Das US-Justizministerium setzt ein zentrales nationales Sicherheitsprogramm um, das dem Schutz sensibler Daten amerikanischer Bürger vor dem Zugriff durch ausländische Gegner dient

Das Ministerium beantwortet häufig gestellte Fragen, gibt Orientierungshilfen und erlässt eine begrenzte Durchsetzungsrichtlinie für die ersten 90 Tage

Heute hat das Justizministerium wichtige Schritte unternommen, um die Umsetzung eines entscheidenden Programms voranzutreiben, das China, Russland, den Iran und andere ausländische Gegner daran hindern soll, über kommerzielle Aktivitäten auf Daten der US-Regierung und sensible personenbezogene Daten von Amerikanern zuzugreifen und diese zu nutzen, um Spionage und Wirtschaftsspionage zu betreiben, Überwachungs- und Spionageabwehrmaßnahmen durchzuführen, KI und militärische Fähigkeiten zu entwickeln und unsere nationale Sicherheit anderweitig zu untergraben.

Das von der National Security Division (NSD) im Rahmen der Executive Order 14117 eingeführte Datensicherheitsprogramm befasst sich mit dieser „ungewöhnlichen und außergewöhnlichen Bedrohung … der nationalen Sicherheit und Außenpolitik der Vereinigten Staaten“, die wiederholt von allen politischen Parteien und allen drei Regierungszweigen anerkannt wurde.

Die fortgesetzte Priorisierung des Datensicherheitsprogramms durch das Justizministerium erfüllt die Versprechen, die Präsident Trump in seiner America First Investment Policy und NSPM-2 zur Ausübung maximalen Drucks auf den Iran abgegeben hat, geht auf die in der jährlichen Bedrohungsanalyse 2025 der US-Geheimdienste und in Präsident Trumps nationaler Sicherheitsstrategie 2017 identifizierten Bedrohungen ein und reagiert auf den nationalen Notstand, den Präsident Trump in der Executive Order 13873 ausgerufen hat.

„Wenn man ein ausländischer Gegner ist, warum sollte man sich dann die Mühe machen, komplizierte Cyber-Angriffe und Datendiebstähle zu begehen, um an die Daten von Amerikanern zu gelangen, wenn man sie einfach auf dem freien Markt kaufen oder ein Unternehmen unter seiner Gerichtsbarkeit zwingen kann, einem Zugang zu gewähren?“, sagte der stellvertretende Generalstaatsanwalt Todd Blanche. “Das Datensicherheitsprogramm erschwert den Zugriff auf diese Daten erheblich.“

Um dieser dringenden Bedrohung zu begegnen, legt das Data Security Program Exportkontrollen fest, die ausländische Gegner und diejenigen, die ihrer Kontrolle, Gerichtsbarkeit, ihrem Eigentum und ihrer Leitung unterstehen, daran hindern, auf Daten der US-Regierung und auf genomische, geolokalisierte, biometrische, gesundheitsbezogene, finanzielle und andere sensible personenbezogene Massendaten zuzugreifen. Um die Öffentlichkeit bei der Einhaltung des Datensicherheitsprogramms zu unterstützen, hat NSD einen Compliance-Leitfaden, eine erste Liste mit über 100 häufig gestellten Fragen (FAQs) und eine Richtlinie zur Umsetzung und Durchsetzung für die ersten 90 Tage herausgegeben. NSD wird in den kommenden Wochen und Monaten weitere Schritte zur Umsetzung des Datensicherheitsprogramms unternehmen, darunter die Veröffentlichung einer ersten Liste der erfassten Personen, in der Personen aufgeführt sind, die der Kontrolle und Leitung ausländischer Gegner unterliegen. Das Datensicherheitsprogramm trat am 8. April 2025 in Kraft.

Neu herausgegebene Leitlinien und FAQs

Der Leitfaden zur Einhaltung des Datensicherheitsprogramms identifiziert und beschreibt bewährte Verfahren zur Einhaltung des Datensicherheitsprogramms und mindert so das inakzeptable nationale Sicherheitsrisiko, das entsteht, wenn Ländern, die Anlass zur Sorge geben, der Zugriff auf sensible personenbezogene Daten von Amerikanern und deren Nutzung ermöglicht wird. Das Dokument enthält Leitlinien zu wichtigen Definitionen, verbotenen und eingeschränkten Transaktionen sowie zu den Anforderungen für die Erstellung eines robusten Programms zur Einhaltung von Datenschutzbestimmungen. Der Compliance-Leitfaden enthält auch Mustervertragsklauseln und schlägt bewährte Verfahren für die Einhaltung der Prüfungs- und Aufzeichnungspflichten des Datenschutzprogramms vor. Es ist von entscheidender Bedeutung, dass sich US-Bürger mit den Verboten und Beschränkungen des Datenschutzprogramms vertraut machen und sich darauf vorbereiten, diese einzuhalten, sobald sie am 8. April 2025 in Kraft getreten sind.

Die FAQs zum Datensicherheitsprogramm enthalten allgemeine Erläuterungen zur Executive Order 14117 und bieten wertvolle Informationen über das Datensicherheitsprogramm, seinen Geltungsbereich und die damit verbundenen Prozesse für die Beantragung von Lizenzen und Gutachten, die Meldung von Verstößen gegen das Datensicherheitsprogramm und die Meldung abgelehnter verbotener Transaktionen. Die FAQs spiegeln einen Teil des umfassenden Feedbacks und der häufigen Probleme wider, die das Ministerium im Rahmen des Regelsetzungsprozesses erhalten und behandelt hat, sowohl als öffentliche Kommentare als Reaktion auf die Vorabmitteilung über die vorgeschlagene Regelsetzung und die Mitteilung über die vorgeschlagene Regelsetzung als auch als Fragen, die während Dutzender von Gesprächen mit Einzelpersonen, Unternehmen, Handelsgruppen und anderen Interessengruppen gestellt wurden, die potenziell an dem Datensicherheitsprogramm interessiert waren oder von ihm betroffen waren. NSD wird diese FAQs bei Bedarf und bei Bedarf aktualisieren, um weitere Fragen der Öffentlichkeit zu beantworten.

Die Hauptaufgabe von NSD in Bezug auf die Umsetzung und Durchsetzung des Datensicherheitsprogramms besteht darin, die nationale Sicherheit der USA vor Ländern zu schützen, die möglicherweise versuchen, die sensibelsten personenbezogenen Daten und regierungsbezogenen Daten von Amerikanern zu sammeln und als Waffe einzusetzen. US-Bürger sollten „ihre Daten kennen“ und die Rolle, die sie bei der Minderung dieser Risiken spielen. Wie im Compliance-Leitfaden näher erläutert, müssen natürliche und juristische Personen, die der Gerichtsbarkeit der USA unterliegen, sowie ausländische natürliche und juristische Personen, die in oder mit den Vereinigten Staaten oder mit US-Personen Geschäfte tätigen, das Datensicherheitsprogramm einhalten.
Der Compliance-Leitfaden und die FAQs dienen der Erläuterung und sollen regulierten Parteien allgemeine Hinweise zur Einhaltung des Datensicherheitsprogramms geben. Die in diesen Dokumenten enthaltenen Informationen ergänzen, ändern oder ersetzen in keiner Weise die im Datensicherheitsprogramm festgelegten Anforderungen. NSD beabsichtigt, die FAQs fortlaufend zu aktualisieren, sobald NSD weitere Fragen und Antworten identifiziert, die veröffentlicht werden sollten, um die regulierte Gemeinschaft bei der Einhaltung zu unterstützen.

Neu erlassene Durchsetzungsrichtlinie für die ersten 90 Tage

Das Datensicherheitsprogramm trat am 8. April 2025 in Kraft. Ab dem 8. April 2025 waren Unternehmen und Einzelpersonen verpflichtet, die Verbote und Beschränkungen des Datensicherheitsprogramms für die Durchführung von erfassten Datentransaktionen einzuhalten. Um Unternehmen und Einzelpersonen zusätzliche Zeit für die Einhaltung der Vorschriften zu geben, verschiebt das Datensicherheitsprogramm bestimmte positive Sorgfaltspflichten, die erst am 6. Oktober 2025 in Kraft treten.

NSD erkennt an, dass Einzelpersonen und Unternehmen möglicherweise eine Reihe von Schritten unternehmen müssen, um festzustellen, ob die Verbote und Beschränkungen des Datensicherheitsprogramms für ihre Aktivitäten gelten, und um Änderungen an ihren bestehenden Richtlinien oder die Umsetzung neuer Richtlinien und Prozesse zur Einhaltung der Vorschriften vorzunehmen.

Damit der Privatsektor seine Ressourcen und Anstrengungen darauf konzentrieren kann, die Vorschriften umgehend einzuhalten, und damit NSD seine Ressourcen auf die Erleichterung der Einhaltung der Vorschriften konzentrieren kann, wird NSD seine Durchsetzungsbemühungen in den ersten 90 Tagen darauf ausrichten, US-Personen (z. B. Einzelpersonen und Unternehmen) zusätzliche Zeit für die Umsetzung der vom Datensicherheitsprogramm geforderten Änderungen zu geben, der Öffentlichkeit zusätzliche Möglichkeiten zur Zusammenarbeit mit NSD zu bieten und potenzielle Störungen für Unternehmen zu minimieren. Wie in der Richtlinie zur Umsetzung und Durchsetzung des Datensicherheitsprogramms von NSD erläutert, wird NSD bis zum 8. Juli 2025 keine zivilrechtlichen Durchsetzungsmaßnahmen gegen Personen wegen Verstößen gegen das Datensicherheitsprogramm, die vom 8. April bis zum 8. Juli 2025 begangen werden, priorisieren, solange die Person sich in dieser Zeit in gutem Glauben bemüht, das Datensicherheitsprogramm einzuhalten oder die Einhaltung zu erreichen. Zu diesen Bemühungen gehören die in dieser Richtlinie beschriebenen Compliance-Aktivitäten, wie z. B. die Änderung oder Neuverhandlung bestehender Verträge, die Durchführung interner Überprüfungen von Datenflüssen, die Umsetzung der Sicherheitsanforderungen des CISA und so weiter.

Am Ende dieses Zeitraums von 90 Tagen sollten Einzelpersonen und Unternehmen das DSP vollständig einhalten. Diese Richtlinie schränkt die rechtmäßige Befugnis und das Ermessen von NSD nicht ein, zivilrechtliche Durchsetzungsmaßnahmen zu ergreifen, wenn Unternehmen und Einzelpersonen sich nicht in gutem Glauben bemüht haben, das Datensicherheitsprogramm einzuhalten oder einzuhalten.

Während dieses Zeitraums von 90 Tagen fordert die NSD die Öffentlichkeit auf, sich mit informellen Anfragen oder Informationen über den DSP und die von der NSD veröffentlichten Leitlinien an nsd.firs.datasecurity@usdoj.gov zu wenden. Obwohl die NSD möglicherweise nicht auf jede Anfrage antworten kann, wird sie sich nach besten Kräften bemühen, im Rahmen der verfügbaren Ressourcen zu antworten, und alle eingereichten Anfragen oder Informationen können zur Entwicklung und Verfeinerung künftiger Leitlinien verwendet werden. Dementsprechend rät NSD davon ab, während dieses Zeitraums von 90 Tagen formelle Anträge auf Erteilung spezifischer Lizenzen oder auf Abgabe von Gutachten einzureichen. Obwohl Anträge auf Erteilung spezifischer Lizenzen oder auf Abgabe von Gutachten während dieses Zeitraums von 90 Tagen eingereicht werden können, wird NSD diese Anträge während des Zeitraums von 90 Tagen nicht prüfen oder darüber entscheiden (es sei denn, es liegt ein Notfall oder eine unmittelbare Bedrohung der öffentlichen Sicherheit oder der nationalen Sicherheit vor).

Quelle: https://www.justice.gov/opa/pr/justice-department-implements-critical-national-security-program-protect-americans-sensitive

Bild/Quelle: https://depositphotos.com/de/home.html