# Binding Corporate Rules (BCR)

Binding Corporate Rules als geeignete Garantie für konzerninterne Drittlandsübermittlungen nach Art. 47 DSGVO: verbindliche interne Datenschutzregeln, Anwendungsbereich, Genehmigung durch die Aufsichtsbehörde, Mindestinhalte und Haftung sowie das Verhältnis zur Schrems-II-Rechtsprechung. Unterscheidung von Controller- und Processor-BCR, Reichweite und Grenzen.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.4-binding-corporate-rules
> Sprache: en



Binding Corporate Rules (BCR) sind verbindliche interne Datenschutzregeln einer Unternehmensgruppe. Sie sind eine geeignete Garantie nach Art. 46 Abs. 2 lit. b, Art. 47 DSGVO und ermöglichen Drittlandsübermittlungen innerhalb der Gruppe, ohne dass für jede einzelne Übermittlung Standardvertragsklauseln geschlossen werden müssen. Einmal genehmigt, decken sie alle von ihnen erfassten konzerninternen Übermittlungen ab.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * BCR gelten nur für Übermittlungen **innerhalb einer Unternehmensgruppe**, nicht für Übermittlungen externer Stellen an die Gruppe.
  * Es wird zwischen **Controller-BCR** und **Processor-BCR** unterschieden.
  * BCR müssen von der zuständigen Aufsichtsbehörde im **Kohärenzverfahren genehmigt** werden; das Verfahren ist aufwendig und langwierig.
  * Genehmigt werden die Regeln selbst, nicht die einzelnen Übermittlungen. Die **Rechtsgrundlage nach Art. 6 DSGVO** und das **Transfer Impact Assessment** bleiben gesondert zu leisten.
  * Für viele Konstellationen ist ein gruppeninterner Rahmenvertrag auf Basis der Standardvertragsklauseln eine praktikablere Alternative.
</Callout>

## 1. Begriff und Funktion [#1-begriff-und-funktion]

BCR sind ein selbst aufgelegtes, verbindliches Regelwerk, mit dem sich eine Unternehmensgruppe intern auf ein einheitliches, der DSGVO entsprechendes Schutzniveau verpflichtet. Sie beruhen auf dem Gedanken, dass die Gruppe ein eigenständiges privatrechtliches Datenschutzregime errichtet und dieses aufgrund ihrer internen Steuerungs- und Kontrollmechanismen auch durchsetzen kann. Es handelt sich um eine Form regulierter Selbstregulierung: Die Gruppe entwickelt die Regeln auf ihre Bedürfnisse zugeschnitten, die rechtliche Anerkennung als geeignete Garantie liegt aber bei der Aufsichtsbehörde. Auf dieser Grundlage dürfen personenbezogene Daten innerhalb der Gruppe auch in unsichere Drittländer übermittelt werden. BCR werden zugleich als Chance gesehen, in einer weltweit tätigen Gruppe eine einheitliche Datenschutzkultur zu etablieren.

## 2. Anwendungsbereich [#2-anwendungsbereich]

### 2.1 Wer BCR nutzen kann [#21-wer-bcr-nutzen-kann]

BCR können genutzt werden von hierarchisch organisierten Unternehmensgruppen (Art. 4 Nr. 19 DSGVO) sowie von Unternehmen, die ohne Konzernbindung eine gemeinsame Wirtschaftstätigkeit ausüben, etwa in einem Joint Venture. Auch innerhalb eines einzelnen Unternehmens sind BCR denkbar, etwa für den Datenfluss zwischen unselbständigen Niederlassungen. Voraussetzung ist stets eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU, damit die Betroffenen eine Stelle innerhalb der Union in Anspruch nehmen können.

### 2.2 Welche Übermittlungen erfasst sind [#22-welche-übermittlungen-erfasst-sind]

BCR legitimieren nur Übermittlungen innerhalb der Gruppe oder zwischen den eine gemeinsame Wirtschaftstätigkeit ausübenden Unternehmen. Sie rechtfertigen keine Übermittlung von externen Stellen an die Gruppe. Werden Daten aus der Gruppe an einen Dritten außerhalb der EU weitergegeben (Weiterübermittlung), gelten dafür die allgemeinen Vorgaben des Kapitels 5 wie bei einer direkten Übermittlung aus der EU.

<Mermaid
  chart="flowchart TD
  A[Geplante Übermittlung] --> B{Innerhalb der<br/>Unternehmensgruppe?}
  B -->|Nein, externe Stelle| X[BCR greifen nicht,<br/>andere Garantie nötig]
  B -->|Ja| C{Empfänger in<br/>unsicherem Drittland?}
  C -->|Nein, EU/EWR oder<br/>sicheres Drittland| Y[Keine Drittlands-<br/>anforderungen]
  C -->|Ja| Z[BCR als geeignete<br/>Garantie nutzbar]
  Z --> W{Weiterübermittlung<br/>an Dritte im Drittland?}
  W -->|Ja| X"
/>

BCR erfassen mindestens die aus der EU oder dem EWR in ein Drittland übermittelten Daten und ihre weitere Verarbeitung dort. Ob die Gruppe sämtliche Daten unabhängig von ihrer Herkunft einheitlich den BCR unterwirft, ist eine unternehmenspolitische Entscheidung; differenziert sie nach Herkunft, sollten die Daten entsprechend gekennzeichnet werden. Sollen Daten aus einer Gruppe mit BCR in eine andere Gruppe mit BCR übermittelt werden, ist das nicht automatisch zulässig, weil sich die jeweiligen Regelwerke im Detail unterscheiden können.

## 3. Controller-BCR und Processor-BCR [#3-controller-bcr-und-processor-bcr]

Zu unterscheiden sind zwei Arten. Controller-BCR regeln Übermittlungen zwischen den als Verantwortliche handelnden Gruppengesellschaften. Processor-BCR betreffen Konstellationen, in denen Gruppengesellschaften als [Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter) tätig sind, etwa wenn eine Gesellschaft im Auftrag eines externen Verantwortlichen verarbeitet und die Daten an eine Gruppengesellschaft in einem Drittland weitergibt. Auf Processor-BCR kann sich auch der externe Auftraggeber stützen, obwohl er selbst nicht Teil der Gruppe ist, soweit dies der Vereinbarung nach Art. 28 Abs. 3 DSGVO nicht widerspricht.

## 4. Genehmigung durch die Aufsichtsbehörde [#4-genehmigung-durch-die-aufsichtsbehörde]

### 4.1 Zuständige Aufsichtsbehörde und Verfahren [#41-zuständige-aufsichtsbehörde-und-verfahren]

BCR werden von der zuständigen Aufsichtsbehörde im Kohärenzverfahren genehmigt (Art. 47 Abs. 1, Art. 63, Art. 64 Abs. 1 S. 2 lit. f DSGVO). Zuständig ist die federführende Behörde am Sitz der Hauptniederlassung; gibt es nur eine Niederlassung in der EU, die für diese zuständige Behörde. Liegt die Hauptniederlassung außerhalb der EU, ist anhand der Einflussnahme auf die Verarbeitung diejenige EU-Niederlassung zu bestimmen, deren Aufsichtsbehörde zuständig ist. Das früher praktizierte Verfahren der gegenseitigen Anerkennung ist damit grundsätzlich überholt.

### 4.2 Gegenstand und Wirkung der Genehmigung [#42-gegenstand-und-wirkung-der-genehmigung]

Gegenstand der Genehmigung sind die BCR selbst, nicht die einzelnen Übermittlungsvorgänge. Mit der Genehmigung ist die Übermittlung in ein Drittland zulässig, ohne dass es einer gesonderten Genehmigung jedes einzelnen Transfers bedarf. Erfüllt eine Gruppe die Voraussetzungen des Art. 47 DSGVO, hat sie grundsätzlich einen Anspruch auf Genehmigung und kann gegen eine Versagung gerichtlich vorgehen.

