Wo bleibt der Datenschutz? Neuer US-Gesetzentwurf CISPA: „Kampf gegen Cyberbedrohung“ - die nächste Runde (Online-Durchsuchungen bald ohne den Richter möglich?)
von , veröffentlicht am 16.04.2012Wie bereits hier im Blog diskutiert, sorgten im Januar die Gesetzesentwürfe SOPA und PIPA für viel Unruhe. SOPA und PIPA wurden aufgrund des "Drucks der Straße" (sprich: Internetnutzer) nicht verabschiedet. Damit wurde die Diskussion um ein bevorstehendes Anti-Piraterie-Gesetz zunächst auf Eis gelegt.
Ein neuer Gesetzesentwurf hat die Diskussion nun erneut entfacht: der Gesetzesentwurf HR 3523 mit dem Namen CISPA („Cyber Intelligence Sharing and Protection Act“) soll den Austausch von Geheimdienstinformationen zwischen US-Behörden und US-Unternehmen fördern. Das Ziel ist, dass die Industrie und die Regierung Hand in Hand Cypercrime bekämpfen. Dazu soll ein umfangreicher Datenaustausch zwischen den Unternehmen und den Behörden auf „freiwilliger“ Basis stattfinden.
Doch bereits der Einleitungssatz des Entwurfes wirft viele Fragen auf:
“To provide for the sharing of certain cyber threat intelligence and cyber threat information between the intelligence community and cybersecurity entities, and for other purposes.”
Welche Zwecke sind damit konkret gemeint? Wie weit geht CISPA? Auch im Folgenden ist der Entwurf vage gehalten. Konkrete Definitionen sind nicht zu finden. Große Unternehmen wie Facebook und Microsoft unterstützen CISPA. Protest kommt aus den Reihen der Internetnutzer (600.000 Unterschriften wurden bereits online gesammelt). Die Kritiker befürchten u.a., dass aufgrund der Datenübertragung an Regierungsstellen Online-Durchsuchungen ohne richterliche Anordnung möglich werden. Eine Abstimmung ist für den 23.04.12 vorgesehen. Das U.S. Intelligence Committee hat kürzlich einen neuen Entwurf der CISPA vorgelegt, in dem u.a. der Begriff der „Cyberbedrohung“ neu definiert wird. Die Debatte geht also noch weiter. Nichts ist entschieden.
Was halten Sie von CISPA? Stellt der neue Entwurf die nicht vom US-Gesetzgeber verabschiedeten Vorgänger SOPA und PIPA sogar in den Schatten, wie einige Autoren behaupten?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
3 Kommentare
Kommentare als Feed abonnierenDass CISPA nicht klar macht, worum es geht, und keine eindeutigen Bahnen des Informationsflusses und Grenzen der Informationsnutzung aufzeigt, macht das Gesetz in der Form nicht annehmbar. Wo das Einfallstor für eine Online-Durchsuchung ohne richterliche Entscheidung liegt, wird mir allerdings nicht klar.
Das grundsätzliche Anliegen, das aufgrund dieser handwerklichen Schwäche nur schwer vermittelbar ist, verdient auch etwas Beachtung:
http://mikerogers.house.gov/News/DocumentPrint.aspx?DocumentID=287920
Insofern ist der Entwurf nicht mit SOPA vergleichbar, weder in den Zielen noch in seiner Legitimität, oder sollte jedenfalls - richtig ausgearbeitet - damit nicht vergleichbar sein.
Der Zusatz "for other purposes" hat in dem Zusammenhang schon seine Berechtigung bzw. ist angesichts der diffusen Gestaltung konsequent. Einerseits liegt der Charakter von Betreibern kritischer Infrastruktur als "cybersecurity entities" oft nicht auf der Hand. Andererseits ist auch "cyber thread intelligence" nicht sachgerecht durch ihre Quelle abzugrenzen. Der Schwerpunkt der Informationsgewinnung staatlicher Stellen liegt, zumindest hinsichtlich der nutzbaren Resultate, immer noch außerhalb der Informationsnetze. Diese Ausrichtung kann gerade einen Gewinn für den Selbstschutz der privaten Akteure darstellen, weil die Art von Angriffen über Netzwerke, auf die hier abgezielt wird, insbesondere die staatlich gelenkten, nur schwerlich allein anhand ihrer informationstechnischen Erscheinung erkennbar ist, wenn sie nicht ohnehin in wesentlichen Schritten mit untechnischen Mitteln kombiniert wird.
Frank Koch
Das Repräsentantenhaus hat am 27.4.2012 den Entwurf 248 zu 168 angenommen. Jedoch muss nun der Senat prüfen.
Meine Frage: Protected und self-protected entities können (müssen aber nicht) Informationen mit anderen entitties austauschen, "including the Federal Government" (Sec. 1104 (b) (B) (ii). Wiederholt sich hier die Patriot Act-Problematik, da die Informationen anscheinend grenzüberschreitend gesammelt werden dürfen ? Wenn ja, geht es nicht nur um europäische Datenbanken mit US-Anbindung, sondern auch um US-Anbieter von Security-Leistungen, z.B. Virenkontrolle, die Informationen über die Sicherheit europäischer Anwender an US-Behörden weiterleiten können (etwa zum Identity Management.
@Frank Koch:
Die Problematik eines Datenflusses zu US-Behörden über die Landesgrenzen hinweg dürfte gegeben sein. Ich halte sie aber (was das Dürfen des Unternehmens angeht, gegenüber der Verpflichtung nach PA) faktisch nicht für abhängig von CISPA oder anderen speziellen Ermächtigungen sondern, aus der Perspektive deutscher Kunden, für der Nutzung von ausländischen IT-Dienstleistungen immanent. Ein weltweit agierendes Unternehmen, das seinen Geschäftsbetrieb bedroht oder angegriffen sieht, setzt sich unter Umständen natürlich mit den heimischen Behörden in Verbindung. Im Fall der USA und vieler anderer Länder ist der damit verbundene Austausch gewöhnlich nicht von Dritten oder unabhängigen Stellen nachzuvollziehen, wie das Beispiel Google/NSA zeigt, und dürfte sich nicht an deutschen Datenschutzvorstellungen orientieren.
Neu ist insofern, dass CISPA diese Vorgänge sicherlich vitalisieren möchte, indem es Behörden eigene Verhandlungsmasse einräumt. Von Ausnahmen mit besonders wesentlicher Bedeutung abgesehen, wie eben dem Fall Google, sind Ermittlungsbehörden bislang nicht die bevorzugte Anlaufstelle für Unternehmen mit Sicherheitsproblemen, weil ihre Geheimhaltungsvorschriften die Kommunikation einseitig gestalten und ihre Reaktionen aufgrund der Zusammenführung dieser Kommunikation mit bei ihnen vorliegenden, nicht geteilten Informationen aus Sicht des Unternehmens unberechenbar sind.