Binding Corporate Rules (BCR)
Binding Corporate Rules als geeignete Garantie für konzerninterne Drittlandsübermittlungen nach Art. 47 DSGVO: verbindliche interne Datenschutzregeln, Anwendungsbereich, Genehmigung durch die Aufsichtsbehörde, Mindestinhalte und Haftung sowie das Verhältnis zur Schrems-II-Rechtsprechung. Unterscheidung von Controller- und Processor-BCR, Reichweite und Grenzen.
Binding Corporate Rules (BCR) sind verbindliche interne Datenschutzregeln einer Unternehmensgruppe. Sie sind eine geeignete Garantie nach Art. 46 Abs. 2 lit. b, Art. 47 DSGVO und ermöglichen Drittlandsübermittlungen innerhalb der Gruppe, ohne dass für jede einzelne Übermittlung Standardvertragsklauseln geschlossen werden müssen. Einmal genehmigt, decken sie alle von ihnen erfassten konzerninternen Übermittlungen ab.
Das Wichtigste in Kürze
- BCR gelten nur für Übermittlungen innerhalb einer Unternehmensgruppe, nicht für Übermittlungen externer Stellen an die Gruppe.
- Es wird zwischen Controller-BCR und Processor-BCR unterschieden.
- BCR müssen von der zuständigen Aufsichtsbehörde im Kohärenzverfahren genehmigt werden; das Verfahren ist aufwendig und langwierig.
- Genehmigt werden die Regeln selbst, nicht die einzelnen Übermittlungen. Die Rechtsgrundlage nach Art. 6 DSGVO und das Transfer Impact Assessment bleiben gesondert zu leisten.
- Für viele Konstellationen ist ein gruppeninterner Rahmenvertrag auf Basis der Standardvertragsklauseln eine praktikablere Alternative.
1. Begriff und Funktion
BCR sind ein selbst aufgelegtes, verbindliches Regelwerk, mit dem sich eine Unternehmensgruppe intern auf ein einheitliches, der DSGVO entsprechendes Schutzniveau verpflichtet. Sie beruhen auf dem Gedanken, dass die Gruppe ein eigenständiges privatrechtliches Datenschutzregime errichtet und dieses aufgrund ihrer internen Steuerungs- und Kontrollmechanismen auch durchsetzen kann. Es handelt sich um eine Form regulierter Selbstregulierung: Die Gruppe entwickelt die Regeln auf ihre Bedürfnisse zugeschnitten, die rechtliche Anerkennung als geeignete Garantie liegt aber bei der Aufsichtsbehörde. Auf dieser Grundlage dürfen personenbezogene Daten innerhalb der Gruppe auch in unsichere Drittländer übermittelt werden. BCR werden zugleich als Chance gesehen, in einer weltweit tätigen Gruppe eine einheitliche Datenschutzkultur zu etablieren.
2. Anwendungsbereich
2.1 Wer BCR nutzen kann
BCR können genutzt werden von hierarchisch organisierten Unternehmensgruppen (Art. 4 Nr. 19 DSGVO) sowie von Unternehmen, die ohne Konzernbindung eine gemeinsame Wirtschaftstätigkeit ausüben, etwa in einem Joint Venture. Auch innerhalb eines einzelnen Unternehmens sind BCR denkbar, etwa für den Datenfluss zwischen unselbständigen Niederlassungen. Voraussetzung ist stets eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU, damit die Betroffenen eine Stelle innerhalb der Union in Anspruch nehmen können.
2.2 Welche Übermittlungen erfasst sind
BCR legitimieren nur Übermittlungen innerhalb der Gruppe oder zwischen den eine gemeinsame Wirtschaftstätigkeit ausübenden Unternehmen. Sie rechtfertigen keine Übermittlung von externen Stellen an die Gruppe. Werden Daten aus der Gruppe an einen Dritten außerhalb der EU weitergegeben (Weiterübermittlung), gelten dafür die allgemeinen Vorgaben des Kapitels 5 wie bei einer direkten Übermittlung aus der EU.
BCR erfassen mindestens die aus der EU oder dem EWR in ein Drittland übermittelten Daten und ihre weitere Verarbeitung dort. Ob die Gruppe sämtliche Daten unabhängig von ihrer Herkunft einheitlich den BCR unterwirft, ist eine unternehmenspolitische Entscheidung; differenziert sie nach Herkunft, sollten die Daten entsprechend gekennzeichnet werden. Sollen Daten aus einer Gruppe mit BCR in eine andere Gruppe mit BCR übermittelt werden, ist das nicht automatisch zulässig, weil sich die jeweiligen Regelwerke im Detail unterscheiden können.
3. Controller-BCR und Processor-BCR
Zu unterscheiden sind zwei Arten. Controller-BCR regeln Übermittlungen zwischen den als Verantwortliche handelnden Gruppengesellschaften. Processor-BCR betreffen Konstellationen, in denen Gruppengesellschaften als Auftragsverarbeiter tätig sind, etwa wenn eine Gesellschaft im Auftrag eines externen Verantwortlichen verarbeitet und die Daten an eine Gruppengesellschaft in einem Drittland weitergibt. Auf Processor-BCR kann sich auch der externe Auftraggeber stützen, obwohl er selbst nicht Teil der Gruppe ist, soweit dies der Vereinbarung nach Art. 28 Abs. 3 DSGVO nicht widerspricht.
4. Genehmigung durch die Aufsichtsbehörde
4.1 Zuständige Aufsichtsbehörde und Verfahren
BCR werden von der zuständigen Aufsichtsbehörde im Kohärenzverfahren genehmigt (Art. 47 Abs. 1, Art. 63, Art. 64 Abs. 1 S. 2 lit. f DSGVO). Zuständig ist die federführende Behörde am Sitz der Hauptniederlassung; gibt es nur eine Niederlassung in der EU, die für diese zuständige Behörde. Liegt die Hauptniederlassung außerhalb der EU, ist anhand der Einflussnahme auf die Verarbeitung diejenige EU-Niederlassung zu bestimmen, deren Aufsichtsbehörde zuständig ist. Das früher praktizierte Verfahren der gegenseitigen Anerkennung ist damit grundsätzlich überholt.
4.2 Gegenstand und Wirkung der Genehmigung
Gegenstand der Genehmigung sind die BCR selbst, nicht die einzelnen Übermittlungsvorgänge. Mit der Genehmigung ist die Übermittlung in ein Drittland zulässig, ohne dass es einer gesonderten Genehmigung jedes einzelnen Transfers bedarf. Erfüllt eine Gruppe die Voraussetzungen des Art. 47 DSGVO, hat sie grundsätzlich einen Anspruch auf Genehmigung und kann gegen eine Versagung gerichtlich vorgehen.
BCR ersetzen nicht die Rechtsgrundlage. Ob die Verarbeitung auf der ersten Stufe nach Art. 6 DSGVO zulässig ist, wird unabhängig von der Genehmigung beurteilt. BCR ermöglichen daher keinen freien Datenfluss innerhalb der Gruppe; jede Übermittlung braucht zusätzlich eine eigene Rechtsgrundlage (zweistufige Prüfung).
5. Voraussetzungen und Mindestinhalte (Art. 47 Abs. 1 und 2)
5.1 Rechtsverbindlichkeit nach innen und außen
BCR müssen rechtlich verbindlich sein, und zwar in zwei Richtungen:
- Interne Verbindlichkeit (Art. 47 Abs. 1 lit. a DSGVO): Die Regeln müssen für alle betreffenden Gruppengesellschaften und deren Beschäftigte gelten und durchgesetzt werden. Hergestellt wird dies in einem Konzern häufig über die internen Steuerungsmechanismen, über wechselseitige Verträge der Gesellschaften (intra group agreement) oder über einseitige Verpflichtungen, soweit das anwendbare Recht das zulässt. Die Beschäftigten werden über das Weisungsrecht oder über die Einbeziehung der Regeln in den Arbeitsvertrag gebunden. Die Regeln müssen zudem tatsächlich durchgesetzt werden, etwa durch Schulungen und interne Kontrollstrukturen.
- Externe Verbindlichkeit (Art. 47 Abs. 1 lit. b DSGVO): Den Betroffenen müssen ausdrücklich durchsetzbare Rechte eingeräumt werden, damit sie die Einhaltung der BCR selbst geltend machen können. Im deutschen Recht geschieht dies in der Regel über einen Vertrag zugunsten Dritter (§ 328 BGB) oder eine einseitige Garantieerklärung (§ 311 Abs. 1, § 151 S. 1 BGB). Für Klagen gegen einen Verantwortlichen oder Auftragsverarbeiter können sich Betroffene auch an ihren gewöhnlichen Aufenthaltsort wenden (Art. 79 Abs. 2 DSGVO).
5.2 Mindestinhalte
Art. 47 Abs. 2 DSGVO gibt einen Katalog von Pflichtangaben vor, die letztlich alle relevanten Regelungen der DSGVO in den BCR abbilden. Die Regeln müssen die Datenschutzgrundsätze nicht nur benennen, sondern für die erfassten Verarbeitungen konkretisieren; ein bloßer Verweis auf die DSGVO genügt nicht.
