Einleitung
Der Harvard-Professor Jonathan Zittrain hat für einen Grundmechanismus der Entwicklung des Internets einen wenig schmeichelhaft klingenden Begriff geprägt: das Prokrastinations-, also das Aufschub- oder Trödelprinzip. Dieses basiere, schreibt Zittrain in seinem Buch "The Future of the Internet - And How to Stop It", auf dem Kerngedanken, dass die meisten Probleme, die dem Netzwerk begegnen, entweder später oder doch wenigstens von anderen als einem selbst gelöst werden können. Zittrain findet das nicht negativ: Die chronische Aufschieberitis der Väter des Netzes sei ein Glücksfall gewesen. Hätte man alle Wenns und Abers von Anfang an mitgedacht, hätte sich das Internet weder so rasant noch auf so unvorhersehbare Weise entwickeln können. Das Trödelprinzip lag im Nutzerkreis des frühen Internets begründet: Weil die Gruppe vergleichsweise klein und elitär war - hauptsächlich handelte es sich um Wissenschaftler -, vertraute man einander, ging nicht von Drohszenarien aus, sondern versuchte, mit einem Minimum an Aufwand ein Maximum an Möglichkeiten zu schaffen. Auf Probleme bereitete man sich nicht vor - es reichte, zu reagieren, wenn sie auftauchten.
Eine Folge dieses Grundprinzips ist, dass das Internet von seinen Nutzerinnen und Nutzern nicht verlangt, sich auszuweisen. Bei anderen, kommerziellen Computernetzwerken wie AOL oder Compuserve war das anders: Dort war jeder eindeutig identifizierbar. Zwar hat jeder Rechner, der eine Verbindung zum Internet herstellt, seit jeher eine eindeutige IP-Adresse (IP = Internet Protocol), eine Ziffernfolge, die jeden an das Internet angeschlossenen Rechner zweifelsfrei identifiziert. Der Nutzer persönlich aber muss sich nicht ausweisen. Um seiner habhaft zu werden, braucht man gespeicherte Verbindungsdaten, Gerichtsbeschlüsse oder Behördenanordnungen und die Kooperation des jeweiligen Zugangsproviders. Zittrain: "Diese Auslassung führte zu den wohldokumentierten Schwierigkeiten, Übeltäter online zu identifizieren, angefangen bei jenen, die urheberrechtlich geschütztes Material über das Netzwerk tauschen bis hin zu Hackern, die das Netzwerk selbst angreifen." Gleichzeitig aber könne man die eingebaute Anonymität als "Bollwerk" betrachten "gegen unterdrückerische Regime, die ihre Internet-surfende Bevölkerung überwachen wollen". In jedem Fall zeige das Beispiel, dass im Internet scheinbar rein technisch begründete Entscheidungen, "große Implikationen für soziale Interaktion und Regulierung haben können".
Die Reaktionen auf die aus Sicht manchen Regulierers allzu große Freiheit, die das Trödelprinzip mit sich brachte, fallen in verschiedenen Teilen der Welt höchst unterschiedlich aus. In China und inzwischen auch in Iran etwa muss sich eben doch jeder Internetnutzer ausweisen - nur eben nicht beim Einloggen ins Netz selbst, sondern in dem Moment, in dem er oder sie sich in einem Internetcafé an einen Rechner setzen will. Kontrolle flankiert so Zensur. Andere autoritäre Staaten haben ähnliche Reglements installiert. Zuletzt machte der belarussische Diktator Aljaksandr Lukaschenka von sich reden, indem er ein Gesetz in Kraft setzte, das die flächendeckende Kontrolle aller belarussischen Internetnutzer vorsieht und parallel den Unternehmen des Landes untersagt, Websites zu betreiben, die nicht in Belarus selbst registriert sind. Geschäftsbeziehungen sind nur heimischen Websites gestattet - "google.com" oder "ebay.com" zu benutzen, ist somit seit dem 6. Januar 2012 illegal. Wenn die Belarussen sich daran halten, ist das Land de facto vom eigentlichen Internet abgekoppelt.
Surf global, govern local?
Politische Entscheidungen können in der digitalen Welt weitreichende Folgen technischer, sozialer oder gesellschaftlicher Natur haben. Das gilt in allen Bereichen, über deren Regulierung derzeit weltweit diskutiert wird, beispielsweise in Bezug auf die sogenannte Netzneutralität. Dabei geht es um die Frage, ob es Internetprovidern gestattet werden soll, von bestimmten Inhalte-Anbietern, etwa Video-Websites, zusätzliche Gelder zu verlangen und ihnen im Gegenzug einen besonders schnellen und reibungslosen Transport ihrer Daten zuzusichern. Befürworter eines neutralen Netzes, in dem diese Art von Gegengeschäft nicht möglich ist, befürchten ein Zwei-Klassen-Internet, in dem finanzkräftige Seitenbetreiber Vorfahrt haben - oder inhaltlich nicht genehme Seiten benachteiligt werden.
Da das Internet ein globales Medium ist, können viele Entscheidungen auf nationaler Ebene ohnehin kaum sinnvoll getroffen werden. In Bezug auf den Datenschutz erfahren das deutsche Politiker und Datenschützer derzeit einmal mehr: Weil sich die EU und die USA mit der sogenannten safe-harbor-Regelung darauf geeinigt haben, dass auch US-Unternehmen unter bestimmten Bedingungen, die nicht deutschem Reglement entsprechen, personenbezogene Daten aus Europa verarbeiten dürfen, beschränken sich politische Interventionen hier oft auf Appelle. Generell gilt: Der Serverstandort entscheidet über den Gerichtsstand. Weil die europäischen Server des sozialen Netzwerks Facebook in Irland stehen, muss sich Facebook an irisches, nicht deutsches Datenschutzrecht halten. Gleichzeitig laufen supranationale Anstrengungen - etwa die sogenannte cookie-Richtlinie der EU - wegen der Komplexität des Gegenstands oft ins Leere. Die Richtlinie sieht vor, dass "die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat".
Die supranationale Netzregulierung aber beschränkt sich derzeit ohnehin noch immer überwiegend auf Zittrains Trödelprinzip: Organisationen wie das von den Vereinten Nationen initiierte Internet Governance Forum sollen zwar möglichst viele stakeholder, also Regierungen, Unternehmen und andere Organisationen an einen Tisch bringen, die dort erörterten Fragen haben jedoch selten Auswirkungen auf die Regulierung des Netzes - zu vielfältig sind die Wünsche der Interessengruppen. Viele Entscheidungen, etwa die über die Einführung des neuen Internetprotokolls IPv6, das den Adressraum des Internets erweitern soll, werden in lose organisierten Gruppen wie der Internet Engineering Task Force (IETF) erarbeitet, die überwiegend aus Technikern und Ingenieuren besteht. In diesem Bereich hat sich der kollaborative, an den technischen Problemen orientierte Ansatz der Frühzeit bislang bewahrt.
Urheberrechte und Datenvorräte
Auf anderen Gebieten versuchen Nationalstaaten und Lobbyorganisationen, Fakten zu schaffen. Zwar würde keine demokratische Regierung es derzeit wagen, ähnlich restriktive Regelungen wie Belarus, China oder Iran zu erlassen. Doch manche westlichen Politiker und viele Lobbyisten arbeiten nach Kräften daran, etwas auszumerzen, dass sie nicht als Glücksfall, sondern als Geburtsfehler des Internets betrachten: die zumindest potenzielle Anonymität der Nutzer. Eine zentrale Rolle spielen dabei die Branchenverbände der Unterhaltungs- und Softwarebranche. Vor allem die Verbände der Musik- und Filmindustrie versuchen seit Jahren auf nationaler und internationaler Ebene, das Internet ein bisschen weniger anonym zu machen und die Verfolgung von Copyrightverstößen zu verschärfen. Vielerorts sind die Branchenverbände dabei erfolgreich gewesen, etwa in Frankreich: Das sogenannte Hadopi-Gesetz von 2009 sieht dort vor, dass Internetnutzern, die dreimal beim Verstoß gegen Urheberrechte ertappt werden, der Netzzugang gesperrt wird. In Großbritannien wurde 2010 der Digital Economy Act verabschiedet, ein Gesetz, das ursprünglich ebenfalls eine solche three-strikes-Regel enthalten sollte, die aber schließlich aufgrund heftiger Opposition - unter anderem aus dem Oberhaus - gekippt wurde. Die deutsche Bundesregierung hat derart radikalen Regulierungswünschen bislang eine klare Absage erteilt.
Voraussetzung für Maßnahmen wie die Umsetzung solcher three-strikes-Regelungen ist, dass man Nutzer, die online beispielsweise urheberrechtlich geschütztes Material anbieten, zweifelsfrei identifizieren kann. Das geht nur über die IP-Adresse. Dem jeweiligen Internetprovider, über dessen Server ein Rechner seinen Internetzugang bekommt, liegen im Normalfall auch Informationen darüber vor, wer der Inhaber des entsprechenden Anschlusses ist. Zwar gibt es Möglichkeiten, seine IP-Adresse zu verschleiern, doch diese sind erstens mit einem gewissen Aufwand verbunden und führen zweitens oft dazu, dass die Datenübertragung erheblich verzögert wird, was gerade die Benutzung von Tauschbörsen unattraktiv macht. IP-Adressen werden meist dynamisch vergeben. Das heißt, bei jedem erneuten Einloggen ins Internet kann ein und demselben Rechner eine unterschiedliche Adresse zugewiesen werden. Zur zweifelsfreien Identifikation eines Anschlusses muss also zusätzlich die Information vorliegen, wann eine IP-Adresse einem Rechner zugeordnet war. Alle Internetprovider speichern diese Adresszuordnungen zu Abrechnungszwecken für eine gewisse Zeit. So lässt sich im Nachhinein feststellen, welcher Kunde zu einem bestimmten Zeitpunkt mit welcher IP-Adresse im Netz unterwegs war.
Die EU-Richtlinie zur sogenannten Vorratsdatenspeicherung sieht vor, dass diese Adresszuordnungen für einen längeren Zeitraum, etwa sechs Monate, gespeichert werden müssen. Diverse EU-Staaten haben die Richtlinie bereits umgesetzt, allerdings variiert die vorgeschriebene Speicherdauer. In Deutschland wurde die Richtlinie zwar umgesetzt, das entsprechende Gesetz dann aber vom Bundesverfassungsgericht im Frühjahr 2010 gekippt. Die Richter mahnten Nachbesserungen an, insbesondere forderten sie "anspruchsvolle und normenklare Regelungen" was Datenschutz, Datensicherheit, Transparenz und Zugriffsrechte angeht.
Mittlerweile übt sogar die Europäische Kommission Druck auf Deutschland aus: Im Dezember 2011 erklärte ein Sprecher der Kommission, wenn die Richtlinie nicht zügig umgesetzt werde, behalte man sich weitere Schritte vor. Konkret wurde er nicht, jedoch könnte im Zweifelsfall ein Verfahren vor dem Europäischen Gerichtshof eingeleitet werden, das schlimmstenfalls Strafzahlungen nach sich ziehen könnte. Leutheusser-Schnarrenberger verweist darauf, dass die EU selbst gerade dabei ist, die Richtlinie zu überarbeiten. Tatsächlich bescheinigte eine erste Evaluation der EU-Richtlinie "ernsthafte Mängel".
Eine Kernfrage aller Debatten um die Vorratsdatenspeicherung ist, ob sie auch den Zwecken der Urheberrechtsinhaber etwa aus Hollywood und der Musikbranche dienen würde, oder, wie es beispielsweise das Bundesverfassungsgericht anmahnt, nur zur Verfolgung schwerer Straftaten herangezogen werden soll. Hinter den Kulissen haben die Branchenverbände der Unterhaltungsindustrie stets massiv für die Speicherung lobbyiert, schließlich ist sie für ihre Bemühungen, Urheberrechtsverstöße im Internet bei einzelnen Privatnutzern zivil- oder strafrechtlich zu verfolgen, von zentraler Bedeutung. Den Branchenverbänden ist deshalb daran gelegen, dass die Vorratsdatenspeicherung einerseits möglichst flächendeckend umgesetzt und andererseits juristisch so ausgestaltet wird, dass sie auch Zugriff auf die Datenbestände haben. Auf diese Weise ertappte Nutzer könnten dann wegen Copyrightverstößen belangt oder etwa mit einer Zugangssperrung gemaßregelt werden.
Piraterie-Bekämpfung oder Zensur?
Das zweite Ziel der Branchenverbände sind Websites, die Urheberrechtsverstöße erst ermöglichen. Dem britischen Digital Economy Act zufolge hat ein Minister das Recht, in Abstimmung mit dem Lordkanzler und beiden Parlamentshäusern eine Website von den Providern blockieren zu lassen, wenn von dort aus in großem Stil Urheberrechte verletzt werden. Sowohl Bürgerrechtsorganisationen als auch große britische Internetprovider haben massive Bedenken gegen das Gesetz angemeldet. In den USA wurde jüngst über die Einführung eines Gesetzes mit ähnlicher Stoßrichtung debattiert: den Stop Online Piracy Act (SOPA). Dieser sollte sowohl dem US-Justizministerium als auch Urheberrechtsinhabern gestatten, Gerichtsbeschlüsse zu erwirken, die Online-Werbenetzwerken, Diensten zur Abwicklung von Geldtransaktionen und Internetprovidern untersagen würden, weiterhin mit bestimmten Websites zusammenzuarbeiten. Auch Suchmaschinen und Website-Registrare, die Internet-Adressen zur Verfügung stellen, wären betroffen. Die Rechteinhaber erhoffen sich dadurch ein effektives Vorgehen gegen Websites, deren Geschäftsmodell die Verletzung von Urheberrechten ist.
Das inzwischen vorläufig gestoppte Gesetzesvorhaben ist höchst umstritten: Nicht nur Bürgerrechtsorganisationen wie die Electronic Frontier Foundation, sondern auch Unternehmen wie Google, Yahoo, Facebook und Twitter sowie die hinter der Online-Enzyklopädie Wikipedia stehende Stiftung zählen zu den Gegnern. Die Kritiker führen eine ganze Reihe von Argumenten ins Feld, nicht zuletzt, dass der Gesetzestext so unscharf und allgemein formuliert sei, dass seine Verabschiedung unvorhersehbare Folgen haben und jahrzehntelange Rechtsstreitigkeiten nach sich ziehen könnte. Vint Cerf, der entscheidend an der Entwicklung des TCP/IP-Protokolls beteiligt war, warnte in einem offenen Brief an den für den Gesetzesvorschlag maßgeblich verantwortlichen US-Abgeordneten Lamar Smith vor einem "weltweiten Wettrüsten im Hinblick auf nie dagewesene 'Zensur' des Webs".
Motive und Interessen
Interessant ist im Zusammenhang mit den hier beschriebenen Debatten und Gesetzesvorhaben nicht zuletzt eines: Fast alle großen Vorstöße zu einer stärkeren Regulierung und Kontrolle des Internets gehen maßgeblich auf Initiativen der Branchenverbände der Film-, Musik- und Softwarebranche zurück. Die zentrale Motivation für neue Gesetze, mit denen teils grundlegende Eingriffe in die Struktur des Internets begründet werden sollen, ist nicht etwa der Kampf gegen die Verbreitung von Kinderpornografie, die Verfolgung von Verbrechen wie Online-Betrug, Hacker-Angriffen oder Datendiebstählen, sondern in erster Linie der Schutz der Branchen, die mit der Vermarktung urheberrechtlich geschützten Materials Geld verdienen. Wie stark der Einfluss der Branchenverbände und ihrer Lobbyisten zu sein scheint, zeigt sich am Beispiel eines weiteren EU-Landes: Spanien.
Anfang 2011 veröffentlichte die Tageszeitung "El País" Auszüge eines Briefes, den der US-amerikanische Botschafter in Spanien, Alan Solomont, im Dezember 2010 an den damaligen Ministerpräsidenten José Luis Rodríguez Zapatero gerichtet hatte. Darin drohte er mehr oder weniger unverhohlen der spanischen Regierung und warf Zapatero vor, er blockiere das sogenannte Sinde-Gesetz. Dieses sieht Ähnliches vor wie der Stop Online Piracy Act in den USA und der Digital Economy Act in Großbritannien: Eine neu zu gründende Behörde soll die Befugnis bekommen, Internetprovider dazu zu zwingen, Websites zu blockieren, die angeblich mit der Verbreitung urheberrechtlich geschützten Materials in Verbindung gebracht werden können. Tatsächlich hatte Zapatero kurz zuvor die Umsetzung des Gesetzes blockiert. Das jedoch hatte nicht zuletzt etwas mit der Veröffentlichung von Depeschen des US-Botschafters ans heimische Außenministerium zu tun, welche die Enthüllungsplattform Wikileaks verfügbar gemacht hatte. In einer von Wikileaks und "El País" veröffentlichten Botschaft aus dem Februar 2008 heißt es etwa, die USA müssten der Regierung Spaniens klarmachen, dass das Land auf einer Beobachtungsliste der US-Regierung landen werde, sollte es nicht "bis spätestens Oktober 2008" bestimmten Wünschen nachkommen. Dazu gehörte "eine Ankündigung, dass die spanische Regierung bis zum Sommer 2009 Maßnahmen nach dem Vorbild der französischen oder britischen Vorschläge zur Bekämpfung von Internetpiraterie umsetzen werde".
Offenbar als Reaktion auf die Einflussnahme der USA entwarf die damalige Kulturministerin Ángeles González-Sinde das nach ihr benannte Gesetz. Als aber durch die Wikileaks-Veröffentlichung die Einflussnahme der USA auf spanische Gesetzgebung bekannt wurde, was öffentliche Empörung zur Folge hatte, wendete sich das Blatt. Schließlich beschloss das Parlament, sich nicht mehr länger mit dem Gesetz zu befassen. Die Abkehr wiederum zog nun offenbar den Brief von Solomont an Zapatero nach sich. Darin erinnerte der US-Diplomat daran, dass Spanien mittlerweile auf der sogenannten Liste 301 stünde, einer Liste mit Ländern, die nach US-Auffassung nicht genug für den Schutz geistigen Eigentums tun. Spanien riskiere, weiter abzurutschen und gar auf die schwarze Liste der schlimmsten Sünder in diesem Bereich zu kommen. "El País" zufolge kann eine solche Einstufung für das betroffene Land ernsthafte wirtschaftliche Konsequenzen haben. Auf der schwarzen Liste für das Jahr 2011 stehen etwa China, Indien, Russland und Indonesien, aber auch Kanada und Israel. Die im November 2011 ins Amt gekommene spanische Regierung von Ministerpräsident Mariano Rajoy setzte das Sinde-Gesetz Anfang 2012 letztlich doch um. Die US-Regierung honorierte das umgehend, im "2011 Special Report" wird die Umsetzung "begrüßt".
Neue Lücken durch neue Gesetze?
Ironischerweise könnten Gesetze wie der Stop Online Piracy Act und seine internationalen Geschwister diversen Experten zufolge ausgerechnet ein System unterminieren, das eingeführt werden soll, um ein anderes Versäumnis aus der unschuldig-vertrauensseligen Frühzeit des Internets zu korrigieren. Denn die geplanten aber bereits umgesetzten Gesetze zur Blockade von Websites, egal ob in den USA, Spanien oder Großbritannien, haben eines gemeinsam: Sie kommen kaum ohne eine Manipulation des Domain Name Systems (DNS) des World Wide Web aus.
Das DNS verknüpft über sogenannte DNS-Server Internet-Adressen mit den eigentlichen, numerischen Adressen des Internets, im Falle von "spiegel.de" beispielsweise 195.71.11.67. Wer einen DNS-Server kontrolliert, kann diese Verknüpfungen verändern: Ein ahnungsloser Internetnutzer könnte etwa mittels Viren eingeschleuster Schadsoftware (etwa "DNSChanger") auf eine von Kriminellen programmierte Seite umgelenkt werden, die der seiner Bank aufs Haar gleicht und augenscheinlich auch dieselbe Adresse hat, die jedoch eine Fälschung ist, deren Zweck einzig darin besteht, seine Bankdaten und die zugehörigen Sicherheitscodes zu entwenden. Diese Art von Angriff ist möglich und in der Vergangenheit schon im großen Stil eingesetzt worden. Durch ein neu aufgesetztes System (DNSSEC, Domain Name System Security Extensions) sollen derartige "Umleitungen" nun verhindert werden: Websites würden sich dann mit zusätzlichen Sicherheitszertifikaten gegenüber den Rechnern ihrer Nutzer als echt ausweisen. Gefälschte Seiten könnten die entsprechenden Zertifikate nicht vorweisen und würden vom Browser als Fälschungen identifiziert. Doch eben diese Versicherung würde Experten zufolge von den in den Gesetzen vorgesehenen Filtermechanismen ausgehebelt.
Schon im Mai 2011 veröffentlichten fünf renommierte Internetsicherheitsforscher ein Papier, in dem sie warnten, die DNS-Filter würden "sehr ernste technische und Sicherheitsbedenken mit sich bringen".
Jonathan Zittrains eingangs zitierte Beobachtung, dass im Internet Entscheidungen, die zunächst aus rein technischen Gründen getroffen werden, "große Implikationen für soziale Interaktion und Regulierung haben können", gilt auch in umgekehrter Richtung: Regulierungsentscheidungen können weitreichende Folgen in Bezug auf technische Gegebenheiten und die Sicherheit des Internets haben.