Neue US-Datentransferregeln: Was Unternehmen jetzt über die „Bulk Data Rule“ wissen müssen

Betroffen sind Datentransfers durch US-Unternehmen an ausländische Personen oder Unternehmen, die direkt oder indirekt mit einem „Country of Concern“ verbunden sind. Dazu zählen insbesondere:

• Ausländische Unternehmen, die ihren Sitz oder ihre Gründung nach dem Recht eines solchen Landes haben,
• Unternehmen, die zu 50 % oder mehr im Eigentum eines „Country of Concern“ oder einer anderen covered person stehen,
• Einzelpersonen mit Hauptwohnsitz in einem dieser Länder,
• Mitarbeiter oder Auftragnehmer solcher Unternehmen oder Regierungen.

Zusätzlich kann die National Security Division (“NSD”) weitere Personen – auch US-Bürger – als „designated covered person“ einstufen, wenn sie bestimmten Kontrollkriterien unterliegen. Diese werden dann auf einer offiziellen „Covered Persons List“ veröffentlicht.

Wichtig: Unternehmen sind verpflichtet, im Rahmen ihres Compliance-Programms selbstständig zu prüfen, ob Partner unter die vorgenannten Kategorien fallen.

Typische betroffene Vorgänge sind:

• Datenvermittlungen (z. B. durch Datenbroker)
• Verträge mit Dienstleistern oder Zulieferern
• Arbeits- oder Investitionsverträge, bei denen Datenzugriffe möglich sind
• Übertragungen großer Datenmengen, etwa zu Genetik, Gesundheit, Standort oder Finanzdaten

Wichtig: Es reicht bereits aus, dass ein Datenzugriff theoretisch möglich wäre – nicht erst, wenn er tatsächlich erfolgt.

Ab bestimmten Datenmengen („bulk“) werden die folgenden Daten von den Regelungen geschützt:

Unabhängig von der Datenmenge erfasst die Final Rule erfasst ferner sog. “government-related data”:

• Präzise Standortdaten von sensiblen US-Regierungseinrichtungen, etwa von Militärbasen oder Arbeitsorten sicherheitsrelevanter Behörden
• personenbezogene Daten, die mit aktuellen oder kürzlich ausgeschiedenen Regierungsmitarbeitern, Militärangehörigen oder Geheimdienstpersonal verknüpft sind.

Wichtig zu wissen: Auch anonymisierte, pseudonymisierte, verschlüsselte, de-identifizierte oder aggregierte Daten werden erfasst, sofern sie die genannten Mengenschwellen überschreiten. Entscheidend ist nicht die Form der Aufbereitung, sondern das Risiko, dass solche Daten – etwa durch Rückführung oder Quervergleiche – zur Re-Identifikation genutzt und sicherheitsrelevant ausgewertet werden können.

Es gibt eine Reihe generell untersagter Datentransfers („Prohibited Transactions“) (mit einzelnen Ausnahmen), z.B.:

• Datenhandel mit Ländern oder Personen aus der Risiko-Gruppe
• Weitergabe großer Mengen genetischer Daten
• Transaktionen, die Umgehungen oder „Strohmann“-Konstrukte darstellen.

Daneben gibt es bestimmte eingeschränkt erlaubte Datentransfers („Restricted Transactions“). Sie sind nur zulässig, wenn bestimmte Sicherheitsstandards erfüllt werden. Zu den Restricted Transactions gehören Verträge mit Dienstleistern oder Zulieferern, Arbeits- oder Investitionsverträge mit kritischen Ländern.

Werden die vorgeschriebenen Sicherheitsstandards von den der Regelung unterfallenden US-Unternehmen (Umsetzung von CISA-Richtlinien zur IT-Sicherheit, nachweisliche Risikobewertung und Protokollierung der Datentransfers) nicht eingehalten, gelten auch solche Datentransfers als verboten.

Es gibt zwei wichtige Ausnahmen, durch die das der Fall sein kann:

• Wenn ein US-Unternehmen Daten an ausländische Dritte verkauft (z. B. über Datenbroker), müssen diese Dritten vertraglich zusichern, dass keine Weitergabe an „Countries of Concern“ erfolgt.
• Es ist untersagt, die Vorschriften durch Umgehung zu verletzen – etwa indem man ausländische Dritte oder Regierungen als „Stellvertreter“ für verbotene Akteure nutzt.

Internationale Datenflüsse bleiben also grundsätzlich erlaubt – aber Unternehmen müssen wachsam sein, um unbeabsichtigte Verstöße oder Haftungsrisiken zu vermeiden

Auch wenn Ihr Unternehmen ausschließlich in der EU sitzt, können Sie betroffen sein – zum Beispiel durch:

• Datenverarbeitung im Konzernverbund mit US-Bezug
• Verträge mit US-Partnern oder Kunden
• Nutzung von Dienstleistern mit Sitz oder Verbindungen in „Countries of Concern“.

Es empfiehlt sich nun die folgenden Schritte zu ergreifen:

• Datenflüsse analysieren: Welche US-Daten verarbeiten Sie? Wer hat Zugriff?
• Risiken bewerten: Gibt es direkte oder indirekte Berührungspunkte mit „covered persons“?
• Verträge prüfen und anpassen: Müssen zusätzliche Garantien in Verträge eingebaut werden (z.B. zur Verhinderung einer Datenweitergabe in andere Länder)?
• Compliance-Programm aufbauen: Sicherheitsvorgaben umsetzen, Prozesse dokumentieren, regelmäßige Audits vorbereiten
• Auf neue Berichtspflichten vorbereiten: Ab Oktober 2025 gelten neue Vorgaben zur Aufbewahrung, Meldung und Prüfung von Datenflüssen für die unmittelbar betroffenen US-Unternehmen. Hierbei müssen die betroffenen Partner in den USA unterstützt werden.

Die Bulk Data Rule ist am 8. April 2025 in Kraft getreten. Seitdem gelten die grundlegenden Einschränkungen für bestimmte internationale Datentransaktionen – insbesondere im Hinblick auf den Zugriff durch kritische Länder oder verbundene Personen.

Allerdings sieht das US-Justizministerium (DOJ) eine Übergangsphase bis zum 8. Juli 2025 vor: In diesem Zeitraum wird auf zivilrechtliche Durchsetzungsmaßnahmen verzichtet, sofern das betroffene Unternehmen nachweislich an der Umsetzung geeigneter Compliance-Maßnahmen arbeitet.

Einige zentrale Pflichten bei Restricted Transactions – insbesondere zu Due Diligence, Dokumentation, Audit und Berichterstattung – treten erst zum 5. Oktober 2025 verbindlich in Kraft. US-Unternehmen haben somit ein zeitlich begrenztes Vorbereitungsfenster, um Prozesse, Verträge und interne Zuständigkeiten an die neuen Anforderungen anzupassen. In dieser Zeit dürften die Unternehmen auf ihre Partner im Ausland zukommen.