Europäischer Datenschutzausschuss: Neue Empfehlungen zu verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) für Verantwortliche
Der Europäische Datenschutzausschuss (EDSA) hat kürzlich Empfehlungen zum Zulassungsantrag und zu den Bestandteilen und Grundsätzen verbindlicher interner Datenschutzvorschriften für Verantwortliche zur öffentlichen Konsultation veröffentlicht.
Unternehmensgruppen (oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben), die als Transferwerkzeug für gruppeninterne Datentransfers in Drittländer verbindliche interne Datenschutzvorschriften (englisch „Binding Corporate Rules“, oder kurz „BCR“) für Verantwortliche verwenden, sollten ihre BCR einer sorgfältigen Revision unterziehen, ob sie den neuen behördlichen Vorgaben Rechnung tragen. Dies gilt nach den neuen Empfehlungen des EDSA ausdrücklich auch für bereits genehmigte BCR für Verantwortliche.
Hintergrund: Verbindliche interne Datenschutzvorschriften als Transferwerkzeug nach der DS-GVO und etablierte Arbeitsdokumente und Empfehlungen der Artikel-29-Datenschutzgruppe
Unternehmensgruppen (und Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben) können als Transferwerkzeug für die Übermittlung personenbezogener Daten in Drittländer innerhalb der Gruppe bei der für sie zuständigen Aufsichtsbehörde die Genehmigung von BCR beantragen (Art. 47 DS-GVO). BCR sind von der Gruppe selbst festgelegte gruppeninterne Datenschutzregeln. Für solche BCR gelten bestimmte Mindestregelungsanforderungen (dazu im Einzelnen Art. 47 DS-GVO).
Neben verbindlichen internen Datenschutzvorschriften für Verantwortliche (englisch „Controller Binding Corporate Rules“, oder kurz „BCR-C“) gibt es verbindliche interne Datenschutzvorschriften auch für Auftragsverarbeiter (englisch „Processor Binding Corporate Rules“, oder kurz „BCR-P“). BCR-C betreffen Konstellationen, in denen Unternehmen einer Gruppe personenbezogene Daten als Verantwortliche verarbeiten. BCR-P sind für Konstellationen vorgesehen, in denen Unternehmen einer Gruppe personenbezogene Daten als Auftragsverarbeiter verarbeiten.
Behördlich im sog. Kohärenzverfahren (Art. 63 DS-GVO) genehmigte BCR können als Transferwerkzeug für Drittlandtransfers innerhalb der Gruppe verwendet werden (Art. 46 (2) (b) DS-GVO).
Bereits vor Wirksamwerden der DS-GVO hatte die damalige Artikel-29-Datenschutzgruppe am 28. November 2017 ein Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften für Verantwortliche verabschiedet und dieses zuletzt am 6. Februar 2018 aktualisiert. Am 11. April 2018 hatte die Artikel-29-Datenschutzgruppe außerdem ein Arbeitsdokument zur Kooperation der im Antragsverfahren involvierten Aufsichtsbehörden sowie Empfehlungen zum Standard-Antragsformular zur Genehmigung von verbindlichen internen Datenschutzvorschriften für Verantwortliche bei der zuständigen Aufsichtsbehörde verabschiedet. Als Nachfolger der Artikel-29-Datenschutzgruppe hatte der EDSA diese Arbeitsdokumente und die Empfehlungen am 25. Mai 2018 formell bestätigt.
Neue Empfehlungen des EDSA zu verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) für Verantwortliche
Die neuen Empfehlungen des EDSA ersetzen die vorherigen Dokumente der Artikel-29-Datenschutzgruppe mit Ausnahme des davon unberührten Arbeitsdokuments zur Kooperation der im Genehmigungsverfahren involvierten Aufsichtsbehörden.
Die nun vom EDSA veröffentlichten neuen Empfehlungen aktualisieren die inhaltlichen Kriterien für die Genehmigung von BCR-C (vorher festgelegt im Arbeitsdokument der Artikel-29-Datenschutzgruppe mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften für Verantwortliche) sowie das Standard-Antragsformular zur Genehmigung von BCR-C bei der zuständigen Aufsichtsbehörde (vorher in den Empfehlungen der Artikel-29-Datenschutzgruppe zum Standard-Antragsformular zur Genehmigung von verbindlichen internen Datenschutzvorschriften für Verantwortliche bei der zuständigen Aufsichtsbehörde).
Neben formalen Änderungen der Antragsdokumente für BCR-C sehen die neuen Empfehlungen des EDSA auch inhaltlich weitreichendere Anforderungen an BCR-C vor als bisher. Insbesondere möchte der EDSA mit seinen neuen Empfehlungen die inhaltlichen Anforderungen an BCR-C mit dem Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache „Schrems II“ in Einklang bringen. Nach Auffassung des EDSA müssen auch Unternehmensgruppen (oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben), die BCR-C als Transferwerkzeug für gruppeninterne Datentransfers in Drittländer verwenden wollen, im Sinne sog. „Transfer Impact Assessments“ (kurz „TIA“) die Rechtslage und Rechtspraxis der relevanten Empfängerländer vorab umfassend dahingehend analysieren, ob das Risiko eines Zugriffs von Behörden des jeweiligen Empfängerlandes besteht. Abhängig von den Ergebnissen der TIA sind gegebenenfalls ergänzend zu den BCR-C zusätzliche Maßnahmen erforderlich, um die datenschutzrechtlichen Anforderungen der DS-GVO an die Übermittlung personenbezogener Daten in Drittländer zu erfüllen. Insoweit nehmen die neuen Empfehlungen des EDSA zu BCR-C nun ausdrücklich Bezug auf die Empfehlungen des EDSA zu ergänzenden Maßnahmen zu Transferwerkzeugen für internationale Datentransfers.
Öffentliches Konsultationsverfahren und Revisionsbedarf für Unternehmen
Der EDSA holt zu seinen neuen Empfehlungen noch bis zum 10. Januar 2023 Feedback im öffentlichen Konsultationsverfahren ein. Zwar ist nicht auszuschließen, dass der EDSA auf Grundlage des Feedbacks im Konsultationsverfahren noch Änderungen seiner Empfehlungen vornimmt. Üblicherweise sind diese Änderungen aber lediglich redaktioneller Natur. Mit wesentlichen inhaltlichen Änderungen ist nicht zu rechnen.
Unternehmensgruppen (und Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben), die als Transferwerkzeug für gruppeninterne Datentransfers in Drittländer BCR-C verwenden, sollten daher schon jetzt die neuen Empfehlungen des EDSA berücksichtigen, zumal die veröffentlichte Fassung der Empfehlungen die gemeinsame Linie der europäischen Aufsichtsbehörden wiedergibt. Wir empfehlen insbesondere, die nun vom EDSA veröffentlichten Empfehlungen zum Anlass zu nehmen, auch bereits genehmigte BCR-C einer sorgfältigen Revision zu unterziehen, ob sie den neuen behördlichen Vorgaben an die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften für Verantwortliche Rechnung tragen.