1 (Seite 16) und 5.3 (Seite 17)
Selbstverpflichtung des Unternehmens, einen Mitarbeiterstab zu bilden (z.B. ein Netz von Datenschutzbeauftragten), der mit Unterstützung der Unternehmensspitze die Einhaltung der Vorschriften überwacht und gewährleistet.
Kurze Beschreibung der Struktur, Aufgaben und Zuständigkeiten des Stabs der Mitarbeiter/Datenschutzbeauftragten o. ä., die die Einhaltung der BCR gewährleisten sollen. Z. B.: Der oberste Datenschutzbeauftragte berät die Unternehmensleitung, ist zuständig bei Untersuchungen der Datenschutzbehörden, berichtet jährlich über die Anwendung der BCR, sorgt auf Unternehmensebene für die Einhaltung der BCR. Die Datenschutzbeauftragten bearbeiten die Beschwerden der Betroffenen in ihrem Zuständigkeitsbereich, berichten dem obersten Datenschutzbeauftragten über größere Probleme beim Datenschutz und sorgen für die Einhaltung der Vorschriften auf lokaler Ebene.
3 – KOOPERATIONSPFLICHT




3.1 Pflicht zur Zusammenarbeit mit den Datenschutzbehörden
JA
JA
WP 74 Ziff. 5.4 (Seiten 17-18) + WP 108 Ziff. 5.21 (Seite 7)
Die BCR sollten alle Mitglieder der Unternehmensgruppe unmissverständlich dazu verpflichten, mit den Datenschutzbehörden zusammenzuarbeiten, deren Prüfungen zu dulden und ihren Mitteilungen, die die Anwendung der BCR betreffen, nachzukommen.
4 – BESCHREIBUNG DER DATENVERARBEITUNG UND DES DATENVERKEHRS




4.1 Beschreibung der Übermittlungsvorgänge, die unter die BCR fallen
JA
JA
WP 74 Ziff. 4.1 Abs. 4 (Seite 15) + WP 108 Ziff. 7 (Seiten 8-9)
Die BCR müssen eine allgemeine Beschreibung der Übermittlungsvorgänge enthalten, damit die Datenschutzbehörden beurteilen können, ob die Datenverarbeitung in Drittländern einem angemessenen Schutzniveau genügt. Insbesondere sind anzugeben:
  • i)Art der übermittelten Daten
  • ii)Übermittlungs-/Verarbeitungszwecke
  • iii)Datenimporteure/-exporteure innerhalb und außerhalb der EU

Manche Datenschutzbehörden verlangen unter Umständen eine ausführlichere Beschreibung des Datenverkehrs.
4.2 Erklärung zum Anwendungs- und Geltungsbereich der BCR (Art der Daten, Art der Betroffenen, Länder)
JA
JA
WP 108 Ziff. 7.1.1 und 7.2 (Seiten 8-9)
Aus den BCR sollte hervorgehen, ob sie anwendbar sind auf:
  • i)alle personenbezogenen Daten, die innerhalb der Unternehmensgruppe aus der Europäischen Union in ein Drittland übermittelt werden, oder
  • ii)jede Verarbeitung personenbezogener Daten, die innerhalb der Unternehmensgruppe erfolgt.
    In den BCR ist auch der materielle Anwendungsbereich anzugeben: z.B. personenbezogene Daten der Beschäftigten, Kunden, Lieferanten und anderer Dritter im Rahmen der regulären Geschäftstätigkeit des Unternehmens.

5 – SYSTEM FÜR DIE MELDUNG UND ERFASSUNG VON ÄNDERUNGEN




5.1 Verfahren zur Aktualisierung der BCR
JA
JA
WP 74 Ziff. 4.2 (Seite 15) + WP 108 Ziff. 9 (Seite 10)
Die BCR können geändert werden (z.B. zur Anpassung an eine Änderung der gesetzlichen Regelungen oder der Unternehmensstruktur), sie müssen jedoch eine Pflicht zur Meldung solcher Änderungen gegenüber allen Mitgliedern der Unternehmensgruppe und den Datenschutzbehörden vorsehen.
Unter folgenden Voraussetzungen sind Aktualisierungen der BCR oder der Liste der Unternehmen, für die die BCR gelten, möglich, ohne eine neue Genehmigung beantragen zu müssen:
  • i)Es wird eine Person benannt, die eine stets aktualisierte Liste der Gruppenmitglieder führt, Änderungen der BCR erfasst und den betroffenen Personen oder Datenschutzbehörden auf Anfrage diesbezügliche Auskünfte erteilt.
  • ii)Einem neuen Mitglied der Unternehmensgruppe dürfen personenbezogene Daten erst dann übermittelt werden, wenn die BCR für dieses neue Mitglied gelten und die Einhaltung der Vorschriften gewährleistet ist.
  • iii)Signifikante Änderungen der BCR oder der Mitgliederliste sollten den für die Genehmigung zuständigen Datenschutzbehörden jährlich mit einer kurzen Begründung der Änderungen gemeldet werden.

6 – DATENSCHUTZGARANTIEN




6.1 Beschreibung der Datenschutzgrundsätze einschließlich der Vorschriften für die Datenübermittlung und die Weiterübermittlung aus der EU in Drittländer
JA
JA
WP 108 Ziff. 8 (Seite 9) + WP 74 Ziff. 3.1 letzter Abs. und Ziff. 3.2 (Seite 9)
In den BCR sollte erläutert werden, wie das Unternehmen die folgenden Grundsätze einhält:
  • i)Transparenz, Fairness
  • ii)Beschränkung der Zweckbestimmung
  • iii)Datenqualität
  • iv)Sicherheit – dies schließt die Pflicht ein, die Verwendung der Daten und die erforderlichen Sicherheitsvorkehrungen mit allen Unterauftragnehmern/Auftragsverarbeitern vertraglich zu regeln
  • v)Recht auf Auskunft, Berichtigung und auf Widerspruch gegen die Verarbeitung
  • vi)Beschränkung des Datentransfers und der Weiterübermittlung an Datenverarbeiter und für die Verarbeitung Verantwortliche, die nicht der Unternehmensgruppe angehören (die für die Verarbeitung Verantwortlichen, die Mitglieder der Unternehmensgruppe sind, können gruppenfremden Datenverarbeitern/für die Verarbeitung Verantwortlichen, die außerhalb der EU ansässig sind, unter der Bedingung Daten übermitteln, dass ein angemessener Schutz im Sinne der Artikel 16, 17, 25 und 26 der Richtlinie 95/46/EG gewährleistet ist)

6.2 Liste der Unternehmen, die an die BCR gebunden sind
NEIN
JA
WP 108 Ziff. 7.1.3 (Seite 9)
Siehe auch Ziff. 5.1 des vorliegenden Arbeitsdokuments WP 153: Pflicht zur Bestellung einer Kontaktperson in der Unternehmensgruppe, die die Liste der an die BCR gebundenen Unternehmen fortlaufend aktualisiert, und zur Unterrichtung der Datenschutzbehörden und der betroffenen Personen im Falle einer Änderung der Liste.
6.3 Transparenzgebot in Fällen, in denen das einzelstaatliche Recht der Einhaltung der BCR durch die Unternehmensgruppe entgegensteht
JA
NEIN
WP 74 Ziff. 3.3.3
(Seiten 13-14)
Informationspflichten: Hat ein Unternehmen Anlass zu der Annahme, dass die es betreffenden Rechtsvorschriften es daran hindern, seinen Verpflichtungen im Rahmen der BCR nachzukommen, und dass diese Rechtsvorschriften die durch die BCR gebotenen Garantien wesentlich beeinträchtigen, muss es unverzüglich die Hauptniederlassung der Unternehmensgruppe in der EU oder das Unternehmen, das in der EU die Haftung für den Datenschutz übernommen hat, oder den zuständigen Datenschutzbeauftragten informieren (sofern dem nicht ein Verbot einer Vollstreckungsbehörde entgegensteht, z.B. zur Wahrung des Untersuchungsgeheimnisses in einer Strafsache).
Im Falle einer Kollision zwischen nationalem Recht und den BCR beschließt die EU-Hauptniederlassung, das Unternehmen, das in der EU die Haftung für den Datenschutz übernommen hat, oder der zuständige Datenschutzbeauftragte nach Abwägung aller Argumente über das weitere Vorgehen und zieht im Zweifelsfall die zuständigen Datenschutzbehörden zu Rate.
6.4 Erklärung zum Verhältnis zwischen nationalen Rechtsvorschriften und BCR
NEIN (nicht obligatoris ch, aber erwünscht)
NEIN (nicht obligatorisch, aber erwünscht)
o.A.
Eine Erklärung zum Verhältnis zwischen den BCR und dem einschlägigen anwendbaren Recht wird in WP 74 und WP 108 zwar nicht gefordert, wäre aber nützlich.
So könnte in den BCR festgelegt werden, dass in Fällen, in denen das geltende Recht – z.B. EU-Recht – ein höheres Schutzniveau für personenbezogene Daten vorschreibt, dieses Recht den BCR vorgeht.
Die Datenverarbeitung erfolgt in jedem Fall nach Maßgabe des anwendbaren Rechts im Sinne von Artikel 4 der Richtlinie 95/46/EG und der einschlägigen einzelstaatlichen Vorschriften.

Fussnoten
Fussnote [1]

Diese Gruppe ist gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzt worden. Sie ist ein unabhängiges europäisches Beratungsgremium in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG und Artikel 15 der Richtlinie 2002/58/EG festgelegt.zurück zum Text

Fussnote [2]

Reprodction is authorised provided, the scource is acknowledged.zurück zum Text

Fussnote 3

[Amtl. Anm.:] Arbeitsdokument WP 74: „Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer”, angenommen am 3. Juni 2003. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_de.htm.zurück zum Text

Fussnote 4

[Amtl. Anm.:] Arbeitsdokument WP 108: „Einführung eines Prüfungskatalogs für einen Antrag auf Genehmigung verbindlicher unternehmensinterner Vorschriften”, angenommen am 14. April 2005. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2005_de.htm.zurück zum Text

Fussnote 5

[Amtl. Anm.:] Arbeitsdokument WP 133: Empfehlung 1/2007 über das Antragsformular für die Genehmigung von verbindlichen unternehmensinternen Datenschutzregelungen zur Übermittlung personenbezogener Daten. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_de.htm (nur EN)zurück zum Text

Fussnote 6

[Amtl. Anm.:] Vgl. Fußnote 1.zurück zum Text

Fussnote 7

[Amtl. Anm.:] Vgl. Fußnote 2.zurück zum Text

Fussnote [8]

Richtig wohl: „so ist es selbst von der Haftung befreit”.zurück zum Text

Text gilt seit 24.06.2008