Die Chevron-Deference ist tot. Was nun?

In diesem Sommer endete eine 40 Jahre alte Rechtsdoktrin, die erhebliche Auswirkungen auf die Cybersicherheit – und viele andere Sektoren – haben dürfte. Was ist das und was bedeutet ihre Aufhebung?

Die Chevron-Deference existiert seit 40 Jahren und beschreibt den Spielraum, den Bundesbehörden bei der Auslegung ihrer eigenen Richtlinien bei der Regulierung haben.

Der US-Kongress aktualisierte 1977 den Clean Air Act und verpflichtete Unternehmen nun dazu, Technologien zur Schadstoffbekämpfung zu installieren, wenn sie technische Änderungen an ihren Anlagen vornahmen.

Gesetze wie diese werden von der gesetzgebenden Gewalt der US-Regierung (dem Kongress) erlassen, müssen aber von der Exekutive (Bundesbehörden) durch Vorschriften durchgesetzt werden. In diesem Fall bestand die Aufgabe der Umweltschutzbehörde darin, sicherzustellen, dass die Umweltverschmutzer die Änderungen vornahmen. Unter der damaligen Carter-Regierung (dies war der Präsident, der Solarmodule auf dem Dach des Weißen Hauses installierte) hätte die EPA sie wahrscheinlich streng durchgesetzt.

Wenn jedoch die Regierung wechselt, ändert sich auch die Haltung der Regulierungsbehörden, und zwar aufgrund politischer Ernennungen in der Führung der Behörden. Anfang der achtziger Jahre nahm der Ölgigant Chevron einige Änderungen in einem seiner Werke vor, aber zu dieser Zeit stand die EPA unter der konservativeren Regierung Reagans (Reagan war der Präsident, der diese Solarmodule entfernte).

Reagans EPA interpretierte ihre Regelung so, dass Kraftwerke als eine Einheit behandelt wurden und nicht auf einzelne Anlagenteile. Das ermöglichte Chevron, die Anlagen in seinem Werk zu modernisieren, ohne zusätzliche Luftwäscher installieren zu müssen.

Der Natural Resources Defense Council (NRDC) verklagte die EPA mit der Begründung, sie hätte ihre Regeln strenger auslegen müssen. Der Oberste Gerichtshof argumentierte, dass die Auslegung ihrer Regeln den Bundesbehörden überlassen werden sollte und nicht den Gerichten, solange die Auslegung nicht mit dem Wortlaut der Verordnung in Konflikt gerät.

Von da an musste jedes Gericht in einem Fall, in dem es um Bundesvorschriften ging, bei der Auslegung der Vorschriften auf die Bundesbehörde hören. Die Begründung lautete, dass die Behörde über mehr Sachverstand verfügte als Bundesrichter.

Das heißt, bis jetzt. Am 28. Juni entschied der Oberste Gerichtshof in einem anderen Fall, Loper Bright Enterprises v. Raimondo. Loper Bright ist ein Fischereiunternehmen aus Neuengland, das eine Entscheidung des National Marine Fisheries Service (NMFS) anfechten wollte. Nach dem Magnuson-Stevens Act, der Fangquoten festlegt, verpflichtete der NMFS Fischerboote, staatliche Inspektoren zu benennen, die ihre Fänge auf Kosten der Fischereiunternehmen überwachen.

Loper Bright hatte die Befugnis der NMFS, diese Regelung durchzusetzen, vor einem Bezirksgericht angefochten, das die Chevron-Regelung anwandte und die NMFS entscheiden ließ. Der Fall ging an den Obersten Gerichtshof, der die Entscheidung aufhob und damit die Chevron-Regelung de facto aufhob.

Was das für die Cybersicherheit bedeutet

Diese Entscheidung erlaubt es den Bezirksgerichten erneut, darüber zu entscheiden, wie Bundesbehörden Gesetze auslegen sollen, was nach Ansicht von Experten gleichbedeutend damit wäre, Richtern politische Entscheidungen zu überlassen. Das NRDC, das die Chevron-Deference schließlich als Mittel zur Gewährleistung von Rechtssicherheit bei Streitigkeiten über die Bundespolitik begrüßte, Anrufe eine Rechtslandschaft nach der Aufhebung der einstweiligen Verfügung sei „gleichbedeutend mit dem Werfen eines Pfeils auf die Dartscheibe eines Untergerichts“.

„[Es gibt] mehr als zehn verschiedene Gerichtsbezirke, jeder mit mehreren Richtern“, argumentiert John Walke, ein leitender Anwalt im Umweltgesundheitsprogramm der Organisation. „Jeder kann entscheiden, welche vernünftige Auslegung ihm am besten gefällt.“

Was hat das mit Cybersicherheit zu tun? Dies ist eine relativ junge Disziplin, die noch immer die Bundespolitik ausarbeitet. Die Sorge ist nun, dass die politische Entscheidung einem Gremium aus Bezirks- und Kreisrichtern mit unterschiedlichen Meinungen überlassen wird, was die Sache verkompliziert.

Bundesbehörden regulieren die Cybersicherheit immer aggressiver, allerdings mit einer Der Kongress ist weniger produktiv als je zuvor, verlassen sie sich zunehmend auf die Ergänzung älterer Gesetze, in denen die Cybersicherheit nicht erwähnt wird, , Harley Geiger, Ines Jordan-Zoob und Tanvi Chopra vom Center for Cybersecurity Policy.

Die Experten des Zentrums befürchten, dass das Ende der Chevron-Regelung Auswirkungen auf mehrere aktuelle regulatorische Änderungen haben könnte, darunter die Anforderung der SEC, dass Organisationen Cybersicherheitsvorfälle schnell melden müssen, sowie die Überarbeitung des Gramm-Leach-Bliley Act aus dem Jahr 2022, die Finanzinstitute zur Meldung von Cybersicherheitsvorfällen verpflichtete. Die Gesetze, auf denen diese Vorschriften basieren, enthielten keine explizite Sprache zur Cybersicherheit. Ohne den Schutz der Chevron-Regelung könnten sie vor Bezirksgerichten mit rechtlichen Herausforderungen konfrontiert werden.

Das Zentrum befürchtet, dass es für Organisationen dadurch schwieriger werden werde, klare, landesweite Regeln für ihre Cybersicherheitspolitik durchzusetzen.

„Die Folge könnte eine geringere Einheitlichkeit bei der Anwendung von Vorschriften in verschiedenen Rechtsräumen sein“, sagen die Autoren. „Die Bemühungen der Exekutive, die Vorschriften zur Cybersicherheit ohne ausdrückliche Ermächtigung des Kongresses zu harmonisieren, könnten an Schwung verlieren, sodass die Compliance-Abteilung der Branche weiterhin mit einem Flickenteppich von Sicherheitsvorschriften zu kämpfen hat.“

Die Autoren des Zentrums befürchten auch, dass neue Gesetze zu Cybersicherheitsfragen weniger zweideutig sein müssen, was den Regulierungsbehörden in einem sich schnell entwickelnden Technologiesektor weniger Interpretationsspielraum lässt. Dies könnte die Verabschiedung künftiger Cybersicherheitsgesetze erschweren, warnen die Autoren.

Ein Rechtstest ist nach wie vor in Kraft, der es Gerichten erlaubt, sich in politischen Fragen den Entscheidungen der Bundesbehörden zu beugen. Er heißt Skidmore-Doktrin und geht auf einen Fall aus dem Jahr 1944 zurück, der es Gerichten erlaubt, sich der Auslegung einer Behörde zu beugen, die auf „der Macht zu überzeugen, wenn die Macht zu kontrollieren fehlt“ beruht. Wie gut eine Behörde überzeugt, ist jedoch vermutlich immer noch die Meinung eines Prozess- oder Berufungsrichters.

Was sollten Sie tun?

Was bedeutet dies für Unternehmen, die versuchen, die Vorschriften zur Cybersicherheit einzuhalten?

„Vielleicht sind heute mehr denn je Initiativen des privaten Sektors zur freiwilligen Einführung wirksamer Cyber-Risikomanagementprogramme erforderlich, um die Widerstandsfähigkeit von Verbrauchern, Unternehmen und der Gesellschaft zu stärken“, sagen die Autoren des Centre for Cybersecurity Policy.

Glücklicherweise gibt es viele robuste Rahmenwerke, darunter ISO 27001 und das NIST-Cybersicherheitsrahmenwerk, auf denen Unternehmen ihre Cybersicherheitsbemühungen aufbauen können. Diese erhöhen die Wahrscheinlichkeit, dass Unternehmen die Bundesvorschriften einhalten, und bieten zudem einen besseren Schutz vor Cybersicherheitsvorfällen. In einem volatileren Rechtsumfeld bietet eine robuste freiwillige Einhaltung ein gewisses Maß an Sicherheit und zeigt, dass Organisationen den Geist und nicht nur den Buchstaben des Gesetzes eingehalten haben.