IT-Sicherheit und Datenschutz: Die Gesetzeslage in den USA und Deutschland im Vergleich

bei

 / 27. May. 2019

Dieser Beitrag stellt keine Rechtsberatung dar und ist nicht von einem Rechtsanwalt oder Datenschutzexperten verfasst worden. Eine tieferreichende Analyse kann deshalb nicht geleistet werden. Er soll zunächst nur einen Überblick über die verschiedenen Gesetze und Verordnungen in den beiden vorgestellten Ländern geben.

Mit der DSGVO und dem IT-Sicherheitsgesetz hat die Bundesregierung in Zusammenarbeit mit der Europäischen Kommission in den letzten Jahren zwei wichtige Projekte für mehr IT-Sicherheit und Datenschutz in Deutschland eingeführt. In den USA gibt es zwar keine ähnlichen Gesetze, aber dafür zahlreiche Regelungen und Standards, die von den dortigen Unternehmen befolgt werden. Strafen sind bislang nur bei der DSGVO vorgesehen.

Die Lage in den USA

Die Gesetze zur IT-Sicherheit und Datenschutz in den USA sind relativ flexibel und im Vergleich weniger streng gehalten. Sie sind aus hundert Jahren Erfahrung mit Datenschutz- und Strafrechtsnormen erwachsen und haben sehr wenig mit dem Schutz der Vertraulichkeit und der Integrität von Systemen, Personen, Netzwerken und Daten zu tun. Die Normen wurden im Laufe der Zeit überarbeitet, um den heutigen Anforderungen an die IT-Sicherheit und den Datenschutz gerecht zu werden. Außerdem hängt die Verordnung von Datenschutzgesetzen stark von staatlichen Reaktionen auf Vorfälle und private Klagen gegen Unternehmen ab. Dieses Konstrukt des US-amerikanischen Rechtssystems führt dazu, dass die Gesetzeslage zur IT-Sicherheit und zum Datenschutz nur als ein „Framework“ von Regeln und Vorschriften betrachtet wird, welches keinen zuverlässigen Schutz der Privatsphäre gewährleistet.

Die Gesetze betreffen Unternehmen je nach Branche und geografischem Standort. Besonders auffällig ist, dass es kein übergreifendes Bundesgesetz gibt, das Unternehmen dazu zwingt, angemessene Sicherheitsmaßnahmen umzusetzen. Das Gesetz, dass dem am nächsten kommt, trat im Jahr 2014 mit dem Cybersecurity Enhancement Act [1] als Bundesgesetz in Kraft. Es verpflichtet das National Institute of Standards and Technology (NIST), branchenspezifische Richtlinien und Best Practices für Privatunternehmen weiter zu entwickeln. Das Dokument behandelt die 20 wichtigsten Schritte, die Unternehmen befolgen sollten, um die IT-Sicherheit kontinuierlich zu erhöhen. Die NIST-Richtlinien sind sehr Praxis-orientiert und werden weltweit anerkannt. In der Zwischenzeit verlangt der Cybersecurity Act (2015) [2] , dass private Anbieter Informationen über Angriffe mit anderen Anbietern und der Behörde austauschen, während sie die Vertraulichkeit und die Integrität aller Informationen bewahren. Der Federal Cybersecurity Enhancement Act (2016)[3] und der Federal Information System Modernization Act, 2014 (FISMA)[4] weisen das Homeland Security-Ministerium an, kritische Cybersecurity Services und -entsprechende Infrastrukturen bereitzustellen, sodass Bundesbehörden Notfallpläne leicht umsetzen können. Darüber hinaus konzentrieren sich der Gramm-Leach-Biley Act (1999) [5] und der Electronic Communications Privacy Act (ECPA) [6] überwiegend auf den Datenschutz und die Privatsphäre. Sie schreiben vor, wie Unternehmen mit Daten von Privatpersonen umgehen sollten – bei der Zusammenstellung, Anwendung und Offenlegung von personenbezogenen Informationen­. Auf Bundesebene sieht die Lage so aus, dass Kalifornien das erste Bundesland war, das ein Meldepflichtengesetz (2003) bei Sicherheitsverletzungen durchgesetzt hat. Unternehmen sind demnach verpflichtet, Personen deren private Daten gefährdet oder unsachgemäß erfasst wurden, rechtzeitig zu benachrichtigen. Im Januar 2019 wurde darüber hinaus ein neues Gesetz verabschiedet, indem Unternehmen verpflichtet sind bei Ransomware-Angriffen die Betroffenen und die Staatsanwaltschaft innerhalb von 30 Tagen zu informieren. Das neue Gesetz ist eine Reaktion auf den North Carolina Data Breach Report 2018, der mehr als 1.057 Datenschutzverletzungen aufdeckte.

Regulierungen in der Finanz- und Gesundheitsbranche

Beide Sektoren sind in den USA sowohl auf Bundes- als auch Bundesstaatebene gesondert geregelt. Das Consumer Financial Protection Bureau (CFPB) arbeitet mit verschiedenen Finanz- und staatlichen Versicherungsaufsichtsbehörden zusammen, wobei sie bestimmte Regeln für Finanzdienstleister auf Grundlage des Gramm-Leach-Bliley Act (GLB) und des Electronic Communications Privacy Act (ECPA) aufstellen. Die Securities and Exchange Commission (SEC) überwacht die Einhaltung von IT-Sicherheitsanforderungen sowie die Arbeit aller Händler und Anlageberater. Diejenigen, die die IT-Sicherheitsrichtlinien und Verfahren nicht einhalten, werden dafür bestraft. Ein ehemaliger Makler von Charles Schwab & Co. wurde von der Financial Industry Regulatory Authority, Inc. (FINRA-beaufsichtigt von SEC) zu einer Geldstrafe von 5.000 US-Dollar verklagt. Zudem wurde er für 90 Tage suspendiert, weil er fast 800.000 US-Dollar fälschlicherweise an jemanden überwiesen hat, der sich als ein Kunde von ihm ausgegeben hat. Auf Bundeslandebene hat das New York State Department of Financial Services im Jahr 2017 neue Reglungen zum Schutz von Kundeninformationen und Informationstechnologiesysteme für Finanzdienstleister festgelegt. Das Gesetz verpflichtet jeden Finanzdienstleister, sein spezifisches Risikoprofil zu bewerten und eine passende Risiko-Controlling-Maßnahme zu entwickeln. Im Bereich des Datenschutzes gibt es noch nicht viele Gesetze und vor allem noch weniger, die personenbezogene Daten schützen. Ein aktuelles Datenschutzgesetz im Bundesstaat North Carolina verlangt ebenfalls, dass Finanzdienstleister die Zustimmung ihre Kunden einholen müssen, wenn sie diese auf Kreditwürdigkeit prüfen.

Die Gesundheitsbranche unterliegt dem Health Insurance Portability and Accountability Act (HIPAA) [7] von 1996, der im Einklang mit dem Gramm-Leach-Bliley Act (GLB) und dem Electronic Communications Privacy Act (ECPA) steht. Das HIPAA gilt für Krankenkassen, Gesundheitszentren und alle Gesundheitsdienstleister, die Gesundheitsinformationen in elektronischer Form unter sich und mit ihren Geschäftspartnern teilen. Das Gesetz zielt darauf ab, Gesundheitsinformationen und die Privatsphäre der Patienten zu schützen. Wie bereits angedeutet, sind die Regelungen sehr flexibel und skalierbar gestaltet, sodass jedes Unternehmen die Freiheit hat, die Richtlinien, Verfahren und Informationstechnologien umzusetzen, die am besten zu seiner Größe, Unternehmensstruktur und Risikopotential passen.

Cyberkriminalität und Strafen in den USA

In der Regel führen Verstöße gegen Bundes- und Bundesstaats-Datenschutzgesetze zu zivil-, aber nicht strafrechtlichen Strafen. Das Gesetz sieht vor, dass Privatpersonen Unternehmen vor Gericht ziehen dürfen, wenn sie der Meinung sind, dass ein Unternehmen gegen die Gesetze verstoßen hat. Cyberkriminalität in den USA umfasst Phishing, Hacking, Identitätsbetrug, elektronischer Diebstahl, der Besitz von Hard- und Software für cyberkriminale Aktivitäten, die Infizierung von IT-Systemen mit Malware und Ransomware sowie Kinderpornographie (nach dem Computer Fraud and Abuse Act von 1986) [8] . Straftäter bekommen eine Strafe von bis zu 20 Jahren Gefängnis und/oder eine Geldstrafe, je nach Art und Schwere der Straftat.

Der Deutsche Ansatz für IT-Sicherheit und Datenschutz

Die EU-Datenschutzgrundverordnung (EU-DSGVO) [9] dient als Grundlage für alle nationalen Gesetze, die sich mit Fragen zur IT-Sicherheit und zum Datenschutz innerhalb der Europäischen Union (EU) beschäftigen. Im Gegensatz zu den US-amerikanischen Gesetzen, die viel entspannter und manchmal widersprüchlich sind, ist die EU-DSGVO viel strukturierter, strenger und sie betrifft alle Unternehmen, die innerhalb der EU tätig sind. Die EU-DSGVO betrifft auch Unternehmen, außerhalb der EU, die Informationen von EU-Bürgern verarbeiten. Art. 5 Abs. 1 und Art. 32 der EU-DSGVO verpflichtet Unternehmen dazu alle erforderlichen IT-Sicherheitsmaßnahmen einzusetzen, um Vorfälle rechtzeitig zu erkennen, zu überwachen, im besten Fall zu verhindern und deren Folgen abzumildern. Alle Maßnahmen müssen sicherstellen, dass die Vertraulichkeit und die Integrität personenbezogener Daten und Systeme im Unternehmen gewahrt bleiben. Zusätzlich müssen Unternehmen einen Datenschutzbeauftragten benennen sowie den Stand der IT regelmäßig überprüfen und aktualisieren. Die EU-DSGVO verlangt, dass Unternehmen bis spätestens 72 Stunden nach der Kenntnis des Sicherheitsvorfalls, diesen Vorfall an die zuständige Datenschutzbehörde melden müssen. Zusätzlich sind Unternehmen verpflichtet, Informationen in Bezug auf den Umfang des Sicherheitsvorfalls, den Folgen der Datenschutzverletzung sowie die eingesetzten Maßnahmen zur Behebung des Vorfalls bei der zuständigen Behörde anzugeben. Personen, deren private Daten von der Verletzung betroffen sind, müssen ebenfalls rechtzeitig informiert werden.

Auf staatlicher Ebene regelt die EU-DSGVO den allgemeinen Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell innerhalb Deutschlands verarbeitet werden. Zur Sicherstellung der Einhaltung der Gesetze sind u.a. das Bundesamt für Sicherheit in der Informationstechnik (BSI) und je nach Bundesland das Landesamt für Sicherheit in der Informationstechnik (LSI) zuständig.

Das BSI stellt u.a. mit dem IT-Grundschutz Richtlinien und Empfehlungen auf, die als Richtlinien für Unternehmen dienen sollten. Das Landesamt bietet Schulungen und Beratungsdienste sowie technische Unterstützung für Kommunen, Privatpersonen und Unternehmen, bezüglich der IT-Sicherheit und des Datenschutzes im Bundesland an. Aber, eine reibungslose Zusammenarbeit zwischen den Behörden auf Bundes- und Landesebene ist in der Regel nicht immer der Fall.

Kritische Infrastrukturen

Neben der EU-DSGVO gilt seit 2016 das IT-Sicherheitsgesetz [10] für kritische Infrastrukturen nämlich für die Sektoren Informationstechnik und Telekommunikation, Gesundheit, Energie, Finanzen und Versicherung, Transport und Verkehr, Wasser und Ernährung. Dieses Gesetz wird dieses Jahr noch einmal eine Aktualisierung erfahren und dadurch an die Vorgaben der EU-DSGVO angepasst werden. Darüber hinaus steht außerdem noch die eprivacy Verordnung [11] des Europäischen Parlaments vor der Tür. Für viele Branchen gelten darüber hinaus auch noch branchenspezifische Gesetze. So müssen Finanzdienstleister im Einklang mit § 25a Kreditwesengesetz [12] und § 33 Wertpapierhandelsgesetz [13] stehen. Beide Gesetze verlangen, dass Finanzdienstleister ein IT-Risikomanagementsystem entwickeln. Bei der Nichteinhaltung können sie eine Geldstrafe von bis zu 5 Millionen Euro erhalten. Unternehmen können auch dazu aufgefordert werden, bestimmte Arten von Geschäften ganz oder teilweise nicht oder nur eingeschränkt durchzuführen. Hinsichtlich der Meldepflicht müssen sich kritische Infrastruktur-Betreiber in Fällen von Sicherheitsverletzungen beim BSI melden, um Angaben zur erheblichen Störung der Verfügbarkeit, Vertraulichkeit und Integrität ihrer IT zu geben.

Cyberkriminalität und Strafen in Deutschland

Grundsätzlich sieht das deutsche Gesetz vor, dass jede Person und jedes Unternehmen, das im Falle eines Sicherheitsvorfalls einen Schaden erlitten hat, zivilrechtliche Klage gegen den Straftäter einleiten kann. Die Cyberkriminalität in Deutschland ist derjenigen in den USA sehr ähnlich. Die Straftäten werden von ein bis zu zehn Jahre Gefängnis oder eine Geldstrafe bestraft, je nach Straftat natürlich. Unter dem deutschen IT-Sicherheitsgesetz können Unternehmen bei Verstößen mit einer Strafe von bis zu 100.000 Euro belegt werden. Bei der Nichteinhaltung verhängt die EU-DSGVO eine Geldstrafe von bis zu 10 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Kürzlich wurde Google von der französischen Behörde CNIL zu einer 50 Millionen Euro Strafe verurteilt, weil es die Daten seiner Nutzer nur unzureichend schützt.

„Wir können die absolute, die totale Sicherheit gerade im Bereich der Cybersicherheit nicht versprechen,“ betonte Horst Seehofer, Bundesminister des Innern, für Bau und Heimat anlässlich des Datenskandals um gehackte Politiker-E-Mailkonten [14] . Mit anderen Worten, Privatpersonen sollten sich nicht nur auf das Gesetz verlassen, um ihre Privatsphäre zu schützen. Jeder muss sich um seine Privatsphäre sorgen und Unternehmen können ihren Mitarbeitern dabei helfen, ihre Sicherheitssysteme weiter zu verstärken. Genau genommen brauchen Unternehmen eine menschliche Firewall, die letzte Verteidigungslinie gegen Sicherheitsangriffe. Das „New School Security Awareness-Training“ besteht aus simulierten Phishing-Angriffen, die von der IT-Abteilung des Unternehmens spontan und regelmäßig an die Mitarbeiter geschickt werden. Sie sollen diese dazu zu bringen, Phishing-E-Mails leicht zu erkennen und weniger empfänglich gegenüber solchen betrügerischen und bösartigen E-Mails zu sein. Laut einer Umfrage [15] haben 64 Prozent der Befragten in den USA festgestellt, dass das Security Awareness-Training ihren Unternehmen geholfen hat, Sicherheitsangriffe frühzeitig zu identifizieren und zu vermeiden, indem sie entweder auf einen Hackerversuch oder eine potenzielle Schwachstelle aufmerksam gemacht wurden.

Fazit

Die Gesetzeslage zur IT-Sicherheit und zum Datenschutz in Deutschland sind deutlich strenger im Vergleich zu den eher weniger verbindlichen Rechtsvorschriften in den USA. Trotzdem befinden sich noch Lücken im Gesetz, genauso in den Sicherheitssystemen von Unternehmen und Behörden, die Cyberkriminelle zu ihren Vorteilen nutzen können.

Quellen und Referenzen

[1] https://www.congress.gov/bill/113th-congress/senate-bill/1353/text

[2] https://www.dni.gov/index.php/ic-legal-reference-book/cybersecurity-act-of-2015

[3] https://www.congress.gov/bill/114th-congress/senate-bill/1869

[4] https://www.congress.gov/bill/113th-congress/senate-bill/2521

[5] https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act

[6] https://epic.org/privacy/ecpa/

[7] https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html

[8] https://www.justice.gov/sites/default/files/criminal-ccips/legacy/2015/01/14/ccmanual.pdf

[9] https://dsgvo-gesetz.de/

[10] https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/Neuregelungen_KRITIS/B3S/b3s.html

[11] https://www.datenschutz.org/eprivacy-verordnung/

[12] http://www.lexsoft.de/cgi-bin/lexsoft/justizportal_nrw.cgi?xid=141596,46

[13] https://www.sadaba.de/GSBT_WpHG_31_37.html

[14] https://www.sueddeutsche.de/politik/seehofer-hackerangriff-cybersicherheit-1.4279393

[15] https://www.knowbe4.com/hubfs/SecurityAwarenessTrainingDeploymentsDeterDefeatHackers.pdf

 

Detlev Weise gründete 2014 exploqii als Co-Founder und ist seit 2018 Managing Director DACH bei KnowBe4. Seit mehr als 10 Jahren ist der Experte für Videokommunikation ein gefragter Partner und Dienstleister namhafter Konzerne. Detlev Weise hält regelmäßig Vorträge und Seminare. Er arbeitete zuvor für global agierende Unternehmen.