Zum Inhalt springen Zur Navigation springen
Internationale Datentransfers: EDSA-Empfehlungen zu BCR

Internationale Datentransfers: EDSA-Empfehlungen zu BCR

Artikel von Anqi Chen·29. Juni 2023

Der Europäische Datenschutzausschuss (EDSA) hat am 21. Juni 2023 Empfehlungen zur Beantragung der Genehmigung und zu den Bestandteilen und Grundsätzen verbindlicher interner Datenschutzvorschriften für Verantwortliche (Binding Corporate Rules for Controller, BCR-C) verabschiedet. Diese neuen Empfehlungen betreffen formale Änderungen der Antragsdokumente sowie inhaltlich weitreichendere Anforderungen an BCR-C. Dieser Beitrag fasst die Updates des EDSA zusammen und wirft einen Blick auf die rechtlichen Aussagen.

Was wurde aktualisiert?

Die WP29 Arbeitsdokumente und Empfehlungen vor Wirksamwerden der DSGVO

Bereits vor Wirksamwerden der DSGVO hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 28.November 2017 ein Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften für Verantwortliche (BCR-C, WP256) und für Auftragsverarbeiter (BCR-P, WP257) verabschiedet. Diese Dokumente wurden am 6.Feburar 2018 aktualisiert, um die Anforderungen in Bezug auf BCR gemäß der DSGVO zu verdeutlichen.

Anschließend verabschiedete die WP29 am 11. April 2018 ein Arbeitsdokument zur Kooperation der im Antragsverfahren involvierten Aufsichtsbehörden (WP263) sowie Empfehlungen zum Standardformular für einen Antrag auf Genehmigung von BCR sowohl für Verantwortliche (WP264) als auch für Auftragsverarbeiter (WP265).

Als Nachfolger der WP29 hatte EDSA alle diese Arbeitsdokumente und die Empfehlungen am 25. Mai 2018 formell bestätigt.

EDSA: Inhaltlich weitreichendere Anforderungen an BCR-C

Während der öffentlichen Konsultation wurden die EDSA-Empfehlungen in Bezug auf die inhaltlichen Anforderungen an BCR-C sowie das Standardantragsformular für die Genehmigung von BCR-C aktualisiert. Die beiden Dokumente (vorher WP256 und vorher WP264) wurden nun zu einer Empfehlung kombiniert. Dazu wurde das Feedback bis zum 10. Januar eingeholt.

Diese Empfehlungen legen den erforderlichen Inhalt von BCR-C gemäß Art. 47 Abs. 2 DSGVO aus. Der EDSA strebt insbesondere mit seinen neuen Empfehlungen danach, die inhaltlichen Anforderungen an BCR-C in Übereinstimmung mit dem Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache „Schrems II“ zu bringen. Dabei weist der EDSA darauf hin, dass zu BCR-C die Empfehlungen zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten beziehen sollten. Der EDSA ist der Auffassung, dass die BCR-C allein nicht ausreichen, um ein angemessenes Datenschutzniveau herzustellen. Wie bei allen Garantien nach Art. 46 DSGVO müssen Datenexporteure eine Risikobewertung der anstrebten Datenübermittlung durchführen und gegebenenfalls zusätzliche Maßnahmen ergreifen.

Unternehmensgruppen, die BCR-C als Übermittlungstools für gruppeninterne Datentransfers in Drittländer verwenden möchten, müssen dann sog. „Transfer Impact Assessments“ (kurz „TIA“) durchführen. Dabei sollten die Rechtslage und Rechtspraxis der relevanten Empfängerländer umfassend analysieren, um zu prüfen, ob das Risiko eines Zugriffs von Behörden des jeweiligen Empfängerlandes besteht.

“The BCR-C shall contain a clear commitment that BCR members will use the BCR-C as a tool for transfers only where they have assessed that the law and practices in the third country of destination applicable to the processing of the personal data by the BCR member acting as data importer, including any requirements to disclose personal data or measures authorising access by public authorities, do not prevent it from fulfilling its obligations under these BCR-C”

Ergänzend zu den BCR-C müssen die zusätzlichen Maßnahmen gegebenenfalls ergriffen werden, um die personenbezogenen Daten in Drittländern effektiv zu schützen. Besonders wichtig ist es, die Daten vor einem Zugriff von Behörden in Drittländern zu schützen und effektiven Rechtsschutz gegen solche Zugriffe sicherzustellen.