<Callout type="warn">
  BCR ersetzen **nicht** die Rechtsgrundlage. Ob die Verarbeitung auf der ersten Stufe nach Art. 6 DSGVO zulässig ist, wird unabhängig von der Genehmigung beurteilt. BCR ermöglichen daher **keinen freien Datenfluss** innerhalb der Gruppe; jede Übermittlung braucht zusätzlich eine eigene Rechtsgrundlage (zweistufige Prüfung).
</Callout>

## 5. Voraussetzungen und Mindestinhalte (Art. 47 Abs. 1 und 2) [#5-voraussetzungen-und-mindestinhalte-art-47-abs-1-und-2]

### 5.1 Rechtsverbindlichkeit nach innen und außen [#51-rechtsverbindlichkeit-nach-innen-und-außen]

BCR müssen rechtlich verbindlich sein, und zwar in zwei Richtungen:

* **Interne Verbindlichkeit** (Art. 47 Abs. 1 lit. a DSGVO): Die Regeln müssen für alle betreffenden Gruppengesellschaften und deren Beschäftigte gelten und durchgesetzt werden. Hergestellt wird dies in einem Konzern häufig über die internen Steuerungsmechanismen, über wechselseitige Verträge der Gesellschaften (intra group agreement) oder über einseitige Verpflichtungen, soweit das anwendbare Recht das zulässt. Die Beschäftigten werden über das Weisungsrecht oder über die Einbeziehung der Regeln in den Arbeitsvertrag gebunden. Die Regeln müssen zudem tatsächlich durchgesetzt werden, etwa durch Schulungen und interne Kontrollstrukturen.
* **Externe Verbindlichkeit** (Art. 47 Abs. 1 lit. b DSGVO): Den Betroffenen müssen ausdrücklich durchsetzbare Rechte eingeräumt werden, damit sie die Einhaltung der BCR selbst geltend machen können. Im deutschen Recht geschieht dies in der Regel über einen Vertrag zugunsten Dritter (§ 328 BGB) oder eine einseitige Garantieerklärung (§ 311 Abs. 1, § 151 S. 1 BGB). Für Klagen gegen einen Verantwortlichen oder Auftragsverarbeiter können sich Betroffene auch an ihren gewöhnlichen Aufenthaltsort wenden (Art. 79 Abs. 2 DSGVO).

### 5.2 Mindestinhalte [#52-mindestinhalte]

Art. 47 Abs. 2 DSGVO gibt einen Katalog von Pflichtangaben vor, die letztlich alle relevanten Regelungen der DSGVO in den BCR abbilden. Die Regeln müssen die Datenschutzgrundsätze nicht nur benennen, sondern für die erfassten Verarbeitungen konkretisieren; ein bloßer Verweis auf die DSGVO genügt nicht.

| Inhalt                                                                        | Norm                        |
| ----------------------------------------------------------------------------- | --------------------------- |
| Struktur und Kontaktdaten der Gruppe und ihrer Mitglieder                     | Art. 47 Abs. 2 lit. a DSGVO |
| Erfasste Übermittlungen: Datenarten, Zwecke, betroffene Personen, Drittländer | Art. 47 Abs. 2 lit. b DSGVO |
| Interne und externe Rechtsverbindlichkeit                                     | Art. 47 Abs. 2 lit. c DSGVO |
| Anwendung der Datenschutzgrundsätze und Vorgaben zur Weiterübermittlung       | Art. 47 Abs. 2 lit. d DSGVO |
| Rechte der Betroffenen und Mittel ihrer Wahrnehmung                           | Art. 47 Abs. 2 lit. e DSGVO |
| Haftungsübernahme der EU-Niederlassung                                        | Art. 47 Abs. 2 lit. f DSGVO |
| Information der Betroffenen über die BCR                                      | Art. 47 Abs. 2 lit. g DSGVO |
| Aufgaben des Datenschutzbeauftragten und der Datenschutz-Compliance           | Art. 47 Abs. 2 lit. h DSGVO |
| Beschwerdeverfahren                                                           | Art. 47 Abs. 2 lit. i DSGVO |
| Verfahren zur Überprüfung der Einhaltung (Audits)                             | Art. 47 Abs. 2 lit. j DSGVO |
| Meldung und Erfassung von Änderungen                                          | Art. 47 Abs. 2 lit. k DSGVO |
| Zusammenarbeit mit der Aufsichtsbehörde                                       | Art. 47 Abs. 2 lit. l DSGVO |
| Meldung problematischer Drittlandsvorschriften                                | Art. 47 Abs. 2 lit. m DSGVO |
| Datenschutzschulungen                                                         | Art. 47 Abs. 2 lit. n DSGVO |

### 5.3 Haftung [#53-haftung]

Eine in der EU niedergelassene Gruppengesellschaft muss die Haftung für Verstöße gegen die BCR durch andere, außerhalb der Union niedergelassene Gruppenmitglieder übernehmen (Art. 47 Abs. 2 lit. f DSGVO). Welche Niederlassung das ist, kann die Gruppe frei festlegen; sinnvoll ist eine ausreichend finanziell ausgestattete Gesellschaft. Die haftungsrechtliche Verantwortlichkeit wird vermutet; eine Befreiung kommt nur in Betracht, wenn die haftende Stelle nachweist, dass der schädigende Umstand dem betreffenden Mitglied nicht zur Last gelegt werden kann.

## 6. Drittlandsrecht und Schrems II [#6-drittlandsrecht-und-schrems-ii]

Auch die Genehmigung von BCR setzt voraus, dass im Drittland ein im Wesentlichen gleichwertiges Schutzniveau gewahrt ist. Bestehen dort staatliche Zugriffsbefugnisse, die über das nach Art. 23 DSGVO hinnehmbare Maß hinausgehen und die erfassten Daten betreffen, scheidet eine Genehmigung aus. Die Maßstäbe der [Schrems-II-Rechtsprechung](/docs/dsgvo-hub/rechtsprechung/1.4.50-eugh-schrems-ii) gelten daher auch hier: Vor und während der Nutzung der BCR ist das Recht des Drittlands zu prüfen und gegebenenfalls durch ergänzende Maßnahmen abzusichern (Transfer Impact Assessment).

Die Meldepflicht des Art. 47 Abs. 2 lit. m DSGVO dient diesem Zweck. Ändert sich die Rechtslage im Drittland so, dass kein gleichwertiges Schutzniveau mehr besteht, muss die Aufsichtsbehörde die Genehmigung widerrufen; unabhängig davon müssen die BCR sicherstellen, dass die Übermittlungen an den betroffenen Gruppenteil ausgesetzt werden.

## 7. Bewertung und Praxis [#7-bewertung-und-praxis]

BCR sind ein hochwertiges, aber aufwendiges Instrument. Ihre Einführung ist komplex und ressourcenintensiv und setzt das Genehmigungsverfahren bei der zuständigen Aufsichtsbehörde voraus. Für viele konzerninterne Konstellationen erreicht ein gruppeninterner Rahmenvertrag auf Basis der Standardvertragsklauseln dasselbe Ergebnis mit geringerem Aufwand (siehe [Konzerninterne Übermittlungen](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.5-konzerninterne-uebermittlungen)). BCR lohnen sich vor allem für große, weltweit tätige Gruppen mit umfangreichen und dauerhaften internen Datenflüssen.

<Cards>
  <Card title="Art. 47 DSGVO" href="https://dsgvo-gesetz.de/art-47-dsgvo/" description="Verbindliche interne Datenschutzvorschriften." />

  <Card title="EDSA-Empfehlungen 1/2022 (Controller-BCR)" href="https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-12022-application-approval-and_en" description="Anforderungen und Antragsformular für Controller Binding Corporate Rules nach Art. 47 DSGVO." />

  <Card title="Konzerninterne Übermittlungen" href="/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung/1.3.13.5-konzerninterne-uebermittlungen" description="Rahmenvertrag auf Basis der Standardvertragsklauseln als Alternative für konzerninterne Übermittlungen." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.