Die erste Phase des Internets dauerte bis Anfang der 1990er Jahre. Während dieser Zeit wurde es erstellt, von Fehlern befreit und wuchs weltweit. Sein Wachstum wurde nicht durch Bedenken hinsichtlich der Datensicherheit oder des Datenschutzes behindert. Bis in die 1990er Jahre bestand ein Wettlauf um Konnektivität.

Konnektivität bedeutete, dass die Menschen online gehen und das Internet nutzen konnten, wo immer sie auch waren. Da das „Inter“ im Internet die Interoperabilität implizierte, konnte das Netzwerk unter Verwendung einer Vielzahl von Technologien rasch wachsen. Denken Sie nur an Wählmodems, die gewöhnliche Telefonleitungen verwendeten, an Kabelmodems, die das Internet über Koaxialkabel senden und ursprünglich für Fernsehen, Ethernet und später für Glasfaserverbindungen und WiFi entwickelt wurden.

Bereits in den 1990er Jahren hatte sich das Internet weit verbreitet und wurde weit über seine akademischen Ursprünge hinaus genutzt. Frühe Web-Pioniere wie Netscape erkannten, dass das Potenzial für den E-Commerce gigantisch war, aber nicht realisiert werden konnte, solange Menschen kein Vertrauen in die Sicherheit von Online-Transaktionen haben könnten.

Mit der Einführung von SSL im Jahr 1994 trat das Internet in eine zweite Phase ein, in der die Sicherheit an erster Stelle stand. Die Sicherung des Internets im Allgemeinen trug dazu bei, den Dotcom-Boom und die sichere Online-Welt zu schaffen, in der wir heute leben. Manche missverstanden diese Sicherheit jedoch als Garantie für die Privatsphäre, was nicht der Fall war.

Die Menschen fühlen sich sicher, wenn sie online einkaufen, Nachrichten lesen, Krankheitssymptome nachschlagen und nach einem Lebenspartner suchen - der Kryptographie sei Dank. Sie sorgt nämlich dafür, dass Datenspione nicht sehen können, was sie tun, und bietet die Garantie, dass eine Website die ist, für die sie sich ausgibt. Sie garantiert jedoch nicht den Schutz der Privatsphäre. Die Website, die Sie besuchen, kennt zumindest die IP-Adresse Ihrer Internetverbindung.

Und selbst bei Verschlüsselung kann ein gut platzierter Datenspion zumindest die Namen der Websites erfahren, die Sie besuchen, weil Informationen aus Protokollen durchsickern, die nicht für den Schutz der Privatsphäre konzipiert wurden.

Menschen, die im Internet völlig anonym bleiben möchten, setzen daher auf Technologien wie Tor oder VPNs. Bei einer Online-Shopping-Webseite oder der Online-Buchungsseite einer Fluggesellschaft anonym zu bleiben macht jedoch gar keinen Sinn.  In diesen Fällen wird das Unternehmen, mit dem Sie zu tun haben, wissen, wer Sie sind, weil Sie ihm Ihre Wohnadresse, Ihren Namen, Ihre Reisepassnummer usw. mitteilen. Sie möchten, dass sie es wissen.

Das macht die Privatsphäre zu einer differenzierten Angelegenheit: Sie möchten für einen Datenspion anonym bleiben, aber sicherstellen, dass ein Händler weiß, wo Sie wohnen.

Die Konnektivitätsphase des Internets ermöglichte es Ihnen, sich mit einem Computer überall auf der Welt genauso einfach zu verbinden wie mit einem Computer in Ihrer eigenen Stadt. Die Sicherheitsphase des Internets gab Ihnen das erforderliche Vertrauen, Informationen an eine Fluggesellschaft oder einen Einzelhändler zu übermitteln. Die Kombination dieser beiden Phasen führte zu einem Internet, dem Sie bei der Übermittlung Ihrer Daten vertrauen können, das aber wenig Kontrolle darüber hat, wo diese Daten letztendlich gelandet sind.

Phase 3

Ein französischer Staatsbürger könnte genauso gut auf einer spanischen Website einkaufen wie auf einer nordamerikanischen. In beiden Fällen würde der Einzelhändler den französischen Namen und die französische Adresse kennen, an die die Einkäufe geliefert werden sollten. Dies schafft ein Dilemma für einen datenschutzbewussten Bürger. Das Internet schuf eine erstaunliche globale Plattform für Handel, Nachrichten und Informationen (unglaublich, wie einfach es für den französischen Bürger ist, mit seiner Familie in der Elfenbeinküste in Kontakt zu bleiben und sogar die lokalen Nachrichten dort aus der Ferne zu lesen).

Und beim Einkaufen konnte ein Datenspion (z.B. ein Internetanbieter, ein Coffee-Shop-Besitzer oder ein Geheimdienst) feststellen, welche Website der französische Bürger besucht.

Und das Internet hatte auch zur Folge, dass Ihre und meine Informationen über die ganze Welt verstreut sind. Zwischen einzelnen Ländern gibt es große Unterschiede darin, wie diese Daten gespeichert und weitergegeben werden müssen. Und Länder und Regionen haben Vereinbarungen über die gemeinsame Nutzung von Daten, um den grenzüberschreitenden Transfer von privaten Informationen über Bürger zu ermöglichen.

Bedenken hinsichtlich von Datenspionage und der Frage, wohin die Daten gelangen, haben die Welt geschaffen, in der wir heute leben: Datenschutzbedenken rücken in den Vordergrund,  insbesondere in Europa, aber auch in vielen anderen Ländern.

Darüber hinaus wurde es durch die Wirtschaftlichkeit und Flexibilität von SaaS- und Cloud-Anwendungen sinnvoll, Daten tatsächlich nur an eine begrenzte Anzahl großer Rechenzentren (die manchmal verwirrend als Regionen bezeichnet werden) zu übertragen, in denen Daten von Menschen aus der ganzen Welt verarbeitet werden können. Und das war im Großen und Ganzen die Welt des Internets, der universellen Konnektivität, der weit verbreiteten Sicherheit und des Datenaustauschs durch grenzüberschreitende Vereinbarungen.

Diese vermeintliche Utopie wurde durch das Leaken geheimer Dokumente, die die Beziehung zwischen der US-amerikanischen NSA (und ihren Five Eyes-Partnern) und großen Internetfirmen beschreiben, und durch die Tatsache, dass Geheimdienste Daten aus den Engstellen des Internets schöpften, jedoch schwer erschüttert. Diese Enthüllungen lenkten die öffentliche Aufmerksamkeit auf die Tatsache, dass ihre Daten in einigen Fällen von ausländischen Geheimdiensten eingesehen werden konnten.

Ziemlich schnell schienen diese großen Datenzentren in weit entfernten Ländern eine schlechte Idee zu sein, und Regierungen und Bürger begannen, die Kontrolle über die Daten zu fordern. Dies ist die dritte Phase des Internets. Datenschutz als Kern verbindet universelle Konnektivität und Sicherheit.

Aber was bedeuten Datenschutz und Kontrolle über die eigenen Daten? Verschiedene Regierungen haben unterschiedliche Vorstellungen und unterschiedliche Anforderungen, die sich für verschiedenartige Datensätze unterscheiden können. Einige Länder sind davon überzeugt, dass die einzige Möglichkeit, Daten zu kontrollieren, darin besteht, sie in ihren Ländern zu behalten, wo sie glauben, kontrollieren zu können, wer Zugang zu ihnen erhält. Andere Länder glauben, dass sie den Risiken begegnen können, indem sie Beschränkungen auferlegen, um bestimmten Regierungen oder Unternehmen den Zugang zu Daten zu verwehren. Und die regulatorischen Herausforderungen nehmen stetig an Komplexität zu.

Für Unternehmen, die ihr Geschäft auf der Aggregation von Bürgerinformationen zur zielgerichteten Werbung aufgebaut haben, wird dies eine enorme Herausforderung sein. Ebenso jedoch auch für jedes Unternehmen, das einen Internet-Dienst betreibt. So wie Unternehmen mit der Geißel von DDoS-Angriffen und Hackerangriffen konfrontiert sind und ständig auf dem neuesten Stand der Verschlüsselungstechnologie bleiben müssen, werden sie grundsätzlich die Daten ihrer Kunden in verschiedenen Ländern auf unterschiedliche Weise speichern und verarbeiten müssen.

Insbesondere die Europäische Union hat einen umfassenden Ansatz zum Datenschutz forciert. Obwohl die EU bereits seit 1995 über Datenschutzgrundsätze verfügt, hat die Umsetzung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 eine neue Ära des Online-Datenschutzes eingeleitet. Die DSGVO legt Beschränkungen dafür fest, wie die persönlichen Daten von in der EU ansässigen Personen erhoben, gespeichert, gelöscht, geändert und anderweitig verarbeitet werden können.

Zu den Anforderungen der DSGVO gehören Bestimmungen darüber, wie persönliche Daten aus der EU geschützt werden sollen, wenn diese persönlichen Daten die EU verlassen. Obwohl die USA und die EU zusammengearbeitet haben, um eine Reihe freiwilliger Verpflichtungen zu entwickeln, die es Unternehmen erleichtern sollen, Daten zwischen den beiden Ländern zu übertragen, wurde dieser Rahmen - der "Privacy Shield" - im vergangenen Sommer außer Kraft gesetzt. Infolgedessen befassen sich Unternehmen damit, wie sie Daten in Übereinstimmung mit den DSGVO-Anforderungen in Länder außerhalb der EU transferieren können. Empfehlungen, die kürzlich vom European Data Protection Board (EDPB) herausgegeben wurden, die von den Datenexporteuren verlangen, das Recht in Drittländern zu bewerten, stellen fest, ob dieses Recht die Privatsphäre angemessen schützt, und, falls erforderlich, von den Datenimporteuren Garantien für zusätzliche Schutzmaßnahmen einzuholen, haben die Bedenken der Unternehmen nur noch verstärkt.

Diese Unsicherheit darüber, ob es Kontrollen über Daten gibt, die ausreichen, um den Bedenken der europäischen Regulierungsbehörden Rechnung zu tragen, hat viele unserer Kunden veranlasst zu prüfen, ob es möglich ist, zu verhindern, dass Daten, die der DSGVO unterliegen, überhaupt die EU verlassen.

Vorbei sind die Zeiten, in denen alle Daten der Welt unabhängig von ihrer Herkunft in einem riesigen Rechenzentrum verarbeitet werden konnten.

Eine Reaktion auf diese Veränderung könnte ein Rückzug sein, in dem jedes Land seine eigenen Online-E-Mail-Dienste, HR-Systeme, E-Commerce-Anbieter und mehr aufbaut. Dies wäre eine massive Verschwendung. Es gibt Skaleneffekte, wenn der gleiche Dienst von Deutschen, Peruanern, Indonesiern, Australiern… genutzt werden kann.

Wie auch in der Konnektivitäts- und Sicherheitsphase des Internets muss auch die Antwort auf diese Datenschutzproblematik lauten: Bauen wir es! Wir müssen ein Internet aufbauen, das die Privatsphäre respektiert, und den Unternehmen die Werkzeuge an die Hand geben, mit denen sie problemlos Anwendungen entwickeln können, die die Privatsphäre respektieren.

Diese Woche werden wir über neue Tools von Cloudflare sprechen, die die Entwicklung datenschutzfreundlicher Anwendungen erleichtern, indem sie es Unternehmen ermöglichen, die Daten ihrer Nutzer in den Ländern und Regionen ihrer Wahl zu speichern. Zudem werden wir über neue Protokolle sprechen, die die Privatsphäre in der Struktur des Internets selbst verankern. Wir werden die neuesten quantenresistenten Algorithmen vorstellen, die dazu beitragen, private Daten heute und in ferner Zukunft geheim zu halten.

Wir werden zeigen, wie es möglich ist, einen massiven DNS-Resolver-Dienst wie 1.1.1.1 auszuführen und die Privatsphäre der Benutzer durch ein cleveres neues Protokoll zu schützen. Wir werden uns ansehen, wie man Passwörter erstellt, die nicht geleakt werden können. Und wir werden jedem die Möglichkeit geben, Webanalytics zu erhalten, ohne Personen zu tracken.

Willkommen in der Phase 3 des Internets: immer an, immer sicher, immer privat.