Die BCR in den Fußstapfen der SCC – mehr Aufwand für mehr Sicherheit im internationalen Datentransfer?

Die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU/des EWR spielt im Alltag einer Konzerngesellschaft eine maßgebliche Rolle. Häufig haben Konzerne in diversen Drittstaaten weltweit Tochtergesellschaften und verbundene Unternehmen. Datenübermittlungen und -austausche gehören dabei zur Tagesordnung. Zur Legitimation dieser Datenflüsse werden häufig Standardvertragsklauseln (SCC) oder verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules (BCR), eingesetzt. In diesem Beitrag wollen wir uns mit Letzteren beschäftigen. Grundlage sind die Neuerungen durch die aktuell veröffentlichten Empfehlungen des Europäischen Datenschutzausschusses (EDSA).

Verständnisgrundlagen – Die beiden Arten der BCR

• Controller BCR (BCR-C): Die BCR-C dienen der Datenübermittlung durch Verantwortliche gemäß Art. 4 Nr.7 DSGVO, die in einem Mitgliedstaat des EWR niedergelassen sind, an andere Verantwortliche oder Auftragsverarbeiter außerhalb des EWR. Die beteiligten Unternehmen sind dabei alle Teil einer Gruppe. BCR-C kommen demnach insbesondere für Unternehmensgruppen oder Gruppen von Unternehmen in Betracht, bei denen ein regelmäßiger Austausch personenbezogener Daten erfolgt.
• Processor BCR (BCR-P): BCR-P eignen sich für Konzerne, die Daten als Auftragsverarbeiter eines externen Unternehmens, das kein Mitglied der Unternehmensgruppe ist, verarbeiten und hierfür die Daten an ein konzerninternes Unternehmen in einem Drittstaat weiterleiten.

Durch die BCR sind demnach nur Datenübermittlungen zwischen gruppenangehörigen Unternehmen abgedeckt, nicht hingegen Datentransfers an gruppenfremde Unternehmen und Dienstleister.

Der Verfahrensgang und die inhaltlichen Anforderungen

BCR stehen unter dem Vorbehalt der Genehmigung durch die jeweils zuständige Aufsichtsbehörde. Zunächst muss die sog. federführende Aufsichtsbehörde (BCR Lead SA) identifiziert und ein Antrag bestimmten Inhalts bei dieser eingereicht werden. Maßgeblich sind dabei die im Arbeitspapier WP263 rev.01 des EDSA in Ziffer 1.2 festgelegten Kriterien. Hierzu zählen bspw. der Standort des europäischen Hauptsitzes der Unternehmensgruppe, der Standort des Unternehmens, welches am besten geeignet ist, den Antrag zu bearbeiten und die BCR durchzusetzen, oder aber auch der Ort, an dem die Entscheidungen in Bezug auf Zwecke und Mittel der Datenverarbeitung getroffen werden.

Die inhaltlichen Anforderungen an die BCR ergeben sich aus Art. 47 DSGVO. Nach dessen Abs. 1 müssen die BCR für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, rechtlich bindend sein, den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und die in Art. 47 Abs. 2 festgelegten formellen Anforderungen erfüllen. Die Artikel-29-Datenschutzgruppe (WP29) hat seit 2017 verschiedene Arbeitspapiere und Empfehlungen zu den BCR veröffentlicht.

Die BCR Lead SA ist verpflichtet, die Unterlagen des Antragsstellers und ihren „Entscheidungsentwurf“ dem EDSA zur Stellungnahme übermitteln. Diese Stellungnahmen werden auf der Webseite des EDSA veröffentlicht. Nach Fertigstellung der BCR entsprechend der Stellungnahme des EDSA, werden diese von der Lead SA genehmigt.

What´s new? – Die Neuerungen durch die Empfehlungen des EDSA

Der EDSA hat am 21. Juni 2023 Empfehlungen zur Beantragung der Genehmigung und zu den Bestandteilen und Grundsätzen der BCR-C verabschiedet. Die Empfehlungen betreffen sowohl formale Änderungen der Antragsdokumente als auch weitreichende inhaltliche Anforderungen an die BCR-C. Dabei wird angestrebt, die inhaltlichen Anforderungen der BCR-C in Übereinstimmung mit dem Urteil des Europäischen Gerichtshofs in Sachen „Schrems II“ zu bringen.

Die inhaltlichen Änderungen im Einzelnen:

• Die BCR-C reichen künftig allein nicht mehr aus, um ein angemessenes Datenschutzniveau herzustellen. Entsprechend müssen Unternehmensgruppen, welche BCR-C als Rechtsgrundlage für unternehmensinterne Datentransfers in Drittländer verwenden möchten, zusätzlich ein Transfer Impact Assessment (kurz TIA) durchführen. Das Drittland muss somit vor Durchführung eines Datentransfers einer ausführlichen Risikobewertung unterzogen werden.
• Ergänzend zu den BCR-C müssen gegebenenfalls zusätzliche (technische und organisatorische) Maßnahmen implementiert werden, um die personenbezogenen Daten in Drittländern effektiv, insbesondere vor einem Zugriff von Behörden, zu schützen. Eine zusätzliche Maßnahme ist im Sinne des Schrems II-Urteils des EuGHs als effektiv anzusehen, sofern und soweit die Maßnahme genau die Rechtsschutzlücken schließt, die der Datenexporteur im Rahmen seines TIAs festgestellt hat. Einen Überblick denkbarer Zusatzmaßnahmen gibt der EDSA in seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“.
• Die inhaltlichen Aktualisierungen wurden zusätzlich formal festgehalten. In Teil I der BCR-C wurde eine Erklärung ergänzt, wonach der Datenexporteur verpflichtet ist, vor der Übermittlung der Daten auf Grundlage dieser BCR an Konzernunternehmen in Drittländer ein TIA durchzuführen.

Die neuen Vorgaben gelten ebenfalls für bestehende BCR-Inhaber. Der EDSA veröffentlicht auf seiner Webseite eine Auflistung der Unternehmen mit bereits genehmigten BCR.

Conclusio

Wir empfehlen, ebenso wie der EDSA, die bestehenden BCR-C im Jahr 2024 im Rahmen der jährlichen Aktualisierung mit den neuen Anforderungen in Einklang zu bringen. Das Durchführen eines TIA und die Ergreifung zusätzlicher Maßnahmen zum effektiven Schutz der Daten in Drittländern bedeuten zweifellos einen Mehraufwand für Konzerne, allerdings sind die Vorgaben auch nicht gänzlich neu. Seit Erlass der neuen SCC und dem Fall des EU-US-Privacy-Shields sind Unternehmen verpflichtet ein TIA durchzuführen sowie zusätzliche Maßnahmen zu ergreifen, sofern sie einen Datentransfer auf die SCC stützen möchten. Nachlässig sollte mit diesen „Neuerungen“ dennoch nicht umgegangen werden. Eine Nichtbeachtung kann hohe Bußgelder durch die Aufsichtsbehörden nach sich ziehen.

¹ Übersichten über die Bestandteile und Grundsätze von BCR für Verantwortliche (WP256 rev.01) und Auftragsverarbeiter (WP257 rev.01), um die Anforderungen in Bezug auf BCR zu verdeutlichen. Des Weiteren hat die WP29 Empfehlungen zum Standardformular für einen Antrag auf Genehmigung der BCR für Verantwortliche (WP264) als auch für Auftragsverarbeiter (WP265) veröffentlicht. Die Arbeitsdokumente und Empfehlungen der WP29 wurden durch den EDSA am 25. Mai 2018 formell bestätigt.