BCR oder Binding Corporate Rules sind ein von der Artikel-29-Datenschutzgruppe entwickelter Ansatz für Datenschutz Regeln, dem sich eine Unternehmensgruppe in Abstimmung mit der Datenschutzaufsicht einheitlich unterwirft. Der Vorteil für die Unternehmen liegt darin, dass innerhalb der Unternehmensgruppe einheitliche Datenschutzstandards geschaffen werden und personenbezogene Daten innerhalb der Unternehmensgruppe einfacher von EU-Gesellschaften in Länder außerhalb der EU übermitteln können.
STEP 1 – LET’S DO IT!
Die Unternehmensgruppe entscheidet sich für die Einführung von BCR. Diese Entscheidung muss vorher gut abgewägt werden. Was sind Vor- und Nachteile? Was könnte man alternativ tun? Wird sich für BCR entschieden, muss diese Entscheidung vom gesamten Vorstand mitgetragen werden.
STEP 2 – DIE AUFSICHTSBEHÖRDE INS BOOT NEHMEN
STEP 3 – DIE BCR NEHMEN FORM AN
Das Unternehmen erstellt das eigentliche BCR-Dokument. Hier werden die verbindlichen Regelungen zum Umgang mit personenbezogenen Daten erarbeitet und festlegt. Dazu gehört auch zu dokumentieren, wie das Trainingskonzept aussehen soll, wie oft Audits durchgeführt werden sollen, usw.Dazu ist die Ist-Situation im Unternehmen im Bezug auf Datenschutzabläufe vorab zu analysieren und mit den Vorgaben für Binding Corporate Rules abzustimmen.
STEP 4 – DIE AUFSICHTSBEHÖRDE GIBT FEEDBACK
Die so erstellten Dokumente werden der Aufsichtsbehörde zur Prüfung eingereicht. Diese gibt entsprechendes Feedback und Verbesserungsvorschläge die das Unternehmen anschließend umzusetzen hat.
STEP 5 – FEEDBACK DER ANDEREN EU-AUFSICHTSBEHÖRDEN
Der überarbeitete Entwurf wird von der Aufsichtsbehörde an diejenigen Aufsichtsbehörden der EU-Länder verteilt, von denen aus die Unternehmensgruppe plant, personenbezoagene Daten in Drittländer zu exportieren. Innerhalb von 4-6 Wochen bekommt die Aufsichtsbehörde dann das Feedback der anderen Aufsichtsbehörden. Diese werden in Absprache mit aufgenommen und ergeben so den finalen Entwurf.
STEP 6 – GEGENSEITIGE ANERKENNUNG
Der nun finale Entwurf wird wiederum von der zuständigen Aufsichtsbehörde an die betreffenden EU-Aufsichtsbehörden weitergeleitet, die daraufhin ihre Freigabe erteilen. Dieses Verfahren der gegenseitigen Anerkennung (Mutual Recognition) ist derzeit in 21 Ländern durchführbar.
STEP 7 – DIE BCR TRETEN IN KRAFT
Der letzte Schritt ist schließlich das Inkrafttreten der BCR. Die einzelnen Unternehmen der Gruppe passen ihre Datenschutzrichtlinien und Umgang mit personenbezogenen Daten an die neu erstellten BCR an und erklären diese schließlich für verbindlich. Eine Möglichkeit hierfür ist z. B. die Unterzeichnung eines entsprechenden Vertrags mit der Muttergesellschaft der Unternehmensgruppe.