Verbindliche unternehmensinterne Datenschutzregeln sind ein Rechtsinstrument, das multinationale Unternehmen einsetzen können, um ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten innerhalb der Gruppe von einem EU-Land oder einem Mitgliedsland des Europäischen Wirtschaftsraums (EWR) in ein Drittland zu gewährleisten.
Der Einsatz verbindlicher unternehmensinterner Datenschutzregeln erfordert grundsätzlich die Zustimmung der EU- oder EWR-Datenschutzbehörden für jedes der Länder, aus denen die Daten zu übermitteln sind.
Die Artikel-29-Datenschutzgruppe hat eine Reihe von Leitliniendokumenten für Unternehmen angenommen, die dieses Instrument einsetzen möchten:
- WP 107: Arbeitsdokument “Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“;
- WP 108: Arbeitsdokument “Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“;
- WP 133: “Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data“ (Empfehlung 1/2007 für den Standardantrag auf die Genehmigung verbindlicher unternehmensinterner Datenschutzregelungen für die Übermittlung personenbezogener Daten);
- WP 153: Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR);
- WP 154: Arbeitsdokument “Rahmen für verbindliche unternehmensinterne Datenschutzrichtlinien (BCR)“;
- WP 155: Arbeitsdokument zu “Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen.