Zum Inhalt springen
Alle Beiträge anzeigen

Einhaltung der DOJ-Regeln zu grenzüberschreitenden Datenübertragungen

Unter Dan Hansen, Technischer Beratungsleiter, Solutions Engineering

3 Minute gelesen

Zusammenfassung

Eine umfassende neue Regelung des US-Justizministeriums (DOJ) tritt im April 2025 in Kraft und legt strenge Beschränkungen für die Weitergabe persönlicher und regierungsbezogener Daten aus den USA an bestimmte Länder fest. Diese Regelung, die sich auf die nationale Sicherheit – nicht auf Datenschutzrechte – konzentriert, stellt einen grundlegenden Wandel in der Art und Weise dar, wie Organisationen wirtschaften müssen. grenzüberschreitender Datenverkehr.

Die Verordnung führt Verbote und Bedingungen für den Datenaustausch mit sechs „besorgniserregenden Ländern“ ein und zielt auf Massenübermittlungen von biometrisch, genetisch, Gesundheit, Geolokalisierung und FinanzdatenEs steht viel auf dem Spiel: Selbst indirekter Datenzugriff über Lieferanten, Cloud-Anbieter oder Auftragnehmer kann auf den Prüfstand gestellt werden. Wir erklären Ihnen, was sich ändert und wie sich Unternehmen darauf vorbereiten können – angefangen beim Verständnis, wo sensible Daten gespeichert sind, wie sie übertragen werden und wer Zugriff darauf hat.

Was ist die endgültige Regelung des Justizministeriums?

Ausgestellt unter Durchführungsverordnung 14117Die endgültige Regelung des US-Justizministeriums zielt darauf ab, feindliche ausländische Akteure daran zu hindern, sensible Daten über US-Bürger oder Bundessysteme zu erlangen. Sie führt zwei Hauptkategorien von Daten ein, die der Regulierung unterliegen:

  • Massenverarbeitete sensible personenbezogene Daten: Beinhaltet biometrische Daten, genaue Geolokalisierung, persönliche Gesundheitsinformationen, Finanzkontodetails und alle verknüpften Kennungen.
    • Schwellenwerte: Im Allgemeinen über 1.000 US-Bürger; nur 100 für genomische oder DNA-bezogene Daten.
  • Daten der US-Regierung: Umfasst Daten von Bundesangestellten, verteidigungsbezogene Informationen und alle Datensätze, die mit Operationen oder Systemen der US-Regierung in Verbindung stehen.

Die Regel gilt für ein breites Spektrum an Transaktionen – nicht nur für den Verkauf von Daten, sondern auch für die Verarbeitung, Lizenzierung, Ausgliederung, Beschäftigung und Investitionstätigkeit in den betroffenen Ländern.

Wichtige Compliance-Termine

April 8, 2025 – Die Regel tritt in Kraft. Die betroffenen Datentransaktionen müssen eingestellt werden oder den Beschränkungen entsprechen.

8. Juli 2025 – Ende der 90-tägigen „Treu und Glauben“-Schonfrist des Justizministeriums. Die Durchsetzung beginnt ernsthaft.

6. Oktober 2025 – Es treten positive Compliance-Verpflichtungen (z. B. Due Diligence, Audits, Dokumentation) in Kraft.

Verbotene vs. eingeschränkte Transaktionen

Transaktionstyp Status gemäß der Regel
Verkauf oder Lizenzierung großer Mengen personenbezogener Daten ❌ Absolut verboten
Übertragung genomischer/omischer Daten ❌ Kategorisch verboten
Cloud-Speicher oder Offshore-Anbieter ⚠️ Eingeschränkt mit erforderlichen Sicherheitsvorkehrungen
Ausländische Arbeitnehmer mit Zugang ⚠️ Nur mit dokumentierten Kontrollen zulässig
Investitionsabkommen mit Datenzugriff ⚠️ Vorbehaltlich einer Überprüfung der nationalen Sicherheit

Was diese Regel anders macht

Während Frameworks wie GDPR und CPRA regulieren persönliche Daten zum Schutz der Privatsphäre des Einzelnen, diese DOJ-Regel konzentriert sich auf Risiko der Datenoffenlegung an gegnerische Regierungen. Es gibt keine Opt-out, Zustimmungsmodell oder Verbraucherrechtskomponente. Stattdessen müssen Organisationen:

  • Identifizieren Sie abgedeckte Daten über alle Systeme hinweg
  • Quantifizieren Sie, ob Schwellenwerte erreicht werden (z. B. 1.000 Datensätze).
  • Bewerten Sie den potenziellen Zugriff ausländischer Unternehmen – auch indirekt
  • Führen Sie eine vertretbare Dokumentation und implementieren Sie technische Sicherheitsvorkehrungen

Im Gegensatz zu Datenschutzgesetzen, die auf Transparenz ausgerichtet sind, verlangt diese Regel Sichtbarkeit und Kontrolle auf Infrastrukturebene. Es ist ein Aufruf zur operativen Reife im Umgang mit sensiblen Daten, der Datenschutz, Sicherheit und geopolitische Risiken umfasst.

Der BigID-Vorteil: Kennen Sie Ihre Daten, schützen Sie sie überall

Die Erfüllung dieser Regel beginnt mit einer einfachen Wahrheit: Man kann nicht schützen, was man nicht findet. BigID unterstützt Unternehmen bei der Bewältigung grenzüberschreitender Risiken, indem es ihnen einen unübertroffenen Einblick in ihre Daten bietet – was sie sind, wo sie sich befinden, wie sie fließen und wer sie nutzen kann. Zugang Es.

Mit BigID können Organisationen:

  • Entdecken und klassifizieren Sie sensible Daten– einschließlich biometrischer, gesundheitlicher, genomischer und regierungsbezogener Informationen
  • Verstehen Sie, welche Datensätze die Schwellenwerte des DOJ überschreiten und Compliance-Verpflichtungen auslösen
  • Datenflüsse zuordnen über Grenzen, Anbieter und Umgebungen hinweg, um die Gefährdung zu identifizieren
  • Markieren Sie Risikoszenarien im Zusammenhang mit Speicher, Anbietern oder ausländischem Zugriff
  • Dokumentieren Sie Kontrollen und generieren Sie vertretbare Audit-Artefakte

Ob Sie regulierte Daten in der Cloud verwalten, sich auf die Sorgfaltspflicht von Anbietern vorbereiten oder aufkommende geopolitische Risiken mindern –BigID gibt Ihnen die Grundlage, um souverän zu handeln.

Inhalt

3 Best Practices für grenzüberschreitende Datenübertragungen

Lesen Sie das Whitepaper, um zu erfahren, wie BigID bei der Verwaltung grenzüberschreitender Datenübertragungen hilft, indem es Best Practices zur Risikominimierung und Einhaltung mehrerer Datenschutzbestimmungen beschreibt.

Whitepaper herunterladen