„The BCR-C should notify the data exporter and, where possible, the data subject, if it receives a legally binding request by a public authority under the laws of the country of destination [ … ] If prohibited from notifying the data exporter and / or the data subject, the data importer will use its best efforts to obtain a waiver of such prohibition, with a view to communicate as much information as possible and as soon as possible, and will document its best efforts in order to be able to demonstrate them upon request of the data exporter.“

EDSA: formale Änderungen der Antragsdokumente

Zusätzlich zu den inhaltlichen Aktualisierungen haben diese Empfehlungen auch ein standardisiertes Formular für den Antrag auf Genehmigung von BCR-C bereitgestellt. Im Antragsformular (Teil I) wurde eine Erklärung ergänzt, die besagt, dass der Datenexporteur verpflichtet ist, vor der Übermittlung der Daten auf Grundlage dieser BCR an Konzernunternehmen in Drittländern eine TIA durchzuführen.

Typen der BCR

BCR stellen eine „geeignete Garantie“ gemäß Art. 46 DSGVO dar und können von einer Gruppe von Unternehmen oder Unternehmen, die an einer gemeinsamen wirtschaftlichen Tätigkeit beteiligt sind, verwendet werden, um personenbezogene Daten in unsichere Drittländer an Verantwortliche oder Auftragsverarbeiter innerhalb derselben Gruppe zu übertragen. BCR schaffen durchsetzbare Rechte und legen Verpflichtungen fest, um ein Datenschutzniveau zu gewährleisten, das im Wesentlichen demjenigen entspricht, das durch die DSGVO bereitgestellt wird. Der EDSA hat auf seiner Webseite eine Liste von Registern der BCR veröffentlicht, die bisher unter der DSGVO genehmigt wurden.

1. Vorschriften für Verantwortliche: BCR-C

Diese Vorschriften dienen der Datenübermittlung durch Verantwortliche, die in einem Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) niedergelassen sind, an andere Verantwortliche oder Auftragsverarbeiter außerhalb des EWR. Dabei sind die beteiligten Unternehmen Teil einer Gruppe.

Dieses Instrument kommt in Frage für Unternehmensgruppen oder Gruppen von Unternehmen, in denen ein regelmäßiger Austausch personenbezogener Daten erfolgt. Die Unternehmen erarbeiten ein Regelwerk, welches Datenschutzgarantien für die Personen schafft, deren Daten im Konzern verarbeitet werden. Dieses Regelwerk kann sich auch auf bestimmte Bereiche beschränken, zum Beispiel auf die Verarbeitung von Personaldaten innerhalb eines Konzernverbundes. Es bietet dann nur für diese Bereiche geeignete Garantien gemäß Art. 46 DSGVO.

2. Vorschriften für Auftragsverarbeiter: BCR-P

Der Fokus dieser Regelungen liegt auf Weiterübermittlungen solcher Daten, die von einem Verantwortlichen, der kein Mitglied der Gruppe ist, erhalten werden und anschließend von den Mitgliedern der Gruppe als Auftragsverarbeiter und/oder Unterauftragsverarbeiter verarbeitet werden. Denkbar ist dies etwa im Zusammenhang mit der Auslagerung von IT-Dienstleistungen. Derzeit entwickelt der EDSA ein zweiter Satz von Empfehlungen für BCR-P.

Voraussetzungen der Genehmigung

Damit die BCR von den Aufsichtsbehörden genehmigt werden können, müssen die Anforderungen gemäß Artikel 47 Abs. 1 DSGVO erfüllt werden:

  • BCR sind für alle betreffenden Mitglieder der Unternehmensgruppe bzw. des Unternehmensverbundes rechtlich bindend.
  • Sie müssen von allen Mitgliedern der jeweiligen Gruppe und deren Beschäftigten faktisch durchgesetzt werden.
  • Durchsetzbare Rechte müssen den Betroffenen ausdrücklich eingeräumt werden.

