Cybersicherheit und Datenschutz in den USA – der Cybersecurity Information Sharing Act (CISA)

Vor in etwa einem Monat – am 18. Dezember 2015 – unterzeichnete der US-amerikanische Präsident Barack Obama den Cybersecurity Information Sharing Act (CISA) als Bestandteil des US-Haushalts für 2016 (consolidated spending bill). Wie es der Name bereits vermuten lässt, handelt es sich beim CISA um ein Bundesgesetz, das sich der Förderung der Cybersicherheit in den USA verschrieben hat, vorrangig geschehen soll dies durch einen erweiterten Informationsaustausch über Bedrohungen der IT-Sicherheit. Soweit wenig Überraschendes – gerade wenn es um die Förderung der allgemeinen IT-Sicherheit geht, liegt nichts näher, als Informationen über aktuelle Gefahren- und Bedrohungslagen zu sammeln und auszuwerten. Insbesondere das deutsche IT-Sicherheitsgesetz sowie die europäische NIS-Richtlinie verfolgen einen ebensolchen Ansatz. Deutlich interessanter ist da schon der Verlauf des Gesetzgebungsverfahrens für den CISA: Ursprünglich im Juli 2014 dem Kongress vorgestellt, scheiterte er zunächst an ausreichenden Stimmen des Senats, weswegen der Entwurf des CISA im März 2015 erneut in den Kongress eingebracht wurde. Nachdem hierauf der Versuch scheiterte, das Gesetz als Zusatz zum „National Defense Authorization Act“ zu verabschieden, wurde es schließlich in den Bundeshaushalt für 2016 integriert – mit der Folge, dass für die Abgeordneten kaum mehr eine andere Möglichkeit bestand, als das Gesetz zu verabschieden, sollte der Haushalt für das neue Jahr nicht blockiert werden.

Dass ein Gesetz zur Förderung der Cybersicherheit – was ja grundsätzlich zu begrüßen ist – unter derart widrigen Umständen zustande kommen musste, ist darauf zurückzuführen, dass das Gesetz nicht allein das Ziel verfolgt, US-amerikanische IT-Systeme sicherer zu machen, sondern dem Gesetzgeber vorgeworfen wird, unter dem Deckmantel der IT-Sicherheit lediglich ein neues Überwachungsgesetz zu schaffen. So argumentiert die Bürgerrechtsorganisation „Electronic Frontier Foundation“ (EFF), dass es sich beim CISA letztlich gar nicht um ein Cybersicherheits-Gesetz handle, sondern lediglich erleichterte Voraussetzungen geschaffen werden sollen, um in die Privatsphäre der Bürger einzugreifen. Bei näherer Betrachtung der gesetzlichen Ermächtigungen liegt ein solcher Verdacht auch nahe: So können Angaben zu IT-Sicherheitsrisiken nicht nur an das Department of Homeland Security (DHS), sondern ebenso unmittelbar an den Nachrichtendienst NSA, die Bundespolizeibehörde FBI oder an das Verteidigungsministerium (Pentagon) übermittelt werden. Darüber hinaus soll es die Möglichkeit für Unternehmen geben, den Behörden über Datenrelaisstationen einen unmittelbaren Zugriff auf Datenbestände zu gewähren. Die Datennutzung soll dabei ohne zeitliche Einschränkungen erfolgen dürfen. Auch personenbezogene Daten dürfen zwischen den Sicherheitsbehörden übermittelt werden, um diese bei einem Verdacht auf die Begehung von Straftaten fruchtbar machen zu können. Doch nicht nur die Behörden sollen davon profitieren können, im Namen der IT-Sicherheit in großem Umfang personenbezogene Daten ohne vorherige richterliche Anordnung auswerten zu können – auch Unternehmen wird laut EFF die Möglichkeit gewährt, unter der Zwecksetzung der Cybersicherheit Einblick in Nutzerdaten zu nehmen.

Die US-amerikanische Gesetzgebung macht dabei vor allem eines deutlich: Wie überall müssen auch zur Gewährleistung der Cybersicherheit die behördlichen Kompetenzen, Verfahren und Ermächtigungsgrundlagen durch den Gesetzgeber transparent und normenklar schon im Vorfeld festgelegt werden. So kann es grundsätzlich auch möglich sein, dass für die Gewährleistung von IT-Sicherheit personenbezogene Daten ausgewertet werden müssen. Wenn dies jedoch geschieht, muss eine derartige Datennutzung stets auf gut begründete Ausnahmefälle begrenzt bleiben. Keinesfalls darf die Cybersecurity zu einem bloßen Vorwand werden, um die Überwachung zu Zwecken der allgemeinen Gefahrenabwehr weiter auszubauen. Ein solches Vorgehen schadet nicht nur den Bürgerrechten, sondern beeinträchtigt auch nachhaltig die Förderung der IT-Sicherheit – was ein mindestens genauso wichtiges Ziel darstellt, will man personenbezogene Daten effektiv schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *