Sicher, sauber und geschäftsfreundlich
Die Europäische Kommission hat klare Vorstellungen von der Zukunft des Internet
Die Europäer "stürmen das Web" und "machen gegenüber den Vereinigten Staaten Boden gut". Diesen Trend hat Business Week in seiner Ausgabe vom 11. Mai ausgemacht. Nach langem Zögern sei nun 30 Prozent Wachstum im Bereich Internetzugang auf dem alten Kontinent zu verzeichnen, was Europa als den nächsten großen "Markt für den Cyberspace" auszeichne. Schätzte der ehemalige Intel-Chef Andy Grove 1997 noch, daß die Europäer den USA zehn Jahre beim Einsatz von Internet und Computertechnologien hinterherhinkten, so reduziert das Wirtschaftsmagazin - gestützt auf die aktuellen Schätzungen von Marktanalysten - diesen Zeitraum auf rund vier Jahre. Angeführt und gezogen von der Wirtschaft würden nun auch die Normalverbraucher online gehen und sich das einstmalig rein "amerikanische Phänomen" aneignen. Dabei sei es nur allzu wahrscheinlich, daß die neuen Eroberer des Cyberspace auch ihre eigenen Kulturen und ihre eigenen Sprachen ins Netz einschreiben würden.
Dabei kommt es zu Reibungen - weniger im kulturellen als vielmehr im politischen Bereich. Bezeichnend ist beispielsweise der Streit um die Namensgebung und damit die grundlegende Machtstruktur im Netz. Aus Europa kam bereits im vergangenen Jahr die Initiative, eine neue Gruppe von Registrierungstellen, den Council of Registrars (CORE), für die begehrten Top-Level-Domains (TLDs) von .com bis .org zu bilden (vgl.Internet 2010). Das dazu erstellte Rahmenwerk in Form eines Memorandums of Understanding wurde in Kooperation des "höchsten Internetgremiums", der Internet Society (ISCO), mit anderen internationalen Gremien wie der International Telecommunication Union (ITU), der International Trademark Asscociation (INTA) sowie der World Intellectual Property Organization (WIPO) erarbeitet. "Echte Selbstregulierung" sei dadurch als Leitprinzip festgeschrieben worden, so ISOC-Präsident Don Heath im Vertrauen auf eine die "gesamte Internet-Community" zufriedenstellende Lösung damals.
Washington konnte dem Genfer Vorpreschen allerdings wenig Positives abgewinnen. Ende Januar legte Ira Magaziner, oberster Internet-Berater der Clinton/Gore-Administration, ein Green Paper vor, das die Oberaufsicht für die "Sahnehäubchen-Domains" .com, .net und .org bei der bisherigen zentralen Registrierungsstelle Network Solutions belassen will und die Schaffung von nur fünf statt - wie vom CORE-Papier vorgeschlagen - sieben neuen TLDs anrät. Die Europäische Kommission kritisierte den Plan als nicht mit dem internationalen Charakter des Internet vereinbar und warnte vor dem Risiko, daß der US-Vorschlag gerade "im Namen der Globalisierung und Privatisierung des Netzes" die Washingtoner "Rechtsprechung über das Internet insgesamt festigen" würde. Mitte Mai äußerte der EU-Kommissar deswegen die Hoffnung, daß die Vereinigten Staaten in einem überarbeiteten Entwurf des Green Papers ihren Griff auf das Domain Name System lockern würden.
Auch in Fragen des Datenschutzes liegt die europäische Gesetzgebung mit den USA im Clinch. Bis zum 24. Oktober müssen die 15 Mitgliedstaaten der Europäischen Union ihre nationale Gesetzgebung der Datenschutzrichtlinie der "Eurokraten" anpassen, die Target-Marketern und Datenschürfern das Leben erschweren und Bürgern das Recht auf ihre persönlichen Daten sichern soll. In Artikel 25 der Richtlinie wird zudem der Austausch von personenbezogenen Daten in Drittländer ohne entsprechende Datenschutzpraktiken untersagt und somit gängigen Geschäftspraktiken von Kreditkartenfirmen ein Riegel vorgeschoben. "Kein Datenschutz, kein Handel", bringt Simon Davies in der Mai-Ausgabe von Wired die Konsequenzen der Direktive auf den Punkt, die auch den Geschäftsverkehr mit den Vereinigten Staaten betreffen. Trotz jahrelanger Selbstregulierungsversuche und politischer Ermahnungen wie jüngst der Forderung Al Gores nach einer elektronischen Bill of Rights ist es der Wirtschaft dort noch nicht gelungen, eine den Anforderungen der EU-Richtlinie entsprechende Regelung durchzusetzen.
For the US, accustomed to leadership in such global matters and eager to promote ecommerce, the EU's new privacy stance is proving difficult to comprehend.
Simon Davies in Wired 5/1998 (6.05)
Insgesamt versucht die Europäische Union, ihrer wachsenden Netzbedeutung immer stärker Ausdruck zu verleihen. Es geht darum, das Internet in seinen praktischen Nutzungsmöglichkeiten auf eine weitere Stufe zu heben und vor allem ein den E-Commerce beflügelndes Umfeld zu schaffen. Und während die Eurokraten bisher immer den amerikanischen Initiativen einen Schritt hinterherhinkten - dem Goreschen Aufruf zum Aufbau einer National Information Infrastructure folgte der Bangemann-Report, dem Framework for Global Electronic Commerce mit schon nur noch knapper Verspätung die Bonner Erklärung - so scheint sich nun in einzelnen Punkten die EU als Schrittmacher bei der politischen Fassung des Cyberspace zu präsentieren.
Martin Bangemann hat für diesen Weg zum "globalen Netz der Netze" bereits im vergangenen Herbst die Grundprinzipien aufgestellt. Soll sich das Internet in einen "virtuellen Raum für Geschäftstätigkeiten und Electronic Commerce" verwandeln, erläuterte der EU-Kommissar Mitte September 1997 in Venedig, dann müßten Nutzer davon überzeugt sein können, "daß vertrauliche kommerzielle Informationen ebenso wie Bezahlungssysteme vollkommen sicher sind." Dazu seien Mechanismen zur Sicherstellung der Identität der Handlungstreibenden nötig. Die Integrität von Verträgen und formalen Papieren müsse auch garantiert sein, wenn sich das Netz in einen "virtuellen Rechtsraum" verwandeln sollte. Und für die Entwicklung eines "virtuellen Unterrichtsraums" müßten sich Eltern außerdem darauf verlassen können, daß sie die Kontrolle über die ihren Kindern zur Verfügung stehenden Inhalten haben.
Selbstregulierung geht vor - der Aktionsplan gegen Schmutz im Netz
Um diese Ziele zu verwirklichen, hat die EU im vergangenen halben Jahr zwei neue Initiativen gestartet. Beide sollen als Bausteine einer von Bangemann anvisierten "internationalen Charta" für das Internet dienen und den in einem Telepolis-Interview aufgestellten Forderungen des EU-Kommissars nach "einfachen, flexiblen" Regelungen entsprechen. Eine der Initiativen ist der noch 1997 vorgestellte Aktionsplan zur Förderung einer sicheren Nutzung des Internet. Dort werden den Mitgliedsstaaten Richtlinien für den Umgang mit "illegalen und schädlichen Inhalten" im Netz an die Hand gegeben. Unter illegalen Inhalten versteht der Aktionsplan dabei weit mehr als nur Kinderpornographie. Auch Fragen der nationalen Sicherheit (terroristische Bedrohungen, Anleitungen zum Bombenbau), des Schutzes der Menschenwürde (Rassendiskriminierung), der ökonomischen und infrastrukturellen Sicherheit (Betrugsversuche, Hacking) oder des Copyrights ordnen die Verfasser des Plans diesem Punkt unter. Als "schädliche Inhalte" definieren sie dagegen "Inhalte, die man erlaubt, allerdings unter Einschränkungen (zum Beispiel nur an Erwachsene) vertreiben darf, sowie Inhalte, die gewissen Nutzer angreifen würden".
The vast majority of Internet content is for purposes of information for totally legitimate business or private usage. However, the Internet also carries a limitied amount of potentially harmful or illegal content or can be used as a vehicle for criminal activities. While the benefits of the Internet far outweigh its potential drawbacks, theses aspects can not be ignored. They are pressing issues of public, political, commercial and legal interest.
Aus dem "Action Plan on Promoting Safe Use of the Internet"
Der Aktionsplan vertritt in der Handhabung mit beiden Inhaltsformen die Maxime, daß durch Selbstregulierung von seiten der Industrie und der Nutzer sowie durch technische Lösungen wie Filter- und Bewertungsmechanismen ein Großteil der beschriebenen Probleme gelöst werden kann, auch wenn beim Vorliegen von illegalen Inhalten letztlich die jeweiligen Polizei- und Sicherheitsbehörden gemäß des jeweiligen Landesrechtes einschreiten müßten. Der Markt könne dem aber durch eigene Regulationsmechanismen vorbauen, wobei die EU-Experten vor allem auf ein Netzwerk von Hotlines in den einzelnen Mitgliedsländern setzen, bei denen illegale Inhalte angezeigt werden sollen. In den nächsten zwei Jahren will sich die Union die dadurch erhoffte Reinigung des Cyberspace 25 Millionen ECUs kosten lassen und sucht momentan Sachverständige, die bei der technischen Bewertung der Vorschläge helfen und Ratgeber für Unternehmen wie Eltern entwickeln sollen.
In Deutschland sind bereits Vorstöße für die von der EU vorgesehene Selbstregulierung im Zuge der Verabschiedung des Informations- und Kommunikationsdienstegesetzes (IuKDG) unternommen worden. Auf Providerseite machte im vergangenen Jahr beispielsweise die Internet Content Task Force mit dem Bestreben auf sich aufmerksam, das Usenet und die deutschen Newsgroups kontrollieren zu wollen. Beschwerden gegen bestimmte Informationsangebote kann man aber auch bei der "Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter" (FSM) anbringen. Außerdem wacht die Bundesprüfstelle für jugendgefährdende Schriften über die Reinheit des Netzes, wird aber nur auf Hinweise von Meldebehörden oder Privatpersonen hin tätig.
Sicherheit und Vertrauenswürdigkeit für den Handel im Netz - das Rahmenwerk für digitale Unterschriften will internationale Standards setzen
Die zweite Initiative, die das Internet sicher und geschäftstüchtig machen soll, ist der Vorschlag der EU-Kommission zur Annahme eines gemeinsamen Rahmenwerks für elektronische Unterschriften. Damit will die Kommission einen "Schlüssel-Anreiz" für die weitere Verbreitung von E-Commerce schaffen und mit den Möglichkeiten zur Authentifizierung von Datenquellen sowie des Beweises der Integrität von Daten die "letzten Hindernisse", so Bangemann, für den elektronischen Handel aus dem Weg räumen und die bereits erfolgten gesetzgeberischen Aktivitäten einzelner Mitgliedsstaaten harmonisieren. So verfügt beispielsweise Deutschland mit dem Artikel 3 des IuKDG bereits über ein eigenes Signaturgesetz (SigG), das die Rahmenbedingungen der elektronischen Unterschrift festlegt und momentan durch einen Maßnahmenkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSIwww.bsi.bund.de/) konkretisiert wird. Auch in Belgien, Dänemark, Frankreich oder Großbritannien liegen außerdem konkrete Entwürfe bzw. bereits verabschiedete Gesetze über die Verwendung digitaler Signaturen vor.
Electronic commerce presents the European Union with an excellent opportunity to advance its economic integration. In order to make best use of these opportunities, a secure environment with respect to electronic authentification is needed.
Aus dem "Proposal for a European Parliament and Council Directive on a Common Framework for Electronic Signatures"
Der Vorschlag der Kommission will nur minimale Rahmenbedingungen vorgeben, definiert etwa, wie eine elektronische Signatur mit Hilfe zweier Schlüssel - eines privaten zur Erstellung der Unterschrift, eines öffentlichen zur Überprüfung des Absenders - zustande kommen kann. Anders als der deutsche Vorstoß schreibt das EU-Rahmenwerk allerdings nicht einmal die Verwendung der Public-Key-Kryptographie vor und dringt auch nur auf eine freiwillige Lizensierung von Zertifizierungsstellen, die als Drittparteien bestätigen, daß der Unterzeichner eines Dokuments auch wirklich derjenige ist, als der er sich ausgibt. Dieser Zertifizierungsdienst ist nötig, weil die durch die Signatur selbst erfolgte Authentifizierung und Integritätssicherung der Daten allein die Identität des Signierenden nicht unbedingt beweist. In Deutschland muß sich jedes Privatunternehmen oder jede Behörde, die als ein solches "Trust-Center" fungieren will, dagegen eine Lizenz bei der Regulierungsbehörde für Post und Telekommunikation besorgen.
Andererseits geht die EU-Initiative trotz ihres Minimalcharakters in anderen Bereichen über das deutsche Signaturgesetz hinaus. So stellt sie etwa digitale Signaturen handschriftlichen Unterschriften ausdrücklich gleich, was aus dem SigG nicht eindeutig hervorgeht. Außerdem legt sie Grundsätze für die Haftung einer Zertifizierungsstelle gegenüber Dritten fest, die sich auf die Richtigkeit der mit der elektronischen Unterschrift übertragenen Informationen - so wie sie vom Antragsteller der Signatur angegeben wurden - verlassen. Das SigG wurde dagegen vor allem deswegen häufig kritisiert, weil es keine ausreichenden Haftungsregelungen festschreibt, sondern im Bereich der Vertragsgültigkeit auf die in anderen Gesetzen bereits getroffenen Bestimmungen baut. Wie Birte Timm vom Bundesjustizministerium allerdings deutlich macht, muß ein Trust-Center "bei fahrlässigem Verhalten gegenüber Dritten nicht für Vermögensschäden" haften.
Übereinstimmend sind das deutsche Gesetz und die europäische Initiative in der Bestimmung, daß die Zertifizierungsstellen auf Wunsch des Antragstellers einer digitalen Unterschrift ein Pseudonym anstatt des richtigen Namens angeben kann. Allerdings ist jeweils auch vorgeschrieben, daß die Zertifizierungsdienste auf Nachfrage von Sicherheitsbehörden diesen alle die Identität eines Nutzers, der von diesem Pseudonymisierungsangebot Gebrauch macht, betreffenden Daten auszuhändigen haben. Erst nach der Untersuchung soll nach dem Entwurf der EU-Kommission auch der Nutzer selbst von dieser Datenübergabe unterrichtet werden. Schon vor der Verabschiedung des IuKDGs hatte der Berliner Datenschutzbeauftragte Hansjürgen Garstka auf diese Problematik hingewiesen und erklärt, daß "die an sich begrüßenswerte Option für den Schlüsselinhaber, ein Pseudonym zu wählen ... durch den pauschalen Identifikationsvorbehalt der Sicherheitsbehörden entwertet" wird.
Eine Kernproblematik beider Entwürfe liegt auch in der (Nicht-) Anerkennung digitaler Signaturen aus dem Ausland bzw. nicht der EU angehörenden Staaten. Der eigentlich auf Internationalität ausgerichtete EU-Vorschlag besagt hier, daß Signaturen, die von einer ausländischen Zertifizierungsstelle beglaubigt worden sind, dann den europäischen legal gleichzustellen sind, wenn die entsprechende Zertifizierungsstelle die Richtlinien der Direktive erfüllt und in ein freiwilliges Akkreditierungsverzeichnis eines Mitgliedsstaates eingetragen ist, eine europäische anerkannte Zertifizierungssstelle für ihr Pendant bürgt oder ein bi- bzw. multilaterales Abkommen zwischen der EU und einem dritten Land oder einer internationalen Organisation Aussagen über einen Zertifizierungsservice macht.
Auch in Deutschland werden bisher nur Trust-Center anerkannt, die sich bei der Regulierungsbehörde eine Genehmigung besorgen, oder wenn ein nationales Abkommen über die Vertrauenswürdigkeit der Zertifizierungsstellen eines gewissen Landes garantiert. Signaturen, die mit der vor allem in Amerika weitverbreiteten Pretty-Good-Privacy-Software erstellt wurden, fallen jedenfalls nicht unter den Rahmen des SigG oder der EU-Direktive, werden also in der EU nicht als rechtsgültig anerkannt. Die Vorzüge beider Regelungen lassen sich demnach nur schwer begründen, wenn sich weltweit andere Verfahren durchsetzen bzw. schon durchgesetzt haben und sich der amerikanische Pragmatismus dem - wenngleich auch gemäßigten - europäischen Regelungswunsch als überlegen erweist.
Generell stellt sich die Frage, welchen Eindruck die europäischen Vorstöße bei amerikanischen Politikern und Unternehmen hinterlassen. Die US-Regierung wird sich ihre bisherige de facto Oberaufsicht über die politische Ausgestaltung des Web sicherlich nicht einfach entziehen lassen und versuchen, den vom alten Kontinent ausgehenden Druck und die dort ansetzenden "Internationalisierungsbestrebungen" abzufangen. Das Feld ist offen für weitere Auseinandersetzungen über die zukünftigen Machtstrukturen im Internet. Der Kampf um das Domain Name System war dabei nur der Anfang.