Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)



Ähnliche Dokumente
Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR)

Arbeitsdokument Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Angenommen am 14. April 2005

ARTIKEL-29-DATENSCHUTZGRUPPE

SAFE HARBOR URTEIL REAKTIONEN DER LDSB. Lasse Junghänel

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

ARTIKEL-29-DATENSCHUTZGRUPPE

ÜBER DIE ANWENDUNG DER GRUNDSÄTZE DER SUBSIDIARITÄT UND DER VERHÄLTNISMÄSSIGKEIT

ARTIKEL-29-DATENSCHUTZGRUPPE

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Konzepte der Selbstkontrolle der Industrie

Der Europäische Datenschutzbeauftragte

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

Datenverwendung und Datenweitergabe - was ist noch legal?

BESCHLUSSEMPFEHLUNG UND BERICHT

D i e n s t e D r i t t e r a u f We b s i t e s

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

ÜBER DIE ROLLE DER NATIONALEN PARLAMENTE IN DER EUROPÄISCHEN UNION

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

BESCHLUSS DES GEMEINSAMEN EWR-AUSSCHUSSES Nr. 15/2001 vom 28. Februar zur Änderung des Anhangs IX (Finanzdienstleistungen) des EWR-Abkommens

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Das Facebook Urteil des EuGH EuGH, Ut. v , Rs. C-352/14 (Schrems)

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Amtsblatt der Europäischen Union L 226/3

Der Schutz von Patientendaten

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

DE 1 DE EUROPÄISCHER VERHALTENSKODEX FÜR MEDIATOREN

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

Richtlinien zum Internationalen Sponsern. 01. April 2015 Amway

Einführung in die Datenerfassung und in den Datenschutz

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

ANLAUFSTELLEN-LEITLINIEN Nr. 3

Erstellung eines Verfahrensverzeichnisses aus QSEC

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Einführung in die Datenerfassung und in den Datenschutz

PUBLIC LIMITE DE RAT DER EUROPÄISCHEN UNION. Brüssel, den 4. Mai 2007 (25.05) (OR. en) 8935/1/07 REV 1. Interinstitutionelles Dossier: 2005/0261(COD)

Gesetzesänderungen «Nominee», Entwurf

IMI datenschutzgerecht nutzen!

Gesetzliche Grundlagen des Datenschutzes

Die grenzüberschreitende Durchsetzung von Datenschutz in Europa - der Blick aus Europa

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Rechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO)

Datenschutzbeauftragten bestellt.

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Datenschutz ist Persönlichkeitsschutz

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Internationaler Datenschutz / Europäischer Datenschutz - Schutzgefälle. IT-Anwaltskonferenz , Berlin RA Thomas Zerdick, LL.M.

(Text von Bedeutung für den EWR)

Rahmenvereinbarung über die E-Government-Zusammenarbeit

DATENSCHUTZ IN DER FORSCHUNG

Zwischen Deutschland, Liechtenstein, Österreich und der Schweiz abgestimmte deutsche Übersetzung

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München

Berlin, den Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D Berlin

Aktualisierungsdienst Bundesrecht

.WIEN-Richtlinie zur Beilegung von Streitigkeiten betreffend Registrierungsvoraussetzungen (Eligibility Requirements Dispute Resolution Policy/ERDRP)

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis

Zypern. Mehrwertsteuererstattungen nach der 13. MwSt-Richtlinie (86/560/EWG)

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Datenschutz im E-Commerce

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Nachricht der Kundenbetreuung

GIOVANNI BUTTARELLI STELLVERTRETENDER DATENSCHUTZBEAUFTRAGTER

Sind wir auf dem Weg zu einem Weltrecht? Sind die Cyberrechtler Pioniere. für ein Weltrecht?

Nutzung dieser Internetseite

Satzung über den Anschluss der Grundstücke an die öffentliche Wasserversorgungsanlage und deren Benutzung in der Stadt Freiburg i. Br.

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Secorvo. Partner und Unterstützer

Datenschutz und Schule

ÜBERSETZUNG. Geschäftsverzeichnisnr Urteil Nr. 108/2001 vom 13. Juli 2001 U R T E I L

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Statut der Hamburger Börse (Börsenstatut) vom 7. Februar 1977

Gründe für ein Verfahrensverzeichnis

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

Vorschlag für RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION

Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII

Datenschutzvereinbarung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Vernichtung von Datenträgern mit personenbezogenen Daten

ARTIKEL 29 DATENSCHUTZGRUPPE

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Cloud Computing und Datenschutz

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Datenschutzhinweise zum VAPIANO PEOPLE Programm

Datenschutzrecht. Informations- und Kommunikationsrecht HS PD Dr. Simon Schlauri, Rechtsanwalt. Datenschutzrecht

Amtsblatt der Europäischen Gemeinschaften. (Veröffentlichungsbedürftige Rechtsakte) VERORDNUNG (EG) Nr. 150/2003 DES RATES vom 21.

EMPFEHLUNG DER KOMMISSION. vom

Transkript:

ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt überarbeitet und angenommen am 21. Januar 2009 Diese Gruppe ist gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzt worden. Sie ist ein unabhängiges europäisches Beratungsgremium in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG und Artikel 15 der Richtlinie 2002/58/EG festgelegt. Die Sekretariatsgeschäfte werden wahrgenommen von: Europäische Kommission, GD Justiz, Freiheit und Sicherheit, Direktion C (Ziviljustiz, Grundrechte und Unionsbürgerschaft), B-1049 Brüssel, Belgien, Büro LX-46 06/80. Website: http://ec.europa.eu/justice_home/fsj/privacy/index_de.htm 1

Häufig gestellte Fragen zu verbindlichen unternehmensinternen Datenschutzregelungen (Binding Corporate Rules - BCR) Verbindliche unternehmensinterne Datenschutzregelungen (BCR) stellen nach Auffassung der Artikel-29-Datenschutzgruppe, wie in Arbeitsdokument WP 74 1 erläutert, eine geeignete Lösung für multinationale Konzerne und ähnliche Unternehmensgruppen dar, um ihren rechtlichen Verpflichtungen nachzukommen und bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union ein angemessenes Datenschutzniveau zu gewährleisten. Die Gruppe/Datenschutzbehörden haben anhand ihrer Erfahrungen mit den Anträgen auf Genehmigung unternehmensinterner Datenschutzregelungen und den Anfragen zur Auslegung der Arbeitsdokumente WP 74 2 und WP 108 3 die nachstehende Liste häufig gestellter Fragen zusammengestellt. Anhand dieser Fragen sollen sich die Antragsteller ein klareres Bild von den Anforderungen machen können, so dass sie die Genehmigungsvoraussetzungen für ihre BCR leichter erfüllen können. Die Liste der häufig gestellten Fragen wird bei Bedarf aktualisiert. 1 Müssen die verbindlichen unternehmensinternen Datenschutzregelungen auf alle im Unternehmen verarbeiteten personenbezogenen Daten angewandt werden? Nein, unternehmensinterne Datenschutzregelungen sind rechtlich zulässige Vorkehrungen, um personenbezogene Daten im Sinne der Richtlinie 95/46/EG angemessen zu schützen, wenn sie von der Europäischen Union aus in Drittländer übermittelt werden, deren Datenschutz als unzureichend angesehen wird. Auf andere von dem Unternehmen verarbeitete personenbezogene Daten, die nicht an einem Ort in der EU verarbeitet werden, müssen die unternehmensinternen Vorschriften nicht angewandt werden. Den multinationalen Unternehmensgruppen, die BCR anwenden, wird jedoch nachdrücklich eine einheitliche Strategie oder Regelung für den Schutz aller im Unternehmen verarbeiteten Personaldaten empfohlen. Eine einheitliche Regelung ist unkomplizierter und effizienter, da ihre Anwendung für das Personal einfacher ist und von den Betroffenen leichter durchschaut werden kann. Auch das Ansehen eines Unternehmens, das sich unabhängig vom Standort und von den jeweiligen rechtlichen Anforderungen entschlossen für den Schutz der Privatsphäre aller betroffenen Personen einsetzt, würde hierdurch gewinnen. 1 2 3 Arbeitsdokument WP 74: Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer, angenommen am 3. Juni 2003. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_de.htm. Vgl. Fußnote 1. Arbeitsdokument WP 108: Einführung eines Prüfungskatalogs für einen Antrag auf Genehmigung verbindlicher unternehmensinterner Vorschriften, angenommen am 14. April 2005. http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2005_de.htm. 2

Es sei darauf hingewiesen, dass es in einem Unternehmen durchaus eine einheitliche Regelung geben kann, die in den BCR geforderten Rechte von Drittbegünstigten jedoch gleichzeitig auf personenbezogene Daten beschränkt sind, die von der Europäischen Union aus in Drittländer übermittelt werden. 2 Müssen die verbindlichen unternehmensinternen Datenschutzregelungen auf Datenverarbeiter angewandt werden, die nicht der Unternehmensgruppe angehören? Nein, nur Datenverarbeiter, die der Unternehmensgruppe angehören und Daten im Auftrag anderer Mitglieder der Gruppe verarbeiten, müssen als Mitglied der Unternehmensgruppe die BCR einhalten. Die BCR sollten spezielle Vorschriften für Mitglieder der Unternehmensgruppe enthalten, die als Auftragsverarbeiter tätig sind, um den Anforderungen der Artikel 16 und 17 der Richtlinie 95/46/EG zu genügen. Datenverarbeiter, die nicht der Unternehmensgruppe angehören und im Auftrag eines Mitglieds der Gruppe tätig sind, müssen nicht den BCR unterworfen werden. Sie sollten allerdings stets nur nach Weisung des für die Verarbeitung Verantwortlichen handeln und gemäß Artikel 16 und 17 der EU-Richtlinie durch Vertrag oder Rechtsakt gebunden sein. Gehören die Datenverarbeiter nicht der Unternehmensgruppe an und sind sie außerhalb der EU ansässig, müssen die Mitglieder der Unternehmensgruppe außerdem den Artikeln 25 und 26 der Richtlinie 95/46/EG zum grenzüberschreitenden Datenverkehr entsprechen und ein angemessenes Schutzniveau gewährleisten. Das Unternehmen kann beispielsweise die Angemessenheit des Schutzniveaus vertraglich durch Anwendung der Standardvertragsklauseln absichern, die die EU-Kommission für die Datenübermittlung an einen Auftragsverarbeiter außerhalb der EU festgelegt hat, oder die Auftragsverarbeiter den verbindlichen unternehmensinternen Datenschutzregelungen unterwerfen. Die BCR müssen für solche Situationen eine geeignete Regelung vorsehen. 3 Wer ist in der Unternehmensgruppe verantwortlich, wenn die BCR außerhalb der EU verletzt werden? Unabhängig von der in der Richtlinie 95/46/EG vorgesehenen Haftung des Unternehmens, das Personaldaten aus der EU in ein Drittland übermittelt, muss in den BCR selbst ein in der EU ansässiges Mitglied der Unternehmensgruppe benannt werden, das im Fall eines Verstoßes gegen die BCR durch ein Gruppenmitglied außerhalb der EU die Haftung übernimmt. Diese Haftung braucht nicht über den nach Maßgabe der BCR vorgenommenen Datentransfer in Drittländer hinauszugehen. Im Arbeitsdokument WP 74 wird die Auffassung vertreten, dass die Haftung in der Regel von der Hauptniederlassung der Unternehmensgruppe, sofern sie sich in der EU befindet, übernommen werden sollte. Andernfalls sollte ein in der EU ansässiges Mitglied der Unternehmensgruppe benannt werden, das die Haftung für Verstöße außerhalb der EU übernimmt. Die Haftung würde auch die Leistung von Schadenersatz im Falle eines Verstoßes gegen die verbindlichen unternehmensinternen Datenschutzregelungen durch ein an diese Regelungen gebundenes Mitglied der Unternehmensgruppe außerhalb der EU einschließen. 3

Für manche Unternehmensgruppen ist es jedoch aufgrund ihrer besonderen Struktur nicht immer möglich, einem bestimmten Unternehmen die Haftung für sämtliche Verstöße gegen die BCR, die außerhalb der EU erfolgen, aufzuerlegen. In diesen Fällen ist die Datenschutzgruppe damit einverstanden, dass eine Unternehmensgruppe eine andere Haftungsregelung, die ihrer Organisation besser entspricht, vorschlagen kann, wenn sie nachweisen kann, dass es ihr nicht möglich ist, ein Mitglied der Unternehmensgruppe in der EU zu benennen. Eine Möglichkeit bestünde in einer gesamtschuldnerischen Haftung der Datenimporteure und -exporteure wie in den EU-Standardvertragsklauseln 2001/497/EG vom 15. Juni 2001 oder in einer alternativen Haftungsregelung auf der Grundlage von Sorgfaltspflichten wie in den EU-Standardvertragsklauseln 2004/915/EG vom 27. Dezember 2004. Insbesondere bei der Weitergabe von Daten von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter käme auch die Anwendung einer Haftungsregelung auf der Grundlage der Standardvertragsklauseln 2002/16/EG vom 27. Dezember 2001 in Frage. Solche alternativen Haftungslösungen können von den Datenschutzbehörden im Einzelfall akzeptiert werden, wenn der Antragsteller hinreichende, angemessene Garantien bietet. In diesem Fall ist der Nachweis wichtig, dass die betroffenen Personen bei der Wahrnehmung ihrer Rechte unterstützt und nicht benachteiligt oder in anderer Weise behindert werden. 4 Müssen die BCR der betroffenen Person stets das Recht gewähren, wegen Verletzung der BCR Beschwerde bei der Datenschutzbehörde zu erheben? Ja, auch wenn die Regelung oder insbesondere die Drittbegünstigung auf Daten aus der EU beschränkt worden ist und Personen bereits aufgrund ihres innerstaatlichen Rechts berechtigt sind, bei der Datenschutzbehörde Beschwerde gegen den Datenexporteur zu erheben, ist es wichtig, dass in den BCR ein Beschwerderecht verankert ist, wenn ein Mitglied der Unternehmensgruppe gegen die BCR insgesamt verstoßen hat. 5 Sollten betroffene Personen über ihre Rechte als Drittbegünstigte informiert werden? Ja, sowohl die unternehmensinternen Datenschutzregelungen als auch die Beschwerdemöglichkeiten und Rechtsbehelfe bei Verstoß gegen die BCR sollten laut WP 74 für die betroffenen Personen leicht zugänglich sein. Die Drittbegünstigung stellt eine wichtige Option für eine betroffene Person dar, die die ihr zur Verfügung stehenden Abhilfen und Rechtsbehelfe prüft. Einige Unternehmen haben aus durchaus berechtigten Gründen beschlossen, die Drittbegünstigungsklausel nicht in den Hauptteil der BCR aufzunehmen, sondern gesondert in einem Dokument aufzuführen. Sind diese Rechte in einem gesonderten Dokument niedergelegt, muss dieses Dokument allen Betroffenen, die sich auf die Drittbegünstigung berufen können, zur Kenntnis gebracht und ohne Umstände zugänglich gemacht werden. 4

6 Muss in den BCR selbst auf die Verarbeitung und Übermittlung von personenbezogenen Daten eingegangen werden, und wie detailliert müssen diese Angaben sein? Ja, die BCR müssen eine allgemeine Beschreibung der wichtigsten Verarbeitungszwecke und Arten der Datenübermittlung enthalten. Beispielsweise kann in den BCR angegeben werden, dass im Zusammenhang mit der Mobilität des Personals Daten an alle Unternehmen der Gruppe übermittelt werden, dass Personaldaten an die Hauptdatenzentren in Deutschland, den USA und Singapur zur Speicherung und Archivierung übermittelt werden oder dass diese Daten der Konzernspitze mitgeteilt werden, um eine allgemeine Strategie für Löhne und Gehälter und für sonstige Leistungen innerhalb der Unternehmensgruppe festlegen zu können. Einige Mitgliedstaaten können von den Antragstellern allerdings auch verlangen, dass diese, wenn sie in dem betreffenden Mitgliedstaat einen Antrag auf Genehmigung ihrer BCR stellen, die Übermittlungsvorgänge von diesem Staat aus in Drittländer detailliert beschreiben. 7 Sollten die BCR in einem Dokument zusammengefasst werden, in dem alle Pflichten der Unternehmensgruppe und die Rechte des Einzelnen geregelt sind? Den Datenschutzbehörden würde die Überprüfung der BCR erheblich erleichtert, wenn es eine einzige Regelung gäbe, aus der alle Rechte und Pflichten klar hervorgehen. Bei Bedarf könnte diese Regelung ergänzt werden durch andere einschlägige Texte wie Strategiepapiere, Leitlinien, Audit-/Schulungsprogramme. Auf diese Weise könnten die BCR von den Betroffenen auch besser nachvollzogen werden. Ein Beispiel für eine solche Regelung enthält das WP 154 vom 24. Juni 2008, in dem ein Rahmen für verbindliche unternehmensinterne Datenschutzregelungen vorgestellt wird. Es ist jedoch nicht vorgeschrieben, dass die Datenschutzregelungen in einem einzigen Dokument zusammengefasst werden müssen. 8 Welche Terminologie sollte in den BCR verwendet werden? Da die BCR nach innen und nach außen Rechtswirkungen entfalten und ein im Sinne der EU-Richtlinie 95/46/EG angemessenes Datenschutzniveau gewährleisten sollen, sollten die Formulierungen und Begriffsbestimmungen der wichtigsten BCR-Prinzipien (siehe WP 74, WP 108, WP 153 und WP 154) denen der EU-Richtlinie entsprechen. Auf diese Weise wird eine Fehlinterpretation der BCR vermieden und der Datenschutzbehörde wird die Prüfung der BCR erleichtert, deren Begrifflichkeit leichter zu erfassen ist. Den Unternehmen steht es allerdings frei, andere gleichbedeutende Formulierungen zu verwenden, wenn diese bei der Anwendung der BCR im Rahmen der allgemeinen Unternehmensstrategie oder interner Leitlinien für die Mitarbeiter und Kunden einfacher zu verstehen sind. 5

9 Welche Rechte sollten einer betroffenen Person nach der Drittbegünstigungsklausel zustehen? Eine Person, deren personenbezogene Daten auf der Grundlage der BCR verarbeitet werden, kann sich vor der zuständigen Datenschutzbehörde oder dem zuständigen Gericht nach Maßgabe der in den Arbeitsdokumenten WP 74, WP 108 und WP 153 festgelegten Regeln auf die nachstehenden BCR-Grundsätze berufen, um ihre Rechte geltend zu machen und Schadenersatz zu erlangen, wenn ein Mitglied der Unternehmensgruppe seinen Pflichten nicht nachgekommen ist und diese Grundsätze nicht beachtet. Folgende Grundsätze können im Wege der Drittbegünstigungsklausel geltend gemacht werden: o Zweckbindung (WP 153 Ziff. 6.1, WP 154 Ziff. 3) o Datenqualität und -verhältnismäßigkeit (WP 153 Ziff. 6.1, WP 154 Ziff. 4) o Rechtsgrundlage für die Datenverarbeitung (WP 154 Ziff. 5 und 6) o Transparenz und einfacher Zugang zu den BCR (WP 153 Ziff. 6.1, Ziff. 1.7, WP 154 Ziff. 7) o Recht auf Auskunft, Berichtigung, Löschung oder Sperrung von Daten und Recht auf Widerspruch gegen die Verarbeitung (WP 153 Ziff. 6.1, WP 154 Ziff. 8) o Rechte bei automatisierten Einzelentscheidungen (WP 154 Ziff. 9) o Sicherheit und Vertraulichkeit (WP 153 Ziff. 6.1, WP 154 Ziff. 10 und 11) o Beschränkung des Datentransfers außerhalb der Unternehmensgruppe (WP 153 Ziff. 6.1, WP 154 Ziff. 12) o Einzelstaatliche Vorschriften, die der Einhaltung der BCR entgegenstehen (WP 153 Ziff. 6.3, WP 154 Ziff. 16) o Interne Beschwerdeverfahren (WP 153 Ziff. 2.2, WP 154 Ziff. 17) o Pflicht zur Zusammenarbeit mit der Datenschutzbehörde (WP 153 Ziff. 3.1, WP 154 Ziff. 20) o Haftung und Rechtsbehelfe (WP 153 Ziff. 1.3, 1.4, WP 154 Ziff. 18 und 19). Die Unternehmen sollten sicherstellen, dass all diese Rechte in der Drittbegünstigungsklausel ihrer BCR erfasst sind, indem sie beispielsweise auf die Klauseln/Abschnitte/Ziffern ihrer BCR verweisen, in denen diese Rechte geregelt sind, oder indem sie sie alle in der Drittbegünstigungsklausel aufführen. Diese Rechte erstrecken sich nicht auf BCR-Bestimmungen, die unternehmensinterne Verfahren im Hinblick auf Schulungs- und Auditprogramme, Datenschutzbeauftragte und die Aktualisierung der BCR betreffen. [WP 153 Ziff. 2.1, 2.3, 2.4 und 5.1, WP 154 Ziff. 13 bis 15 und Ziff. 21] Brüssel, den 24.6.2008 Für die Datenschutzgruppe Der Vorsitzende Alex TÜRK 6

Zuletzt überarbeitet und angenommen am 21.1.2009 Für die Datenschutzgruppe Der Vorsitzende Alex TÜRK 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback