RA Prof. Dr. Lothar Determann*

USA beschränken internationale Datentransfers aus Sicherheitsgründen

Kurz und Knapp
Auch europäische Unternehmen müssen sich auf neuartige Beschränkungen von internationalen Datentransfers aus den USA einstellen. Mit zwei Gesetzen und einer strafbewehrten Verordnung verfolgen die USA geopolitische Sicherheitsziele und weichen deutlich von herkömmlichen Datenschutzregeln, Datenvorhaltepflichten und Datenresidenzgesetzen ab.

Bis 2024 hatten die Vereinigten Staaten den Transfer personenbezogener Daten in andere Länder nicht eingeschränkt und lehnten traditionell Datenvorhaltevorschriften und Transferbeschränkungen anderer Länder ab.1 Am 28. 2. 2024 erließ US-Präsident Biden eine Präsidialverordnung, Executive Order 14117 zur Verhinderung des Zugriffs auf sensible personenbezogene Daten von US-Bürgern und US-Regierungsdaten durch „besorgniserregende“ Länder.2 Als Begründung und Rechtsgrundlage verwies Präsident Biden auf zwei Krisengesetze, den International Emergency Economic Powers Act (IEEPA)3 und den National Emergencies Act (NEA).4 In Anlehnung an die Begründung der Präsidialverordnung verabschiedete der Kongress der Vereinigten Staaten im Jahr 2024 zwei neue Gesetze, die im selben Jahr in Kraft traten:5 ein „Gesetz zum Schutz von US-Amerikanern vor Anwendungen, die von ausländischen Gegnern kontrolliert werden“, auf Englisch abgekürzt „PAFACA“6 und ein „Gesetz zum Schutz der Daten von US-Bürgern vor ausländischen Gegnern“, auf Englisch abgekürzt „PADFAA.“7 Zudem legte das US-Justizministerium (DOJ; Department of Justice) den Entwurf einer „Verordnung zur Beschränkung der Verfügbarkeit personenbezogener Daten von US-Bürgern und Daten mit Regierungsbezug an besorgniserregende Länder“ vor, die auf Englisch kurz als „bulk data rule“ oder „DOJ rule“ bezeichnet wird und in diesem Beitrag DOJVO genannt wird.8 Am 8. 1. 2025, noch kurz vor dem Regierungswechsel von Präsident Biden zu Trump, erließ das US-Justizministerium die DOJVO, die drei Monate später, am 8. 4. 2025, in Kraft trat.

Datenschutzexperten sind mit Beschränkungen des internationalen Datentransfer wohlvertraut, da die Europäische Wirtschaftsgemeinschaft bereits in den 1990er Jahren solche Beschränkungen propagierte und einige andere Länder diesem Beispiel folgten.9 Dennoch empfinden viele die drei neuen US-Gesetze als schwer verständlich und schwierig in der Umsetzung. Ihr Zweck und ihr regulatorischer Ansatz unterscheiden sich deutlich von denen bestehender Datenschutzgesetze, Vorschriften zur Vorratsdatenspeicherung und Anforderungen an die Datenresidenz.10 Dies liegt daran, dass der US-Präsident, der Kongress und das US-Justizministerium (DOJ) mit den neuen US-Gesetzen in erster Linie nationale Sicherheitsaspekte verfolgten und sich weniger um Datenschutz- oder Datensicherheitsaspekte kümmerten.

I. Herkömmliche Datenübermittlungsbeschränkungen und Vorhaltepflichten

Die Europäische Wirtschaftsgemeinschaft (EWG) begann bereits 1990 mit der Arbeit an Beschränkungen internationaler Datentransfers. Im Interesse der wirtschaftlichen Integration strebte die EWG eine Harmonisierung der nationalen Datenschutzgesetze und einen freien Fluss personenbezogener Daten innerhalb des Gemeinsamen Binnenmarkts der EWG an.11 Als Schutzmaßnahme schlug die EWG in diesem Zusammenhang vor, den Transfer personenbezogener Daten in Länder außerhalb der EWG zu beschränken. Indem die Daten, aufgrund der harmonisierten Gesetze, innerhalb der EWG blieben, schützte die EWG einzelne betroffene Personen vor potenziell niedrigeren Datenschutzstandards in anderen Ländern. Gleichzeitig erschwerten die Beschränkungen des Datentransfers Unternehmen aus Drittländern den Wettbewerb auf dem Gemeinsamen Binnenmarkt der EWG. Der Schutz von Daten und Märkten – also Datenschutz, Liberalisierung des Binnenmarktes und wirtschaftlicher Protektionismus – waren die wesentlichen Beweggründe für die Beschränkungen der Datenübermittlung, die 1995 in Art. 25 und 26 der EG-Datenschutzrichtlinie aufgenommen wurden.12 Zu diesem Zeitpunkt hatte die Europäische Wirtschaftsgemeinschaft (EWG) das „e“ für „wirtschaftlich“ in ihrem Namen fallen gelassen, um die Ziele einer über die Wirtschaft hinausgehenden Integration zu betonen, und den Namen „Europäische Gemeinschaft (EG)“ angenommen. Dennoch betonte die EG im offiziellen Titel der RL 1995/46 weiterhin auch wirtschaftliche Ziele, indem sie ihre Richtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ nannte.13 Die Europäische Union (EU) trat die Nachfolge der EG an und behielt die internationalen Beschränkungen für den Datentransfer sowie ihren wirtschaftlichen Fokus auf den freien Datenfluss in ihrer VO 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – der Datenschutz-Grundverordnung (DSGVO) – bei.14 Nach dessen Art. 44 bleibt es Unternehmen innerhalb der EWG grundsätzlich verboten, personenbezogene Daten in Drittländer zu übermitteln, es sei denn, sie qualifizieren sich für einen der schwierig einzuhaltenden Erlaubnistatbestände nach Art. 45 ff. DSGVO.15

