Binding Corporate Rules als neue Grundlage für Datenübermittlung in Nicht-EWR-Länder

Am 01.10.2016 treten die Änderungen des Datenschutzgesetzes in Kraft. Darunter werden als wichtigste Änderungen verbindliche, für eine Gruppe von Unternehmen geltende Datenschutz-Richtlinien, die Binding Corporate Rules („BCR“), (wieder)eingeführt. Aufgrund solcher Richtlinien können personenbezogenen Daten innerhalb der Gruppe der zugehörigen Unternehmen einfacher in Länder außerhalb des EWR-Raums übermittelt werden. Dies ist vor allem für multinationale Konzerne von großem Vorteil.

Die aktuelle Regeln der Datenübermittlung ins Ausland
Die Datenübermittlung innerhalb von Ungarn und des EWRs ist bei Vorliegen einer Berechtigung zur Datenverwaltung (beinhaltet Sammeln, Verarbeitung, Übermittlung usw.) zulässig, jedoch muss der Betroffene über die Übermittlung seiner personenbezogenen Daten informiert werden. Eine Datenverwaltung gilt grundsätzlich dann als berechtigt, wenn sie auf der Zustimmung des Betroffenen beruht oder gesetzlich vorgeschrieben ist.

Für eine Datenübermittlung in Nicht-EWR-Länder ist die ausdrückliche Zustimmung des Betroffenen erforderlich. Die Zustimmung gilt als ausdrücklich, wenn diese zu einem bestimmten Datentransfer oder zu einem bestimmten Set von Datentransfers erteilt wird und der Betroffene darüber informiert wurde, dass die Datenübermittlung in ein Land erfolgt, in dem kein angemessenes Datenschutzniveau gewährleistet ist.

Liegt keine ausdrückliche Zustimmung für eine Datenübermittlung in ein Nicht-EWR-Land vor, kann die Datenübermittlung stattfinden, sofern die Datenverwaltung selbst berechtigt erfolgt und das Nicht-EWR-Land, in das die Übermittlung vorgesehen ist, ein angemessenes Datenschutzniveau gewährleistet. Auch in diesem Fall ist der Betroffene von der Datenübermittlung zu verständigen.

Das Kriterium des angemessenen Datenschutzes ist dann erfüllt, wenn der Datentransfer in ein Land erfolgt, mit dem Ungarn diesbezüglich ein internationales Abkommen abgeschlossen hat oder bezüglich dessen die EU Kommission das Datenschutzniveau als angemessen deklariert hat. Die EU Kommission hat dies bis dato bzgl. zwölf Staaten[1] erklärt. Die EU Kommission hat zwei Musterverträge zwischen einem EU-Datenverwalter und Nicht-EU/EWR-Datenverwalter, sowie zwischen einem EU-Datenverwalter und Nicht-EWR-Datenverarbeiter ausgearbeitet. Die Verwendung dieser Musterverträge gewährleistet ebenfalls einen angemessenen Datenschutz.

Die neue Regelung – erweiterte Möglichkeiten der Datenübermittlung ins Ausland
Die Musterverträge der EU Kommission eignen sich für bilaterale Partnerschaften, oft aber nicht für internationale Unternehmen, die durch mehrseitige Beziehungen bestimmt sind. Für diese bietet die am 01.10.2016 in Kraft tretende Modifizierung des Datenschutzgesetzes die Möglichkeit, personenbezogene Daten leichter an Partner aus Nicht-EWR-Ländern zu exportieren. Durch die Einführung der BCR wird der Bereich des angemessenen Schutzes erweitert.

Unter dem Begriff BCR ist ein interner, verbindlicher Datenschutzkodex zu verstehen, in dem der Datenverwalter oder eine Gruppe von Datenverwalter sich verpflichtet, den Schutz der personenbezogenen Daten zu sichern. Somit können Unternehmen, die für alle Beteiligten verbindliche, interne Datenschutzrichtlinien festlegen, die Daten untereinander frei übermitteln. Es ist zu betonen, dass BCR nicht nur innerhalb eines Konzerns, d.h. derselben Unternehmensgruppe Anwendung finden können, sondern auch innerhalb einer beliebigen Gruppe von in mehreren Ländern, aber mindestens in einem EWR-Staat, tätigen Datenverwaltern. Aufgrund der gesetzlichen Definition können BCR nicht als Grundlage für eine Datenvermittlung an einen Datenverarbeiter dienen, laut Erläuterungen zur Gesetzesänderung soll sich die Anwendung der BCR aber auch auf die Datenverwaltung und Datenverarbeitung durch Datenverwalter und Datenverarbeiter erstrecken. Dieser Widerspruch wird in der Zukunft abzuklären und zu beheben sein.

Vor der Anwendung der BCR ist die Zustimmung der nationalen Datenschutzbehörde einzuholen. Die Zustimmung ist innerhalb von 60 Tagen zu erteilen. Da Ungarn nicht Partei Partner des EU-rechtlichen Abkommens über die gegenseitige Anerkennung (mutual recognition procedure) ist, werden Bewilligungen durch die nationale Datenschutzbehörde nicht schon aufgrund der Anerkennung von BCR durch die sog. leitende nationale Datenschutzbehörde erteilt.

Obwohl das Datenschutzgesetz über den Inhalt der BCR schweigt, ist klar, dass ein angemessenes Datenschutzniveau nur dann gewährleistet werden kann, wenn sie den ungarischen und europäischen Datenschutzbestimmungen entsprechen.

Autorin: Beatrix Fakó

 

[1] Andorra, Argentinien, Canada (wirtschaftliche Organisationen), Färöer Insel, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und die “Safe Harbour“ Regime des Handelsministeriums der USA (bzgl. teilnehmende Unternehmen)