Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, kurz: BCR) gemäß Art. 46 Abs. 2 lit. b, Art. 47 DS-GVO können vor allem bei international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer empfehlenswert sein. Dabei legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten auch in Drittländern fest. Die BCR müssen einen Schutz bieten, der im Wesentlichen der Datenschutz-Grundverordnung entspricht. Der Mindestinhalt ist in Art. 47 Abs. 2 DS-GVO festgelegt. Zudem müssen die BCR für alle betreffenden Mitglieder der Unternehmensgruppe rechtlich bindend sein und den betroffenen Personen durchsetzbare Rechte gewähren (Art. 47 Abs. 1 lit. a und b DS-GVO). Die Genehmigung der BCR erfolgt gemäß dem Kohärenzverfahren durch die zuständige Aufsichtsbehörde (Art. 47 Abs. 1 DS-GVO). Die konkreten Datenübermittlungen auf Grundlage der BCR sind dann im Einzelnen nicht mehr genehmigungspflichtig.

Weitere Informationen

Liste der Unternehmen mit genehmigten BCR (Stand: 24.05.2018)
Arbeitspapier zum Genehmigungsverfahren von BCR (wp263rev.01)
Handreichung zur Stellung des Antrags auf Genehmigung von BCR für Verantwortliche (wp264)
Handreichung zur Stellung des Antrags auf Genehmigung von BCR für Auftragsverarbeiter (wp265)
Informationen der EU-Kommission zu BCR
Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften (WP256 rev 0.1 Deutsch/Englisch)
Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften für Auftragsverarbeiter (WP257 rev 0.1 Deutsch/Englisch)