Binding Corporate Rules (BCR)
Binding Corporate Rules (BCR), oder auf Deutsch verbindliche interne Datenschutzvorschriften, sind in Artikel 47 der Datenschutz-Grundverordnung (DSGVO) geregelt. Sie stellen Datenschutzrichtlinien dar, die Unternehmen mit Sitz in der EU einhalten müssen, wenn sie personenbezogene Daten innerhalb einer Unternehmensgruppe oder eines Unternehmens außerhalb der EU übermitteln. Diese Regeln müssen sämtliche allgemeinen Datenschutzprinzipien und durchsetzbaren Rechte umfassen, um angemessene Garantien für den Transfer von Daten zu gewährleisten. Sie müssen rechtsverbindlich sein und von allen betroffenen Mitgliedern der Gruppe durchgesetzt werden.
Für die Genehmigung von BCR müssen Unternehmen diese bei der federführenden Aufsichtsbehörde in der EU einreichen. Die Behörde genehmigt die BCR gemäß dem in Artikel 63 der DSGVO festgelegten Kohärenzverfahren. Da die Gruppe, die die Genehmigung für ihre BCR beantragt, Unternehmen in mehreren Mitgliedstaaten haben kann, können mehrere Aufsichtsbehörden in den Genehmigungsprozess involviert sein. Die zuständige Behörde übermittelt ihren Entscheidungsentwurf an den Europäischen Datenschutzausschuss (EDSA), der eine Stellungnahme zu den BCR abgibt. Sobald die BCR in Übereinstimmung mit der Stellungnahme des EDSA fertiggestellt sind, genehmigt die zuständige Behörde die BCR. Genehmigungen, die auf der Grundlage der Richtlinie 95/46/EG erteilt wurden, bleiben gültig, bis sie gegebenenfalls von den Aufsichtsbehörden geändert, ersetzt oder aufgehoben werden.
BCR spielen eine wichtige Rolle bei der Sicherstellung eines angemessenen Datenschutzniveaus für den Transfer personenbezogener Daten außerhalb der EU. Sie ermöglichen Unternehmen, interne Datenschutzstandards zu entwickeln und diese in ihrer gesamten Unternehmensgruppe oder ihrem Unternehmen durchzusetzen. Durch die rechtsverbindliche Einhaltung von BCR können Unternehmen sicherstellen, dass personenbezogene Daten gemäß den geltenden Datenschutzbestimmungen geschützt werden.
Die Einhaltung der DSGVO und die Genehmigung von BCR sind entscheidende Schritte für Unternehmen, die personenbezogene Daten über Ländergrenzen hinweg übermitteln. Mit der Durchsetzung von BCR können Unternehmen nicht nur den Anforderungen der DSGVO entsprechen, sondern auch das Vertrauen der Kunden und Partner stärken, indem sie den Schutz personenbezogener Daten gewährleisten.