Читать книгу DS-GVO/BDSG - David Klein - Страница 193

307

Der Begriff der verbindlichen internen Datenschutzvorschriften ist in Art. 4 Nr. 20 legaldefiniert. Danach handelt es sich dabei um Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben und zwar in einem oder mehreren Drittländern.

308

Art. 4 Nr. 20 entspricht mit seiner Regelung zu verbindlichen internen Datenschutzvorschriften (binding corporate rules; BCR) im Wesentlichen Art. 26 Abs. 2 DSRL.

309

Eine detaillierte Regelung zu den verbindlichen internen Datenschutzvorschriften findet sich in der DS-GVO in Art. 47[672]. Darüber hinaus nimmt Art. 4 Nr. 20 Bezug auf die Niederlassung eines Verantwortlichen oder Auftragsverarbeiters. Insofern sind die inhaltlichen Bezüge zu Art. 4 Nr. 7, 8 und 16 zu beachten.[673] Ferner ist hinsichtlich des Begriffs des Unternehmens und der Unternehmensgruppe in Art. 4 Nr. 20 auf Art. 4 Nr. 18[674] und 19[675] zu verweisen.

310

Diese internen Datenschutzvorschriften stellen letztlich Regelungen zum Schutz personenbezogener Daten im Hinblick auf Datenübermittlungen in Drittländer dar, zu deren Einhaltung sich ein in der EU niedergelassener Verantwortlicher oder Auftragsdatenverarbeiter verpflichtet.[676] Insofern erlauben diese internen Regelungen dem Verantwortlichen oder Auftragsverarbeiter personenbezogene Daten auch dann an ein verbundenes Unternehmen in einem Drittland zu übermitteln, wenn dieses nicht über ein der DS-GVO entsprechendes Datenschutzniveau verfügt. Die verbundenen Unternehmen werden so zu Maßnahmen zum Schutz personenbezogener Daten verpflichtet.[677]

311

Folglich können interne Datenschutzvorschriften als geeignete Garantien nach Art. 46 Abs. 1[678] Datenübermittlungen in Drittländer ohne ein der DS-GVO entsprechendes angemessenes Datenschutzniveau rechtfertigen, wenn die Voraussetzungen des Art. 47 Abs. 1 und 2 vorliegen.[679] Dazu müssen die Datenschutzvorschriften insbesondere rechtlich bindend sein und die inhaltlichen Anforderungen des Kataloges des Art. 47 Abs. 2 erfüllen.[680]

312

Interne Datenschutzvorschriften können somit eine Rechtsgrundlage für die Übermittlung personenbezogener Daten liefern und stellen eine Form der regulierten Selbstregulierung[681] dar. Denn die Verantwortlichen oder Auftragsverarbeiter erstellen für verbundene Unternehmen selbstständig inhaltliche Vorgaben zum Datenschutz, wobei sich diese Vorgaben an der DS-GVO orientieren und über die Aufsichts- und Sanktionsbefugnisse der DS-GVO einer Kontrolle unterliegen.[682]

313

Ausweislich ErwG 110 soll jede Unternehmensgruppe oder jede Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, für ihre internationalen Datenübermittlungen aus der Union an Organisationen derselben Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, genehmigte verbindliche interne Datenschutzvorschriften anwenden dürfen, sofern diese sämtliche Grundprinzipien der durchsetzbaren Rechte enthalten, die geeignete Garantien für die Übermittlungen bzw. Übermittlungen von Kategorien personenbezogener Daten bieten.

314

Damit sind nicht nur Konzerne vom Anwendungsbereich der verbindlichen internen Datenschutzvorschriften erfasst, bei denen die Unternehmen zueinander in einem Abhängigkeitsverhältnis stehen, sondern auch Unternehmensverbände, die kein derartiges Abhängigkeitsverhältnis aufweisen. [683] Ausreichend ist dabei eine gemeinsame Wirtschaftstätigkeit. Erfasst sind in praktischer Hinsicht damit auch freiwillige Zusammenschlüsse privater Unternehmen wie Joint Ventures oder Arbeitsgemeinschaften.[684]