Die Vorgaben für diese so genannten Binding Corporate Rules (BCR) wurden von der Artikel-29-Datenschutzgruppe entwickelt. Sie garantieren einen datenschutzrechtlichen Standard, der eine konzernweite Datenübermittlung zwischen den Unternehmensteilen unabhängig von dem Datenschutzniveau im Empfängerland ermöglicht.
Die konkrete Umsetzung und Gestaltung der BCR wird von der zuständigen Datenschutzaufsichtsbehörde begleitet und kontrolliert. Die Einführung von unternehmensweiten Datenschutzregelungen ist eine sinnvolle
Maßnahme, um ein angemessenes Datenschutzniveau bei internationalen Datentransfers sicherzustellen und zu
verbessern. Deswegen haben Unternehmen meine Unterstützung, wenn sie sich dazu entschließen, den Genehmigungsprozess zu durchlaufen - insbesondere wenn ihr Kerngeschäft darauf beruht, täglich in hohem Maße
personenbezogene Daten zu verarbeiten (vgl. Nr. 4.7.2).
Konzerndatenschutzrichtlinie der Deutschen Post DHL - eine fast unendliche Geschichte
Bereits in meinem 24. Tätigkeitsbericht (Nr. 6.12.1) habe ich über den Abschluss des Genehmigungsverfahrens
der verbindlichen unternehmensweiten Datenschutzregelung der Deutschen Post DHL (DP-DHL) im Februar 2011 berichtet. Leider konnte die weltweite Umsetzung dieser Datenschutzrichtlinie noch nicht abgeschlossen werden, obwohl dies im Laufe des Jahre 2013 vorgesehen war. Offenbar gelingt es dem Unternehmen nur
unzureichend, die weltweite Vernetzung „datenschutzrechtlich unter einen Hut zu bringen“. Die Gründe hierfür
sind vielfältig, aber wenn nach Aussagen der DP-DHL selbst in Europa bislang nur eine Beitrittsquote von
95 Prozent erreicht worden ist, verwundert es nicht, dass sie auch in der Region „Asia Pacific“ nicht höher ist
und in Nord- und Südamerika sogar nur bei 33 Prozent liegt. Ich werde das Unternehmen darin bestärken, eine
höhere Beitrittsrate bei den zahlreichen Tochter- und Unternehmensgesellschaften zu erreichen und die weitere
Umsetzung im Auge behalten.
Binding Corporate Rules der Deutschen Telekom AG
Nach der Deutschen Post DHL hat mit der Deutschen Telekom AG im Jahr 2014 ein weiterer, meiner Aufsicht
unterstehender und international agierender Konzern das BCR-Genehmigungsverfahren zu einer unternehmensweit geltenden Konzerndatenschutzrichtlinie erfolgreich abgeschlossen.
Bereits vor über zehn Jahren hatte die Telekom einen konzerninternen Datenschutzkodex entwickelt, der als
Grundlage für das bereits im Jahr 2008 initiierte, dann aber immer wieder aus betriebsinternen Gründen verzö gerte Genehmigungsverfahren dienen sollte. Im so genannten Verfahren der gegenseitigen Anerkennung konnten die von der Artikel-29-Gruppe festgelegten Vorgaben für das Genehmigungsverfahren unter meiner Federführung und mit der Unterstützung der Datenschutzaufsichtsbehörden aus Österreich und Polen (vgl. oben
Nr. 3.1.3) innerhalb eines Jahres umgesetzt und mit Übergabe des Genehmigungsschreibens an den Vorstand
der Telekom im Mai 2014 formell abgeschlossen werden. Nunmehr ist es Aufgabe dieses Unternehmens, die
Binding Corporate Rules möglichst schnell in den einzelnen Konzernunternehmen zu implementieren. Auch
wenn das Unternehmen hierbei nach meinem Eindruck auf einem guten Kurs zu sein scheint, werde ich den
Prozess weiterhin beobachten.
8.9
Internet
Auch wenn die Datenschutzkontrolle bei Internet-, Tele- und Mediendienstanbietern im privatwirtschaftlichen
und privaten Bereich den Aufsichtsbehörden der Bundesländer obliegt, bin ich sowohl national als auch in internationalen Gremien mit vielfältigen Fragestellungen konfrontiert. Im Rahmen meiner Zuständigkeit für Bundesbehörden kontrolliere ich z. B. deren Internetangebote und setze dabei seit Jahren das Datenschutz-Tool Prividor (Privacy Violation Detector) ein, das in meinem Auftrag entwickelt wurde (vgl. 24. TB Nr. 15.7). Prividor
vermag automatisiert datenschutzbedenkliche Vorgänge auf Internetseiten zu erkennen und wurde im Berichtszeitraum weiterentwickelt. So kann das heimliche Ausspähen des Surfverhaltens z. B. durch Cookies, DOM
Storage, JavaScript etc. ausfindig gemacht werden.
– 158 –
BfDI 25. Tätigkeitsbericht 2013-2014