Binding Corporate Rules (in der Datenschutz-Grundverordnung als verbindliche interne Datenschutzvorschriften bezeichnet), häufig auch BCR abgekürzt, sind ein von der Europäischen Kommission eingesetzten Artikel-29-Datenschutzgruppe entwickelter Rahmen[1] für verbindliche Richtlinien zum Umgang mit personenbezogene Daten. Der Begriff wird häufig auch als Synonym für die auf diesem Rahmen basierenden individuellen Regeln eines Unternehmens verwendet. Diese erlauben es multinationalen Konzernen, internationalen Organisationen und Firmengruppen nach geltendem europäischem Recht, intern personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu transferieren. Neben den Binding Corporate Rules gibt es weitere Rahmenwerke für den Umgang mit personenbezogenen Daten, wie z. B. das Cross-border Privacy Enforcement Arrangement[2] (CPEA) der Asiatisch-Pazifischen Wirtschaftsgemeinschaft. Wegen ihres rechtlich bindenden Charakters und der Ausgestaltungsmöglichkeit fallen Unternehmensregeln in den Bereich der Corporate Governance.
Die Binding Corporate Rules eines Unternehmens müssen von der europäischen Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, verifiziert werden. Um diesen Prozess zu beschleunigen, hat die Artikel-29-Datenschutzgruppe mit einigen europäischen Datenschutzbehörden ein Koordinationsverfahren bei der Verifizierung von Binding Corporate Rules ausgearbeitet. In dem „Mutual Recognition“ genannten Verfahren überprüft eine federführende Datenschutzbehörde zusammen mit zwei beisitzenden Behörden, ob sich die Regeln des Unternehmens auch an den Rahmen halten. Nach dem Abschluss dieses Prozesses erkennen die Datenschutzbehörden aller 21 Länder, welche an dem Verfahren teilnehmen,[3] die Binding Corporate Rules als ausreichende Garantie an. Sollen Daten aus weiteren europäischen Ländern übertragen werden, überprüft deren Datenschutzbehörden die Binding Corporate Rules eigenständig. Wenn Daten auf der Grundlage von Binding Corporate Rules übertragen werden, muss vor der Übertragung die Erlaubnis von der zuständigen Behörde in einer transfer notification eingeholt werden. Die Übertragung wird dann aufgrund der vorliegenden Binding Corporate Rules genehmigt.
Anlass für die Entstehung der Binding Corporate Rules war die 1995 in Kraft getretene europäische Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Nach dieser muss für jeden Datentransfer in unsichere Drittstaaten einzeln Verträge abgeschlossen werden. Dies erwies sich besonders für große international agierenden Unternehmen als sehr aufwendig. Daher entstand in der Wirtschaft Ende der 1990er Jahre die Idee von verbindlichen Unternehmensrichtlinien, um bei einer Datenübertragung an Konzernteile in Drittstaaten ein ausreichendes Datenschutzniveau zu gewährleisten.[4] In den folgenden Jahren wurde von der Wissenschaft erörtert, ob die Datenschutzrichtlinie ein solches Konstrukt zulässt. Man kam zu dem Schluss, dass Art. 26 Abs. 2 Europäische Datenschutzrichtlinie sich dafür als Rechtsgrundlage eignete und verbindliche Unternehmensregeln somit zulässig sind.
Bei der Umsetzung der europäischen Datenschutzrichtlinie im Jahr 2001 griff der deutsche Gesetzgeber diese Überlegungen auf und erwähnte Unternehmensregelungen explizit als Beispiel für eine ausreichende Datenschutzgarantie beim Transfer von personenbezogenen Daten in Drittstaaten (BGBl. I S. 904). Daraufhin verabschiedete im Juli 2002 die DaimlerChrysler AG zwei Unternehmensrichtlinien. Die Aufsichtsbehörde in Berlin bewilligte kurz darauf zwei Datentransfers, welche sich auf diese stützen.[5] Etwa zur gleichen Zeit diskutierten die deutschen, niederländischen und österreichischen Behörden aufgrund des wachsenden Interesses der Wirtschaft eine Verfahrenskoordinierung bei der gegenseitigen Anerkennung von Unternehmensrichtlinien. Jedoch wurden die Bemühungen der Behörden eingestellt, da die Art. 29 Datenschutzgruppe signalisiert hatte sich mit dem Thema Unternehmensregelungen auf europäischer Ebene zu beschäftigen.
