Der US-Senat hat ein Gesetz beschlossen, das es Unternehmen ermöglicht, Daten an US-Behörden weiterzugeben, darunter auch persönliche Kundendaten. Das soll die Abwehr von Cyberattacken erleichtern - schränkt den Datenschutz aber noch mehr ein.

Wer was wie mit welchen Daten macht, ist seit vielen Jahren Bestandteil von Diskussionen zwischen Datenschützern, Bürgerrechtlern, Politikern und Unternehmen. Ein neues Kapitel in diesem Diskurs hat heute der US-Senat geschrieben.

Mit der Einführung des Cybersecurity Information Sharing Act (Cisa) sollen US-amerikanische Unternehmen besser vor Hackerangriffen geschützt werden. Es erlaubt ihnen, Daten an US-Behörden weiterzuleiten, wenn sie eine IT-Bedrohung gegen sich feststellen - um von den Behörden dann hoffentlich Hilfe zu bekommen. Auch sollen die Behörden weitere Angriffe so besser abwehren können, wenn sie mit den nötigen Informationen ausgestattet sind. Da viele Deutsche Kunden US-amerikanischer Unternehmen (Facebook und Co.) sind, spielt die neue Regelung auch für Deutschland eine Rolle.

Kunden können sich nicht wehren

Kritiker des neuen Gesetzes, darunter die American Civil Liberties Union und die Freedom of the Press Foundation, sehen in Cisa vor allem ein Problem: Dass Unternehmen Daten - darunter auch persönliche Kundendaten - an US-Behörden weitergeben dürfen, könnte zum Beispiel das FBI, CIA und die NSA stärken. Betroffene erfahren von der Weitergabe nichts und können sie auch nicht verhindern.

Außerdem kritisieren sie, dass Unternehmen Daten an die Behörden weiterleiten können, ungeachtet weiterer gesetzlicher Vorgaben. Regeln zum Datenschutz, etwa im Gesundheitswesen, gelten dann also nicht mehr. Ein Änderungsantrag im Senat zielte darauf ab, dass die übermittelten Daten wenigstens von persönlichen Informationen befreit würden. Das wäre technisch möglich, ist allerdings mehr Aufwand. Der Antrag wurde abgelehnt.

Auch deutsche Unternehmen geben Daten raus

In Deutschland gibt es eine ähnliche Regel: die Meldepflicht von Cyberattacken für Firmen. Sie ist allerdings bei Weitem nicht so weitreichend, weil die Pflicht nur für Unternehmen gilt, die "infrastrukturkritisch" sind, also etwa Wasser- und Stromlieferanten. Sie müssen Daten bei einer Cyberattacke an das Bundesamt für Sicherheit in der Informationstechnik weitergeben.