Rz. 13
An der grundsätzlichen Bedeutung verbindlicher Unternehmensvorschriften ändert dies im Ergebnis nichts. Der europäische Gesetzgeber hat sich jedoch dazu entschlossen, das als umständlich und hinderlich empfundene Anerkennungsverfahren und auch die inhaltlichen Anforderungen an verbindliche Unternehmensvorschriften zukünftig einheitlich zu regeln und das Rechtsinstitut in Art. 47 DSGVO aufgenommen. Nach Art. 46 Abs. 2 lit. c) DSGVO können ausreichende Garantien hinsichtlich des Schutzes der Rechte und Freiheiten betroffener Personen unter Geltung der DSGVO auch durch verbindliche Unternehmensregelungen (sogenannte "Binding Corporate Rules") hergestellt werden, deren Einzelheiten in Art. 47 DSGVO geregelt sind.
Rz. 14
Art. 4 Nr. 20 DSGVO definiert verbindliche interne Datenschutzvorschriften als "Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern, verpflichtet."
Rz. 15
Damit ist zugleich der Kreis der Adressaten beschrieben, für die die Etablierung verbindlicher Unternehmensvorschriften überhaupt in Betracht kommt: Diese stehen nur Verantwortlichen und/oder Auftragsverarbeitern derselben Unternehmensgruppe (Art. 4 Nr. 19 DSGVO) oder von Unternehmen (Art. 4 Nr. 18 DSGVO), die "eine gemeinsame Wirtschaftstätigkeit ausüben", offen. Während der Begriff der "Unternehmensgruppe" über die Legaldefinition des Art. 4 Nr. 19 DSGVO noch greifbar erscheint, findet sich eine genauere Bestimmung dazu, wann Unternehmen "eine gemeinsame Wirtschaftstätigkeit ausüben" in der DSGVO nicht. Im Arbeitspapier Nr. 74 der Art. 29-Datenschutzgruppe ist davon die Rede, dass verbindliche Unternehmensregelungen jedenfalls für "lose Zusammenschlüsse" von Unternehmen, "wegen der Verschiedenheit der Mitglieder und der großen Bandbreite der Verarbeitungstätigkeiten […] höchstwahrscheinlich kein geeignetes Instrument" darstellen. Dies lässt darauf schließen, dass zwar keine "Konzernverbundenheit" in Form eines rechtlichen Abhängigkeitsverhältnisses, aber jedenfalls eine "enge wirtschaftliche Verbundenheit" der Unternehmen vorhanden sein muss. Dies kann für projektbezogene Arbeitsgemeinschaften oder in Bezug auf eine dauerhafte und enge Zusammenarbeit bei der Verarbeitung bestimmter Datenkategorien oder im Zusammenhang mit bestimmten Datenverarbeitungsprozessen der Fall sein; beispielsweise im Rahmen der Zusammenarbeit zwischen Krankenhäusern und "auf dem Krankenhausgelände" betriebenen freiberuflichen Arztpraxen oder Medizinischen Versorgungszentren, die selbst nicht im Eigentum des Krankenhauses stehen, aber beispielsweise über belegärztliche Tätigkeiten eng mit dem Krankenhaus verbunden sind.
Rz. 16
Die inhaltlichen Grundvoraussetzungen verbindlicher Unternehmensregelungen sind in Art. 47 Abs. 1 lit. a. und b. beschrieben. Hiernach müssen verbindliche Unternehmensregelungen – wie bisher auch – für alle betreffenden Mitglieder gelten, rechtlich bindend sein und von diesen Mitgliedern auch gegenüber ihren Beschäftigten durchgesetzt werden können. Weiterhin müssen die verbindlichen Unternehmensregelungen den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen. Im Hinblick auf das Erfordernis der rechtlichen Verbindlichkeit greift Art. 47 Abs. lit. c) DSGVO auf das von der Art. 29-Datenschutzgruppe entwickelte Konzept der Unterscheidung zwischen internen und der externen Rechtsverbindlichkeit zurück, die kumulativ sichergestellt werden müssen.
Rz. 17
Die interne Verbindlichkeit bedeutet demnach, "dass die Unternehmensteile und alle Mitarbeiter des Unternehmens sich gezwungen fühlen [müssen], die unternehmensinternen Vorschriften einzuhalten." Diesbezügliche Elemente könnten unter anderem
▪ |
disziplinarische oder arbeitsrechtliche Maßnahmen (z.B. Abmahnung, Kündigung) bei Verstößen gegen die Vorschriften, |
▪ |
individuelle und wirksame Informationen von Mitarbeitern, |
▪ |
Aufstellung spezieller Schulungsprogramme für Mitarbeiter und Unterauftragnehmer (Art. 47 Abs. 2 lit. n) DSGVO), |
▪ |
Audits, |
▪ |
Koordinierung durch Konzerndatenschutzbeauftragte, |
▪ |
Betriebs- und Dienstanweisungen |
▪ |
arbeitsvertragliche Regelungen (wie beispielsweise Geheimhaltungsverpflichtungen); |
▪ |
Abgabe ausdrücklicher, schriftliche Verpflichtungserklärungen auf die Regelungen der verbindlichen Unternehmensregelungen durch die Leitungsorgane der Mitglieder der Unternehmensgruppe |
sein. Die unternehmensinterne Verbindlichkeit der Vorschriften erfordert zudem regelmäßig, die Kontrolle der Verarbeitungsvorgänge unter der Verantwortung der europäischen Zentrale oder eines ...