Binding Corporate Rules (“BCR”) und EU-Standardvertragsklauseln (“SCCs”) sind gegenwärtig die praktisch wichtigsten Instrumente, um internationale Datentransfers insbesondere in die USA zu rechtfertigen. Doch welche Anforderungen stellen die einzelnen deutschen Datenschutzbehörden an die Verwendung von BCR und SCCs? Insbesondere, wenn Datentransfers auf BCR gestützt werden sollen, gehen die Auffassungen der Behörden auseinander, ob die einzelnen Transfers der zuständigen Behörde angezeigt werden müssen oder sogar einer Genehmigung bedürfen. Dieser Beitrag enthält eine Übersicht über die Auffassungen aller Datenschutzbehörden zu Anzeige-, Vorlage- und/oder Genehmigungspflichten beim Einsatz von BCR und SCCs, und fasst zudem die aktuellen Bestrebungen der Behörden zusammen, künftig auf das Genehmigungserfordernis für Datentransfers auf Grundlage von BCR zu verzichten.
Allein mit dem Abschluss von SCCs und der grundsätzlichen Anerkennung von Binding Corporate Rules durch die Europäischen Datenschutzbehörden sind die Rechtfertigungsanforderungen für Datentransfers aus Deutschland in Nicht-EU-Staaten nicht immer schon vollständig erfüllt – je nach Auffassung der zuständigen Aufsichtsbehörde. Denn auch für die einzelnen Datentransfers, die auf Grundlage von SCCs oder BCR erfolgen sollen, kann die Pflicht der betroffenen verantwortlichen Stelle bestehen, diese Transfers dem jeweils zuständigen Landesdatenschutzbeauftragten anzuzeigen und sogar genehmigen zu lassen, bevor mit der Datenübermittlung begonnen werden darf.
Was gilt für Datentransfers auf Grundlage von SCCs?
Einigkeit unter den Datenschutzbehörden besteht, dass die von der EU-Kommission anerkannten SCCs ohne gesonderte Genehmigung verwendet werden dürfen. Allerdings fordern die Datenschutzbehörden von Rheinland-Pfalz und Sachsen-Anhalt gegenwärtig die proaktive Anzeige bzw. Vorlage von abgeschlossenen SCCs. Das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein fordert zwar keine Anzeige oder Vorlage von SCCs, erkennt diese aber als momentan einziges Bundesland für die Übermittlung von Daten in die USA nicht als ausreichende Garantie i.S.d. § 4c Abs. 2 BDSG an.
Uneinheitliche Behandlung von Datentransfers auf Grundlage von BCR
Im Hinblick von BCR ist die Situation komplizierter. Die Datenschutzbehörden unterscheiden hinsichtlich einer Anzeige- bzw. Genehmigungspflicht immerhin nicht zwischen den sog. Controller-BCR (Datentransfers zwischen verantwortlichen Stellen) und den Processor BCR (Datentransfers von einer verantwortlichen Stelle zu einem Auftragsverarbeiter). Allerdings fordern etwa die Landesdatenschutzbeauftragten von Bremen und Rheinland-Pfalz, dass ihnen der Abschluss von BCRs angezeigt wird, wobei sie sich vorbehalten, je nach Einzelfall auch eine Vorlage und Genehmigung der BCRs zu fordern. Ausdrücklich eine Genehmigung von Datentransfers auf Grundlage von BCR fordern zudem Brandenburg, Nordrhein-Westfalen, Saarland, Sachsen-Anhalt, Schleswig-Holstein und Thüringen.
Die Auffassungen der Behörden auf einen Blick
Soweit uns die gegenwärtigen Positionen der Landesdatenschutzbehörden bekannt sind, haben wir diese in der nachfolgenden Übersicht zusammengefasst:
Künftig einheitliche Behandlung von BCR?
Im Hinblick auf die Genehmigungspflicht von BCR scheint sich die bisher unübersichtliche Rechtslage künftig zu vereinfacht. Im Juni 2016 tagte die gemeinsame “AG Internationaler Datenverkehr” der deutschen Datenschutzbehörden um sich auf eine einheitliche Linie für die Bewertung internationaler Datentransfers zu verständigen. Dabei ist zu erwarten, dass die Behörden künftig bundeseinheitlich auf die Genehmigung von einzelnen Datentransfers auf Grundlage von BCRs (nach abgeschlossenem Anerkennungsverfahren) verzichten. Die Frist für die einzelnen Datenschutzbehörden zur Abgabe der Stellungnahme läuft am 1. Juli 2016 aus, so dass bereits Anfang Juli mit einem entsprechenden Positionspapier zu rechnen ist, das hoffentlich die ersehnte Erleichterung bei der Verwendung von BCR mit sich bringt. Wir halten Sie auf dem Laufenden.