§ 10 Datenexport in Drittländer / C. Vorliegen geeigneter Garantien, Art. 46 DSGVO

Rz. 7

Falls kein Beschluss nach Art. 45 DSGVO vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DSGVO).

Rz. 8

Die möglichen Garantien sind in Art. 46 Abs. 2 und 3 DSGVO beschrieben.

I. Verbindliche Unternehmensvorschriften – Binding Corporate Rules

1. Bisherige Rechtslage

Rz. 9

Art. 26 Abs. 2 der Datenschutzrichtlinie sieht vor, dass Mitgliedstaaten einzelne Übermittlungen oder Kategorien von Übermittlungen personenbezogener Daten in Drittländer genehmigen können, die kein angemessenes Schutzniveau gewährleisten, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Nach den Vorgaben der Richtlinie können sich diese Garantien aus entsprechenden Vertragsklauseln ergeben. Der Begriff der "verbindlichen Unternehmensvorschriften" oder "Binding Corporate Rules" (BCR) findet sich in Art. 26 Abs. 2 der Datenschutzrichtlinie nicht.

Rz. 10

Die Möglichkeit, den Datentransfer innerhalb international agierender Unternehmen (Konzerne) unter Einschluss der Verarbeitung personenbezogener Daten in Drittstaaten ohne angemessenes (gesetzliches) Datenschutzniveau über verbindliche Unternehmensvorschriften zu ermöglichen, ist jedoch – mit Ausnahme vom Portugal^[8] – in allen Mitgliedstaaten der EU seit vielen Jahren anerkannt. In Deutschland haben verbindliche Unternehmensvorschriften in § 4c Abs. 2 Satz 1 BDSG sogar explizit Erwähnung gefunden.

Rz. 11

Die Idee der verbindlichen Unternehmensregelung kam Ende der 1990er Jahre in Wirtschaftskreisen auf, nachdem international agierende Konzerne es für nicht praktikabel erachteten, für jeden grenzüberschreitenden Datentransfer zwischen verschiedenen Konzernunternehmen jeweils gesonderte vertragliche Vereinbarungen zu normieren. Zwar hatte die Kommission bereits frühzeitig von der in Art. 26 Abs. 4 der Datenschutzrichtlinie vorgesehenen Möglichkeit Gebrauch gemacht, sog. Standardvertragsklauseln zu erlassen, die als ausreichende Garantien für die Übermittlung personenbezogener Daten in Drittstaaten verbindlich waren, was die Vertragserstellung erheblich erleichterte. Bereits die Masse an Einzelverträgen, die in multinationalen Konzernen hätte abgeschlossen werden müssen, ließ dieses Instrument als wenig geneigt erscheinen. Hinzu kam, dass die Standardvertragsklauseln inhaltlich lediglich Standardkonstellationen regelten und keinen Spielraum zur Anpassung auf die jeweils individuelle Unternehmenssituation zuließen.^[9] Diesen Problemen sollte über die Idee der Einführung konzernweit geltender Datenschutzrichtlinien begegnet werden. Verbindliche Unternehmensregelungen sind dabei in der Regel nicht als Vertrag der Konzernmutter mit ihren Töchtergesellschaften ausgestaltet. Sie stellen sich vielmehr als unternehmensinterne Handlungsanweisungen ("Verhaltenskodizes"^[10]) dar, die für alle Unternehmensteile und alle Unternehmensmitarbeiter verpflichtend den Umgang mit personenbezogenen Daten regeln.^[11]

Rz. 12

Mit Erlass des Arbeitsdokumentes Nr. 74 der Art. 29-Datenschutzgruppe^[12] erfolgte eine Festlegung zur Rechtsnatur und zum wesentlichen Inhalt und damit die grundsätzliche Anerkennung verbindlicher Unternehmensregelungen auf europäischer Ebene.^[13] Obgleich die Art. 29-Datenschutzgruppe in zahlreichen, dem Arbeitsdokument Nr. 74 folgenden Stellungnahmen^[14] den Versucht unternommen hat, den Anwendungsbereich verbindlicher Unternehmensregelung weiter zu konkretisieren, blieben die inhaltlichen Anforderungen – mit Blick auf die unterschiedlichen Anforderungen in den Mitgliedstaaten und ein doch recht kompliziertes Anerkennungsverfahren innerhalb der EU – unter Geltung der Datenschutzrichtlinie weitgehend unklar. Sicherlich war auch dies ein Grund dafür, dass bis zum 5.10.2017 bei der Kommission lediglich 92 Unternehmen "registriert"^[15] waren, die das Genehmigungsverfahren zur Etablierung verbindlicher Unternehmensvorschriften auf nationaler Ebene erfolgreich durchlaufen haben.

[8] Nach Angaben der Art. 29 Datenschutzgruppe werden verbindliche Unternehmensvorschriften hier generell nicht als geeignet angesehen, um Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau zu ermöglichen. Hier ist daher auf die Standardvertragsklauseln zurückzugreifen. Vgl. http://ec.europa.eu/justice/data-protection/international-transfers/files/table_nat_admin_req_en.pdf.

[9] Hierzu auch: Gardain, Konferenzbericht v. 25.4.2005,abrufbar unter: http://www.giodo.gov.pl/data/filemanager_pl/672.pdf.

[10] Working Paper Nr. 74 der Art. 29-Datenschutzgruppe v. 3.6.2003, abrufbar: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2003/wp74_de.pdf, S. 4.

[11] Hier...