Heute veröffentlichen wir Cloudflares Transparenzbericht für das erste Halbjahr 2019. Wir verstehen, wie wichtig es ist, die Berichte aktuell zu halten, aber wir haben etwas länger als gewöhnlich gebraucht, um diesen Bericht zusammenzustellen. Wir haben ein paar wichtige Updates.
Entfernen eines Warrant Canary
Seit wir 2014 unseren allerersten Transparenzbericht veröffentlicht haben, haben wir eine Reihe von Verpflichtungen – sogenannte Warrant Canaries – darüber eingehalten, welche Maßnahmen wir ergreifen werden und wie wir auf bestimmte Arten von Anfragen von Strafverfolgungsbehörden reagieren werden. Wir haben diese ursprünglichen Verpflichtungen Anfang dieses Jahres ergänzt, sodass in unseren aktuellen Warrant Canaries angegeben wird, dass Cloudflare noch nie:
- Unsere Verschlüsselungs- oder Authentifizierungsschlüssel oder die Verschlüsselungs- oder Authentifizierungsschlüssel unserer Kunden an Dritte übergeben hat.
- Software oder Geräte von Strafverfolgungsbehörden in unserem Netzwerk installiert hat.
- Aufgrund politischen Drucks einem Kunden gekündigt oder Inhalte entfernt hat.*
- Einer Strafverfolgungsbehörde einen Feed der Inhalte unserer Kunden, die unser Netzwerk nutzen, übermittelt hat.
- Kundeninhalte auf Ersuchen von Strafverfolgungsbehörden oder einer anderen Drittpartei geändert hat.
- Das beabsichtigte Ziel von DNS-Antworten auf Ersuchen von Strafverfolgungsbehörden oder einer anderen Drittpartei geändert hat.
- Verschlüsselungen auf Ersuchen von Strafverfolgungsbehörden oder einer anderen Drittpartei abgeschwächt, beeinträchtigt oder unterwandert hat.
Diese Verpflichtungen dienen als Werteerklärung, um uns daran zu erinnern, was uns als Unternehmen wichtig ist, und um nicht nur zu vermitteln, was wir tun, sondern auch, was wir unserer Meinung nach tun sollten. Damit wir diese Verpflichtungen einhalten können, müssen wir nicht nur glauben, dass wir sie in der Vergangenheit erfüllt haben, sondern dass wir sie auch weiterhin erfüllen können.
Leider gibt es einen Warrant Canary, der die Grundlagen für den weiteren Verbleib auf unserer Website nicht mehr erfüllt. Nachdem Cloudflare im Jahr 2017 den Service für den Daily Stormer gekündigt hatte, stellte Matthew fest:
„Wir werden intern eine lange Debatte darüber führen, ob wir den Punkt entfernen müssen, Kunden niemals aufgrund politischen Drucks zu kündigen. Man ist in einer starken Position, wenn man sagen kann, dass man etwas noch nie getan hat. In Zukunft wird es für uns zweifellos etwas schwieriger sein, gegen eine Regierung zu argumentieren, die uns unter Druck setzt, eine Website zu entfernen, die ihr nicht gefällt.“
Wir sind dieses Problem in unseren nachfolgenden Transparenzberichten angegangen, indem wir die Erklärung beibehalten haben, aber ein Sternchen hinzugefügt haben, um die „Daily Stormer“-Debatte und die Kritik zu kennzeichnen, die wir infolge unserer Entscheidung, den Service zu beenden, erhalten hatten. Damit wollten wir signalisieren, dass wir uns weiterhin dem Grundsatz verpflichtet fühlen, einem Kunden nicht aufgrund politischen Drucks zu kündigen, ohne jedoch die erfolgte Kündigung zu ignorieren. Wir haben auch versucht, öffentlich über die Kündigung und unsere Gründe für die Entscheidung zu sprechen, um sicherzustellen, dass der Fall nicht unbemerkt bleibt.
Obwohl diese Kündigung eine lebhafte Debatte ausgelöst hat, ob Infrastrukturunternehmen Entscheidungen darüber treffen sollten, welche Inhalte online bleiben dürfen, haben wir noch keine politisch verantwortlichen Akteure gesehen, die echte Alternativen aufzeigen, um zutiefst beunruhigende Inhalte und Online-Verhaltensweisen anzugehen. Was wir seitdem jedoch gesehen haben, sind noch mehr reale Folgen von boshaften Bemerkungen und hasserfüllten Inhalten, die online verbreitet wurden – von den Tiraden, die im Zusammenhang mit den Terroranschlägen in Christchurch, Poway und El Paso gepostet wurden, bis hin zur Veröffentlichung von Videos, die diese Angriffe verherrlichten. In Ermangelung echter politischer Initiativen, diese Probleme anzugehen, hat der Druck auf Tech-Unternehmen – sogar auf Internet-Infrastrukturunternehmen wie Cloudflare – weiter zugenommen, Urteile darüber zu fällen, welche Inhalte online bleiben sollen.
Im August 2019 beendete Cloudflare den Service für 8chan aufgrund des Versagens der Gruppe, ihre hasserfüllte Plattform so zu moderieren, dass sie nicht zu mörderischen Handlungen inspirierte. Obwohl wir nicht glauben, dass es der richtige Lösungsansatz für das Problem der Online-Hasstiraden ist, Cybersicherheitsdienste zu entfernen, um eine Website aus dem Netz zu beseitigen, lässt das Versäumnis einer Website, sich verantwortungsbewusst zu zeigen und die durch ihre Plattform verursachten Schäden zu verhindern oder abzuschwächen, Dienstanbietern wie uns nur wenige Möglichkeiten. Wir haben erkannt, dass die anhaltende und beharrliche Gesetzlosigkeit mancher Personen Maßnahmen von denjenigen erfordern kann, die sich weiter stromabwärts in der technischen Anordnung befinden. Wir würden es vorziehen, dass Regierungen die Notwendigkeit erkennen und Mechanismen für einen ordentlichen Prozess aufbauen. Wenn sie jedoch nicht handeln, können Infrastrukturunternehmen dazu verpflichtet sein, Maßnahmen zu ergreifen, um Unheil zu verhindern.
Und das bringt uns zurück zu unserem Warrant Canary. Wenn wir glauben, dass wir verpflichtet sein könnten, Kunden zu kündigen – wenn auch nur in einer begrenzten Anzahl von Fällen –, ist es unhaltbar, die Verpflichtungen beizubehalten, einem Kunden niemals „aufgrund politischen Drucks“ zu kündigen. Theoretisch könnten wir argumentieren, dass die Kündigung eines gesetzwidrigen Kunden wie 8chan keine Kündigung „aufgrund politischen Drucks“ sei. Das scheint jedoch nicht richtig zu sein. Wir sollten keine einzelnen Wörter unserer Verpflichtungen analysieren, um zu erklären, warum wir nicht glauben, dass wir gegen die Norm verstoßen haben.
Wir halten an dem Grundsatz fest, dass die Bereitstellung von Cybersicherheitsdiensten für alle – unabhängig von den Inhalten – das Internet zu einem besseren Ort macht. Obwohl wir den Warrant Canary von unserer Website entfernen, glauben wir, dass wir im Hinblick auf die von uns ergriffenen Maßnahmen transparent sein müssen, um das Vertrauen unserer Nutzer zu gewinnen und zu behalten. Wir verpflichten uns daher, über alle Maßnahmen zu berichten, die wir ergreifen, um einem Nutzer zu kündigen, wenn diese Maßnahmen als Kündigung „aufgrund politischen Drucks“ angesehen werden könnten.
Cloud-Abkommen zwischen Großbritannien und den USA
Wie wir bereits zuvor beschrieben haben, arbeiten Regierungen daran, Wege zu finden, um den Zugang von Strafverfolgungsbehörden zu digitalem Beweismaterial grenzübergreifend zu verbessern. Diese Bemühungen führten zu einem neuen US-Gesetz, dem „Clarifying Lawful Overseas Use of Data“ (CLOUD) Act, das auf der Idee beruht, dass Strafverfolgungsbehörden auf der ganzen Welt bei der Durchführung von Untersuchungen Zugang zu elektronischen Inhalten hinsichtlich ihrer Bürger erhalten sollten – egal, wo diese Daten gespeichert werden –, sofern sie sich an ausreichende Verfahrensgarantien halten, um ein ordnungsgemäßes Verfahren zu gewährleisten.
Am 3. Oktober 2019 unterzeichneten die USA und Großbritannien das erste Regierungsübereinkommen unter diesem Gesetz. Gemäß den Anforderungen des US-Gesetzes wird dieses Übereinkommen nach 180 Tagen, im März 2020, in Kraft treten, sofern der Kongress keine Maßnahmen ergreift, um es zu blockieren. Es wird derzeit darüber diskutiert, ob das Übereinkommen ein ausreichendes ordnungsgemäßes Verfahren und einen Schutz der Privatsphäre vorsieht. Wir werden abwarten und alle Anfragen, die wir nach Inkrafttreten des Übereinkommens erhalten, genau überwachen.
Cloudflare beabsichtigt vorerst, angemessen angelegte und gezielte Anfragen von britischen Strafverfolgungsbehörden nach Daten zu erfüllen, sofern diese Anforderungen mit den Gesetzen und internationalen Menschenrechtsnormen im Einklang stehen. Informationen über die rechtlichen Anfragen, die Cloudflare von Nicht-US-Regierungen gemäß dem CLOUD Act erhält, werden in zukünftigen Transparenzberichten enthalten sein.