| Inhalt | Norm |
|---|---|
| Struktur und Kontaktdaten der Gruppe und ihrer Mitglieder | Art. 47 Abs. 2 lit. a DSGVO |
| Erfasste Übermittlungen: Datenarten, Zwecke, betroffene Personen, Drittländer | Art. 47 Abs. 2 lit. b DSGVO |
| Interne und externe Rechtsverbindlichkeit | Art. 47 Abs. 2 lit. c DSGVO |
| Anwendung der Datenschutzgrundsätze und Vorgaben zur Weiterübermittlung | Art. 47 Abs. 2 lit. d DSGVO |
| Rechte der Betroffenen und Mittel ihrer Wahrnehmung | Art. 47 Abs. 2 lit. e DSGVO |
| Haftungsübernahme der EU-Niederlassung | Art. 47 Abs. 2 lit. f DSGVO |
| Information der Betroffenen über die BCR | Art. 47 Abs. 2 lit. g DSGVO |
| Aufgaben des Datenschutzbeauftragten und der Datenschutz-Compliance | Art. 47 Abs. 2 lit. h DSGVO |
| Beschwerdeverfahren | Art. 47 Abs. 2 lit. i DSGVO |
| Verfahren zur Überprüfung der Einhaltung (Audits) | Art. 47 Abs. 2 lit. j DSGVO |
| Meldung und Erfassung von Änderungen | Art. 47 Abs. 2 lit. k DSGVO |
| Zusammenarbeit mit der Aufsichtsbehörde | Art. 47 Abs. 2 lit. l DSGVO |
| Meldung problematischer Drittlandsvorschriften | Art. 47 Abs. 2 lit. m DSGVO |
| Datenschutzschulungen | Art. 47 Abs. 2 lit. n DSGVO |
5.3 Haftung
Eine in der EU niedergelassene Gruppengesellschaft muss die Haftung für Verstöße gegen die BCR durch andere, außerhalb der Union niedergelassene Gruppenmitglieder übernehmen (Art. 47 Abs. 2 lit. f DSGVO). Welche Niederlassung das ist, kann die Gruppe frei festlegen; sinnvoll ist eine ausreichend finanziell ausgestattete Gesellschaft. Die haftungsrechtliche Verantwortlichkeit wird vermutet; eine Befreiung kommt nur in Betracht, wenn die haftende Stelle nachweist, dass der schädigende Umstand dem betreffenden Mitglied nicht zur Last gelegt werden kann.
6. Drittlandsrecht und Schrems II
Auch die Genehmigung von BCR setzt voraus, dass im Drittland ein im Wesentlichen gleichwertiges Schutzniveau gewahrt ist. Bestehen dort staatliche Zugriffsbefugnisse, die über das nach Art. 23 DSGVO hinnehmbare Maß hinausgehen und die erfassten Daten betreffen, scheidet eine Genehmigung aus. Die Maßstäbe der Schrems-II-Rechtsprechung gelten daher auch hier: Vor und während der Nutzung der BCR ist das Recht des Drittlands zu prüfen und gegebenenfalls durch ergänzende Maßnahmen abzusichern (Transfer Impact Assessment).
Die Meldepflicht des Art. 47 Abs. 2 lit. m DSGVO dient diesem Zweck. Ändert sich die Rechtslage im Drittland so, dass kein gleichwertiges Schutzniveau mehr besteht, muss die Aufsichtsbehörde die Genehmigung widerrufen; unabhängig davon müssen die BCR sicherstellen, dass die Übermittlungen an den betroffenen Gruppenteil ausgesetzt werden.
7. Bewertung und Praxis
BCR sind ein hochwertiges, aber aufwendiges Instrument. Ihre Einführung ist komplex und ressourcenintensiv und setzt das Genehmigungsverfahren bei der zuständigen Aufsichtsbehörde voraus. Für viele konzerninterne Konstellationen erreicht ein gruppeninterner Rahmenvertrag auf Basis der Standardvertragsklauseln dasselbe Ergebnis mit geringerem Aufwand (siehe Konzerninterne Übermittlungen). BCR lohnen sich vor allem für große, weltweit tätige Gruppen mit umfangreichen und dauerhaften internen Datenflüssen.
Art. 47 DSGVO
Verbindliche interne Datenschutzvorschriften.
EDSA-Empfehlungen 1/2022 (Controller-BCR)
Anforderungen und Antragsformular für Controller Binding Corporate Rules nach Art. 47 DSGVO.
Konzerninterne Übermittlungen
Rahmenvertrag auf Basis der Standardvertragsklauseln als Alternative für konzerninterne Übermittlungen.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EU-US Data Privacy Framework (DPF)
Der Angemessenheitsbeschluss für die USA gilt nur für Empfänger, die nach dem EU-US Data Privacy Framework zertifiziert sind. Wie die Zertifizierung geprüft wird, welche Folgen sie hat, warum kein Transfer Impact Assessment nötig ist und wie sich der Transfer vertraglich absichern lässt.
Konzerninterne Übermittlungen (Data Transfer Agreement)
Wie eine Unternehmensgruppe die vielen internen Datenübermittlungen mit einem einzigen Rahmenvertrag (Intra-Group Data Transfer Agreement) abbildet: Auftragsverarbeitung, gemeinsame Verantwortlichkeit, getrennte Verantwortliche und Drittlandsübermittlung über Standardvertragsklauseln, gesteuert durch eine Verteilerklausel und ein laufend gepflegtes Data Transfer Directory.