Der Mehrwert von Binding Corporate Rules in der Finanzbranche

Internationaler Datentransfer bei Banken

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Der internationale Transfer von personenbezogenen Daten innerhalb von Bankengruppen nimmt stetig zu. Für ein einheitliches und konsolidiertes Datenschutzmanagement sind Binding Corporate Rules ein wichtiges Mittel zur Absicherung.

Datenschutz ist eines der wichtigsten Themen in der Finanzbranche

Datenschutz ist eines der wichtigsten Themen in der Finanzbranche.

Partner des Bank Blogs

YouGov ist Partner des Bank Blogs

Die Verarbeitung von personenbezogenen Daten ist in der Finanzbranche schon lange nicht mehr eine bloße Begleiterscheinung des Alltagsgeschäfts. Im Zuge der fortschreitenden Digitalisierung, der Erschließung neuer digitaler Geschäftsmodelle, jedoch auch der (gezwungenen) Öffnung des Zugangs auf Kontodaten durch Dritte rückt das Thema „Datenschutz“ oder moderner ausgedrückt „Data Compliance“ immer mehr in den Vordergrund. Daneben bestehen die herkömmlichen, operativen Notwendigkeiten zur Verarbeitung von etwa Kunden- und Mitarbeiterdaten natürlich fort.

Hierbei nimmt auch der internationale Transfer von personenbezogenen Daten innerhalb von Bankengruppen (etwa durch Zentralisierung von Unternehmensfunktionen) stetig zu und stellt diese oftmals vor große administrative Herausforderungen. Binding Corporate Rules stellen dabei ein probates und im operativen Geschäft mit wenig Aufwand verbundenes Mittel zur Absicherung derartiger Datenübermittlungen dar. Ferner können sie als Vehikel genutzt werden, um gruppenweit ein einheitliches und konsolidiertes Datenschutzmanagement zu etablieren.

Rechtlicher Hintergrund / Funktion von Binding Corporate Rules

Die Verarbeitung von personenbezogenen Daten bedarf stets eines Erlaubnistatbestands. Sie ist etwa zulässig, wenn sie für die Durchführung eines mit dem Betroffenen geschlossenen Vertrags, die Erfüllung einer gesetzlichen Pflicht oder die Realisierung eines berechtigten Interesses der datenverarbeitenden Stelle oder eines Dritten erforderlich ist (sog. „erste Stufe“).

Sofern personenbezogene nun an eine außerhalb der EU ansässige Stelle übermittelt werden soll (etwa eine in den USA ansässige Konzernzentrale), sind zusätzliche Anforderungen zu erfüllen. So gelten Länder außerhalb der EU grundsätzlich als unsicher. Demgemäß sind sowohl die datenübermittelnde als auch die datenempfangende Stelle dazu verpflichtet, ein angemessenes Datenschutzniveau für die jeweilige Übermittlung zu etablieren (sog. „zweite Stufe“).

Hier kommen u.a. Binding Corporate Rules (kurz „BCR“) ins Spiel. Hierbei handelt es sich selbstauferlegte Verhaltensregeln im Hinblick auf die Verarbeitung und weitere Behandlung von personenbezogenen Daten, vergleichbar mit einem Code of Conduct. BCR schaffen für Drittlandtransfers ein angemessenes Datenschutzniveau und erfüllen somit die zusätzlichen Anforderungen der DSGVO auf „zweiter Stufe“. BCR bestehen dabei regelmäßig aus einer oder mehreren Unternehmensrichtlinien sowie einem zwischen den an den BCR partizipierenden Gesellschaften abgeschlossenen Rahmenvertrag.

BCR bedürfen dabei der Genehmigung der zuständigen Datenschutzaufsichtsbehörde und gelten lediglich für Datentransfers zwischen Stellen, die der gleichen Unternehmensgruppe angehören.

Rechtmäßigkeitsprüfung einer Datenverarbeitung

Rechtmäßigkeitsprüfung einer Datenverarbeitung auf „erster“ und „zweiter Stufe“.

Inhalt und Scope von Binding Corporate Rules

Die DSGVO sowie abgeleitete Vorgaben der Europäischen Datenschutzaufsichtsbehörden schreiben dabei die Pflichtinhalte von BCR zu weiten Teilen vor, dies jedoch nur auf einer sehr abstrakten Ebene. Die genaue Ausgestaltung der schlagwortartig benannten Bereiche im Detail unterliegt dabei der Autonomie der Unternehmen.

Die gesetzlichen bzw. aufsichtsbehördlichen Vorgaben umfassen dabei etwa Regelungen dazu, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, welche Voraussetzungen bei der Einschaltung von Dienstleistern erfüllt oder wie Betroffenenbeschwerden bearbeitet werden müssen. Daneben müssen entsprechende Schulungs- und Auditverfahren u.Ä. vorgesehen werden.

Kern von BCR ist dabei, dass ein konzernangehöriges Unternehmen innerhalb der EU die Haftung für etwaige Verstöße gegen die BCR durch andere konzernangehörige Unternehmen außerhalb der EU übernehmen muss. Ferner sind Betroffene als Drittbegünstige berechtigt, gewisse Vorgaben der BCR gegenüber den teilnehmenden Unternehmen geltend zu machen. Dies soll eine Durchsetzung von DSGVO-Vorgaben und Betroffenenrechte sicherstellen, auch wenn die entsprechenden Informationen außerhalb der EU transferiert werden.

BCR müssen dabei die folgenden Datenverarbeitungsvorgänge (und somit auch die an diesen Vorgängen beteiligten Konzernunternehmen) umfassen:

  • Datentransfers von unter die DSGVO fallenden Konzernunternehmen (hauptsächlich daher die in der EU ansässigen Unternehmen) an außerhalb der EU, des EWR oder sog. sicheren Drittländern ansässigen Konzernunternehmen;
  • Die weitere Verarbeitung sowie weitere Übermittlung der übermittelten personenbezogenen Daten durch die außerhalb der EU, des EWR oder sog. sicheren Drittländern ansässigen Empfänger.

BCR weisen daher im Vergleich zum Anwendungsbereich der DSGVO einen sachlich stark beschränkten, territorial jedoch erheblich ausgeweiteten Umfang auf.

Dieser Scope kann dabei frei erweitert werden. So kann sich die Geltung der BCR etwa entlang des Anwendungsbereichs der DSGVO orientieren. Dies kann sich anbieten, sofern gruppenweit ein einheitlicher und konsolidierter Umgang mit personenbezogenen Daten etabliert werden soll, dies jedenfalls für die Konzernteile, die ohnehin der DSGVO unterfallen. Insofern kann die gesamte Verarbeitung von personenbezogenen Daten durch Konzernunternehmen innerhalb der EU den BCR unterstellt werden; die BCR fungieren sodann als einheitliche Unternehmensrichtlinie zum Umgang mit personenbezogenen Daten. Hierbei können auch abgestufte Regelungen vorgesehen werden, damit etwa eine in der EU ansässige Gesellschaft nicht unnötigerweise Haftung für außerhalb der EU auftretende Datenschutzverletzungen übernehmen muss.

Anwendungsbereiche der DSGVO und BCR

Abweichende jedoch überlappende Anwendungsbereiche der DSGVO und BCR..

Vor- und Nachteile von Binding Corporate Rules

Der wesentliche Nachteil von BCR ist, dass sie von der zuständigen Datenschutzaufsichtsbehörde sowie dem Europäischen Datenschutzausschusses (ein Gremium von Vertretern der europäischen Datenschutzbehörden) genehmigt werden müssen.

Ferner ist zu beachten, dass die Ausarbeitung von BCR einen nicht zu unterschätzenden Aufwand erfordert. Hierbei sollte auf Erfahrungswerte von Experten zurückgegriffen werden, die bereits derartige Projekte durchgeführt werden. Durch die bestehende Expertise können Aufwände und Kosten regelmäßig erheblich minimiert werden.

