German American Law Journal :: Articles Edition
Articles Edition  




logo for German American Law Journal


Vertragserfüllung in den USA

USA: Jeder Staat mit eigenem Recht

Googles Haftung für Bildersuche


Internationaler Ausforschungsbeweis


Punitive Damages
im Supreme Court: State Farm


Auf Deutsch: US-Recht
Zivil-/Zivilprozessrecht
Öffentliches Recht
Straf-/Strafprozessrecht
Sonstiges

In English: German Law
Civil Law
Public Law
Criminal Law
Miscellaneous

Authors / Verfasser
A - L
M - Z

Alumni Publications

Wahlstation Washington



© 1991-2017 C. Kochinke, Rechtsanwalt u. Attorney at Law, Washington, DC, USA
Datenschutz: Compliance-Management in den USA


von Julia Blees *
Erstveröffentlichung: 20. Dezember 2015


Risiko- und Compliancebeachtung sind aufgrund der stetigen Entwick­lung der Technik unumgänglich. Was früher hauptsächlich ein Problem in großen, multi-nationalen Unternehmen war, ist heute auch in kleineren Unternehmen relevant und bedarf der näheren Betrachtung.

Im 19. Jahrhundert waren die USA im Datenschutz Vorreiter unter dem Begriff Privacy. Im späten 20. Jahrhundert fielen sie weit zurück. Datenschutz-Compliance ist weit weniger im Bewusstsein von US-Unter­nehmen präsent. Mittlerweile gibt es auch in den Vereinigten Staaten einige Regelungen zu Compliance Angelegenheiten, wobei sich das gesamte Thema dort - im Vergleich zur Europäischen Union, die Regelungen zur Datenschutz Compliance kennt - noch in der Entwicklung befindet. Den Begriff Datenschutz gibt es in den USA nicht im Sinne von Data Protection, sondern eher im Sinne des Schutzes der Privat­sphäre. Vereinzelte Datenschutzgesetze gibt es in den Vereinigten Staaten seit den Siebziegern.1 Doch haben sich datenschutzrechtliche Regelungen in den USA im Vergleich zur EU nicht universal entwickelt und durchgesetzt.

Compliance ist ein Begriff für die Einhaltung von Gesetzen und Richtlinien, aber auch von freiwilligen Kodizes, in Unternehmen. Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens, zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen in einem Unternehmen wird als Compliance­management­system bezeichnet.2

Unternehmen brauchen Profis, die ein auf jedes Unternehmen eigens zugeschnittenes Corporate Risk Management (Compliance­managementsystem) entwickeln und umsetzen. Hierbei sind jeweils die eigenen Charaktere und Voraussetzungen der unterschiedlichen Unternehmen zu beachten. Grundsätzlich müssen zunächst die Risiken erforscht und sodann ein Plan zur Minimierung dieser Risiken aufgestellt werden. Dabei stellen sich wichtige Überlegungen:

1. Warum ist ein Compliance Programm notwendig?

In jedem Unternehmen wächst die Ansammlung, Speicherung und Nutzung von personen- oder fallbezogenen Daten. Aufgrund der Globalisierung werden darüber hinaus grenzüberschreitend Unternehmen aus fremden Ländern, etwa als Subunternehmer tätig. Auch der Kundenstamm entwickelt sich international aufgrund der großen Vielfalt an Onlineshops, zu denen jeder auf der ganzen Welt Zugriff hat. Aufgrund dieser globalen Entwicklung weitet sich auch die Rechtsetzung aus. Die soeben genannten Subunternehmer aus fremden Ländern haben aber aufgrund ihrer Stellung allesamt Zugriff auf Daten der kooperierenden Unternehmen. Und auch die Bevölkerung ist sensibler für das Thema Datenschutz, als sie es noch vor einigen Jahren war. Aus all diesen genannten Gründen ist es somit für Unternehmen unumgänglich, ein Compliancemanagementsystem zu entwickeln und umzusetzen.

Allerdings ist zu beachten, dass es kein one-size-fits-all für Compliance Programme geben kann. Dies ergibt sich, wie eben dargelegt, aus der Mannigfaltigkeit der Unternehmen. Es muss also auf die Unterschiede jeder einzelnen Firma eingegangen werden; man benötigt also ein Grundverständnis von der Natur, der Struktur und der Fokussierung eines jeden Unternehmens.

2. Wie strukturiert man ein Compliance Modell?

Grundsätzlich gilt, dass es nicht auf die vom Unternehmen gewählte Struktur ankommt, sondern nur auf die Wirksamkeit eines Compliance Programms für die jeweilige Firma. Hier muss auf Folgendes geachtet werden:

, - Datenschutz spielt eine Schlüsselrolle für das Gesellschafts-Risiko-Management
- das Datenschutzteam kann Entscheidungen beeinflussen
- eine bestimmte Person leitet die Compliance Abteilung

Es gibt zwei unterschiedliche Datenschutz-Compliance-Modelle, die im Folgenden kurz dargestellt werden:

- CPO (Chief Privacy Officer)
Dieses Modell ist die klassische Herangehensweise der Strukturierung. Dies ist auch für viele Unternehmen die effektivste Lösung, da eine einzelne Person zur Entscheidungsfindung berufen ist und die Schritte zum Ziel somit minimiert werden.
- Privacy Working Group
Dieses Modell ist für Unternehmen mit vielen Abteilungen geeignet, die jeweils unabhängig arbeiten. Grundsätzlich ist dieses Modell weniger effektiv als das CPO-Modell, da hier die einzelnen Mitglieder der Privacy Working Group nur wenig direkte Verantwortung innehaben und der Weg zum Ziel somit verlängert und verkompliziert wird.

3. Welche sind die Schlüsselpersonen im Rahmen des Datenschutz Compliance Progamms?

- CPO
- Privacy Director
- Privacy Programm Manager (Programmmanager)
- Privicy Analyst (Analytiker)
- Privacy Attorney (Anwalt)

Diese Personen sind typischerweise im Rahmen der Compliance Programme verantwortlich für einen reibungslosen Ablauf und eine reibungslose Umsetzung.

4. Was sind die Kernfunktionen des Compliance Programms?

- Entwicklung eines Compliance Rahmenvertrags
- funktionsübergreifende Unterstützung
- Analysieren der rechtlichen Voraussetzungen und daraus einen Compliance Plan aufstellen
- Strategien entwickeln ebenso wie interne Kontrollen
- Unterstützung bei geschäftlichen Tätigkeiten anbieten
- Privates Training ebenso wie Stärkung des Bewusstseins, sich über Hintergründe klar zu werden
- Beobachtung und Buchführung
- Auswertung und Überarbeitung von Kontrollen, Strategien und Protokollen3

Jedes Unternehmen sollte diese Aspekte in die Compliance-Risk-Programme aufnehmen und umsetzen, um Haftungsrisiken effizient zu minimieren.

5. Fazit

Zusammenfassend empfiehlt sich heute für alle Unternehmen auch in den USA ein Compliancesystem zur Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung.


Fußnoten:

1 Kochinke, Kommentar US-Recht auf Deutsch, S. 17ff.
2 WPg Supplement 2/2011, S. 78 ff., FN-IDW 4/2011, S. 203 ff.
3 Practical Law - The Journal, Dezember 2015/Januar 2016, S. 42ff.

* Julia Blees ist Rechtsassessorin. Sie absolvierte ihr Rechtsreferendariat im Oberlandesgerichtsbezirk Koblenz und studierte zuvor Rechtswissenschaften an der Universität Trier. Bei Berliner, Corcoran & Rowe, LLP unter der Leitung des deutsch-amerikanischen Rechtsanwalts Clemens Kochinke, Attorney at Law, absolvierte sie 2015 die dreimonatige Anwaltsstation ihres Rechtsreferendariats. Dieser Bericht entstand während eines Forschungsaufenthalts in Washington, D.C.