Binding Corporate Rules (BCR; deutsch: verbindliche interne Datenschutzvorschriften) sind in Art. 47 DSGVO geregelt. Es handelt sich dabei um Datenschutzrichtlinien, die von Unternehmen mit Sitz in der EU bei der Übermittlung personenbezogener Daten außerhalb der EU innerhalb einer Unternehmensgruppe oder eines Unternehmens eingehalten werden müssen. Solche Regeln müssen alle allgemeinen Datenschutzprinzipien und durchsetzbare Rechte umfassen, um angemessene Garantien für Datentransfers zu gewährleisten. Sie müssen rechtsverbindlich sein und von jedem betroffenen Mitglied der Gruppe durchgesetzt werden.

Unternehmen müssen BCR bei der federführenden Ausichtsbehörde in der EU zur Genehmigung vorlegen. Die Behörde wird die BCR gemäß dem in Art. 63 DSGVO festgelegten Kohärenzverfahrens genehmigen. An diesem Verfahren können mehrere Aufsichtsbehörden beteiligt sein, da die Gruppe, die die Genehmigung ihrer BCR beantragt, Unternehmen in mehr als einem Mitgliedstaat haben kann. Die zuständige Behörde übermittelt ihren Entscheidungsentwurf an den Europäischen Datenschutzrausschuss (EDSA), der eine Stellungnahme zu den BCR abgibt. Wenn die BCR in Übereinstimmung mit der Stellungnahme des EDSA fertiggestellt sind, genehmigt die zuständige Behörde die BCR. Genehmigungen von Aufsichtsbehörden auf der Grundlage der Richtlinie 95/46/EG bleiben so lange gültig, bis sie von diesen Aufsichtsbehörden gegebenenfalls geändert, ersetzt oder aufgehoben werden.

← zurück

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten