2013 ausgerichtete Workshop zu Praxisfragen bei der Prüfung von BCR durch deutsche und europäische Datenschutzaufsichtsbehörden, an dem Vertreter aus 17 EU-Mitgliedstaaten teilgenommen haben, ist auf große Resonanz gestoßen.
Im 24. Tätigkeitsbericht (Nr. 2.4.1.2.) habe ich von den Bemühungen der Subgroup berichtet, gemeinsam mit
Vertretern der APEC („Asia-Pacific-Economic Cooperation“) die beiden Regelungssysteme der BCR in der EU
und der Cross-Border Privacy Rules (CBPR) zu harmonisieren und, wenn möglich, eine Interoperabilität zwischen BCR und CBPR herzustellen. Angesichts der im Verhandlungsverlauf immer deutlicher zu Tage getretenen strukturellen Unterschiede zwischen den beiden Systemen konnte dieses ambitionierte Ziel vorerst leider
nicht erreicht werden. Gleichwohl wurde unter meiner Mitarbeit eine Stellungnahme (WP 212 vom 27.02.2014)
erarbeitet, das es den in beiden Wirtschaftsräumen tätigen Unternehmen ermöglicht, den Aufwand für die Zerti fizierung durch die zuständigen Behörden unter den jeweiligen Regelungsregimen zu reduzieren. Ich bin zuversichtlich, dass der begonnene Austausch den Grundstein für weitere Annäherungen und Harmonisierungsbemühungen zwischen APEC und EU bilden kann (vgl. auch Nr. 4.7.2).
Im Berichtszeitraum konnte zudem der Prozess zur Implementierung der BCR der Deutschen Telekom AG im
Verfahren gegenseitiger Anerkennung unter meiner Federführung erfolgreich abgeschlossen werden. Durch das
effiziente Verfahren der gegenseitigen Anerkennung (Mutual Recognition) werden die konzernweit und unabhängig vom Standort der Konzernteile geltenden BCR der Telekom AG nun von allen Datenschutzbehörden der
Europäischen Union anerkannt. Ich bedanke mich insbesondere bei meinen Kollegen aus Polen und Österreich
als Co-Berichterstatter für die gute Zusammenarbeit während des Anerkennungsverfahrens (vgl. unten
Nr. 8.8.9).
Weiter wurde das Arbeitspapier (WP 214 vom 21.03.2014) von der Artikel-29-Gruppe verabschiedet, das sich
mit komplexen datenschutzrechtlichen Fragen beim Einsatz von Auftragsdatenverarbeitern als Subunternehmer
in Ländern ohne angemessenes Datenschutzniveau befasst. Das Regelungswerk der Standardvertragsklauseln
soll in geeigneten Fällen um ein Verfahren für eine gegenseitige Anerkennung ähnlich dem Verfahren bei BCR
ergänzt werden. Dies wird künftig zu einer spürbaren Entlastung der Unternehmen, aber auch der zu beteiligen den europäischen Datenschutzaufsichtsbehörden bei der Beurteilung der Standardvertragsklauseln führen.
Des Weiteren habe ich mich auch im Rahmen der Unterarbeitsgruppe in die Diskussion zwischen der Arti kel-29-Gruppe und der Welt-Anti-Doping-Agentur (WADA) zu den drängenden Fragen des Schutzes der personenbezogenen Daten von Sportlerinnen und Sportlern eingebracht (vgl. Nr. 19.1).
Kasten zu Nr. 3.1.3
Binding Corporate Rules
Personenbezogene Daten dürfen nur dann in Staaten, die über kein angemessenes Schutzniveau im Sinne von
Artikel 25 der Datenschutzrichtlinie 95/46/EG verfügen, übermittelt werden, wenn die eng gefassten Voraussetzungen von Artikel 26 Absatz 1 der Richtlinie erfüllt sind. Diese Einschränkungen werden den Datenübermittlungsbedürfnissen international tätiger Konzerne nicht immer gerecht.
Artikel 26 Absatz 2 der Datenschutzrichtlinie 95/46/EG erlaubt daher Datenübermittlungen in Drittstaaten
auch dann, wenn ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der
Grundfreiheiten bestehen. Diese Garantien können u. a. auch durch verbindliche Unternehmensregelungen
- sog. Binding Corporate Rules (BCR) geschaffen werden.
BfDI 25. Tätigkeitsbericht 2013-2014
– 55 –