BCR oder Binding Corporate Rules sind ein von der Artikel-29-Datenschutzgruppe entwickelter Ansatz für Datenschutz Regeln, dem sich eine Unternehmensgruppe in Abstimmung mit der Datenschutzaufsicht einheitlich unterwirft. Der Vorteil für die Unternehmen liegt darin, dass innerhalb der Unternehmensgruppe einheitliche Datenschutzstandards geschaffen werden und personenbezogene Daten innerhalb der Unternehmensgruppe einfacher von EU-Gesellschaften in Länder außerhalb der EU übermitteln können.

 

STEP 1 – LET’S DO IT!

Die Unternehmensgruppe entscheidet sich für die Einführung von BCR. Diese Entscheidung muss vorher gut abgewägt werden. Was sind Vor- und Nachteile? Was könnte man alternativ tun? Wird sich für BCR entschieden, muss diese Entscheidung vom gesamten Vorstand mitgetragen werden.

STEP 2 – DIE AUFSICHTSBEHÖRDE INS BOOT NEHMEN

Das Unternehmen tritt mit derzuständigen Aufsichtsbehörde (die sog. Lead Authority) in Kontakt um die Zuständigkeit zu klären.

STEP 3 – DIE BCR NEHMEN FORM AN

Das Unternehmen erstellt das eigentliche BCR-Dokument. Hier werden die verbindlichen Regelungen zum Umgang mit personenbezogenen Daten erarbeitet und festlegt. Dazu gehört auch zu dokumentieren, wie das Trainingskonzept aussehen soll, wie oft Audits durchgeführt werden sollen, usw.Dazu ist die Ist-Situation im Unternehmen im Bezug auf Datenschutzabläufe vorab zu analysieren und mit den Vorgaben für Binding Corporate Rules abzustimmen.

STEP 4 – DIE AUFSICHTSBEHÖRDE GIBT FEEDBACK

Die so erstellten Dokumente werden der Aufsichtsbehörde zur Prüfung eingereicht. Diese gibt entsprechendes Feedback und Verbesserungsvorschläge die das Unternehmen anschließend umzusetzen hat.

STEP 5 – FEEDBACK DER ANDEREN EU-AUFSICHTSBEHÖRDEN

Der überarbeitete Entwurf wird von der Aufsichtsbehörde an diejenigen Aufsichtsbehörden der EU-Länder verteilt, von denen aus die Unternehmensgruppe plant, personenbezoagene Daten in Drittländer zu exportieren. Innerhalb von 4-6 Wochen bekommt die Aufsichtsbehörde dann das Feedback der anderen Aufsichtsbehörden. Diese werden in Absprache mit aufgenommen und ergeben so den finalen Entwurf.

STEP 6 – GEGENSEITIGE ANERKENNUNG

Der nun finale Entwurf wird wiederum von der zuständigen Aufsichtsbehörde an die betreffenden EU-Aufsichtsbehörden weitergeleitet, die daraufhin ihre Freigabe erteilen. Dieses Verfahren der gegenseitigen Anerkennung (Mutual Recognition) ist derzeit in 21 Ländern durchführbar.

STEP 7 – DIE BCR TRETEN IN KRAFT

Der letzte Schritt ist schließlich das Inkrafttreten der BCR. Die einzelnen Unternehmen der Gruppe passen ihre Datenschutzrichtlinien und Umgang mit personenbezogenen Daten an die neu erstellten BCR an und erklären diese schließlich für verbindlich. Eine Möglichkeit hierfür ist z. B. die Unterzeichnung eines entsprechenden Vertrags mit der Muttergesellschaft der Unternehmensgruppe.

 

Ähnliche Beiträge

Richtige E-Mail...

Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...

Datenschutzerklärung für...

Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...

Datenschutz und WhatsApp? Wo...

Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...