Genehmigungsverfahren

1. Bestimmung der zuständigen Aufsichtsbehörde für die Genehmigung von BCR

Zunächst muss die federführende Aufsichtsbehörde (BCR Lead SA) identifiziert werden. Hierzu können gemäß Ziffer 1.2 der WP263 rev.01 Kriterien festgelegt werden.

  • Standort des europäischen Hauptsitzes der Unternehmensgruppe
  • Standort des Unternehmens innerhalb der Gruppe mit delegierten Datenschutzverantwortlichkeiten
  • Standort des Unternehmens, das am besten geeignet ist, den Antrag zu bearbeiten und die BCR in der Gruppe durchzusetzen (bezogen auf Managementfunktionen, Verwaltungsaufwand usw.)
  • Ort, an dem die meisten Entscheidungen in Bezug auf Zwecke und Mittel der Verarbeitung (einschließlich Übertragungen) getroffen werden
  • Mitgliedstaat innerhalb der EU, von dem aus die meisten oder alle Übertragungen außerhalb des EWR erfolgen

Die Behörde, die den Antrag erhalten hat, überprüft die Angaben und bestimmt unter Einbeziehung der anderen Aufsichtsbehörden die federführende Zuständigkeit im EWR. Dabei muss das Kohärenzverfahren gemäß Artikel 63 DSGVO angewendet werden.

2. Prüfung der Unterlagen von BCR Lead SA ggf. Anpassung der BCR

Nach Festlegung der Federführung beginnt die Prüfung der Unterlagen durch die BCR Lead SA. Die Antragsteller müssen folgende Dokumente einreichen:

  • Vollständig ausgefülltes Antragsformular (Part 1) in den Empfehlungen.
  • Vollständig ausgefülltes Antragsformular (Part 2) einschließlich einer Kopie der BCR-C (Annex I) und der Checkliste für den BCR-C (Annex II), sobald die BCR Lead SA eine Entscheidung getroffen und den betroffenen Antragsteller informiert hat.

Nach der Prüfung durch die BCR Lead SA erfolgt eine Prüfung durch maximal zwei weitere Aufsichtsbehörden im EWR als Co-Prüfer. Sobald die Prüfung durch die Co-Prüfer abgeschlossen ist, haben alle Aufsichtsbehörden im EWR die Möglichkeit, im Rahmen des Kooperationsverfahrens Stellungnahmen abzugeben. Die BCR Lead SA teilt dem Antragsteller alle Anmerkungen der Aufsichtsbehörden mit, einschließlich Verbesserungsvorschlägen und Änderungswünschen. Die Antragsteller haben dann die Möglichkeit, ihre BCR entsprechend anzupassen.

3. Kohärenzverfahren

Das Ergebnis des Kooperationsverfahrens ist in der Regel eine konsolidierte Fassung der BCR-Unterlagen, die von den Antragstellern angepasst wurden und von den Aufsichtsbehörden als grundsätzlich genehmigungsfähig eingeschätzt werden. Vor der Genehmigung muss die BCR Lead SA im Rahmen des formellen Kohärenzverfahrens (Artikel 63 DSGVO) eine Stellungnahme des EDSA nach Art. 64 Abs. 1 lit. f DSGVO beantragen. Dies verpflichtet alle Mitgliedsstaaten BCR uneingeschränkt anzuerkennen.

Gemäß Art. 64 Abs. 5 lit. b DSGVO werden die Stellungnahmen des EDSA veröffentlicht.

Bereits genehmigte BCR-C sollten aktualisiert werden

Unternehmensgruppen, die BCR-C als Übermittlungstools für gruppeninterne Datentransfers in Drittländer verwenden möchten, sollten nun die neuen Genehmigungskriterien berücksichtigen. Gemäß der EDSA gelten diese neuen Vorgaben auch für bestehende BCR-Inhaber. Es wird empfohlen, dass sie im Rahmen ihrer jährlichen Aktualisierung im Jahr 2024 mit den neuen Anforderungen in Einklang bringen sollten.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.