Der Ausdruck Binding Corporate Rules taucht das erste Mal im WP 74 der Art. 29 Datenschutzgruppe im Juni 2003 auf. Dies enthielt grundlegende Überlegungen zu verbindlichen Unternehmensregeln, welche an die bereits bestehenden Erkenntnisse einzelner europäischer Behörden anknüpfte. Im Jahr 2004 fiel unter Aufsicht der Art. 29 Datenschutzgruppe der Startschuss für fünf Testfälle für eine geplante Verfahrenskoordinierung bei der Annahme von Binding Corporate Rules. Darunter befanden sich auch die in Deutschland bereits gültigen Unternehmensregeln der Daimler Chrysler AG. Am 15. April 2005 verständigte sich die Art. 29 Datenschutzgruppe darauf, Unternehmensregeln nach einem einheitlichen europäischen Maßstab zu beurteilen. Seitdem wurde das Mutual Recognition Verfahren durch die Ergebnisse der Testläufe und weitere Entwicklungen in Form von Arbeitspapieren weiter ausgearbeitet.
Die europäische Datenschutz-Grundverordnung übernimmt die Handhabung der früheren Praxis weitgehend in das Gesetz. Die Voraussetzungen und Anforderungen an Binding Corporate Rules werden im Artikel 47 DSGVO geregelt. Zudem sind sie gem. Artikel 46 Abs. 2 b) nun ausdrücklich ein Beispiel für eine geeignete Garantie eines ausreichenden Datenschutzniveaus in einem Drittland. Das aktuelle Verfahren der Mutual Recognition wird durch das Kohärenzverfahren gem. Artikel 63 DSGVO ersetzt. Dies folgt aber einem weitgehend ähnlichen Ablauf. Durch ein Kohärenzverfahren angenommene BCR entfalten nun ihre Wirkung gegenüber allen europäischen Datenschutzbehörden. Zudem muss die Übermittlung von Daten nicht mehr von den einzelnen Behörden genehmigt werden. Der Anwendungsbereich von Binding Corporate Rules wird in Artikel 46 Abs. 1 DSGVO von Unternehmensgruppen auf Auftragsverarbeiter erweitert.
Der Inhalt der Binding Corporate wird zwar von jedem Unternehmen individuell gestaltet, dennoch sind folgende Punkte durch Rahmenbedingungen vorgeschrieben:
Der Vorteil von Binding Corporate Rules gegenüber der Nutzung von EU Standardvertragsklauseln oder des EU–US Data Privacy Framework ist ihre individuelle Ausgestaltungsmöglichkeit. Diese bietet dem Unternehmen die Möglichkeit, das Thema Datenschutz in die Unternehmenskultur einzuarbeiten. Daraus resultiert eine höhere Compliance.[6] Zudem hält der europäische Gesetzgeber mit der Datenschutz-Grundverordnung weiter an dem Konzept der Binding Corporate Rules fest.
Da das Safe-Harbor Abkommen vom Europäischen Gerichtshof (EuGH) in seiner Entscheidung vom 6. Oktober 2015 für ungültig erklärt worden ist, kann es nicht mehr als Rechtsgrundlage für Datentransfers herangezogen werden, Binding Corporate Rules hingegen schon.[7][8]
Der Gedanke hinter einer Einführung von Binding Corporate Rules hat sich seit der Entstehung des Rahmenwerks ausgedehnt. Zu Beginn stand das Ziel der Legitimierung von Datenübertragungen in unsichere Drittländer im Vordergrund. Heutzutage sind sie de facto eine Demonstration großer Unternehmen, die gesetzlichen Anforderungen des Datenschutzes einzuhalten. Oftmals dient dies einer Marketingstrategie oder zur Kommunikation des Thema Datenschutz nach außen.
Der Vorteil der freien Ausgestaltung erweist sich zugleich als größter Nachteil von Binding Corporate Rules. Der damit verbundene hohe Organisationsaufwand und die notwendige Überprüfung durch mehrere Datenschutzbehörden führen zu einem langwierigen Prozess. Die Zeitdauer des Verfahrens von der Erstellung bis zur Einführung von Binding Corporate Rules beläuft sich auf etwa 1–2 Jahre.[9] Daraus ergibt sich ein hoher Kostenfaktor, der mit dem für die Anfertigung von EU Standardverträgen nicht zu vergleichen ist. Deshalb rechnet sich trotz einiger Vorteile die Einführung von Binding Corporate Rules nur für internationale Unternehmen mit einer entsprechenden hohen Anzahl von Datenübertragungen in unsichere Drittländer.
In Bezug auf Binding Corporate Rules hat die Artikel-29-Datenschutzgruppe eine Reihe von Arbeitspapieren (englisch Working Paper) veröffentlicht: