So weisen Sie die Einhaltung von Artikel 47 der DSGVO nach

Verbindliche Unternehmensregeln

Demo buchen

Männer, Hand, Tippen, auf, Computer, Tastatur, während, Arbeiten, von, Zuhause

Fehlen in einem Empfängerland sinnvolle Datenschutzgesetze (siehe Artikel 45), DSGVO Artikel 47 ermöglicht Organisationen die Übernahme verbindliche Unternehmensregeln, die als angemessener Schutz für alle zu übertragenden Daten dienen.

DSGVO Artikel 47 Gesetzestext

EU-DSGVO-Version

Verbindliche Unternehmensregeln

  1. Die zuständige Aufsichtsbehörde genehmigt verbindliche Unternehmensvorschriften im Einklang mit dem Kohärenzmechanismus gemäß Artikel 63, sofern sie:

    • (a) rechtsverbindlich sind und für jedes betroffene Mitglied der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame wirtschaftliche Tätigkeit ausüben, einschließlich ihrer Arbeitnehmer, gelten und von diesem durchgesetzt werden;

    • (b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten einräumen; Und

    • (c) die in Absatz 2 festgelegten Anforderungen erfüllen.

  2. Die in Absatz 1 genannten verbindlichen Unternehmensvorschriften müssen mindestens Folgendes festlegen:

    • (a) die Struktur und Kontaktdaten der Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;

    • (b) die Datenübermittlungen oder eine Reihe von Übermittlungen, einschließlich der Kategorien personenbezogener Daten, der Art der Verarbeitung und ihrer Zwecke, der Art der betroffenen betroffenen Personen und der Identifizierung des betreffenden Drittlandes bzw. der betreffenden Drittländer;

    • (c) ihre Rechtsverbindlichkeit sowohl nach innen als auch nach außen;

    • (d) die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien personenbezogener Daten, Maßnahmen dazu Gewährleistung der Datensicherheit und der Anforderungen in Bezug auf die Weitergabe an Stellen, die nicht an die verbindlichen Unternehmensregeln gebunden sind;

    • (e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die Mittel zur Ausübung dieser Rechte, einschließlich des Rechts, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, einschließlich Profiling gemäß Artikel 22, und dem Recht, eine Beschwerde einzureichen der zuständigen Aufsichtsbehörde und vor den zuständigen Gerichten der Mitgliedstaaten gemäß Artikel 79 und um Wiedergutmachung und gegebenenfalls Schadensersatz für einen Verstoß gegen die verbindlichen Unternehmensvorschriften zu erhalten;

    • (f) die Akzeptanz der Haftung des im Hoheitsgebiet eines Mitgliedstaats ansässigen Verantwortlichen oder Auftragsverarbeiters für etwaige Verstöße gegen die verbindlichen Unternehmensvorschriften durch ein betroffenes Mitglied, das nicht in der Union ansässig ist; Der Verantwortliche oder der Auftragsverarbeiter ist von dieser Haftung nur dann ganz oder teilweise befreit, wenn er nachweist, dass das betreffende Mitglied für das schadensverursachende Ereignis nicht verantwortlich ist.

    • (g) wie die Informationen über die verbindlichen Unternehmensvorschriften, insbesondere über die in den Buchstaben (d), (e) und (f) dieses Absatzes genannten Bestimmungen, den betroffenen Personen zusätzlich zu den Artikeln 13 und 14 bereitgestellt werden;

    • (h) die Aufgaben eines gemäß Artikel 37 benannten Datenschutzbeauftragten oder einer anderen natürlichen oder juristischen Person, die für die Überwachung der Einhaltung der verbindlichen Unternehmensvorschriften innerhalb der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, zuständig ist, sowie Überwachung von Schulungen und Beschwerdebearbeitung;

    • (i) die Beschwerdeverfahren;

    • (j) die Mechanismen innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, um die Überprüfung der Einhaltung der verbindlichen Unternehmensvorschriften sicherzustellen. Zu diesen Mechanismen gehören Datenschutzprüfungen und Methoden zur Sicherstellung von Korrekturmaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse dieser Überprüfung sollten der in Buchstabe h genannten Person oder Organisation und dem Vorstand des beherrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und verfügbar sein auf Anfrage bei der zuständigen Aufsichtsbehörde;

    • (k) die Mechanismen zur Meldung und Aufzeichnung von Änderungen der Regeln und zur Meldung dieser Änderungen an die Aufsichtsbehörde;

    • (l) der Mechanismus der Zusammenarbeit mit der Aufsichtsbehörde, um sicherzustellen, dass jedes Mitglied der Unternehmensgruppe oder eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, die Vorschriften einhält, insbesondere indem der Aufsichtsbehörde die Ergebnisse der Überprüfungen der genannten Maßnahmen zur Verfügung gestellt werden zu Punkt (j);

    • (m) die Mechanismen für die Meldung an die zuständige Aufsichtsbehörde über alle rechtlichen Anforderungen, denen ein Mitglied der Unternehmensgruppe oder eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland unterliegt und die voraussichtlich erhebliche nachteilige Auswirkungen haben werden zu den Garantien, die die verbindlichen Unternehmensregeln bieten; Und

    • (n) die entsprechende Datenschutzschulung für Personal, das ständigen oder regelmäßigen Zugriff auf personenbezogene Daten hat.

  3. Die Kommission kann das Format und die Verfahren für den Informationsaustausch zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden für verbindliche Unternehmensvorschriften im Sinne dieses Artikels festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 festgelegten Prüfverfahren erlassen.

Britische DSGVO-Version

Verbindliche Unternehmensregeln

  1. Der Kommissar genehmigt verbindliche Unternehmensregeln, sofern sie:

    • (a) rechtsverbindlich sind und für jedes betroffene Mitglied der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame wirtschaftliche Tätigkeit ausüben, einschließlich ihrer Arbeitnehmer, gelten und von diesem durchgesetzt werden;
    • (b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten einräumen; Und

    • (c) die in Absatz 2 festgelegten Anforderungen erfüllen.

  2. Die in Absatz 1 genannten verbindlichen Unternehmensvorschriften müssen mindestens Folgendes festlegen:

    • (a) die Struktur und Kontaktdaten der Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;

    • (b) die Datenübermittlungen oder eine Reihe von Übermittlungen, einschließlich der Kategorien personenbezogener Daten, der Art der Verarbeitung und ihrer Zwecke, der Art der betroffenen betroffenen Personen und der Identifizierung des betreffenden Drittlandes bzw. der betreffenden Drittländer;

    • (c) ihre Rechtsverbindlichkeit sowohl nach innen als auch nach außen;

    • (d) die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien personenbezogener Daten, Maßnahmen dazu Gewährleistung der Datensicherheit und der Anforderungen in Bezug auf die Weitergabe an Stellen, die nicht an die verbindlichen Unternehmensregeln gebunden sind;

    • (e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die Mittel zur Ausübung dieser Rechte, einschließlich des Rechts, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, einschließlich Profiling gemäß Artikel 22, dem Datenschutzbeauftragten und vor einem Gericht in gemäß Artikel 79 (siehe Abschnitt 180 des Gesetzes von 2018) und um Wiedergutmachung und gegebenenfalls Entschädigung für einen Verstoß gegen die verbindlichen Unternehmensregeln zu erhalten;

    • (f) die Akzeptanz der Haftung des im Vereinigten Königreich ansässigen Verantwortlichen oder Auftragsverarbeiters für etwaige Verstöße gegen die verbindlichen Unternehmensregeln durch ein betroffenes Mitglied, das nicht im Vereinigten Königreich ansässig ist; Der Verantwortliche oder der Auftragsverarbeiter ist von dieser Haftung nur dann ganz oder teilweise befreit, wenn er nachweist, dass das betreffende Mitglied für das schadensverursachende Ereignis nicht verantwortlich ist.

    • (g) wie die Informationen über die verbindlichen Unternehmensvorschriften, insbesondere über die in den Buchstaben (d), (e) und (f) dieses Absatzes genannten Bestimmungen, den betroffenen Personen zusätzlich zu den Artikeln 13 und 14 bereitgestellt werden;

    • (h) die Aufgaben eines gemäß Artikel 37 benannten Datenschutzbeauftragten oder einer anderen natürlichen oder juristischen Person, die für die Überwachung der Einhaltung der verbindlichen Unternehmensvorschriften innerhalb der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, zuständig ist, sowie Überwachung von Schulungen und Beschwerdebearbeitung;

    • (i) die Beschwerdeverfahren;

    • (j) die Mechanismen innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, um die Überprüfung der Einhaltung der verbindlichen Unternehmensvorschriften sicherzustellen. Zu diesen Mechanismen gehören Datenschutzprüfungen und Methoden zur Sicherstellung von Korrekturmaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse dieser Überprüfung sollten der in Buchstabe h genannten Person oder Organisation und dem Vorstand des beherrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und verfügbar sein auf Anfrage beim Kommissar;

    • (k) die Mechanismen zur Meldung und Aufzeichnung von Änderungen der Regeln und zur Meldung dieser Änderungen an den Kommissar;

    • (l) der Kooperationsmechanismus mit der Aufsichtsbehörde, um sicherzustellen, dass jedes Mitglied der Unternehmensgruppe oder eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, die Vorschriften einhält, insbesondere indem dem Kommissar die Ergebnisse der Überprüfungen der genannten Maßnahmen zur Verfügung gestellt werden in Punkt (j);

    • (m) die Mechanismen zur Meldung an den Kommissar über alle rechtlichen Anforderungen, denen ein Mitglied der Unternehmensgruppe oder eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland unterliegt und die voraussichtlich erhebliche nachteilige Auswirkungen auf das Unternehmen haben Garantien, die durch die verbindlichen Unternehmensregeln bereitgestellt werden; Und

    • (n) die entsprechende Datenschutzschulung für Personal, das ständigen oder regelmäßigen Zugriff auf personenbezogene Daten hat.
Zum Thema springen
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

Technischer Kommentar

Verbindliche Unternehmensregeln müssen:

  • Seien Sie rechtlich durchsetzbar.

  • Enthalten Sie klare Anweisungen für alle Beteiligten, Mitarbeiter und Partner.

  • Gewähren Sie den betroffenen Personen konkrete Rechte.

  • Enthalten ein Mindestmaß an technischen, vertraglichen und rechtlichen Informationen (auch „Mindestinhalt“ genannt).

  • Sie durchlaufen ein Genehmigungsverfahren, das die Vereinbarung vor der zuständigen Datenschutzbehörde ratifiziert.

ISO 27701 Klausel 7.5.1 (Identifizieren Sie die Grundlage für die PII-Übertragung zwischen Gerichtsbarkeiten) und EU-DSGVO Artikel 47

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 47 (1)(a), 47 (1)(b), 47 (1)(c), 47 (2)(a), 47 (2)(b), 47 ( 2)(c), 47 (2)(d), 47 (2)(e), 47 (2)(f), 47 (2)(g), 47 (2)(h), 47 (2) (i), 47 (2)(j), 47 (2)(k), 47 (2)(l), 47 (2)(m), 47 (2)(n) und 47 (3)

Von Zeit zu Zeit kann es erforderlich sein, personenbezogene Daten zwischen zwei verschiedenen Gerichtsbarkeiten zu übertragen. In diesem Fall sollten Organisationen die Notwendigkeit dafür begründen und dokumentieren.

Die regionalen behördlichen und rechtlichen Vorschriften variieren je nachdem, woher die Daten stammen und wohin sie übertragen werden.

Organisationen sollten alle relevanten Gesetze, Rahmenwerke und Vorschriften berücksichtigen, wann immer sie Daten zwischen Gerichtsbarkeiten übertragen müssen, einschließlich der Nutzung einer benannten Aufsichtsbehörde.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-ArtikelISO 27701-KlauselUnterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 47 (1)(a) bis 47 (3)ISO 27701 7.5.1Andere

Wie ISMS.online hilft

Mit ISMS.online ist es für Sie einfach, sich direkt auf den Weg zur DSGVO-Konformität zu machen und ganz einfach ein Schutzniveau nachzuweisen, das über „angemessen“ hinausgeht – und das alles an einem sicheren, immer verfügbaren Ort, auf den Sie von überall aus zugreifen können.

Sollten Sie zu irgendeinem Zeitpunkt auf Ihrem Weg zur DSGVO, aus welchen Gründen auch immer, einen Mangel an Selbstvertrauen, Handlungsfähigkeit oder Tatkraft verspüren, können wir Ihnen unser Team interner Experten zur Verfügung stellen oder einen unserer vertrauenswürdigen Partner zur Unterstützung empfehlen Sie bei der Erreichung Ihrer Ziele.

Erfahren Sie mehr von Planen einer Demo.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren