DOJ Enforcement Under the National Security Division’s Data Security Program

Der Schutz sensibler Daten war noch nie so wichtig wie heute. In einer globalisierten Welt mit hochentwickelten Cyber-Bedrohungen, ausgeklügelten Spionagetechniken und der Monetarisierung externer Daten ist eine erhöhte Sicherheit entscheidend, um sensible Informationen vor Diebstahl und Missbrauch zu schützen. Die kürzlich erfolgte Einführung des Datensicherheitsprogramms (DSP) des Justizministeriums (DOJ) zeigt, wie ernst die Regierung die Bedrohung durch den Zugriff ausländischer Gegner auf solche Daten nimmt. US-Bürger und -Unternehmen, die personenbezogene Daten von Amerikanern aggregieren oder Informationen sammeln, die mit Mitarbeitern der US-Regierung in Verbindung stehen, unterliegen nun obligatorischen Beschränkungen und Verboten, wenn sie diese Daten an bestimmte Länder und Personen von Interesse übertragen. Da die Schonfrist für die Durchsetzung des Programms am 8. Juli 2025^[1] offiziell abgelaufen ist, drohen bei Nichtbeachtung sofortige zivil- und strafrechtliche Sanktionen.

Hintergrund

Das DSP legt im Wesentlichen Exportkontrollbeschränkungen fest, die verhindern, dass ausländische Gegner und diejenigen, die der Kontrolle und Weisung dieser Gegner unterliegen, Zugang zu Daten der US-Regierung und zu sensiblen personenbezogenen Daten aus den USA in großem Umfang erhalten.

Die DSP wurde gemäß dem International Emergency Economic Powers Act (IEEPA) und in Übereinstimmung mit der Executive Order 14117 erlassen, die sich auf die Verhinderung des Zugriffs auf sensible personenbezogene Daten von US-Bürgern und Daten im Zusammenhang mit der US-Regierung durch bestimmte Länder bezieht.^[2] Obwohl das Programm am 8. April 2025 in Kraft treten sollte, kündigte die National Security Division (NSD) des DOJ eine 90-tägige Verzögerung der Durchsetzungsmaßnahmen an, um US-Bürgern und -Unternehmen zusätzliche Zeit für die Umsetzung der erforderlichen Änderungen zur Einhaltung der Vorschriften und für die Zusammenarbeit mit der NSD in DSP-bezogenen Fragen zu geben.

Nachdem die Übergangsfrist nun abgelaufen ist, wird von Einzelpersonen und Unternehmen die vollständige Einhaltung der Vorschriften erwartet, und die NSD kann damit beginnen, mögliche Verstöße zu ahnden. Das DSP soll den anhaltenden Bemühungen ausländischer Gegner entgegenwirken, kommerzielle Aktivitäten zu nutzen, um Zugang zu bestimmten Kategorien von Daten der US-Regierung und sensiblen personenbezogenen Daten zu erhalten, diese auszunutzen und als Waffen einzusetzen. Da das Programm im Einklang mit verschiedenen Prioritäten der Trump-Regierung steht, sollten US-Unternehmen mit einer aggressiven Durchsetzung rechnen und sicherstellen, dass sie die Vorschriften einhalten.^[3]

Abgedeckte Länder und Personen

Die DSP schränkt US-Personen und -Unternehmen ein und verbietet ihnen bestimmte Transaktionen im Zusammenhang mit Daten der US-Regierung und personenbezogenen Daten von US-Bürgern mit „betroffenen Ländern“ oder „betroffenen Personen“.

Am 11. April 2025 veröffentlichte die NSD einen Compliance-Leitfaden zum DSP, in dem die folgenden Länder als „Länder von besonderem Interesse“ identifiziert wurden:

China (einschließlich Hongkong und Macau)
Kuba
Iran
Nordkorea
Russland
Venezuela

Diese Länder wurden als Länder identifiziert, die die Absicht und Fähigkeit haben, regierungsbezogene Daten und sensible personenbezogene Daten von US-Bürgern zu nutzen, um die nationale Sicherheit der USA durch verschiedene spezifische Mittel zu gefährden.^[4]

„Betroffene Personen“ werden in der endgültigen Regelung wie folgt beschrieben: (1) ausländische Unternehmen mit Sitz in einem betroffenen Land oder nach dessen Recht gegründet oder mehrheitlich im Besitz eines oder mehrerer betroffener Länder oder anderer betroffener Personen, (2) ausländische Unternehmen, die mehrheitlich im Besitz eines betroffenen Landes oder einer anderen betroffenen Person sind, (3) ausländische Personen, die Angestellte oder Auftragnehmer eines betroffenen Landes oder einer betroffenen Person sind, (4) ausländische Personen, die ihren Hauptwohnsitz in einem betroffenen Land haben, und (5) Personen, die von der NSD benannt und öffentlich identifiziert werden.^[5] In Bezug auf Unterkategorie (5) benennt die NSD Personen und fügt sie einer veröffentlichten Liste der betroffenen Personen hinzu, nachdem sie festgestellt hat, dass diese Personen bestimmte Kriterien erfüllen, z. B. dass sie dem Eigentum und der Kontrolle eines betroffenen Landes unterliegen.^[6]

Abgedeckte und ausgenommene Datentransaktionen

Um festzustellen, ob die Anforderungen des DSP für eine bestimmte US-Person oder -Organisation gelten, ist es wichtig, die Art der betreffenden Daten und die vom Programm abgedeckten Transaktionen zu verstehen. Wenn ein Unternehmen Daten verarbeitet, die unter das Programm fallen, wird es unter bestimmten Umständen eingeschränkt oder sogar daran gehindert, solche Informationen zu übertragen.

Abgedeckte Transaktionen: Jede Transaktion, die den Zugriff eines der betroffenen Länder oder einer der betroffenen Personen auf staatliche Daten oder sensible personenbezogene Daten aus den USA in großem Umfang beinhaltet, unterliegt den DSP-Beschränkungen. Um als „abgedeckte Transaktion” zu gelten, muss die Transaktion außerdem (1) Datenbrokerage, (2) einen Lieferantenvertrag, (3) einen Arbeitsvertrag oder (4) einen Investitionsvertrag beinhalten.^[7]

„Behördliche Daten“: Bestimmte Geolokalisierungsdaten im Zusammenhang mit behördlichen Aktivitäten,^[8] und alle sensiblen personenbezogenen Daten, unabhängig von ihrem Umfang, die eine Transaktionspartei als mit aktuellen oder ehemaligen Mitarbeitern oder Auftragnehmern der Regierung der Vereinigten Staaten verknüpft oder verknüpfbar vermarktet, wie beispielsweise ein US-Unternehmen, das den Verkauf einer Reihe sensibler personenbezogener Daten als „Regierungsmitarbeiter” bewirbt.^[9]

„Große Mengen sensibler personenbezogener Daten aus den USA“: Eine Sammlung oder ein Satz sensibler personenbezogener Daten in Bezug auf US-Personen in beliebiger Form.^[10] „Sensible personenbezogene Daten“ umfassen (1) erfasste personenbezogene Identifikatoren, (2) präzise Geolokalisierungsdaten, (3) biometrische Identifikatoren, (4) menschliche Genomdaten, (5) personenbezogene Gesundheitsdaten und (6) personenbezogene Finanzdaten oder eine beliebige Kombination davon.^[11]

Im Rahmen des DSP gibt es zwei allgemeine Kategorien von Transaktionen, die unter das Programm fallen: 1) Verbotene Transaktionen und 2) Beschränkte Transaktionen.

Verbotene Transaktionen: Betreffen im Allgemeinen den Datenhandel mit einem betroffenen Land oder einer betroffenen Person und verbieten allen US-Personen die Teilnahme an einer betroffenen Transaktion, vorbehaltlich bestimmter Ausnahmen, sowie Transaktionen, die den Zugriff eines betroffenen Landes oder einer betroffenen Person auf bestimmte sensible US-Massendaten beinhalten.^[12]

Eingeschränkte Transaktionen: Umfassen im Allgemeinen Datentransaktionen im Rahmen von Lieferantenverträgen, Arbeitsverträgen oder Investitionsvereinbarungen, vorbehaltlich bestimmter Ausnahmen, die eingeschränkt sind, sofern die US-Person bestimmte Sicherheitsanforderungen nicht erfüllt.^[13]

Ausgenommene Transaktionen: Einige Transaktionen sind von den ansonsten geltenden Verboten und Beschränkungen ausgenommen. Zu diesen Ausnahmen gehören unter anderem:

Informationen oder Informationsmaterialien;
Finanzdienstleistungen;
Transaktionen innerhalb einer Unternehmensgruppe (die üblicherweise mit der Verwaltung oder dem Nebengeschäft verbunden sind und Teil davon sind);
Transaktionen, die durch Bundesgesetze oder internationale Abkommen vorgeschrieben oder genehmigt sind;
Investitionsvereinbarungen, die einer CFIUS-Maßnahme unterliegen;
Telekommunikationsdienstleistungen;
Zulassungen für Arzneimittel, biologische Produkte und Medizinprodukte; und
Andere klinische Untersuchungen und Daten aus der Überwachung nach dem Inverkehrbringen (die in der Regel mit klinischen Untersuchungen einhergehen und Teil davon sind, die von der US-amerikanischen Food and Drug Administration reguliert werden, oder die Erhebung und Verarbeitung bestimmter klinischer Versorgungsdaten oder Daten aus der Überwachung nach dem Inverkehrbringen).^[14]

Lizenzen

Das DOJ kann über die NSD allgemeine oder spezifische Lizenzen für die Durchführung einer Datenübertragung erteilen, die andernfalls gegen das DSP verstoßen würde. Eine allgemeine Lizenz genehmigt eine bestimmte Art von Transaktion, vorbehaltlich Verboten oder Beschränkungen, ohne dass eine spezifische Lizenz beantragt werden muss.^[15] Eine spezifische Lizenz ist ein Dokument, das von der NSD an eine bestimmte Person oder Einrichtung ausgestellt wird und eine bestimmte Transaktion genehmigt.^[16]

Umsetzung und Durchsetzung durch das Justizministerium

Das DSP wird von der Abteilung für die Überprüfung ausländischer Investitionen (Foreign Investment Review Section, FIRS) des NSD verwaltet und durchgesetzt, die für die nicht strafrechtlichen Maßnahmen des DOJ zur Bekämpfung und Bewältigung von Risiken für die nationale Sicherheit im Zusammenhang mit grenzüberschreitenden Transaktionen, Geschäften und Technologien zuständig ist, die durch Bedrohungen wie ausländische Gegner entstehen. Die FIRS kann auch Anträge auf beratende Stellungnahmen bearbeiten, die von potenziell regulierten Parteien bezüglich der Anwendung des DSP auf bestimmte Transaktionen eingereicht werden, was ein Mechanismus ist, der in der endgültigen Regelung zum DSP verankert ist.^[17]

Zivil- oder strafrechtliche Verfahren im Zusammenhang mit Verstößen gegen das DSP werden wahrscheinlich vom NSD bearbeitet oder an die zuständige US-Staatsanwaltschaft weitergeleitet. US-Unternehmen sollten davon ausgehen, dass die Durchsetzung des DSP weitgehend den traditionellen Maßnahmen bei Verstößen gegen Exportkontrollen oder Sanktionen entspricht. Sowohl das DSP als auch die US-Wirtschaftssanktionen leiten ihre Befugnisse aus dem IEEPA ab. Die zivil- und strafrechtliche Haftung nach dem IEEPA kann erheblich sein, mit zivilrechtlichen Strafen von bis zu 386.136 US-Dollar oder dem doppelten Wert jeder rechtswidrigen Transaktion, je nachdem, welcher Betrag höher ist, und strafrechtlichen Strafen von bis zu 20 Jahren Haft, einer Geldstrafe von 1.000.000 US-Dollar oder beidem.^[18] Daher sollten US-Personen oder -Unternehmen, deren Aktivitäten in den Geltungsbereich des DSP fallen könnten, frühzeitig und regelmäßig einen Rechtsbeistand hinzuziehen, um sicherzustellen, dass die entsprechenden Compliance- und Meldepflichten erfüllt werden.

Wichtige Erkenntnisse und Empfehlungen

US-Personen und -Unternehmen, die noch nicht mit der Planung für die vollständige Umsetzung des DSP begonnen haben, sollten unverzüglich die erforderlichen Maßnahmen ergreifen. Zu den betroffenen Unternehmen können gehören:

Cloud-Dienstleister

Anbieter virtueller Dienste

Datenverarbeitungszentren

Hersteller von Medizinprodukten

Akademische Einrichtungen

Datenanalyseunternehmen und Berater

Regierungsauftragnehmer im Verteidigungs- oder Gesundheitswesen

Wie bei Maßnahmen zur Einhaltung von Exportkontrollvorschriften sollten diese US-Personen und -Unternehmen einen in diesem Bereich erfahrenen Rechtsbeistand beauftragen, um Folgendes durchzuführen:

Führen Sie interne Überprüfungen und Audits durch, um potenziellen Zugriff auf erfasste Daten oder Transaktionen zu identifizieren, die den Fluss solcher Daten in erfasste Länder oder an erfasste Personen beinhalten.

Implementieren Sie Richtlinien, Verfahren und Schulungen zu Datensicherheit und zur Übertragung von oder zum Zugriff auf Daten, die mit der US-Regierung in Zusammenhang stehen, oder auf sensible personenbezogene Daten aus den USA in großen Mengen.

Bestimmen Sie die Anwendbarkeit allgemeiner Lizenzen oder die Notwendigkeit, spezifische Lizenzen für verbotene oder eingeschränkte Transaktionen zu beantragen.

Implementieren Sie ein Compliance-Programm, um Transaktionen zu verfolgen, regelmäßige Sorgfaltsprüfungen durchzuführen und genaue Aufzeichnungen zu führen.

Beauftragen Sie einen Anwalt mit der Ausarbeitung oder Überarbeitung von Lieferantenverträgen, führen Sie Due-Diligence-Prüfungen durch und arbeiten Sie bei Bedarf mit Behörden wie dem DOJ zusammen.

Passen Sie die Arbeitsorte, Rollen oder Verantwortlichkeiten Ihrer Mitarbeiter je nach Nähe oder Kontakt zu betroffenen Ländern oder betroffenen Personen an.

Implementieren Sie die Sicherheitsanforderungen der Cybersecurity and Infrastructure Agency (CISA).

Die Umsetzung dieser Maßnahmen wird US-Unternehmen und -Personen dabei helfen, sich angemessen auf zu erwartende Durchsetzungsmaßnahmen vorzubereiten.

Betroffene Unternehmen und Personen sollten sich außerdem den 6. Oktober 2025 vormerken. Ab diesem Datum müssen Unternehmen und Einzelpersonen die Sorgfalts- und Prüfungsanforderungen für eingeschränkte Transaktionen sowie die Meldepflichten für eingeschränkte Transaktionen und abgelehnte verbotene Transaktionen erfüllen.

Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich bitte an einen der Autoren oder Ihren Anwalt bei Foley & Lardner. Wenn Sie über zukünftige Aktualisierungen zu „Was jedes multinationale Unternehmen wissen sollte“ über die Geschäftstätigkeit in der heutigen komplexen Welt des internationalen Handels informiert werden möchten, melden Sie sich bitte für unseren Blog zu Zöllen und internationalem Handel an – Klicken Sie hier, um sich zu registrieren.

***

[1] „DATENSICHERHEITSPROGRAMM: RICHTLINIE ZUR UMSETZUNG UND DURCHSETZUNG BIS ZUM 8. JULI 2025“, Justizministerium (11. April 2025), https://www.justice.gov/opa/media/1396346/dl?inline

[2] Siehe 50 U.S.C. § 1705; siehe auch Executive Order 14117, „Verhinderung des Zugriffs auf sensible personenbezogene Daten von US-Bürgern und Daten im Zusammenhang mit der US-Regierung durch bestimmte Länder“ (28. Februar 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related

[3] Das Weiße Haus, „American First Investment Policy“ (21. Februar 2025), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; Das Weiße Haus, „Fact Sheet: Präsident Donald J. Trump setzt Iran erneut unter maximalen Druck“ (4. Februar 2025), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/

[4] „DATA SECURITY PROGRAM: COMPLIANCE GUIDE“ (Datenschutzprogramm: Leitfaden zur Einhaltung der Vorschriften), Justizministerium (11. April 2025), https://www.justice.gov/opa/media/1396356/dl

[5] Siehe §§ 202.211(a)(1)-(5)

[6] Siehe § 202.701

[7] Siehe §§ 202.214, 202.258, 202.217 und 202.228.

[8] Siehe § 202.222(a)(1)

[9] Siehe § 202.222(b)

[10] Siehe § 202.206

[11] Siehe § 202.249

[12] Siehe §§ 202.301-303

[13] Siehe § 202.401

[14] Siehe §§ 202.501-511

[15] Siehe § 202.801

[16] Siehe § 202.802

[17] Siehe § 202.901

[18] Siehe § 202.1301; siehe auch 50 U.S.C. § 1705

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

Mann in marineblauem Anzug und Krawatte, der vor einem unscharfen Hintergrund einer Anwaltskanzlei steht, in die Kamera schaut und lächelt.

[email protected]

Washington, D.C. 202.295.4110

[email protected]

Tampa 813.225.4161

[email protected]

Milwaukee 414.297.5519

Ein Mann in dunklem Anzug, weißem Hemd und roter Krawatte steht in einem hell erleuchteten Büroflur einer Anwaltskanzlei, schaut in die Kamera und lächelt leicht.

[email protected]

Washington, D.C. 202.295.4103

DOJ-Durchsetzung im Rahmen des Datensicherheitsprogramms der Abteilung für nationale Sicherheit

Hintergrund

Abgedeckte Länder und Personen

Abgedeckte und ausgenommene Datentransaktionen

Lizenzen

Umsetzung und Durchsetzung durch das Justizministerium

Wichtige Erkenntnisse und Empfehlungen

Autor(en)

John F. Korba

Joseph W. Swanson

David W. Simon

Christopher Swift

Verwandte Einblicke

Mexikanischer Zoll-Tsunami im Januar 2026: Maquilas sind nicht immun

Was jedes multinationale Unternehmen wissen sollte über … die Wahrung des Rechts auf Zollrückerstattungen gemäß IEEPA (aktualisiert mit FAQs)

Oma wurde von einem Rentier geprüft