Binding Corporate Rules

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Binding Corporate Rules, häufig auch BCR abgekürzt, sind verbindliche unternehmensweit geltende Richtlinien und ein zugehöriges Datenschutzprogramm. Als rechtliche Folge können innerhalb der Unternehmensgruppe personenbezogene Daten leichter von EU-Gesellschaften in Länder außerhalb der EU - sogenannte Drittländer - übermittelt werden.

Inhalt[Bearbeiten]

Binding Corporate Rules beinhalten ein Datenschutzprogramm, bestehend aus

  • einer internen Unternehmens-Richtlinie zum Umgang mit personenbezogenen Daten, die sich die Unternehmensgruppe rechtsverbindlich auferlegt
  • einem Verfahren für den Umgang mit Beschwerden
  • einem Programm zur Datenschutz-Schulung von Mitarbeitern
  • einem Netzwerk von Verantwortlichen für den Datenschutz in der Unternehmensgruppe
  • Kontrollen und Audits

Vor- und Nachteile[Bearbeiten]

Der Vorteil von Binding Corporate Rules ist, dass es sich um ein anerkanntes und bewährtes Datenschutzprogramm handelt, das zudem eine positive Außenwirkung erzielt und Mitarbeiter für den Datenschutz sensibilisiert. Im Vergleich zu alternativen Lösungen kann bei einer Vielzahl beteiligter Gesellschaften zudem die Zahl der konzerninternen Datenschutzverträge reduziert werden.

Die Erstellung von BCR ist jedoch vergleichsweise aufwändig und langwierig, da die Aufsichtsbehörden aller Länder, von denen aus personenbezogene Daten übermittelt werden sollen, an der Abfassung der Binding Corporate Rules beteiligt werden und die BCR die Rechtslage all jener Länder rechtlich abdecken muss. Aufgrund zunehmender Praxis der Aufsichtsbehörden und einem Verfahren gegenseitiger Anerkennung (sog. Mutual Recognition) konnte der Prozess aber zunehmend verbessert und beschleunigt werden. Dennoch bleibt die Einführung von Binding Corporate Rules für Unternehmen ein umfassendes Vorhaben.

Alternativen[Bearbeiten]

Zur Legitimation von Datenexporten aus der EU in Drittländer können Unternehmen statt BCR auch Verträge gemäß den EU Standardverträgen für Datenexporte schließen. Bei Datenexporten in die USA kann sich das US-Unternehmen alternativ dazu auch gemäß Safe Harbor selbst-zertifizieren.

Offizielle Dokumente[Bearbeiten]

In Bezug auf Binding Corporate Rules hat die Artikel-29-Datenschutzgruppe eine Reihe von Arbeitspapieren (engl. Working Paper) veröffentlicht:

Eine vollständige und erläuterte Übersicht aller relevanten Artikel-29-Datenschutzgruppe Dokumente zu BCR findet sich auf: Binding Corporate Rules (Praxisleitfaden) - weiterführende Informationen

Weblinks[Bearbeiten]

Siehe auch[Bearbeiten]