Datenschutz-Akademie
Aktuelle Berichte zum Thema Datenschutz

Datenschutz in der USA – Teil 1 der Delegationsreise

Delegationsreise USA Cybersicherheit

Bildquelle Nik Shuliahin | Unsplash

Delegationsreise mit dem Cyber-Sicherheitsrat Deutschlands


In Europa und dessen angrenzenden Ländern ist die DSGVO nach nunmehr eineinhalb Jahreangekommen. Die deutsche Diskussion um den Datenschutz fokussiert sich zunehmend auf den Datenaustausch mit Drittländern, vornehmlich mit den USA. Dort standen vor kurzen vor allem die Technik-Riesen wie Mircosoft, Amazon und Facebook in der Kritik. Um sich selbst ein Bild vom Datenschutz in den USA zu machen, begab sich Prof. Dr. Andre Döring auf eine zweiwöchige Delegationsreise, organisiert vom Cyber-Sicherheitsrat Deutschlands. In der dreiteiligen Serie berichtet Prof. Dr. Döring über seine Eindrücke in drei Stationen. 

 

Datenschutz-Situation in Deutschland

Der hessische Landesdatenschutzbeauftragte rät aufgrund von Datenschutzbedenken von der Nutzung des Office365 Paketes von Microsoft ab. Die Datenschutzkonferenz einigt sich darauf, dass Windows 10 nicht DSGVO-konform nutzbar ist. Amazon sammelt tausende von Datenpunkten von seinen Kunden und Facebook steht nicht zuletzt wegen des Datenlecks zu Cambride-Analytica in der Kritik. 

"Aus meiner Sicht ist es sinnvoll, Entwicklungen in Sachen Datenschutz jenseits des Atlantiks aus deutscher oder besser europäischer Sicht kritisch zu begleiten. Es ist aber auch immer gut, sich persönlich ein Bild von der Lage zu machen. Aus diesem Grund habe ich mich der diesjährigen US-Delegation des Cyber-Sicherheitsrates Deutschland e. V. vom 08.11bis 14.11.2019 angeschlossen." so Prof. Dr. Döring. Die exzellenten Kontakte des Cyber-Sicherheitsrates ermöglichten es der Delegation, tiefe Einblicke in den Datenschutz und die Sicherheitsstruktur amerikanischer Unternehmen wie Microsoft und Amazon und Sicherheitsbehörden wie des Department of Homeland Security zu erlangen, die sonst verschlossen blieben würden. 

Die Ostküste: ein Mekka für Cybersicherheit 


Der erste Stopp der Delegationsreise führte nach Washington D.C., der Hauptstadt der USA, in deren Umfeld alle wichtigen US-Behörden zum Thema „Sicherheit“ beheimatet sind. In Washington befinden sich das Pentagon, die FBI Zentrale und wichtige Teile des Department of Homeland Security. Im Umfeld von D.C: wie in Howard County in Maryland, haben die NSA und das US-Cyber-Command ihre Hauptstandorte. Die Ausbildung von Cyberexperten im militärischen und zivilen Umfeld wird in D.C. durch die National Defense University vorgenommen.  

Es ist daher kein Wunder, dass dieser Hotspot für Cybersicherheit ein wichtiges Ziel der Delegation war. Insbesondere in Howard County haben sich viele private Cyberfirmen angesiedelt, die in diesem Sektor tausende Arbeitsplätze geschaffen haben. 

 

National Defense University, D.C. 

Das erste Treffen führte zur National Defense University. Die National Defense University (NDU) bildet in langen und kurzen Programmen vornehmlich Angehörige der amerikanischen Cyber-Streitkräfte für den Einsatz aus. Wir trafen dort auf Tom Wingfield, Acting Chancellor der NDU und auf dem Karrieresprung als Deputy Director im Cyberumfeld des Pentagon, der über die Struktur der militärischen Cyberausbildung und die Programme der Universität berichtete. 

Treffen mit der National Defense University

Diskussion mit Tom Wingfield in der National Defense University

Ganz im Sinne der Delegation ergab sich eine intensive Diskussion über die aktuell größten Herausforderungen der Cybersicherheit. Tom Wingfield sieht hier zwei wichtige Themen. 

Erstens müssen sich die Akteure im Cyberumfeld national und international viel besser vernetzen. Der Austausch von (Meta-)Daten und Informationen zu Cyberthemen muss im Falle eines Angriffs schnellstmöglich stattfinden können. Ziel sollte es zweitens sein, ein umfassendes Gesamtbild der aktuellen Cybersituation sowohl auf nationaler als auch auf internationaler Ebene verbündeter Staaten zu ermöglichen. Eine Forderung die sowohl technisch als auch politisch immense Herausforderungen mit sich bringt. 

Betrachtet man hierzu die deutsche Situation, so scheint ein derartiger Austausch und Vernetzung als auch die Darstellung einer echtzeitfähigen Gesamtlage „Cybersicherheit Deutschlandaufgrund der föderalen Struktur Deutschlands kaum erreichbar. Dennoch ist es aus meiner Sicht absolut sinnvoll darüber nachzudenken, ein gemeinsames Cyberabwehrzentrum so zu gestalten, dass dieses dauerhaft mit Vertretern der Länder, der Sicherheitsbehörden und den wichtigsten Anbietern von Cyberinfrastruktur in Deutschland besetzt ist.

Im Falle eines nationalen Angriffs wäre so der schnelle Austausch und Fluss von Informationen möglich und schnelle Reaktionen können für ganz Deutschland koordiniert und ausgelöst werden. 

 

Department Homeland Security 

Ein weiterer sehr interessanter Austausch fand mit Vertretern aus dem Bereich Cybercrime im U.S. Department of Homeland Security (DSH)mit Deputy Assistant Secretary Richard Driggers und Principal Deputy Director Matt Kelly statt. Themen waren unter anderem die Unterstützung des DHS für andere Behörden und für die Privatwirtschaft im Cybersecurity Umfeld.  

Austausch mit u. a. Deputy Assistant Secretary Richard Driggers und Principal Deputy Director Matt Kelly

Austausch mit u. a. Deputy Assistant Secretary Richard Driggers und Principal Deputy Director Matt Kelly

Das DHS bietet der heimischen Behörde mit eigenen Tools eine automatisierte regelmäßige Analyse der IT-Infrastruktur auf Schwachstellen an, über die dann die entsprechenden Stellen täglich oder wöchentlich entsprechende Reports erhalten.  

 

Maryland, Howard County: Die Cyberhochburg 

Nach einem kurzen Stopp bei der Business Software Alliance in DC  führte das dritte Treffen in die Cyberhochburg nach Howard County in Maryland, ca eineinhalb Stunden Autofahrt von D.C. entfernt. Das Treffen fand in einem Inkubator für Cybersicherheitsunternehmen statt, in dem Akteure des Cybersektors aus Politik, Behörden und der Privatwirtschaft vernetzt werden. Die Delegation traf dort auf sehr aufgeschlossene Unternehmer und Behördenvertreter, die sich gerne über konkrete Möglichkeiten der Zusammenarbeit zwischen Deutschland und den USA austauschen wollten.  

Business Software Alliance in DC

Business Software Alliance in DC

Die Diskussion erfolgte intensiv und kontrovers. Aus Sicht der ansässigen Unternehmen wird vor allem die DSGVO in Zukunft starken Einfluss auf die vielfach bestehenden Geschäftsbeziehungen von europäischen und amerikanischen Unternehmen erzielen. Der Begriff des Datenschutzes (Privacy) scheint sich in den USA in den kommenden Monaten grundlegend in Richtung der Prinzipien der DSGVO zu verändern. Auslöser hierzu ist nicht zuletzt der California Consumer Privacy Act der (CCPA) der Anfang 2020 in Kraft treten wird. Durch den CCPA gehören die personenbezogenen Daten zukünftig nicht mehr den Unternehmen, die sie erheben, sondern analog zur DSGVO den Kunden und Mitarbeitern von denen sie erhoben werden. 

Cyberhochburg Howard County in Maryland

Cyberhochburg Howard County in Maryland

Organisation of American States 

Letzter Termin in DC war der Besuch bei den Organisation of American States (OAS). Dort fand eine Paneldiskussion zwischen Vertreter der OAS (Kerry-Ann Bennett, Policy Specialist), dem Cyber-Sicherheitsrat Deutschland (Hans-Wilhelm Dünn, Präsident), Department of Homeland Security (Bob Koslasky, Director) und der Internet-Security-Alliance (Larry Clinton, President) zu den Themen Cybersicherheit und Datenschutz statt.  

Besuch bei den Organisation of American States

Besuch bei den Organisation of American States


Dabei kritisierte Larry Clinton die DSGVO als schlechtestes Gesetz, dass er jemals gesehen hat. Trotz der sehr polarisierten Meinung und folgenden Diskussion lohnt es sich, über einen Punkt seiner Argumentation nachzudenken: Seine zentrale Frage war, wie und ob die Wirkung der DSGVO tatsächlich messbar ist? Ich glaube hier gibt es in der Tat noch Argumentationsdefizite die es abzustellen gilt, auch wenn die positive Wirkung der DSGVO in unseren Kundenprojekten immer konkret nachweisbar ist. Denn aus Sicht der Manager in den USA ist die Welt an dieser Stelle recht einfach: gemäß dem Prinzip „Management-by-Objectives“ werden alle nicht-messbaren Maßnahmen einfach abgestellt. Damit die DSGVO in den USA höhere Akzeptanz erfährt, muss deren Nutzen idealerweise statistisch nachweisbar sein. 

Im nächsten Teil der Delegationsreise geht es zu den Techgiganten in Redmont und Seattle. 

 

Über Prof. Dr. Andre Döring | CEO & Co-Founder von Robin Data 
Kommentar Andre Döring   Prof. Dr. Andre Döring ist Experte für Datenschutz, IT-Sicherheit und künstliche Intelligenz. Er verfügt über umfangreiche Erfahrung als Datenschutzbeauftragter in diversen Branchen und bei Unternehmen unterschiedlicher Größe. Auf der Delegationsreise mit dem Cyber-Sicherheitsrat Deutschlands bildete er sich einen Einblick in die Datenschutz-Lage in den USA.