Andere Länder haben ebenfalls internationale Datenübermittlungsbeschränkungen in ihre jeweiligen Datenschutzgesetze aufgenommen, allerdings dabei auch deutlich andere Ziele verfolgt. Nach dem ersten Angriff Russlands auf die Ukraine im Jahr 2014 hat die russische Regierung das russische Datenschutzgesetz um lokale Vorhaltepflichten ergänzt (auch Residenz- oder Lokalisierungspflichten genannt), um die Verfügbarkeit personenbezogener Daten für lokale Regierungsbehörden zu Strafverfolgungs-, Geheimdienst- und nationalen Sicherheitszwecken zu verbessern und lokale IT-Unternehmen zu begünstigen.16 Damit sollte auch die Unabhängigkeit von westlichen Informationstechnologien und Anbietern erreicht werden, die in Wirtschaftsembargos besonders wichtig sind, wie sie auf den zweiten Ukraineangriff Russlands im Jahr 2022 folgten. Kasachstan, Indonesien und die Volksrepublik China folgten bald darauf mit ähnlichen Gesetzen.17

Mit seinen drei neuen Gesetzen verfolgt die USA andere Ziele und verhängt andere Arten von Beschränkungen für den internationalen Datentransfer: Im Gegensatz zu den EU-Gesetzen, die den Transfer in alle Drittländer, die nicht Mitglied des Europäischen Wirtschaftsraums (EWR) sind, generell einschränken, beschränken die USA den Transfer von US-Daten nur auf einige wenige Länder, die mit Hinblick auf nationale Sicherheitsfragen Anlass zur Sorge geben, insbesondere die Volksrepublik China (VR China), Venezuela und Länder, gegen die bereits Embargos verhängt wurden und mit denen die Vereinigten Staaten ohnehin keine Geschäfte tätigen. Im Gegensatz zu den Gesetzen Russlands und der Volksrepublik China verlangen die neuen US-Gesetze keine lokale Speicherung von Daten, um deren Verfügbarkeit für die US-Regierung sicherzustellen. Auch werden US-Unternehmen nicht durch die neuen Regeln begünstigt, sondern nur belastet, weil hauptsächlich US-Unternehmen verpflichtet werden. Somit dienen die neuen US-Beschränkungen für internationale Datenübermittlungen in erster Linie weder dem Schutz der Privatsphäre von Einzelpersonen noch Interessen der US-Wirtschaft oder der US-Regierung hinsichtlich Datenverfügbarkeit.

Mit diesen neuen Gesetzen führen die Vereinigten Staaten eine neue und zusätzliche Kategorie von Beschränkungen von internationalen Datenübermittlungen ein, die sich gegen bestimmte Länder richten, und nicht allgemein Daten im Herkunftsland zu halten versuchen, und die darauf abzielen, die nationale Sicherheit der USA vor Sicherheitsrisiken zu schützen. Welche Auswirkungen dies für Individuen, Unternehmen, Datenschutz und Märkte haben könnte, soll durch Vorstellung der neuen US-Gesetze in den folgenden Teilen II.-IV. ersichtlich gemacht und im Teil V. dieses Beitrags näher beleuchtet werden.

II. Gesetz zum Schutz von US-Amerikanern vor Anwendungen, die von ausländischen Gegnern kontrolliert werden (PAFACA)

Der US Kongress verabschiedete das „Gesetz zum Schutz von US-Amerikanern vor Anwendungen, die von ausländischen Gegnern kontrolliert werden“ (Protecting Americans from Foreign Adversary Controlled Applications Act, „PAFACA“) als Teil eines umfassenderen Haushaltsgesetzes, das verschiedenste Themen behandelte und von Präsident Biden am 24. 4. 2024 unterzeichnet wurde.18 Mit dem PAFACA will der Kongress die Nutzer in den Vereinigten Staaten vor den Risiken bestimmter, von ausländischen Mächten kontrollierter, Apps schützen. Danach unterliegen Vertreiber und Anbieter mobiler Anwendungsprogramme („mobile Apps“) bestimmten Anforderungen, die verhindern, dass solche Apps ohne angemessene Schutzmaßnahmen in den USA betrieben werden können.19

1. Geltungsbereich

In den USA ansässige Nutzer von mobilen Apps und deren Daten sind durch PAFACA geschützt.20 App-Vertreiber (z. B. App-Stores, Hosting-Anbieter,21 Netzwerkplattformen) und App-Anbieter müssen die Anforderungen von PAFACA erfüllen.22 Unternehmen außerhalb der Vereinigten Staaten sind nicht ausdrücklich von den Verboten, Sanktionen und Anforderungenausgenommen.

2. Anforderungen

Vermittler müssen „von ausländischen Gegnern kontrollierte Apps“ unverzüglich von ihren Plattformen entfernen und sperren.23 Eine „von ausländischen Gegnern kontrollierte Anwendung“ ist jede digitale Plattform, die von ByteDance, TikTok oder deren Tochtergesellschaften betrieben wird.24 Dazu gehören auch alle von ausländischen Gegnern kontrollierten Unternehmen, die vom Präsidenten als erhebliche Bedrohung für die nationale Sicherheit eingestuft werden.25 Eine solche Einstufung erfordert eine öffentliche Bekanntmachung und einen Bericht an den Kongress, der mindestens 30 Tage vor Inkrafttreten vorgelegt werden muss, und in dem die Sicherheitsbedenken und Veräußerungsanforderungen detailliert dargelegt werden.26

Anbieter mobiler Softwareanwendungsprogramme („mobile Apps“) sollten sich mit den zuständigen Behörden abstimmen, um eine „qualifizierte Veräußerung“ ausländischer Beteiligungen zu erleichtern oder, falls erforderlich, den Betrieb in den USA gemäß den gesetzlichen Fristen einzustellen.27 Vor der Einstellung einer App müssen sie den Nutzern die Möglichkeit bieten, ihre personenbezogenen Daten zu exportieren.28

3. Sanktionen und Rechtsbehelfe

Zuwiderhandlungen können mit Geldstrafen von bis zu 5000 US-Dollar pro betroffenem US-Nutzer, der auf eine verbotene App zugegriffen hat, geahndet werden.29 Darüber hinaus kann die Nichteinhaltung der Datenübertragbarkeitsverpflichtungen zu Geldstrafen von bis zu 500 US-Dollar pro Nutzer führen.30 Die Vollstreckungsbefugnis liegt beim US-Generalstaatsanwalt, der eine einstweilige Verfügung beantragen kann, um weitere Verstöße zu unterbinden oder Schutzmaßnahmen zu erzwingen.31 TikTok hat die Verfassungsmäßigkeit des PAFACA mit mehreren Gründen angefochten, aber der Oberste Gerichtshof der Vereinigten Staaten (U.S. Supreme Court) hat das Gesetz bestätigt.32 Die US-Regierung hat die Durchsetzung des PAFACA mehrfach verschoben.33 Im Dezember 2025 meldete TikTok eine Transaktion, die Präsident Trump als hinreichend billigte, um ein Verbot abzuwenden.34

III. Gesetz zum Schutz der Daten von US-Bürgern vor ausländischen Gegnern von 2024 (PADFAA)

Im April 2024 verabschiedete der US-Kongress ein „Gesetz zum Schutz der Daten von US-Bürgern vor ausländischen Gegnern“ (Protecting Americans’ Data from Foreign Adversaries Act of 2024 – PADFAA),35 das Datenhändlern den Verkauf sensibler personenbezogener Daten von US-Bürgern an die Volksrepublik China und andere, als ausländische Gegner eingestufte Länder untersagt.

1. Geltungsbereich

PADFAA schützt US-Bürger36 in Bezug auf „personenbezogene sensible Daten“,37 darunter staatliche Ausweis- und Reisepassdaten, Gesundheitsdaten, Finanzdaten, biometrische und genetische Daten, genaue Standortdaten, private Kommunikation, Benutzeranmeldedaten, Informationen über Sexualverhalten, persönliche Medien, Fotos, die private Bereiche zeigen, Videonutzungsdaten, Informationen über Minderjährige, Daten zu Rasse/Ethnie/Religion, Profile von Online-Aktivitäten, Militärstatus und sonstige Daten, die Schlüsse auf die vorgenannten Datenkategorien zulassen.38

