Die zuständige Aufsichtsbehörde genehmigt interne Datenschutzvorschriften, sofern diese für alle betreffenden Mitglieder der Unternehmensgruppe gelten oder für eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Gem. Art. 47 Abs. 1 DSGVO können die zuständigen Aufsichtsbehörden BCRs genehmigen, um rechtmäßige Übermittlungen personenbezogener Daten innerhalb eines Unternehmens oder einer Unternehmensgruppe mit Niederlassungen in mehreren Mitgliedstaaten oder Drittländern zu ermöglichen. Die BCRs müssen laut Art. 47 Abs. 2 DSGVO verbindlich sein und den betroffenen Personen durchsetzbare Rechte einräumen. Sie müssen insbesondere Folgendes vorsehen:
- Die Struktur und Kontaktdaten des Unternehmens/der Gruppe und ihrer Datenschutzbeauftragten
- Die Datenübermittlungen oder -kategorien, einschließlich der Verarbeitungszwecke, Arten betroffener Personen und Identität der Drittländer
- Ihre rechtlich bindende Natur innerhalb und außerhalb der Union
- Die Anwendung der Datenschutzgrundsätze wie Zweckbindung, Datenminimierung, Speicherbegrenzung etc.
- Die Rechte der betroffenen Personen bezüglich Verarbeitung und Garantien, diese Rechte auszuüben
- Die Aufgaben des Datenschutzbeauftragten
- Die Akkreditierungsanforderungen, Zertifizierung, Verhaltensregeln, Überwachungsmechanismen und Streitbeilegungsverfahren
Die Aufsichtsbehörden müssen die BCRs gem. dem Kohärenzverfahren nach Artikel 63 DSGVO genehmigen. Genehmigte BCRs stellen dann eine geeignete Garantie i. S. v. Artikel 46 Abs. 2 Buchstabe b DSGVO für die Übermittlung personenbezogener Daten dar.[1]
Dieser Inhalt ist unter anderem im Haufe Finance Office Premium enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen