Abgesehen von diesen grundlegenden Ähnlichkeiten bei der Förderung der Cybersicherheit sind sich die beiden Seiten in wichtigen Punkten nicht einig.
Eriks Selga ist Gastwissenschaftlerin am Lettischen Institut für Auswärtige Angelegenheiten.
Abigail LaBreck ist ehemalige Praktikantin im Transatlantic Leadership Program von CEPA.
Obwohl die USA und Europa eine Zusammenarbeit bei der Cybersicherheit geloben, droht der unterschiedliche Ansatz der beiden Seiten beim Datenschutz diese Ambitionen zu untergraben.
Europa, das oft Schwierigkeiten hat, gemeinsame kontinentweite Regeln aufzustellen, verwendet eine zentralisierte Datenschutzregelung. Im Gegensatz dazu verfolgen die USA einen fragmentierten Ansatz. Europa geht eine harte Linie und behandelt alle personenbezogenen Daten mit der umfassenden Datenschutz-Grundverordnung. Die USA ziehen es vor, den Schaden von Fall zu Fall zu beurteilen.
Eine grundlegende philosophische Kluft erklärt diese Unterschiede. Europa konzentriert sich auf den Schutz personenbezogener Daten und stellt sicher, dass der Einzelne die Kontrolle behält. Datenschutz und Datenschutz sind Säulen der Charta der Europäischen Union, und die EU verabschiedet eine umfassende Datenstrategie.
Die USA bevorzugen einen Laissez-faire-Ansatz. Die Datenschutzgesetze bleiben auf die staatliche Ebene (siehe das kalifornische Datenschutzgesetz) oder die Branche nach Branche beschränkt. Die US Federal Data Strategy legt eine Grundlage für die Erhebung und Nutzung von Daten in Bundesbehörden ohne behördenübergreifende Datenzentralisierung.
Sowohl Europa als auch die USA sind sich zumindest über die Dringlichkeit der Cybersicherheitsherausforderung einig. Jüngste Hacks kritischer Infrastrukturen bei SolarWinds, Colonial Pipeline und NotPetya heben eine gemeinsame transatlantische Schwachstelle hervor. Allgegenwärtige IoT-Geräte und intelligente Infrastrukturen schaffen eine wachsende Gefahr von Cyberangriffen.
Als Reaktion darauf haben Europa und die USA Cybersicherheitsbehörden eingerichtet. Die EU hat die Agentur für Netz- und Informationssicherheit (ENISA) eingerichtet. In den USA gibt es die Cybersecurity and Infrastructure Agency (CISA). Diese Behörden fordern sowohl Regierungen als auch Unternehmen auf, das einzusetzen, was Europa als „Stand der Technik“ bezeichnet, und die USA bezeichnen „Best Practices der Branche“.
Abgesehen von diesen grundlegenden Ähnlichkeiten bei der Förderung der Cybersicherheit sind sich die beiden Seiten in wichtigen Punkten nicht einig. Die europäische NIS-Richtlinie fordert den Privatsektor auf, konkrete Maßnahmen zu ergreifen. Das NIST Framework der USA beschränkt sich darauf, auf freiwilliges Handeln zu drängen.
Die Zertifizierung stellt eine weitere Trennlinie dar. Die EU möchte, dass die ENISA die Bereitschaft zur Cybersicherheit „zertifiziert“. Die USA haben bei der Zertifizierung nicht gehandelt und einige US-Technologieunternehmen sagen, dass die Zertifizierungsüberwachung gefährlich sein könnte und Systeme für Angriffe öffnen könnte.
Die vielleicht wichtigste Abweichung betrifft die Meldung von Vorfällen. Wenn ein Unternehmen einen Hack entdeckt, wann sollte es den Aufsichtsbehörden und Kunden melden? Wenn sie öffentlich wird, bevor die Fakten klar sind, besteht die Gefahr, dass unvollständige oder sogar falsche Informationen verbreitet werden – und eine unnötige Panik ausgelöst wird. Melden Sie sich jedoch zu spät, und die unbehandelte Gefahr könnte sich ausbreiten.
Die unterschiedlichen Datenschutzrichtlinien der beiden Seiten führen zu einer gefährlichen Spaltung, um mit diesem Dilemma umzugehen. Europa legt einen hohen, zentralisierten Standard für die Meldung von Datenschutzverletzungen mit einem einzigen Regelwerk für alle Unternehmen fest. Wenn Daten einer Person preisgegeben werden, muss die Person informiert werden – Punkt.
Die USA sind ebenso wie der Datenschutz weniger streng. Nach vielen staatlichen Gesetzen sind Unternehmen nicht verpflichtet, Verbraucher zu benachrichtigen, bis nach einer „angemessenen“ Untersuchung festgestellt wird, dass den Kunden tatsächlich ein Schaden entstanden ist.
Trotz dieser unterschiedlichen Prioritäten und Strategien können die USA und die EU zusammenarbeiten. Der Transatlantic Trade and Tech Council, der am 29. Oktober in Pittsburgh ins Leben gerufen wurde, bietet eine Chance. Es umfasst eine Arbeitsgruppe zum Thema Cybersicherheit.
Die beiden Seiten sollten sich zunächst auf gemeinsame Standards für die Meldung von Vorfällen einigen. Im Mai letzten Jahres erließ Präsident Joseph Biden eine Exekutivverordnung zur Förderung der Modernisierung der amerikanischen Sicherheitsverteidigung. Es öffnet den USA die Tür zur Einführung einer einzigen, harmonisierten Agentur zur Bekämpfung von Cyberangriffen. Die neue Joint Cyber Unit der EU-Kommission könnte sich als effektiver Partner für die transatlantische Standardsetzung erweisen.
Europa und die USA sollten sich auf einen gemeinsamen Auslöser für die Meldung von Verstößen einigen können. Unternehmen sollten nicht warten und selbst entscheiden dürfen, wann die Gefahr eine Meldung erfordert. Sie sollten verpflichtet werden, sich zumindest privat bei den Aufsichtsbehörden zu melden, sobald ein Angriff erkannt wird.
Gemeinsame Regeln für die Meldung von Cyberverletzungen sind ein konkretes Beispiel dafür, wie die USA und Europa zusammenarbeiten können und sollten und nicht nur über eine zentrale digitale Herausforderung streiten. Amerikaner und Europäer werden der Privatsphäre nie den gleichen Wert beimessen. Aber sie können den gleichen Wert auf die Bekämpfung gefährlicher Cyberangriffe legen.