Cloudflare wurde vor fast zwölf Jahren gegründet. Wir haben ein Netzwerk aufgebaut, das mehr als 275 Städte in über 100 Ländern umfasst. Wir haben Millionen von Kunden: von kleinen Unternehmen und einzelnen Entwicklern bis hin zu etwa 30 Prozent der Fortune 500. Heute verlassen sich mehr als 20 Prozent des Internets direkt auf die Dienste von Cloudflare.
Seit unserer Gründung ist unser Serviceangebot im Laufe der Zeit immer komplexer geworden. Mit dieser Komplexität haben wir Richtlinien entwickelt, wie wir mit Regelverstößen bzw. dem Missbrauch der verschiedenen Cloudflare-Funktionen umgehen. So wie eine breite Plattform wie Google verschiedene Missbrauchsrichtlinien für die Suche, Gmail, YouTube und Blogger hat, hat Cloudflare mit der Einführung neuer Produkte verschiedene Richtlinien zum Umgang mit Regelverstößen entwickelt.
Wir haben unseren überarbeiteten Ansatz zum Umgang mit Regelverstößen im letzten Jahr hier veröffentlicht:
https://www.cloudflare.com/de-de/trust-hub/abuse-approach/
Da jedoch Fragen aufgetaucht sind, hielten wir es für sinnvoll, diese Richtlinien hier ausführlicher zu beschreiben.
Die von uns erstellten Richtlinien spiegeln Ideen und Empfehlungen von Menschenrechtsexperten, Aktivisten, Wissenschaftlern und Regulierungsbehörden wider. Unsere Leitprinzipien verlangen, dass die Richtlinien zum Umgang mit Regelverstößen spezifisch auf den in Anspruch genommenen Dienst zugeschnitten sind. So stellen wir sicher, dass alle Maßnahmen, die wir ergreifen, sowohl die Fähigkeit widerspiegeln, den Schaden zu beheben, als auch unbeabsichtigte Folgen zu minimieren. Wir sind der Meinung, dass jemand, dem eine Beschwerde über einen Regelverstoß vorgelegt wird, Zugang zu einem Verfahren zum Umgang mit Regelverstößen haben muss, um diejenigen zu erreichen, die sich am effektivsten und genauesten mit seiner Beschwerde befassen können – notfalls auch anonym. Und, was besonders wichtig ist, wir bemühen uns stets um Transparenz, sowohl was unsere Richtlinien als auch was unsere Maßnahmen betrifft.
Cloudflare-Produkte
Cloudflare bietet eine breite Palette von Produkten an, die sich im Allgemeinen in drei Kategorien einteilen lassen: Hosting-Produkte (z.B. Cloudflare Pages, Cloudflare Stream, Workers KV, Custom Error Pages), Sicherheitsservices (z.B. DDoS Mitigation, Web Application Firewall, Cloudflare Access, Rate Limiting) und zentrale Internet-Technologie-Services (z.B. Authoritative DNS, Recursive DNS/1.1.1.1, WARP). Eine vollständige Liste unserer Produkte und deren Zuordnung zu diesen Kategorien finden Sie in unserem Abuse Hub.
Wie im Folgenden beschrieben, verfolgen wir in jeder dieser Kategorien einen anderen Ansatz für jedes einzelne Produkt.
Hosting-Produkte
Hosting-Produkte sind Produkte, bei denen Cloudflare der endgültige Hoster der Inhalte ist. Dies unterscheidet sich von Produkten, bei denen wir lediglich Sicherheits- oder temporäre Caching-Dienste anbieten und der Inhalt anderswo gehostet wird. Obwohl viele Menschen unsere Sicherheitsprodukte mit Hosting-Diensten verwechseln, haben wir für beide unterschiedliche Richtlinien. Da die überwiegende Mehrheit der Cloudflare-Kunden unsere Hosting-Produkte noch nicht nutzt, sind Beschwerden über Regelverstöße und Klagen im Zusammenhang mit diesen Produkten derzeit relativ selten.
Unsere Entscheidung, den Zugriff auf Inhalte in Hosting-Produkten zu deaktivieren, hat grundsätzlich zur Folge, dass diese Inhalte offline genommen werden, zumindest bis sie an anderer Stelle neu veröffentlicht werden. Hosting-Produkte unterliegen unserer Richtlinie für zulässiges Hosting. Im Rahmen dieser Richtlinie können wir für diese Produkte den Zugang zu Inhalten entfernen oder sperren, wenn wir der Meinung sind, dass diese
Inhalte mit sexueller Gewalt an Kindern enthalten, anzeigen, verbreiten oder zur Erstellung von solchen Inhalten ermutigen oder die Ausbeutung von Minderjährigen anderweitig ausnutzen oder fördern.
gegen Rechte an geistigem Eigentum verstoßen.
in einem geeigneten Gerichtsverfahren als diffamierend oder verleumderisch eingestuft wurden.
beim illegalen Vertrieb bzw. der Verteilung von kontrollierten Substanzen mitwirken.
den Menschenhandel oder die Prostitution unter Verstoß gegen das Gesetz begünstigen.
aktive Malware enthalten, installieren oder verbreiten oder unsere Plattform für die Verbreitung von Exploits nutzen (z. B. als Teil eines Befehls- und Kontrollsystems).
anderweitig illegal oder schädlich sind oder die Rechte anderer verletzen, einschließlich Inhalten, die vertrauliche personenbezogene Informationen preisgeben, zur Gewalt gegen Menschen oder Tiere auffordern oder diese ausnutzen oder versuchen, die Öffentlichkeit zu betrügen.
Es liegt in unserem Ermessen, wie unsere Richtlinie für zulässiges Hosting durchgesetzt wird. Allgemein versuchen wir, inhaltliche Beschränkungen so spezifisch wie möglich anzuwenden. Wenn zum Beispiel eine Warenkorb-Plattform mit Millionen von Kunden Cloudflare Workers KV nutzt und einer ihrer Kunden gegen unsere Richtlinie für zulässiges Hosting verstößt, werden wir die Nutzung von Cloudflare Workers KV nicht automatisch für die gesamte Plattform beenden.
Unser Leitprinzip ist, dass die Organisationen, die den Inhalten am nächsten sind, am besten feststellen können, wann ein Inhalt einen Regelverstoß darstellt. Die Richtlinie berücksichtigt auch, dass eine zu weit gehende Entfernung von Inhalten erhebliche unbeabsichtigte Auswirkungen auf den Zugang zu Online-Inhalten haben kann.
Sicherheitsservices
Die überwiegende Mehrheit unserer Millionen von Cloudflare-Kunden nutzt ausschließlich unsere Sicherheitsdienste. Cloudflare hat sich bereits früh in seiner Geschichte dazu entschlossen, Sicherheitstools so weit wie möglich verfügbar zu machen. Dies bedeutete, dass wir viele Tools kostenlos oder zu minimalen Kosten zur Verfügung stellten, um die Auswirkungen und die Effektivität einer Vielzahl von Cyberangriffen bestmöglich zu begrenzen. Die meisten unserer Kunden zahlen nichts.
Dass wir jedem die Möglichkeit geben, sich online für unsere Dienste anzumelden, spiegelt auch unsere Ansicht wider, dass Cyberangriffe nicht nur nicht dazu verwendet werden sollten, gefährdete Gruppen zum Schweigen zu bringen, sondern auch nicht der geeignete Mechanismus sind, um gegen problematische Online-Inhalte vorzugehen. Wir sind der Meinung, dass Cyberangriffe, egal in welcher Form, endlich der Vergangenheit angehören sollten.
Weil wir Sicherheitstools so umfassend bereitstellen, mussten wir uns letztendlich fragen, wann oder ob wir den Zugang zu diesen Diensten überhaupt beenden würden. Uns wurde klar, dass wir darüber nachdenken mussten, wie sich die Kündigung bzw. Beendigung eines Services auswirken würde. Zudem mussten wir uns die Frage stellen, ob es eine Möglichkeit gibt, Standards festzulegen, die auf faire, transparente und nicht-diskriminierende Weise angewendet werden können und mit den Menschenrechtsprinzipien im Einklang stehen.
Dies gilt nicht nur für die Inhalte, für die eine Beschwerde eingereicht werden kann, sondern auch für den Präzedenzfall, den die Löschung schafft. Aufgrund der vielen Gespräche, die wir geführt haben, und der aufmerksamen Diskussion in der breiteren Öffentlichkeit sind wir zu dem Schluss gekommen, dass die freiwillige Beendigung des Zugangs zu Diensten, die vor Cyberangriffen schützen, nicht der richtige Ansatz ist.
Machtmissbrauch vermeiden
Einige argumentieren, dass wir diese Dienste für Inhalte, die wir für verwerflich halten, einstellen sollten, damit andere Angriffe starten können, um sie vom Netz zu nehmen. Diese Argumentation auf die physische Welt übertragen würde etwa bedeuten, dass die Feuerwehr nicht auf Brände in den Häusern von Menschen reagieren sollte, denen man nicht den nötigen moralischen Charakter bescheinigt. Sowohl in der physischen Welt als auch online ist dies ein gefährlicher Präzedenzfall, der auf lange Sicht höchstwahrscheinlich gefährdeten und benachteiligten Gemeinschaften unverhältnismäßig großen Schaden zufügen wird.
Heute nutzen mehr als 20 Prozent des Internets die Sicherheitsdienste von Cloudflare. Wenn wir unsere Richtlinien reflektieren, müssen wir darauf achten, welche Auswirkungen wir haben und welchen Präzedenzfall wir für das Internet als Ganzes schaffen. Das Beenden der Sicherheitsdienste für Inhalte, die unser Team persönlich als ekelhaft und unmoralisch empfindet, wäre die beliebteste Wahl. Aber auf lange Sicht wird es durch solche Entscheidungen schwieriger, Inhalte, die unterdrückte und benachteiligte Personen unterstützen, vor Angriffen zu schützen.
Präzisierung unserer Richtlinien auf der Grundlage unserer Erkenntnisse
Das ist keine theoretische Feststellung. Tagtäglich erhalten wir Tausende von Anrufen, dass wir Sicherheitsdienste aufgrund von Inhalten, die jemand als beleidigend meldet, beenden sollen. Meistens kommt das nicht in die Schlagzeilen. Meistens stehen diese Entscheidungen nicht im Widerspruch zu unseren moralischen Ansichten. Dennoch haben wir in der Vergangenheit zweimal beschlossen, Inhalte aus unseren Sicherheitsdiensten zu löschen, weil wir sie für verwerflich hielten. 2017 haben wir die Services für die Neonazi-Trollseite The Daily Stormer eingestellt. Und 2019 haben wir die Services für das auf Verschwörungstheorie fokussierte Forum 8chan eingestellt.
Danach erlebten wir eine zutiefst beunruhigende Entwicklung: Eine dramatische Zunahme autoritärer Regime, die versuchten, uns dazu zu bringen, die Sicherheitsdienste für Menschenrechtsorganisationen zu beenden. Dabei beriefen sie sich häufig wortwörtlich auf unsere eigene Rechtfertigung einer solchen Maßnahme.
Seit diesen Entscheidungen haben wir wichtige Gespräche mit politischen Entscheidungsträgern auf der ganzen Welt geführt. Aus diesen Gesprächen zogen wir den Schluss, dass die Befugnis, die Sicherheitsdienste für die Websites zu beenden, nicht in den Händen von Cloudflare liegen sollte. Nicht, weil der Inhalt dieser Seiten nicht abscheulich wäre – das war er –, sondern weil Sicherheitsdienste den Internetdienstleistern am ähnlichsten sind.
Ein Telefonanbieter kündigt Ihnen nicht den Anschluss, wenn Sie schreckliche, rassistische und menschenverachtende Dinge sagen. Analog sind wir in Absprache mit Politikern, Entscheidungsträgern und Experten zu dem Schluss gekommen, dass es die falsche Vorgehensweise wäre, Ihnen die Sicherheitsdienste abzuschalten, weil wir das, was Sie veröffentlichen, für verachtenswert halten. Um es klar zu sagen: Nur weil wir es in einer begrenzten Anzahl von Fällen getan haben, heißt das nicht, dass wir damit richtig lagen. Oder dass wir es jemals wieder tun werden.
Das bedeutet aber nicht, dass Cloudflare nicht eine wichtige Rolle beim Schutz derjenigen spielen kann, die von anderen im Internet angegriffen werden. Seit langem unterstützen wir Menschenrechtsgruppen, Journalisten und andere besonders gefährdete Organisationen im Internet durch das Projekt Galileo. Das Projekt Galileo bietet kostenlose Cybersicherheitsdienste für gemeinnützige Organisationen und Interessengruppen, die unsere Gemeinschaften stärken.
Durch das Projekt Athenian tragen wir auch zum Schutz von Wahlsystemen in den Vereinigten Staaten und anderen Ländern bei. Wahlen sind einer der Bereiche, in denen die Systeme, die sie verwalten, grundlegend vertrauenswürdig und neutral sein müssen. Entscheidungen darüber zu treffen, welche Inhalte Sicherheitsdienste verdienen oder nicht, insbesondere in einer Weise, die in irgendeiner Weise als politisch interpretiert werden könnte, würde unsere Fähigkeit untergraben, einen vertrauenswürdigen Schutz der Wahlinfrastruktur zu bieten.
Die regulatorische Realität
Unsere Richtlinien reagieren auch auf regulatorische Gegebenheiten. Die Gesetze zur Regulierung von Internetinhalten, die in den letzten fünf Jahren weltweit verabschiedet wurden, haben weitgehend eine Trennlinie zwischen Diensten, die Inhalte hosten, und solchen, die Sicherheits- und Durchleitungsdienste (Conduit-Dienste) anbieten, gezogen. Selbst wenn diese Vorschriften Plattformen oder Hosts dazu verpflichten, Inhalte zu moderieren, nehmen sie Sicherheits- und Durchleitungsdienste davon aus, die Rolle des Moderators ohne Gerichtsverfahren zu übernehmen. Dies ist eine vernünftige Regulierung, die auf einem gründlichen Regulierungsprozess beruht.
Unsere Richtlinien folgen diesen durchdachten regulatorischen Vorgaben. Wir verhindern, dass Sicherheitsdienste von sanktionierten Organisationen und Einzelpersonen genutzt werden. Wir kündigen auch Sicherheitsdienste für Inhalte, die in den Vereinigten Staaten – wo Cloudflare seinen Hauptsitz hat – illegal sind. Dazu gehört Material über sexuellen Kindesmissbrauch (Child Sexual Abuse Material, CSAM) sowie Inhalte, die dem Fight Online Sex Trafficking Act (FOSTA) unterliegen. Aber ansonsten sind wir der Meinung, dass jeder von Cyberangriffen verschont bleiben sollte. Selbst wenn wir mit dem Inhalt grundsätzlich nicht einverstanden sind.
Im Sinne der Rechtsstaatlichkeit und eines ordnungsgemäßen Verfahrens folgen wir den rechtlichen Verfahren zur Kontrolle der Sicherheitsdienste. Wir werden Inhalte in Regionen einschränken, in denen wir rechtliche Anordnungen dazu erhalten haben. Wenn beispielsweise ein Gericht in einem Land den Zugang zu bestimmten Inhalten verbietet, werden wir auf Anordnung dieses Gerichts den Zugang zu diesen Inhalten in diesem Land einschränken. Das schränkt in vielen Fällen den Zugriff auf die Inhalte in dem Land ein. Wir sind uns jedoch darüber im Klaren, dass Inhalte, die in einem Land illegal sind, es in einem anderen Land nicht sind. Daher passen wir diese Einschränkungen eng an die Zuständigkeit des Gerichts oder der Behörde an.
Wir halten uns zwar an die gesetzlichen Bestimmungen, glauben aber auch, dass Transparenz von entscheidender Bedeutung ist. Zu diesem Zweck versuchen wir, überall dort, wo diese Inhaltsbeschränkungen auferlegt werden, einen Link zu der jeweiligen Rechtsverordnung zu platzieren, die die Beschränkung des Inhalts verlangt. Diese Transparenz ist notwendig, damit die Menschen am Rechts- und Gesetzgebungsprozess teilnehmen können. Wir finden es sehr beunruhigend, wenn Internetanbieter gerichtlichen Anordnungen nachkommen, indem sie Inhalte unsichtbar sperren – ohne denjenigen, die versuchen, auf diese Inhalte zuzugreifen, darüber zu informieren, welche rechtliche Regelung dies verbietet. Die freie Meinungsäußerung kann per Gesetz eingeschränkt werden, aber die ordnungsgemäße Anwendung der Rechtsstaatlichkeit erfordert, dass derjenige, der sie einschränkt, transparent macht, warum er dies getan hat.
Zentrale Internet-Technologie-Dienste
Während wir im Allgemeinen gesetzliche Anordnungen zur Einschränkung von Sicherheits- und Conduit-Diensten befolgen, legen wir bei zentralen Internet-Technologiediensten wie Authoritative DNS, Recursive DNS/1.1.1.1, und WARP höhere Maßstäbe an. Die Herausforderung bei diesen Diensten besteht darin, dass die Beschränkungen für diese Dienste globaler Natur sind. Sie können sie nicht einfach nur in einem Land einschränken, so dass das restriktivste Gesetz schließlich weltweit gilt.
Wir haben in der Regel gerichtliche Anordnungen angefochten, die versuchen, den Zugang zu diesen zentralen Internet-Technologiediensten einzuschränken, selbst wenn eine Entscheidung nur für jene Kunden gilt, die unsere Dienste kostenlos nutzen. Auf diese Weise versuchen wir, den Regulierungsbehörden oder Gerichten maßgeschneiderte Möglichkeiten zur Beschränkung der Inhalte vorzuschlagen, die ihnen möglicherweise Sorgen bereiten.
Leider werden diese Fälle immer häufiger, in denen die Inhaber von Urheberrechten versuchen, ein Urteil in einer Gerichtsbarkeit zu erwirken, das dann weltweit gilt, um wichtige Internet-Technologiedienste abzuschalten und Inhalte praktisch aus dem Internet zu löschen. Auch hier sind wir der Meinung, dass dies ein gefährlicher Präzedenzfall ist, der die Kontrolle darüber, welche Inhalte online erlaubt sind, in die Hände derjenigen Gerichtsbarkeit legt, die bereit ist, am restriktivsten zu sein.
Bislang ist es uns weitgehend gelungen, diese Fälle zu kippen und Argumente dafür vorzubringen, dass dies nicht der richtige Weg ist, das Internet zu regulieren. Wir glauben, dass die Beibehaltung dieser Vorgehensweise für das gesunde Funktionieren des globalen Internets von grundlegender Bedeutung ist. Aber jeder Hinweis auf Diskretion in Bezug auf unsere Sicherheits- oder zentralen Internet-Technologiedienste schwächt unsere Argumentation in diesen wichtigen Fällen.
Bezahlt vs. kostenlos
Cloudflare bietet sowohl kostenlose als auch kostenpflichtige Dienste in allen oben genannten Kategorien an. Auch hier gilt, dass die meisten unserer Kunden unsere kostenlosen Dienste nutzen und uns nichts bezahlen.
Die meisten Bedenken, die wir bei unserem Prozess zum Umgang mit Regelverstößen feststellen, betreffen zwar unsere kostenlosen Kunden. Dennoch gibt es bei uns keine unterschiedlichen Moderationsrichtlinien, je nachdem, ob ein Kunde kostenloser oder zahlender Kunde ist. Wir sind jedoch der Meinung, dass wir in solchen Fällen, in denen unsere Werte einem zahlenden Kunden (bzw. dessen Inhalten und Ansichten) diametral entgegengesetzt sind, weitere Schritte unternehmen sollten, um nicht nur nicht von dem Kunden zu profitieren, sondern alle Erlöse zur Förderung der Werte unseres Unternehmens und gegen die des Kunden zu verwenden.
Als sich beispielsweise eine Website, die sich gegen die Rechte von LGBTQ+ aussprach, für eine kostenpflichtige Version des DDoS-Abwehrdienstes anmeldete, haben wir gemeinsam mit unserer Proudflare-Mitarbeitergruppe eine Organisation ermittelt, die sich für die Rechte von LGBTQ+ einsetzt, und 100 Prozent der Gebühren für unsere Dienste an sie gespendet. Wir sprechen nicht öffentlich über diese Bemühungen und werden dies auch nicht tun, denn wir setzen diese Maßnahmen nicht zu Marketingzwecken, sondern weil sie mit dem übereinstimmen, was wir für moralisch richtig halten.
Rechtsstaatlichkeit
Wir glauben zwar, dass wir verpflichtet sind, die Inhalte, die wir selbst hosten, zu beschränken. Allerdings sind wir nicht der Meinung, dass wir die politische Legitimation haben, generell zu bestimmen, was online ist und was nicht, indem wir die Sicherheit oder zentrale Internetdienste einschränken. Wenn diese Inhalte schädlich sind, sollten sie idealerweise gesetzlich eingeschränkt werden.
Wir glauben auch, dass ein Internet, in dem Cyberangriffe eingesetzt werden, um Inhalte und deren Verfasser zum Schweigen zu bringen, ein von Fehlern geplagtes, kaputtes Internet ist (egal wie viel Verständnis wir für die Absichten vielleicht haben mögen). Daher werden wir uns bei unseren Entscheidungen darüber, wann wir unsere Sicherheitsdienste oder unsere wichtigsten Internet-Technologiedienste einstellen, von rechtlichen Verfahren leiten lassen und nicht von der öffentlichen Meinung.
Entgegen der Behauptung einiger sind wir keine absoluten Verfechter der Meinungsfreiheit. Wir glauben jedoch an die Rechtsstaatlichkeit. Verschiedene Länder und Gerichtsbarkeiten auf der ganzen Welt werden auf der Grundlage ihrer eigenen Normen und Gesetze bestimmen, welche Inhalte erlaubt sind und welche nicht. Bei der Beurteilung unserer Verpflichtungen achten wir darauf, ob diese Gesetze auf die jeweilige Rechtsordnung beschränkt sind und mit unseren Verpflichtungen zur Achtung der Menschenrechte gemäß den United Nations Guiding Principles on Business and Human Rights übereinstimmen.
Es gibt nach wie vor viel Ungerechtigkeit in der Welt und leider auch viele Inhalte im Internet, die wir verwerflich finden. Wir können einige dieser Ungerechtigkeiten lösen, aber nicht alle. Aber bei unseren Bemühungen, die Sicherheit und Funktionsweise des Internets zu verbessern, müssen wir sicherstellen, dass wir ihm nicht langfristig schaden.
Wir werden weiterhin über diese Herausforderungen diskutieren und darüber, wie wir das globale Internet am besten vor Cyberangriffen schützen können. Wir werden auch weiterhin mit legitimen Strafverfolgungsbehörden zusammenarbeiten, um bei der Aufklärung von Straftaten zu helfen, Gelder und Dienstleistungen zu spenden, um Gleichberechtigung, Menschenrechte und andere Anliegen, an die wir glauben, zu unterstützen, und uns an politischen Entscheidungen auf der ganzen Welt zu beteiligen, um das freie und offene Internet zu erhalten.