Artikel 29 Gruppe veröffentlicht Leitlinien für Binding Corporate Rules für die datenverarbeitende Stelle
Nachdem die Artikel 29 Datenschutzgruppe bereits im Jahr 2008 die Anforderungen an Binding Corporate Rules für die verantwortliche Stelle (Controller) dargelegt hat, soll ein neues Arbeitspapier der datenverarbeitenden Stelle (Processor) aufzeigen, welche Bedingungen für den rechtlich wirksamen Einsatz von Binding Corporate Rules zu erfüllen sind.
Zu diesem Zweck hat die Artikel 29 Gruppe einen Leitfaden ausgearbeitet. In dessen erstem Teil findet sich eine Liste, anhand derer man Punkt für Punkt prüfen kann, ob sämtliche Voraussetzungen für die Wirksamkeit von Binding Corporate Rules vorliegen. Hier wird einerseits dargestellt, welche Anforderungen an die Binding Corporate Rules selber zu stellen sind, andererseits wird darauf eingegangen, welche Erfordernisse bei dem Antrag zur Genehmigung von Binding Corporate Rules zu beachten sind. Insgesamt ergibt sich so eine neunseitige Liste, die über 20 Einzelpunkte zu bedenken gibt. Dabei werden vielfach erläuternde Beispiele zur besseren Verständlichkeit genannt.
Im zweiten Teil des Leitfadens fordert die Artikel 29 Gruppe dazu auf, Binding Corporate Rules mit einem Service-Level-Agreement zu verbinden und führt aus, welche Verpflichtungen in Bezug auf Binding Corporate Rules in einem Service-Level-Agreement aufgenommen werden sollten.