group“ der APEC erarbeitete Synopse soll interessierten Unternehmen helfen, die jeweiligen Prüfungsverfahren vorzubereiten.
Für die EU und den Raum der APEC (Asia-Pacific Economic Cooperation)-Länder existieren spezielle Bestimmungen, die für den nicht-öffentlichen Bereich die Übermittlung personenbezogener Daten in Drittstaaten regeln. Auf der Ebene der EU sind dies die so genannten Verbindlichen Unternehmungsregeln (Binding Corporate
Rules, BCR), die in § 4c Absatz 2 Satz 1 zweiter Halbsatz BDSG verankert sind und sich vor allem an multinational tätige Konzerne mit einer Vielzahl von Tochtergesellschaften richten; den BCR entsprechen auf der Ebene der APEC die „Cross Border Privacy Rules“ (CBPR), die die Vorgaben des bereits 2005 beschlossenen
„APEC Privacy Framework“ beachten müssen.
Auf Seiten der EU hat sich in den vergangenen Jahren das Verfahren der Genehmigung von BCR bewährt und
durch den Prozess der gegenseitigen Anerkennung („Mutual Recognition“) erheblich beschleunigt. Inzwischen
wurden europaweit einige Dutzend BCR-Verfahren abgeschlossen, so unter anderem auch die Billigung der
Verbindlichen Unternehmensregelungen der Deutsche Telekom AG unter meiner Federführung im April 2014
(vgl. auch Nr. 8.8.9).
Für das erst im Jahr 2011 etablierte System der CBPR liegen im Vergleich zu BCR zwar weniger Erfahrungen
vor, dennoch wurde eine Reihe von Unternehmen in den USA nach diesem System bereits zertifiziert.
Da zahlreiche Unternehmen sowohl in den Ländern der APEC als auch in der EU geschäftlich tätig sind, äußer ten diese den naheliegenden Wunsch, die Verfahren der Genehmigung von BCR und der Zertifizierung nach
dem APEC-CBPR-System zu vereinfachen oder idealerweise im Sinne einer Doppel-Zertifizierung zusammenzufassen. Hierzu erarbeitete eine gemeinsame Gruppe aus Vertretern der Artikel-29-Gruppe und der Data Privacy Subgroup - einem Datenschutz-Gremium der APEC - eine Synopse über die Genehmigungsanforderungen
für BCR bzw. die Zertifizierungskriterien nach dem CBPR-System. Auf der Seite der EU hat die Artikel-29-Gruppe das entsprechende Papier als Stellungnahme 2/2014 (WP 212 vom 27.02.2014) beschlossen; seitens der APEC wurde das Dokument durch deren „Senior Officials Meeting 1“ (SOM1) im Februar 2014 unterstützt. Am Rande des „Global Privacy Summit“ der International Association of Privacy Professionals (IAPP)
wurde die Synopse schließlich Anfang März 2014 in Washington DC der Öffentlichkeit vorgestellt (vgl.
Nr. 3.1.3).
Auch wenn das Ziel der Arbeiten darin bestand, Gemeinsamkeiten beider Prüfungsverfahren herauszuarbeiten,
erwies sich rasch, dass die Unterschiede der beiden Verfahren deutlich überwiegen; diese zeigten sich etwa bei
dem räumlichen Anwendungsbereich, den Betroffenenrechten oder den Schulungserfordernissen der mit Datenverarbeitungen befassten Mitarbeiter in einem Unternehmen. Dennoch hoffe ich, dass die Übersicht für die interessierten Unternehmen bei der Vorbereitung und Durchführung von BCR-Genehmigungs- oder CBPR-Zertifizierungsverfahren hilfreich sein kann.
Die weitere Aufgabe der EU-APEC-Expertengruppe besteht nun darin, Fallstudien zu der praktischen Durchführung beider Prüfungsverfahren am Beispiel bereits zertifizierter Unternehmen zu erstellen. Auf dieser Grundlage sollen weitere, praktisch orientierte Informationsmaterialien, z. B. in Form von Checklisten, für interessierte Unternehmen erarbeitet werden.
Ich werde die Bemühungen der EU und der APEC, eine größere Interoperabilität ihrer Datenschutzregelwerke
herbeizuführen, weiterhin unterstützen und beteilige mich an dem aktuellen Projekt der gemeinsamen
EU-APEC-Datenschutz-Expertengruppe.
BfDI 25. Tätigkeitsbericht 2013-2014
– 69 –