Datenschutz individuell gestalten: Die Binding Corporate Rules (BCR)

1995 beschloss die EU ihre Richtlinie 95/46/EG. In ihr wird seither der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten geregelt. Für jeden Datentransfer in ‚unsichere Drittstaaten‘ (z.B. USA oder Indien) mussten zunächst noch einzeln Verträge geschlossen werden, was sich als gerade für große Unternehmen als kostenintensives Hindernis erwies. Erste Firmen entwickelten daraufhin Unternehmensrichtlinien, die das Verfahren zu vereinheitlichen suchten.
Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ dann erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben des Datenschutzgesetzes erfüllt. Das Resultat war ein Verfahren, dass es Unternehmen gestattet den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen. Hierzu zählen u.a.:

– Aufbau und Umsetzung eines Sicherheitskonzeptes
– Datenschutzschulung von Mitarbeitern
– Verpflichtende Teilnahme an einem Audit-Programm
– Leistung von Schadenersatz bei Verstößen
– Geregeltes Beschwerdeverfahren
– Zusicherung von Transparenz
– Festlegung des Geltungsbereichs

Der Vorteil der Einführung von ‚Corporate Binding Rules‘ ist die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil ist vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Ein BCR-Prozess kann bis zur Einführung etwa zwei Jahre dauern. Rechnen tut sich das derzeit nur für große Unternehmen.