Wie die EU cloudfreundliche Regelungen international verbreiten könnte
Was Astronomie angeht, ist Chile ein privilegiertes Land. Es erfüllt die Voraussetzungen für astrononomische Beobachtungen bestens: Der Himmel ist fast immer klar, und die sogenannte Lichtverschmutzung gering. Deshalb haben die Europäische Organisation für astronomische Forschung in der südlichen Hemisphäre (ESO) und ihre internationalen Partner in der chilenischen Atacama-Wüste das weltweit größte Teleskop ALMA[1] errichtet. ALMA startete im Januar 2013 (Video) und zog sofort enorme mediale Aufmerksamkeit auf sich. Der Technologietransfer schien geglückt, und die Freude war groß – bis die Regierung einen Haken an der Sache bemerkte: Mit der Produktion spektakulärer Bilder aus dem All war nur ein Teil der Herausforderung bewältigt. Die zweite Schwierigkeit war, dass die Bilder, die ALMA in ungeheurer Menge ausspuckte, auch gespeichert, analysiert und interpretiert werden sollten. Sieben Terabytes pro Durchgang konnte die nationale Infrastruktur mit lokaler Computerleistung nicht verarbeiten. Zum Glück für das Projekt lassen sich Daten in der Cloud verarbeiten; zum Bedauern der Regierung spielt das Land auf dem Markt für Cloud Computing immer noch eine untergeordnete Rolle.
Starke Nachfrage motiviert Cloud-Strategie der Europäischen Union
Die global explodierende Nachfrage, besonders von Schwellenländern, ist eine Stütze der europäischen Cloud-Strategie. Die Europäische Kommission hat explizit beschrieben[2], wie die wachsende Nachfrage nach Cloud-Diensten dem langsamen Fortschritt der Ingenieurwissenschaften gegenübersteht und dass Europa eine “cloudfreundliche” Umgebung schaffen müsse, um bei den globalen Entwicklungen im Bereich Cloud-Computing vorne mitzumischen. In der Strategie, mit der die Europäische Union die Cloud-Entwicklung innerhalb der EU und weltweit voranbringen will, stecken zwei unterschiedliche Ansätze und ein dritter Misch-Ansatz. Sie thematisieren, wie sich gesetzliche Rahmenbedingungen international so weit harmonisieren lassen, dass sie europäischen Ansprüchen genügen. Die Ansätze sind zwar nicht explizit bezeichnet, lassen sich aber analytisch entdecken.
Ansatz 1: Freihandelsabkommen an Bedingungen knüpfen
Der erste Ansatz folgt der Logik des internationalen Handelsrechts. Er basiert darauf, dass Freihandelsabkommen geschlossen werden, um gewisse Standards zu gewährleisten. Die Abkommen umfassen regulatorische Zielvorgaben, doch wie die Richtlinien umgesetzt werden, bleibt den Regierungen überlassen. Zusätzlich zu den eigentlichen Handelsvereinbarungen können mächtige Staaten weitere, verwandte Regulierungsvorstellungen in die Verhandlungen einbringen. Weniger mächtige Staaten könnten die Zusätze akzeptieren, weil für sie die Hauptvereinbarungen bereits einen Erfolg darstellen.
Die von der Europäischen Kommission angedachte Strategie der positiven Bedingungen ist nicht neu. Die USA wendeten sie bereits Anfang des neuen Jahrtausends an, als Internet Service Provider (ISP) reguliert werden sollten. Die US-Regierung begann, Freihandelsabkommen mit Drittländern auszuhandeln, die daran geknüpft waren, dass diese Länder bestimmte Internet bezogene Gesetzgebung einführten. Diese Internet bezogenen Rechtsvorschriften wurden über Freihandelsabkommen installiert, die die USA mit Chile, der Dominikanischen Republic und CAFTA sowie Marokko, Kolumbien, Australien, Bahrain, Peru, Korea, Panama und Oman schloss. Faktisch entstand dabei ein System, bei dem die eingeführten Rechtsvorschriften von den USA aus wirtschaftlich ausstrahlen.
Beispiel aus den USA: “notice and take down”
Diese Verträge beinhalten ähnliche Klauseln wie ein Verfahren, das unter dem Schlagwort “notice and take down” bekannt geworden ist. Es wurde durch den US Digital Millennium Act eingeführt. US-amerikanische ISPs tragen demnach keine Verantwortung für die Inhalte, die Endnutzer über ihre Dienste leiten. Doch diese Immunität ist daran geknüpft, dass die Provider sofort auf etwaige Copyright-Verstöße reagieren, wenn sie darauf aufmerksam gemacht werden. In anderen Worten: Inhalte, die dem Copyright zuwiderlaufen, sollen von den ISPs entfernt werden, und zwar ohne juristisches Verfahren. Außerdem müssen die ISPs das einheitliche Streitbeilegungsverfahren der ICANN anerkennen.
Insgesamt gilt: Sobald die Freihandelsabkommen eingeführt werden, gilt die völkerrechtliche Verpflichtung, die Richtlinien ins eigene Recht zu übersetzen. In jüngerer Zeit hat die EU diesen Regulierungsansatz zum Beispiel in die Verhandlungen zum Freihandelsabkommen mit Indien und Singapur eingebracht, und zwar um nicht-tarifäre Hemmnisse im elektronischen Handel abzubauen, die die Ausweitung der Cloud-Industrie behindern könnten.[3]
Ansatz 2: Beraten und informieren
Der zweite Ansatz, den die Europäische Union in ihrer Cloud-Computing-Strategie verfolgt, befördert den innereuropäischen Dialog unter wichtigen Akteuren. Um aktuelle Probleme und Herausforderungen des Cloud-Computings innerhalb des europäischen Binnenmarktes zu besprechen, hat die Kommission die sogenannte Europäische Cloud-Partnerschaft eingerichtet. Sie soll die Akzeptanz für und die Verwendung von Cloud-Diensten steigern. Dieses Beispiel scheint darauf abzuzielen, Interessenvertreter mit den Notwendigkeiten vertraut zu machen, die ein wachsender Cloud-Markt mit sich bringt. Fragen des Vergaberechts, privater Auftragsvergabe und Standardisierung werden grundlegend zu klären sein, wenn die Anzahl von Cloud-Diensten zunimmt.
Interessanterweise scheint sich dieser Multi-Stakeholder-Ansatz überregional zu verbreiten. Dabei basiert er nicht auf einem Bedingungsmechanismus. Stattdessen ahmen andere Staaten die EU-Regelungen vielleicht nach, weil die europäische Erfahrung als erfolgreich bewertet wurde.
Seit 2011 gestalten Schwellenländer Gesetze, die ihre digitale Wirtschaft und besonders das Internet betreffen, ausgesprochen bewusst. Wissenschaftliche Erkenntnisse – insbesondere vergleichende Analysen – spielen dabei offenbar eine besondere Rolle. Regelungskonstrukte weltweit scheinen Berücksichtigung zu finden, wenn neue gesetzliche Rahmenbedingungen geschaffen werden sollen. Dies steht im Gegensatz zu kritischen Theorien der 1970er-Jahre. Vertreter dieser Theorieschulen hatten zum Beispiel lateinamerikanischen Ländern empfohlen, dass die notwendige wirtschaftliche Unabhängigkeit erreicht werden könnte, indem die lokalen Märkte von der industrialisierten Welt isoliert werden würden.
Für gut befundene Regulierungsinstrumente werden nachgeahmt
Der Trend zur Nachahmung scheint darüber hinaus keine Reaktion auf internationale Bedingungen zu sein. Es handelt sich eher eine pro-aktive Strategie, bei der Normen auf Basis eines transparenten Leistungsvergleiches gesetzt werden.
Die chilenische Regierung zum Beispiel debattiert derzeit über ein neues Regelwerk zu Datenschutz und geistigem Eigentum. Sie berief ein offenes Multi-Stakeholder-Forum ein, um Vorteile und Fallstricke zu diskutieren, die sich mit Gesetzgebung im Bereich des Cloud-Computings verbinden[8] Globale und lokale Akteure werden am 16. Mai 2013 diskutieren, wie die beste Lösung für ein Land aussehen kann, das seine Cloud-Industrie unterstützen und dabei ein akzeptables Rechtschutzniveau erreichen möchte.
Die gleiche Debatte ereignet sich aktuell in der Türkei – aus fast den gleichen Beweggründen und mit demselben Fokus: Datenschutz, Cloud-Computing und Big Data. Drei der bekanntesten Universitäten agieren als Gastgeber für eine internationale Konferenz zu Internet-Regulierung, und zwar vor dem Hintergrund neuer Datenschutzregelungen, die gerade debattiert werden.
Man interessiert sich für europäische Erfahrungen
Beide Staaten bestätigen explizit, dass sie sich an global relevanten Vorschriften wie dem Vorschlag für eine EU-Datenschutzverordnung orientieren. Regierungen interessieren sich dafür, welche Erfahrungen man in der EU macht und nehmen sie als Referenz. Anders als bei den Freihandelsabkommen finden die Beratungen jetzt öffentlich statt und sie sind transparenter. Es sieht nicht so aus, als gebe es externe Begleitumstände, die diesen Impuls geben. Aber es ist interessant, dass beide Staaten jüngere Mitglieder der Organisation for Economic Co-operation and Development (OECD) sind. Dort bewegen sie sich in einem Rahmen, der sie mit bestehenden Richtlinien zu Privacy konfrontiert. Und sie werden dort konstant mit anderen Mitgliedern verglichen.
Dennoch: Eine globale Diskussion auf nationaler Ebene zu führen, ist eine Herausforderung. Schwierigkeiten wie das brasilianische Projekt Marco Civil da Internet sie derzeit erlebt, zeugen davon[4]. Rund um Detailfragen zu geistigem Eigentum hat die Diskussion so sehr an Komplexität gewonnen, dass dort eine Blockadesituation droht. Rund um Fragen zu geistigem Eigentum droht dort eine Blockadesituation. Dabei zielte Marco Civil da Internet in erster Linie darauf ab, allgemeine Internet-Rechte zu sichern, anstatt Überwachung und Unterdrückung einzuführen.[5] Dieser Fall zeigt, wie schwierig es ist, auf einem Feld voranzukommen, auf dem es bisher überhaupt keine Regeln gab.
Der Misch-Ansatz: Rechtliche Eignung zertifizieren
Zuletzt gibt es einen neuen europäischen Mechanismus, der beide Ansätze zu kombinieren scheint. Artikel 25 der aktuellen EU-Datenschutzrichtline[6] enthält eine Bedingung für Daten, die aus der Europäischen Union heraus geleitet werden sollen. Die Richtlinie verlangt, dass Daten, die sich auf EU-Bürger beziehen, nur dann aus der Europäischen Union geschafft werden dürfen, wenn das Rechtssystem des Empfängerlandes ein ähnlich hohes Schutzniveau gewährleistet wie die Europäische Union. Die EU Kommission entscheidet darüber, ob das fragliche Recht adäquat ist und spricht gewissermaßen eine Zertifizierung aus.
Es sollte beachtet werden, dass dieser Mechanismus sich nicht des traditionellen “harten” Rechts bedient, um Vorschriften zu implementieren, so wie es die Freihandelsabkommen vollziehen. Dennoch greift es auf einen positiven Bedingungsansatz zurück. Drittstaaten können unabhängig entscheiden, wie sie ihr Schutzsystem und ihre Rechtstaatlichkeit ausgestalten – solange sie ein Niveau erreichen, das der EU genügt, dürfen sie Daten von EU-Bürgern speichern und nutzen.
Mechanismus setzt auf Nachahmungen und Auflagen
Die beschriebenen Entwicklungen in Chile, der Türkei und Brasilien scheinen diesen letzten Mechanismus nicht ausdrücklich zu bestätigen. Aber es wird sich herausstellen, ob sie dessen Auswirkungen während ihrer Beratungen über ein “adäquates” nationales Schutzniveau für Datenschutz bei Cloud-Diensten diskutieren werden. Es sollte nicht unterschätzt werden, welche Macht dieser Mechanismus zur Verbreitung von Recht hat, der sowohl auf Nachahmung als auch auf Bedingungen setzt. Dies gilt besonders mit Blick auf die breite internationale Kooperation innerhalb des Netzwerkes von Datenschutzbeauftragten.[7]
Wie es auch komme: Selbst wenn es diese neue Art und Weise der Normsetzung auf nationaler Ebene gibt, wird der traditionelle Bedingungsansatz wohl weiter existieren. Die von den USA ergriffene Initiative für eine transpazifische Partnerschafts-Vereinbarung (Trans-Pacific Partnership Agreement) folgt der Strategie, Normen durch Handelsabkommen zu setzen, anstatt durch breit aufgestellte Beratungen. Manche Nichtregierungsorganisationen haben dies scharf kritisiert. Es bleibt abzuwarten, wie sich die drei Ansätze zur Verbreitung von Regelungen gesellschaftlich durchsetzen und wie die digitale Wirtschaft sie aufgreift und darauf reagiert. Im Moment ist hier viel zu diskutieren und zu beraten.
Die E-Plus Gruppe unterstützt das Alexander von Humboldt Institut für Internet und Gesellschaft beim Aufbau einer Plattform zu Fragen der Internet-Regulierung. Der vorstehende Artikel erscheint im Rahmen dieser Kooperation auf UdL Digital.
[1] ALMA ist die Abkürzung für Atacama Large Milimeter/submilimeter Array, ein einzelnes Teleskop, das sich auf in 5.000 Meter Höhe auf dem Chajnator-Plateau im nördlichen Chile befindet. Folgende Institutionen sind daran beteiligt: European Southern Observatory (ESO), die U.S. National Science Foundation (NSF) zusammen mit dem National Research Council of Canada (NRC), dem National Science Council of Taiwan (NSC) und den National Institutes of Natural Sciences (NINS) aus Japan in Kooperation mit der Academia Sinica (AS) in Taiwan.
[2] Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, “Unleashing the Potential of Cloud Computing in Europe”, COM (2012), 27.9.2012, p. 2
[3] “Unleashing the Potential of Cloud Computing in Europe” op. cit., p. 15
[4] Brasiliens Marco Civil da Internet ist ein Gesetzesvorschlag, der Rechte und Verantwortlichkeiten von Internetnutzern und Diensteanbietern absichern soll. Er wurde in einem offenen, partizipativen Prozess entworfen und soll Datenschutz, freie Meinungsäußerung, Haftungsfragen im Internet, Netzneutralität und Open Government regeln.
[5] Vgl. Interview mit Ronaldo Lemos, einem der Verfasser des Entwurfs: http://direitorio.fgv.br/node/
[6] Art. 41 des Entwurfs für eine EU Datenschutzverordnung
[7] Vgl. zum Beispiel die 34. Internationale Konferenz der Privacy- und Datenschutzbeauftragten in Punta del Este: http://privacyconference2012.