Datenhändler sind durch PADFAA verpflichtet, also Unternehmen, die Daten von US-Bürgern verkaufen oder anderweitig veräußern, die sie nicht direkt von den US-Bürgern erhoben haben.39 Der Begriff „Datenhändler“ schließt Unternehmen aus, die Daten auf Wunsch der Betroffenen übermitteln; Produkte anbieten, bei denen Daten nicht das Hauptangebot sind; Nachrichten berichten; öffentlich zugängliche Informationen verbreiten; oder Daten als Auftragsverarbeiter verarbeiten.40 Ausgeschlossene öffentliche Informationsquellen sind Bücher, Zeitschriften, Verzeichnisse, Filme, Fernseh- und Radioprogramme, Nachrichtenmedien und uneingeschränkt zugängliche öffentliche Webseiten, jedoch keine mit obszönen visuellen Darstellungen.41 Unternehmen außerhalb der Vereinigten Staaten sind nicht ausdrücklich von den Verboten ausgenommen.

2. Anforderungen

Datenhändlern ist es untersagt, personenbezogene sensible Daten von US-Bürgern an feindliche ausländische Staaten oder von feindlichen ausländischen Staaten kontrollierte Organisationen zu verkaufen, zu lizenzieren, zu vermieten, zu handeln, zu übertragen, freizugeben, offenzulegen, zugänglich zu machen oder auf andere Weise verfügbar zu machen.42

3. Sanktionen und Rechtsmittel

Die Federal Trade Commission (FTC), eine Bundesbehörde zur Bekämpfung unlauteren Wettbewerbs, kann PADFAA mit Wettbewerbsrechtsmitteln im FTC Act durchsetzen.43 Zuwiderhandlungen können mit erheblichen zivilrechtlichen Strafen für jeden Verstoß sowie ggf. mit Unterlassungsklagen und Unterlassungsanordnungen gemäß dem FTC Act geahndet werden.44 Zwei Datenschutzverbände beantragten Anfang 2025 öffentlich, dass die FTC PADFAA gegen ein digitales Werbungsunternehmen mit Hauptsitz in den USA durchsetze,45 aber Ende 2025 gab es noch keine Anzeichen, dass die FTC Verfahren nach PADFAA eingeleitet hat.

IV. DOJVO gegen den Zugriff auf US-Daten durch besorgniserregende Länder

Am 8. 1. 2025 hat das US-Bundesjustizministerium (DOJ) eine Verordnung zur Beschränkung der Verfügbarkeit personenbezogener Daten von US-Bürgern und Daten mit Regierungsbezug an besorgniserregende Länder (DOJVO)46 erlassen, die am 8. 4. 2025 in Kraft trat, vorbehaltlich einer Übergangsfrist bis zum 8. 7. 2025, die das DOJ am 11. 4. 2025 bekanntgab.47 Die DOJVO soll verhindern, dass als besorgniserregend eingestufte Länder, Personen oder Unternehmen Zugang zu umfangreichen US-Datensätzen erhalten, was die nationale Sicherheit gefährden könnte. Der US-Generalstaatsanwalt, im Einvernehmen mit den Außen- und Wirtschaftsministern in der Biden-Regierung sperrten anfänglich die folgenden Länder als besorgniserregend: China (VR China, Hong Kong, und Macau),48 Kuba, Iran, Nordkorea, Russland und Venezuela.49 Die neue US-Generalstaatsanwältin Bondi, im Einvernehmen mit den Außen- und Wirtschaftsministern Rubio und Lutnick in der Trump-Regierung können diese Schwarzliste jederzeit in ihrem Ermessen durch Verwaltungsbescheid ändern.50

1. Geltungsbereich

Alle Personen in den USA51 sind in Bezug auf bestimmte Kategorien personenbezogener Daten geschützt, vorbehaltlich bestimmter „Mengen“-Schwellenwerte für Genomdaten (100 US-Personen),52 biometrische Identifikatoren (1000 US-Personen),53 präzise Geolokalisierungsdaten (1000 US-Geräte),54 persönliche Gesundheitsdaten (10 000 US-Personen),55 persönliche Finanzdaten (10 000 US-Personen),56 und bestimmte persönliche Identifikatoren (100 000 US-Personen).57 Aktuelle und ehemalige US-Regierungsbeamte sind ebenfalls in Bezug auf regierungsbezogene Daten geschützt, einschließlich präziser Ortsdaten für ausgewiesene sensible Bereiche und sensible personenbezogene Daten. Für regierungsbezogene Daten gelten keine Mengenbeschränkungen.58

Alle US-Personen, einschließlich Unternehmen und Einzelpersonen, die an einer erfassten Datentransaktion beteiligt sind, müssen diese Vorschriften einhalten.59 Ausländische Personen und Organisationen unterliegen hingegen nur wenigen spezifischen Anforderungen. Sie müssen sich jeglicher Umgehung, Hinterziehung und Verschwörung enthalten.60

2. Anforderungen

Unternehmen müssen gemäß der DOJVO61 verbotene Transaktionen unterlassen, es sei denn, es gelten Ausnahmeregelungen oder das DOJ erteilt eine Genehmigung.62 Das Bundesjustizministerium definiert Datentransaktionen breit als jede Transaktion, die Zugang zu Regierungsdaten oder sensiblen personenbezogenen Daten über Schwellenwerte hinweg für besorgniserregende Länder, Personen oder Unternehmen herbeiführt und folgende Vertragsarten betrifft oder beinhaltet: (1) Datenhandelsverträge, (2) Lieferverträge, (3) Arbeitsverträge oder (4) Investitionsverträge.63 Was Datenhandelstransaktionen betrifft, dürfen US-Unternehmen nicht nur keinen Zugang für besorgniserregende Länder, Personen und Unternehmen gewähren, sondern auch nicht für andere ausländische Unternehmen (wie etwa einen Kunden in Deutschland oder dem Vereinigten Königreich), es sei denn, das ausländische Unternehmen verpflichtet sich vertraglich, die Daten nicht an besorgniserregende Länder, Personen oder Unternehmen weiterzuverkaufen.64

Das US-Unternehmen muss jede bekannte oder vermutete Verletzung dieser vertraglichen Verpflichtung innerhalb von 14 Tagen melden.65 Das US-Bundesjustizministerium (DOJ) wird solche Meldungen ggf. wie Selbstanzeigen (Voluntary Self-Disclosures) behandeln,66 die auch für andere Verstöße gegen die DOJVO zur Strafmaßminimierung angeraten werden. Ebenso muss ein Unternehmen, das ein Angebot einer anderen Person zur Durchführung einer verbotenen Datenhandelstransaktion erhält und ausdrücklich ablehnt, innerhalb von 14 Tagen einen Bericht beim DOJ einreichen.67 Durch dieses Vertrags- und Meldesystem können auch Unternehmen außerhalb der besorgniserregenden Länder in den Anwendungsbereich der DOJVO geraten.

Neben verbotenen Transaktionen sollten Unternehmen auch beschränkte Transaktionen, wie sie in der DOJ-Regel als separate Kategorie definiert sind, so weit wie möglich vermeiden. Unternehmen dürfen zwar beschränkte Transaktionen durchführen, wenn sie von der Nationalsicherheitsabteilung (National Security Division) des US-Justizministeriums (DOJ) separat festgelegte Sicherheitsanforderungen für beschränkte Transaktionen einhalten.68 Aber selbst im Rahmen von beschränkten Transaktionen muss das US-Unternehmen internationale Datentransfers an besorgniserregende Länder, Personen oder Unternehmen verhindern. Das US-Unternehmen muss durch Einhaltung detailliert vorgegebener technischer, verwaltungsmäßiger und organisatorischer Maßnahmen sicherstellen, dass es „den Zugriff auf erfasste Daten, die mit Hilfe allgemein verfügbarer Technologien von betroffenen Personen oder Ländern verknüpft, identifiziert oder entschlüsselt werden können, vollständig und wirksam verhindert“.69 Beispielsweise darf ein US-amerikanischer Hotelbetreiber keine personenbezogenen Daten von US-Hotelgästen, die die Schwellenwerte für die jeweiligen Datenkategorien überschreiten, an ein chinesisches Unternehmen verkaufen (dies wäre eine verbotene Transaktion). Es könnte ihm aber gestattet sein, das Hotelunternehmen mit den Daten an einen chinesischen Erwerber zu verkaufen, der sodann die Hotels in den USA betreibt, sofern technische Maßnahmen getroffen werden, die den tatsächlichen Zugriff auf die personenbezogenen Daten von US-Hotelgästen durch den neuen chinesischen Eigentümer des US-Unternehmens verhindern, und sofern andere Genehmigungen vorliegen, die möglicherweise erforderlich sind, z. B. durch das US-Komitee für ausländische Investitionen in den Vereinigten Staaten (CFIUS).70

Viele Datenschutzexperten werden die Definitionen, Datenkategorien und Schwellenwerte als verblüffend empfinden. Anstelle der aus Art. 9 Abs. 1 DSGVO oder kalifornischem Datenschutzrecht71 bekannten „besonderen Kategorien personenbezogener Daten“ bezieht sich die DOJVO beispielsweise auf menschliche „’omic-Daten“ und „regierungsbezogene Daten“.72 „Massenschwellenwerte“ können bereits ab 100 Amerikanern vorliegen.73 Anonymisierte und aggregierte Daten können ebenfalls als „personenbezogene Daten“ gelten.74 Unternehmen können als Datenhändler gelten, selbst wenn sie direkte Beziehungen zu Betroffenen unterhalten und die Daten direkt von Betroffenen erheben, z. B. lediglich „eine Website oder mobile Anwendung betreiben, die Anzeigen mit Tracking-Pixeln oder Software-Entwicklungskits enthält, die wissentlich installiert oder für die Einbindung in die App oder Website genehmigt wurden“.75

Zu den „erfassten Personen“, denen Unternehmen keine US-Daten zur Verfügung stellen dürfen, gehören nicht nur die aufgeführten besorgniserregenden Länder, sondern auch ausländische Unternehmen mit Sitz in einem besorgniserregenden Land oder die nach dessen Recht gegründet wurden; ausländische Unternehmen, die zu mindestens 50 % im Eigentum von besorgniserregenden Ländern oder anderen erfassten Personen stehen; ausländische Personen, die Angestellte oder Auftragnehmer eines besorgniserregenden Landes oder einer erfassten Person sind; ausländische Personen, die ihren Hauptwohnsitz in einem besorgniserregenden Land haben und Personen, die von der US-Regierung in veröffentlichten Listen als „erfasste Personen“ klassifiziert werden.76

Es gelten eine Reihe von Ausnahmen, darunter für konzerninterne Transaktionen, definiert als Datentransaktionen zwischen einer US-Person und ihrer Tochtergesellschaft oder einem verbundenen Unternehmen mit Sitz in einem besorgniserregenden Land, die in der Regel mit administrativen oder ergänzenden Geschäftsabläufen verbunden sind, darunter beispielsweise das Gehaltswesen, die Kostenüberwachung und andere finanzielle Aktivitäten des Unternehmens, jedoch nicht beispielsweise Forschung und Entwicklung im Bereich personenbezogener Finanzdaten in großem Umfang zum Zweck der Entwicklung von Finanzanwendungsprogrammen.77 Die US-Person hat die Beweislast dafür, dass der Datenzugriff durch verbundene Unternehmen im besorgniserregenden Land für die privilegierten Zwecke erforderlich ist. Das DOJ führt ausdrücklich die folgenden Aktivitäten als Beispiele für konzerninterne Transaktionen auf, die „in der Regel mit administrativen oder ergänzenden Geschäftsabläufen verbunden sind und Teil davon sind“ und somit von der DOJVO ausgenommen sind: (i) Personalwesen; (ii) Lohnabrechnung, Kostenüberwachung und -erstattung sowie andere Finanzaktivitäten des Unternehmens; (iii) Zahlung von Unternehmenssteuern oder -gebühren; (iv) Einholung von Unternehmensgenehmigungen oder -lizenzen; (v) Weitergabe von Daten an Wirtschaftsprüfer und Anwaltskanzleien zur Einhaltung gesetzlicher Vorschriften; (vi) Risikomanagement; (vii) Geschäftsreisen; (viii) Kundendienstleistungen; (ix) Sozialleistungen für Mitarbeiter; und (x) interne und externe Kommunikation der Mitarbeiter.78 Multinationale Konzerne üben jedoch noch viele weitere gängige Tätigkeiten aus, die nicht ausdrücklich erfasst sind. Wenn beispielsweise ein multinationaler Konzern mit Hauptsitz in den USA IT-Spezialisten in China einsetzen möchte, um Software zu warten, die in allen Unternehmen der Gruppe verwendet wird, ist in der DOJVO keine ausdrückliche Ausnahme für die Softwarewartung zu finden. Der Konzern sollte aber argumentieren können, dass er Softwaresysteme im Zusammenhang mit dem Geschäftsbetrieb warten muss und dass diese Wartung Verwaltungsfunktionen erfüllt. Wenn der Betrieb des ERP-Systems nur unwesentliche Tätigkeiten umfasst (wie die Annahme von Bestellungen von Wiederverkäufern, den Versand von Produkten an Firmenkunden, die Ausstellung von Rechnungen), sollte der multinationale Konzern stichhaltige Argumente dafür haben, dass diese Tätigkeiten administrativer oder ergänzender Natur sind, oder dass sie unter ausdrücklich genannte Punkte fallen, wie z. B. Kostenüberwachung, Unternehmensfinanzaktivitäten, Zahlung von Unternehmenssteuern oder -gebühren, Weitergabe von Daten an Wirtschaftsprüfer und Anwaltskanzleien zur Einhaltung von Vorschriften, Risikomanagement und Kundensupport.

Eine relativ einfache Möglichkeit für US-Unternehmen, die komplexe DOJVO einzuhalten, besteht darin, Personen und Unternehmen in der Volksrepublik China und allen anderen als besorgniserregend eingestuften Ländern, Personen und Unternehmen keinen Zugang zu Informationen mehr zu gewähren. Eine klare und scheinbar einfache Maßnahme in diesem Sinne wäre es für US-Unternehmen, jede Geschäftsbeziehung zu China und anderen als besorgniserregend eingestuften Ländern einzustellen. Allerdings sind sich Unternehmen über Eigentumsverhältnisse von Geschäftspartnern im globalen Geschäftsverkehr und in langen Lieferketten oft nicht bewusst. Zudem können US-Unternehmen, die in China oder anderen besorgniserregenden Ländern präsent sind oder dort aktiv Geschäfte tätigen, dort den Datenzugang realistischerweise nicht vollständig unterbinden und müssen größere Anstrengungen unternehmen, um ein robustes Compliance-Programm zu entwickeln, das alle Anforderungen der komplexen DOJVO erfüllt.79 Die DOJVO bietet jedoch kaum Gewissheit in dieser Hinsicht.

Im Umgang mit Unternehmen in anderen Ländern werden US-Unternehmen dazu angehalten, ihren ausländischen Geschäftspartnern vertragliche Beschränkungen aufzuerlegen, damit diese keinen Zugang zu Informationen über US-Personen, Geräte oder sensible Regierungsstandorte gewähren, beispielsweise mit einer Musterklausel, die das DOJ in seinem Compliance-Leitfaden vorschlägt:80

[US-Person] gewährt [ausländischer Person] eine nicht übertragbare, widerrufliche Lizenz für den Zugriff auf die [Daten, die Gegenstand des Vertrags sind]. [Ausländischer Person] ist es untersagt, Folgendes zu tun oder zu versuchen oder anderen zu gestatten, Folgendes zu tun oder zu versuchen: (a) Verkauf, Lizenzierung des Zugriffs oder andere ähnliche kommerzielle Transaktionen [wie Weiterverkauf, Unterlizenzierung, Leasing oder Übertragung gegen wertvolle Gegenleistung] der [Daten, die Gegenstand des Maklervertrags sind] oder eines Teils davon an Länder oder Personen, die gemäß 28 CFR Abschnitt 202 als bedenklich gelten; wenn [ausländische Person] weiß oder vermutet, dass ein besorgniserregendes Land oder eine erfasste Person durch eine Datenvermittlung Zugang zu [Daten, die Gegenstand des Vermittlungsvertrags sind] erhalten hat, wird [ausländische Person] unverzüglich [US-Person] informieren. Die Nichteinhaltung der oben genannten Bestimmungen stellt einen Verstoß gegen den [Datenvermittlungsvertrag] dar und kann einen Verstoß gegen 28 CFR Abschnitt 202 darstellen.

Das DOJ empfiehlt außerdem, dass US-Personen regelmäßige Konformitätsbescheinigungen mit einer Klausel wie der folgenden verlangen:81

[Ausländische Person] bestätigt, dass [ausländische Person] für [den Maklervertrag] die Bestimmungen von 28 CFR Abschnitt 202 und alle anderen Verbote, Beschränkungen oder Bestimmungen einhält, die für die [dem Maklervertrag unterliegenden Daten] gelten. [Ausländische Person] verpflichtet sich, [US-Person] [regelmäßig] schriftlich die Einhaltung von 28 CFR Abschnitt 202 durch [ausländische Person] zu bestätigen. [Ausländische Person] verpflichtet sich, keine der in der Executive Order 14 117 oder 28 CFR Abschnitt 202 festgelegten Verbote zu umgehen oder zu vermeiden, einen Verstoß gegen diese zu verursachen oder zu versuchen, gegen diese zu verstoßen].

Unternehmen in Europa und anderen Ländern müssen damit rechnen, dass ihre US-Geschäftspartner ihnen zu gegebener Zeit diese oder ähnliche Klauseln vorschlagen, und sollten diese im Interesse der Einhaltung der US-Gesetze nach Möglichkeit akzeptieren, ähnlich wie US-Unternehmen die EU-Standardvertragsklauseln für internationale Datenübermittlungen akzeptieren müssen.

3. Sanktionen und Rechtsbehelfe

Zuwiderhandlungen werden mit zivilrechtlichen Strafen von bis zu 368 136 US-Dollar (inflationsbereinigt) pro Verstoß oder dem doppelten Wert der Transaktion geahndet, je nachdem, welcher Betrag höher ist.82 Vorsätzliche Verstöße können zu Geldstrafen von bis zu 1 000 000 US-Dollar und Freiheitsstrafen von bis zu 20 Jahren führen.83 Ende 2025 sind noch keine Fälle bekannt, in denen das US-Bundesjustizministerium die DOJVO durchzusetzen versucht hätte. Findige Anwälte haben allerdings bereits Ansprüche mit Bezug auf Verstöße gegen die DOJVO in Sammelklagen auf der Grundlage des Deliktsrechts und anderer Klagegründe gegen Unternehmen geltend gemacht.84

V. Zusammenfassung und Ausblick

Seit 2024 gelten für Unternehmen innerhalb und außerhalb der Vereinigten Staaten neue Beschränkungen hinsichtlich der Übermittlung personenbezogener Daten von US-Bürgern und US-Regierungsdaten in die Volksrepublik China, Venezuela und anderen als besorgniserregend eingestuften Ländern. Mit diesen Beschränkungen verfolgt die USA in erster Linie Ziele der nationalen Sicherheit. Daher unterscheiden sich die Detailanforderungen und Definitionen in den neuen US-Gesetzen erheblich von den hergebrachten Datenschutzgesetzen der EU und anderer Länder, nach denen es Unternehmen untersagt ist, Daten über Landesgrenzen zu transferieren, um die Privatsphäre zu schützen, oder nach denen Unternehmen verpflichtet sind, Daten vor Ort zu speichern, damit sie lokalen Behörden zur Verfügung stehen, lokale Unternehmen vor ausländischem Wettbewerb geschützt werden, Investitionen in lokale Datenzentren angeregt werden und die Abhängigkeit von ausländischen Technologieanbietern reduziert werden soll. Unternehmen außerhalb der Vereinigten Staaten müssen mit vertraglichen Beschränkungen seitens ihrer US-Geschäftspartner rechnen, an die sich die DOJVO in erster Linie richtet und für die besonders viel auf dem Spiel steht, da Unternehmen und Einzelpersonen im Falle der Nichteinhaltung mit strafrechtlichen Sanktionen rechnen müssen.

Mit den in diesem Beitrag vorgestellten neuen Gesetzen führen die Vereinigten Staaten eine neue und zusätzliche Kategorie von Beschränkungen von internationalen Datenübermittlungen ein. Diese richten sich gegen bestimmte Länder und zielen darauf ab, die nationale Sicherheit der USA vor Sicherheitsrisiken zu schützen. Unternehmen in den USA und mit US-Geschäft müssen sich schnell an diese Änderung anpassen, da die neuen Vorschriften nach sehr kurzen Umsetzungsfristen in Kraft getreten sind und die Regeln für internationale Datenübertragungen in der globalen Wirtschaft weiter verkomplizieren und fragmentieren.

Einzelne betroffene Personen werden möglicherweise kurzfristig keine direkten Auswirkungen der neuen Beschränkungen spüren, insbesondere da Unternehmen nicht verpflichtet sind, Einzelpersonen zu informieren oder deren Zustimmung einzuholen. Mittelfristig bis langfristig können Einzelpersonen und Unternehmen allerdings spürbare indirekte Auswirkungen erwarten. Unternehmen müssen ihre Compliance-Programme anpassen, Zugriffsbegrenzungen für Daten verfeinern und erwägen, ihre IT-Systeme und Datenbanken zu segmentieren, um nicht gegen die komplexen, detaillierten und – was die DOJVO betrifft –strafbewehrten neuen US-Regeln zu verstoßen. Im Zuge dessen könnten Unternehmen auch ihre Zugriffskontrollen und Sicherheitsmaßnahmen bezüglich anderer personenbezogener und sonstiger Daten verstärken, weil sie ohnehin zusätzliche technische Fähigkeiten aufbauen müssen, um US-Recht einzuhalten. Dies wiederum könnte dem Datenschutz auch in Europa dienen.

Zugleich wird die wirtschaftliche Entkopplung weiter vorangetrieben, die sowohl die Vereinigten Staaten als auch die Volksrepublik China mit ihren divergierenden Datengesetzen und anderen Maßnahmen verfolgen.85 Multinationale Konzerne werden die Anforderungen an die Datenresidenz in der Volksrepublik China besser erfüllen können, wenn sie in segregierte, lokale Datenverarbeitungs- und Speichersysteme investieren. Kleinere Unternehmen werden aber möglicherweise aus Kostengründen einfach entscheiden, entweder nur im Westen oder in der Volksrepublik China wirtschaftlich tätig zu werden. Dies könnte für Verbraucher und Unternehmen zu reduzierten Angeboten führen, was innovative Produkte und Technologien betrifft. Wichtiger noch aus der Sicht des Einzelnen ist, dass diese Art von neuen Datengesetzen darauf abzielt, auf Krieg und andere geopolitischen Konflikte vorzubereiten.

Prof. Dr. Lothar Determann
berät Unternehmen als Partner bei der internationalen Wirtschaftsrechtssozietät Baker & McKenzie in Palo Alto und lehrt Technologie- und Datenschutzrecht an der Freien Universität Berlin, als außerplanmäßiger Professor, und an der University of California Berkeley School of Law.

---