BCR (Binding Corporate Rules)
Art. 47 DSGVO — verbindliche Konzern-Datenschutz-Regeln
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
BCR sind ein Garantie-Instrument für Drittland-Übermittlungen innerhalb eines Konzerns oder einer Unternehmensgruppe. Sie ersetzen SCC und müssen von einer Aufsichtsbehörde genehmigt werden.
Was ist BCR (Binding Corporate Rules)?
BCR-Pflichtinhalte (Art. 47 Abs. 2):
- Struktur des Konzerns + Mitgliedsunternehmen
- Datenkategorien + Verarbeitungszwecke
- Garantien für Betroffenenrechte
- Haftungs- und Sanktionsregeln
- Beschwerdeverfahren
- Schulungsverpflichtungen
- Audit-Mechanismen
Genehmigungsverfahren bei der federführenden AB — Dauer typisch 18-36 Monate.
Praxisbeispiel
Globaler Konzern mit 40 Tochtergesellschaften will weltweite HR-Daten zentral verarbeiten. SCC für jeden Empfänger wäre aufwändig. BCR-Genehmigung beim BfDI 2023 ermöglicht alle EU↔außerhalb-Transfers innerhalb des Konzerns.
Häufig gestellte Fragen
Was kostet BCR?
Genehmigungsverfahren ohne Anwalt 50-150k EUR Eigenleistung. Mit Beratung 150-500k EUR. Erst ab 1.000+ MA wirtschaftlich.
Reicht für Drittland?
Ja, BCR ersetzt SCC für gruppeninterne Transfers.
Bußgeld bei Verstoß?
Art. 83 Abs. 5 lit. c — bis 20 Mio. EUR oder 4%.