Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 266

460

Der Sinn und Zweck verbindlicher interner Datenschutzvorschriften besteht vor allem darin, dass sie den Transfer personenbezogener Daten in ein Land außerhalb des EWR ohne angemessenes Datenschutzniveau auf der sogenannten zweiten Stufe rechtfertigen können (Art. 44, Art. 46 Abs. 1, Abs. 2 lit. b, Art. 47 DSGVO). Hierzu müssen die Datenschutzvorschriften die in Art. 47 DSGVO statuierten Voraussetzungen erfüllen und von der zuständigen Aufsichtsbehörde genehmigt werden (siehe Art. 47 Rn. 12). In diesem Fall etablieren die verbindlichen internen Datenschutzvorschriften bei den beteiligten Unternehmen ein der DSGVO vergleichbares Schutzniveau für personenbezogene Daten auf vertraglicher Ebene, um das im Empfängerstaat ggf. niedrigere gesetzliche Datenschutzniveau „auszugleichen“. Unter dieser Voraussetzung erscheint es dann auch gerechtfertigt, dass personenbezogene Daten an die beteiligten Unternehmen übermittelt werden dürfen, vorausgesetzt, dass die Anforderungen an eine „normale“ Übermittlung auf der sogenannten ersten Stufe, also wie zwischen Unternehmen innerhalb des EWR, erfüllt sind.

461

Abgeschlossen werden können verbindliche interne Datenschutzvorschriften gem. Art. 47 Abs. 1 lit. a DSGVO und ErwG 110 von jeder Unternehmensgruppe i.S.d. Art. 4 Nr. 19 DSGVO, also insbesondere von Konzernen (siehe oben Rn. 449), oder von jeder Gruppe von Unternehmen i.S.d. Art. 4 Nr. 18 DSGVO, die eine gemeinsame Wirtschaftstätigkeit ausüben. Unter dieser Voraussetzung können also auch Unternehmensverbünde, die in keinem Abhängigkeitsverhältnis zueinander stehen, verbindliche interne Datenschutzvorschriften abschließen (siehe ausführlich Art. 47 Rn. 2f.).825 Dabei spielt es keine Rolle, ob es sich bei den einzelnen Unternehmen um Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO oder um Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO handelt.826

462

Sind die verbindlichen internen Datenschutzvorschriften abgeschlossen, können sie internationale Datenübermittlungen aus der EU an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, auf der sogenannten zweiten Stufe rechtfertigen (ErwG 110). Sollen hingegen personenbezogene Daten von einem Unternehmen an ein anderes Unternehmen außerhalb des EWR übermittelt werden, das nicht Mitglied derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen ist, die eine gemeinsame Wirtschaftstätigkeit ausüben, vermögen die verbindlichen internen Datenschutzvorschriften die Übermittlung auf der zweiten Stufe nicht zu rechtfertigen. Hierfür muss vielmehr auf eine andere in Art. 44ff. DSGVO genannte Möglichkeit zur Rechtfertigung von internationalen Datentransfers zurückgegriffen werden.