Datenschutz-Akademie » Datenschutz-News » Datenschutz in der USA – Teil 1 der Delegationsreise

Die USA Flagge hängt an einem Hochhaus in New York

Datenschutz in der USA – Teil 1 der Delegationsreise

Delegationsreise mit dem Cyber-Sicherheitsrat Deutschlands

In Europa und dessen angrenzenden Ländern ist die DSGVO nach nunmehr eineinhalb Jahren angekommen. Die deutsche Diskussion um den Datenschutz fokussiert sich zunehmend auf den Datenaustausch mit Drittländern, vornehmlich mit den USA. Dort standen vor kurzen vor allem die Technik-Riesen wie Microsoft, Amazon und Facebook in der Kritik. Um sich selbst ein Bild vom Datenschutz in den USA zu machen, begab sich Prof. Dr. Andre Döring auf eine zweiwöchige Delegationsreise, organisiert vom Cyber-Sicherheitsrat Deutschlands. In der dreiteiligen Serie berichtet Prof. Dr. Döring über seine Eindrücke in drei Stationen.

Datenschutz-Situation in Deutschland

Der hessische Landesdatenschutzbeauftragte rät aufgrund von Datenschutzbedenken von der Nutzung des Office365 Paketes von Microsoft ab. Die Datenschutzkonferenz einigt sich darauf, dass Windows 10 nicht DSGVO-konform nutzbar ist. Amazon sammelt tausende von Datenpunkten von seinen Kunden und Facebook steht nicht zuletzt wegen des Datenlecks zu Cambridge-Analytica in der Kritik.

„Aus meiner Sicht ist es sinnvoll, Entwicklungen in Sachen Datenschutz jenseits des Atlantiks aus deutscher oder besser europäischer Sicht kritisch zu begleiten. Es ist aber auch immer gut, sich persönlich ein Bild von der Lage zu machen. Aus diesem Grund habe ich mich der diesjährigen US-Delegation des Cyber-Sicherheitsrates Deutschland e. V. vom 08.11 bis 14.11.2019 angeschlossen.“ so Prof. Dr. Döring. Die exzellenten Kontakte des Cyber-Sicherheitsrates ermöglichten es der Delegation, tiefe Einblicke in den Datenschutz und die Sicherheitsstruktur amerikanischer Unternehmen wie Microsoft und Amazon und Sicherheitsbehörden wie des Department of Homeland Security zu erlangen, die sonst verschlossen blieben würden.

Die Ostküste: ein Mekka für Cybersicherheit

Der erste Stopp der Delegationsreise führte nach Washington D.C., der Hauptstadt der USA, in deren Umfeld alle wichtigen US-Behörden zum Thema „Sicherheit“ beheimatet sind. In Washington befinden sich das Pentagon, die FBI Zentrale und wichtige Teile des Department of Homeland Security. Im Umfeld von D.C: wie in Howard County in Maryland, haben die NSA und das US-Cyber-Command ihre Hauptstandorte. Die Ausbildung von Cyberexperten im militärischen und zivilen Umfeld wird in D.C. durch die National Defense University vorgenommen.

Es ist daher kein Wunder, dass dieser Hotspot für Cybersicherheit ein wichtiges Ziel der Delegation war. Insbesondere in Howard County haben sich viele private Cyberfirmen angesiedelt, die in diesem Sektor tausende Arbeitsplätze geschaffen haben.

National Defense University, D.C.

Das erste Treffen führte zur National Defense University. Die National Defense University (NDU) bildet in langen und kurzen Programmen vornehmlich Angehörige der amerikanischen Cyber-Streitkräfte für den Einsatz aus. Wir trafen dort auf Tom Wingfield, Acting Chancellor der NDU und auf dem Karrieresprung als Deputy Director im Cyberumfeld des Pentagon, der über die Struktur der militärischen Cyberausbildung und die Programme der Universität berichtete.

Besuch beim National Defense University, D.C.

Ganz im Sinne der Delegation ergab sich eine intensive Diskussion über die aktuell größten Herausforderungen der Cybersicherheit. Tom Wingfield sieht hier zwei wichtige Themen. 

Erstens müssen sich die Akteure im Cyberumfeld national und international viel besser vernetzen. Der Austausch von (Meta-)Daten und Informationen zu Cyberthemen muss im Falle eines Angriffs schnellstmöglich stattfinden können. Ziel sollte es zweitens sein, ein umfassendes Gesamtbild der aktuellen Cybersituation sowohl auf nationaler als auch auf internationaler Ebene verbündeter Staaten zu ermöglichen. Eine Forderung die sowohl technisch als auch politisch immense Herausforderungen mit sich bringt.

Betrachtet man hierzu die deutsche Situation, so scheint ein derartiger Austausch und Vernetzung als auch die Darstellung einer echtzeitfähigen Gesamtlage „Cybersicherheit Deutschland aufgrund der föderalen Struktur Deutschlands kaum erreichbar. Dennoch ist es aus meiner Sicht absolut sinnvoll darüber nachzudenken, ein gemeinsames Cyberabwehrzentrum so zu gestalten, dass dieses dauerhaft mit Vertretern der Länder, der Sicherheitsbehörden und den wichtigsten Anbietern von Cyberinfrastruktur in Deutschland besetzt ist.

Im Falle eines nationalen Angriffs wäre so der schnelle Austausch und Fluss von Informationen möglich und schnelle Reaktionen können für ganz Deutschland koordiniert und ausgelöst werden.

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

Department of Homeland Security 

Ein weiterer sehr interessanter Austausch fand mit Vertretern aus dem Bereich Cybercrime im U.S. Department of Homeland Security (DSH)mit Deputy Assistant Secretary Richard Driggers und Principal Deputy Director Matt Kelly statt. Themen waren unter anderem die Unterstützung des DHS für andere Behörden und für die Privatwirtschaft im Cybersecurity Umfeld.

Besuch beim Department Homeland Security

Das DHS bietet der heimischen Behörde mit eigenen Tools eine automatisierte regelmäßige Analyse der IT-Infrastruktur auf Schwachstellen an, über die dann die entsprechenden Stellen täglich oder wöchentlich entsprechende Reports erhalten.

Maryland, Howard County: Die Cyberhochburg

Nach einem kurzen Stopp bei der Business Software Alliance in DC führte das dritte Treffen in die Cyberhochburg nach Howard County in Maryland, ca eineinhalb Stunden Autofahrt von D.C. entfernt. Das Treffen fand in einem Inkubator für Cybersicherheitsunternehmen statt, in dem Akteure des Cybersektors aus Politik, Behörden und der Privatwirtschaft vernetzt werden. Die Delegation traf dort auf sehr aufgeschlossene Unternehmer und Behördenvertreter, die sich gerne über konkrete Möglichkeiten der Zusammenarbeit zwischen Deutschland und den USA austauschen wollten.

Besuch beim Business Software Alliance

Die Diskussion erfolgte intensiv und kontrovers. Aus Sicht der ansässigen Unternehmen wird vor allem die DSGVO in Zukunft starken Einfluss auf die vielfach bestehenden Geschäftsbeziehungen von europäischen und amerikanischen Unternehmen erzielen. Der Begriff des Datenschutzes (Privacy) scheint sich in den USA in den kommenden Monaten grundlegend in Richtung der Prinzipien der DSGVO zu verändern. Auslöser hierzu ist nicht zuletzt der California Consumer Privacy Act der (CCPA) der Anfang 2020 in Kraft treten wird. Durch den CCPA gehören die personenbezogenen Daten zukünftig nicht mehr den Unternehmen, die sie erheben, sondern analog zur DSGVO den Kunden und Mitarbeitern von denen sie erhoben werden.

Besuch beim Business Software Alliance

Organisation of American States

Letzter Termin in DC war der Besuch bei den Organisation of American States (OAS). Dort fand eine Paneldiskussion zwischen Vertreter der OAS (Kerry-Ann Bennett, Policy Specialist), dem Cyber-Sicherheitsrat Deutschland (Hans-Wilhelm Dünn, Präsident), Department of Homeland Security (Bob Koslasky, Director) und der Internet-Security-Alliance (Larry Clinton, President) zu den Themen Cybersicherheit und Datenschutz statt.

Besuch bei den OAS

Dabei kritisierte Larry Clinton die DSGVO als schlechtestes Gesetz, dass er jemals gesehen hat. Trotz der sehr polarisierten Meinung und folgenden Diskussion lohnt es sich, über einen Punkt seiner Argumentation nachzudenken: Seine zentrale Frage war, wie und ob die Wirkung der DSGVO tatsächlich messbar ist? Ich glaube hier gibt es in der Tat noch Argumentationsdefizite die es abzustellen gilt, auch wenn die positive Wirkung der DSGVO in unseren Kundenprojekten immer konkret nachweisbar ist. Denn aus Sicht der Manager in den USA ist die Welt an dieser Stelle recht einfach: gemäß dem Prinzip „Management-by-Objectives“ werden alle nicht-messbaren Maßnahmen einfach abgestellt. Damit die DSGVO in den USA höhere Akzeptanz erfährt, muss deren Nutzen idealerweise statistisch nachweisbar sein.

Im nächsten Teil der Delegationsreise geht es zu den Techgiganten in Redmont und Seattle.

Prof. Dr. Andre Döring
Neueste Anzeigen von Prof. Dr. Andre Döring (Alle anzeigen)

Das könnte Sie auch interessieren:

Informationssicherheits-Management-System

Alle Informationen zum Informationssicherheits Management System: Abgrenzung DSMS, Hinweise zur Umsetzung, Normen und Standards

Alle Informationen zur Informationssicherheit

Was ist Informationssicherheit? Aufgaben des Informationssicherheitsbeauftragten und Abgrenzung zum Datenschutz.

Technisch organisatorische Maßnahmen (TOMs)

Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?