BayLDA: Binding Corporate Rules für Siemens

ZD-Aktuell 2014, 03946


Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) teilte mit, dass der Siemens-Konzern sich „Verbindliche Unternehmensrichtlinien zum Schutz personenbezogener Daten“ (Binding Corporate Rules – BCR) gegeben hat, die in einem europaweiten Abstimmungsverfahren mit Datenschutzaufsichtsbehörden unter Federführung des BayLDA entstanden sind.

Siemens hatte dem BayLDA seine BCR vorgelegt und gebeten, das europaweite Prüfverfahren unter Einbeziehung der Datenschutzaufsichtsbehörden aller betroffenen EU-Mitgliedstaaten und EWR-Vertragsstaaten durchzuführen. Auf Grund des bayerischen Hauptsitzes kam dem BayLDA die Federführung für alle Datenschutzbehörden zu. Unterstützt wurde das BayLDA durch die Datenschutzaufsichtsbehörden Großbritanniens und Frankreichs als Co-Prüfer.

Der Konzern habe alle vom BayLDA und den Co-Prüfern dargelegten Anforderungen und Vorschläge umgesetzt. Die BCR verfügten über ein angemessenes Schutzniveau für den konzernweiten Umgang mit personenbezogenen Daten und sollen weltweit innerhalb des Siemens-Konzerns gelten. Besonderes Augenmerk wird dabei auf die Datenschutz-Compliance innerhalb des Konzerns gelegt, bestehend aus den Elementen Datenschutzorganisation, Datenschutzschulungen und -auditierungen sowie Beschwerdemanagement. Zudem enthalten die BCR alle Datenschutzgrundsätze der DS-RL und geben den betroffenen Personen Rechte auf Auskunft, Datenberichtigung, -löschung, -sperrung, Widerspruch sowie Schadensersatz. Auf Grundlage der BCR können die betroffenen Personen diese Rechte vor den Datenschutzbehörden und Gerichten innerhalb der EU geltend machen, und zwar auch dann, wenn es um Verarbeitungsvorgänge geht, die aus der EU an konzernangehörige Unternehmen außerhalb der EU übermittelt und dann dort weiterverarbeitet wurden.

Von den herkömmlichen Rechtsinstrumenten zur Ermöglichung der Übermittlung personenbezogener Daten aus der EU in Drittstaaten - etwa den sog. EU-Standardvertragsklauseln - unterscheiden sich BCR vor allem dadurch, dass sie die Einrichtung klar definierter Strukturen, Verantwortlichkeiten und Verfahren zur Datenschutz-Compliance innerhalb der Unternehmensgruppe voraussetzen. Das nunmehr abgeschlossene BCR-Verfahren betreffend Siemens war das erste europaweite Verfahren zur Prüfung von BCR, das durch eine Datenschutzaufsichtsbehörde eines Bundeslands in Deutschland abgeschlossen wurde.


IT-Anwaltsuche