Wenn BCR erst einmal ausgearbeitet und genehmigt sind, überwiegen jedoch deren Vorteile. In Zeiten, in denen die weiteren möglichen Drittlandübermittlungsinstrumente (in erster Linie also die EU Standardvertragsklauseln und das EU-US-Privacy-Shield-Abkommen) unter ständigem Beschuss von Datenschützern stehen, stellen BCR das verlässlichste und robusteste Mittel zur rechtmäßigen Durchführung von Drittlandtransfers dar.

Ferner ersparen BCR erhebliche administrative Aufwände im alltäglichen Geschäft. So sind Drittlandübermittlungen nicht in jedem Fall gesondert zu prüfen und abzusichern, etwa durch den für jeden Einzelfall gesondert erforderlichen Abschluss von EU-Standardvertragsklauseln.

BCR können zudem als Vehikel dienen, um gruppenweit einheitliche Datenschutzstandards auszurollen. Insofern kann der Roll-out der BCR ebenfalls mit weiteren Richtlinien, Standards, Verträgen usw. verbunden werden. So kann etwa auch der gruppenweite Abschluss von Auftragsverarbeitungsverträgen und Verträgen über gemeinsame datenschutzrechtliche Verantwortlichkeit in den BCR-Rahmenvertrag eingebunden werden.

Letztlich ist zu beachten, dass BCR gegenwärtig (in erster Linie durch deren aufsichtsbehördliche Genehmigung) als höchstes Maß an Sicherheit für personenbezogenen Daten zu betrachten sind. Unternehmensgruppen können so (je nach Umfang der BCR, vgl. oben unter Ziffer 2) ein einheitliches Datenschutzniveau nachweisen, welches von den Aufsichtsbehörden als angemessen angesehen wird. BCR haben daher eine nicht zu vernachlässigende Außenwirkung und können so gezielt als Wettbewerbsvorteil eingesetzt werden.

Übersicht über ein Binding Corporate Rules Projekt

Ein BCR-Projekt erfordert bis zur Einreichung bei der zuständigen Datenschutzaufsichtsbehörde – je nach Unternehmensgröße und erforderlicher (oder gewählter) Komplexität der BCR – einen Zeitraum von ca. drei bis sechs Monaten und untergliedert sich in folgende wesentliche Schritte:

Ermittlung und Festlegung des erforderlichen und/oder gewünschten Scope der BCR

Wie zuvor erwähnt, sollte die initiale Festlegung des Scopes der BCR sorgfältig evaluiert werden, um das weitere Projekt und insbesondere die spätere Implementierung der BCR nicht durch im Laufe des Projekts auftretende Unsicherheiten zu gefährden.

Bereits an dieser Stelle ist zu empfehlen, einen erfahrenen Rechtsbeistand einzuschalten, um informiert zwischen den verschiedenen Ausgestaltungsmöglichkeiten entscheiden zu können.

Auch sollten bereits zu dieser Frage die relevanten Stakeholder (relevante Geschäftsleitungen, Datenschutzbeauftragten, Privacy Counsel usw.) ins Boot geholt werden, um etwaigen späteren Widerständen vorzubeugen.

Ermittlung und Festlegung der zuständigen Datenschutzaufsichtsbehörde

Unternehmensgruppen haben bei der Festlegung der für das BCR Genehmigungsverfahren zuständigen Datenschutzaufsichtsbehörde einen gewissen Spielraum. Hier empfiehlt es sich, eine Behörde zu wählen, mit der bereits eine Arbeitsbeziehung besteht oder die bereits Erfahrung mit derartigen Vorgängen gesammelt hat.

Durchsicht der bereits bestehenden Datenschutz-Prozesse und Dokumente und Abstimmung mit BCR

In Unternehmensgruppen werden regelmäßig bereits zahlreiche datenschutzrelevante Dokumente (Richtlinien, SOPs, Konzepte, Rahmenverträge usw.) und Prozesse (etwa zur Bearbeitung von Betroffenenrechten) bestehen. Bei der Erstellung der BCR ist daher darauf zu achten, Widersprüche mit bestehenden Regelungen zu vermeiden, gewisse Regelung durch die BCR abzulösen oder bereits etablierte Prozesse und Dokumente nutzbar zu machen und diese in die BCR zu integrieren.

Erstellung der BCR-Dokumente

Sobald die ersten drei Schritte abgeschlossen worden sind, kann der erste Entwurf der eigentlichen BCR-Dokumente erstellt werden. Hierbei handelt es sich um eine oder mehrere Unternehmensrichtlinien sowie einen Rahmenvertrag zwischen den teilnehmenden Unternehmen einer Unternehmensgruppe, in denen sie sich im Wesentlichen zur Umsetzung der BCR verpflichten und Haftungsfragen im Falle von Verletzungen der BCR regeln. Die Erstellung der BCR-Dokumente sollte dabei durch erfahrene Rechtsexperten in enger Abstimmung mit der Projektleitung erfolgen.

Ausfüllen der BCR-Antragsunterlagen

Gemeinsam mit den eigentlichen BCR-Dokumenten müssen ferner die behördenseitig zur Verfügung gestellten BCR-Antragsunterlagen bei der Aufsichtsbehörde eingereicht werden. Diese enthalten teilweise Bezüge zu den eigentlichen BCR, daneben jedoch auch faktische Fragen zur Unternehmensgruppe, den relevanten Datenströmen usw. Die sich nicht auf konkrete Inhalte BCR beziehenden Teile der Antragsunterlagen sollten bereits parallel zur Erstellung der BCR ausgefüllt werden.

Review und Abstimmung der BCR-Dokumente

Nach Erstellung des ersten Entwurfs der BCR-Dokumente sind diese zwischen den Projektbeteiligten, etwaigen externen Beraten und relevanten Stakeholdern final abzustimmen. Je nach Konzerngröße und -struktur, Berichtswegen usw. kann dies einen nicht zu unterschätzenden Aufwand darstellen.

Finalisierung und Einreichung der BCR-Dokumente und Antragsunterlagen

Nach abgeschlossener Abstimmung können die BCR-Dokumente sowie Antragsunterlagen finalisiert und bei der zuständigen Aufsichtsbehörde eingereicht werden.

Die Aufsichtsbehörde prüft sodann die eingereichten Unterlagen im Hinblick auf deren Übereinstimmung mit den gesetzlichen Vorgaben. Hier kann durchaus noch weiterer Abstimmungs- und Anpassungsbedarf zwischen Unternehmen und Aufsichtsbehörde entstehen. Sobald die zuständige Aufsichtsbehörde die BCR als genehmigungsfähig betrachtet, leitet sie diese dem Europäischen Datenschutzausschuss zu. Sobald die BCR dort als DSGVO-konform angesehen werden, erfolgt die Genehmigungserteilung durch die zuständige Aufsichtsbehörde. Dieser Prozess kann durchaus zwölf Monate in Anspruch nehmen

Anschließend sind die BCR in der Unternehmensgruppe auszurollen und durch die teilnehmenden Unternehmen zu implementieren.

Über den Autor

Dr. Tobias Rothkegel

Dr. Tobias Rothkegel ist Rechtsanwalt und Senior Associate im Hamburger Büro der internationalen Rechtsberatungspraxis Osborne Clarke. Er berät internationale Konzerne aber auch Start-Ups zu sämtlichen Fragen der Datennutzung und des Datenschutzes sowie im Rahmen von technologiezentrierten und datengetriebenen Geschäftsmodellen. Er ist zudem Leiter der deutschlandweiten Blockchain-Arbeitsgruppe bei Osborne Clarke.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren