Entwicklungen im Internet Governance Umfeld Oktober bis Dezember 2023:
Im 4. Quartal 2023 waren die wichtigsten Internet Governance Themen
- Das 18. IGF in Kyoto
- Der Global Digital Compact (GDC)
- Die Vorbereitungen für WSIS+20
- Die Diskussionen um eine Regulierung künstlicher Intelligenz (AI)
- Die Rolle des Internet in den Kriegen in der Ukraine und im Gaza
- Die UN-Verhandlungen zu Cybersicherheit
- Die digitalen Regulierungen der EU
- Neue Herausforderungen für ICANN
18. IGF in Kyoto: Internetthemen auf breiter Basis diskutiert
Am 12. Oktober 2023 endete das 18. Internet Governance Forum (IGF) in Kyoto. Mit über 12.000 registrierten Teilnehmern war es das größte IGF seit seiner Gründung im Jahr 2006. UN-Generalsekretär Guterres und Japans Premierminister Kishida eröffneten das fünftägige Treffen. Der Output umfasst 89 „IGF Messages from Kyoto“, vier umfangreiche Berichte mit Empfehlungen von IGF Policy Networks (PN) für künstliche Intelligenz, Internetfragmentierung, Internetzugang und Cybersicherheit, die Empfehlung des „High Level Governmental Track“ und des „Parliamentarian Track“ sowie die Transkripte von mehr als 300 Sitzungen.[1] Das IGF Leadership Panel (LP) präsentierte sein Paper „The Internet we want“. Das Paper formuliert fünf Grundsätze, wie das Internet sich weiter entwickeln sollte: „1. whole and open; 2. universal and inclusive; 3. free-flowing and trustworthy; 4. safe and secure; and 5. rights-respecting”.[2] Bis zum nächsten IGF soll daraus eine Art „Charta“ werden, die einige als das „Kyoto-Protokoll für das digitale Zeitalter“ bezeichneten. Das IGF fand im selben Kongresszentrum statt, in dem im Dezember 1997 das ursprüngliche „Kyoto-Protokoll“ zum Klimawandel verabschiedet wurde.
Das IGF diskutierte fast alles, was auf der globalen digitalen Agenda steht: Künstliche Intelligenz und neue Technologien, Internetfragmentierung, Cybersicherheit, Cyberkriminalität und Online-Sicherheit, Datenverwaltung und -vertrauen, digitale Kluft und Inklusion, Menschenrechte und Freiheiten, Nachhaltigkeit und Umwelt, digitaler Handel und digitale Besteuerung, Plattformregulierung, Fake News und Desinformation. Das Kyoto IGF war Marktplatz für den freien Austausch von Ideen, Informationen und Fachwissen zwischen Regierungen, Parlamenten, Unternehmen, Zivilgesellschaft, technischen und akademischen Gemeinschaften sowie jungen Menschen aus der ganzen Welt. Ungeachtet aller anderen Konferenzen ist das IGF wegen seiner Universalität einzigartig. Nach 18 Jahren ist das IGF eine Erfolgsstory. Es erfüllt weitgehend die Erwartungen, die die UN Working Group on Internet Governance (WGIG) hegte, als sie 2005 die Idee des IGF entwickelte.
Das IGF hat aber auch Schwächen.Die Regierungen sind gut vertreten, Minister aber eher selten. Die Internet-Wirtschaft kommt zum IGF, was aber fehlt, ist der C-Level großer Internetkonzerne. Für KMUs oder Internet-Start-ups sind die Anreize, fünf Tage in einer teuren Stadt zu verbringen, gering. Der globale Süden wird immer aktiver, aber die Zahl der Experten aus Asien, Afrika und Lateinamerika auf den IGF-Podien ist spärlich. In den sozialen Medien spielt das IGF eine große Rolle, in den traditionellen Medien aber wird das IGF weitgehend ignoriert. Es gibt einen konkreten IGF-Output, aber es bleibt unklar, wie die IGF-Messages politisch, national wie international, umgesetzt werden. Der 2019 in Berlin gegründete „Parliamentarian Track“ ist etabliert, offen ist aber, ob die „MP Roundtables“ eine Rolle spielen bei der Verabschiedung von Internetgesetzen in nationalen Parlamenten. Das IGF Leadership Panel hat verstanden, dass es Teil seiner Aufgabe ist, bei Verhandlungen in der UN zu Themen wie künstliche Intelligenz, Plattformregulierung, Cybersicherheit, Cyberkriminalität, digitaler Handel, digitale Menschenrechte und Infrastrukturentwicklung die Stimme zu erheben. Bei diesen Verhandlungen aber schauen Regierungen noch selten in Richtung IGF. Das sind verpasste Gelegenheiten und hier hat das IGF noch Potential. In einer multipolaren Welt, in der geostrategische Konflikte zu verstärkter Konfrontation führen, können ja genau die informellen IGF-Diskussionen helfen, Bereiche für Kooperation und damit auch Möglichkeiten für Kompromisse zu identifizieren.
In Kyoto wurde routinemäßig das IGF-Leitungsgremium – die Multistakeholder Advisory Group (MAG) – neu besetzt. Neue Vorsitzende ist Carol Roach, eine Ministerin von den Bahamas. Sie löst Paul Mitchel von Microsoft ab. Deutschland ist im MAG nicht mehr vertreten. Als ehemaliger Gastgeber hat Deutschland aber einen permanenten MAG-Sitz. Für 2023/2024 ist Philipp Schulte vom BMDV MAG-Mitglied. Das 19. IGF findet vom 16. bis 20. Dezember 2024 in Riad in Saudi Arabien statt. Abdulrahman Almutairi, Direktor im Saudischen Digitalministerium, fungiert bis Dezember 2024 als MAG Co-Chair.[3] Die ersten IGF-MAG-Konsultationen für das 19. IGF finden vom 27. bis zum 29. Februar in Riad statt.
Global Digital Compact & UN-Zukunftspakt
Im 4. Quartal 2023 sind die Konturen für den „Global Digital Compact“ (GDC) klarer geworden. Der GDC spielte beim IGF in Kyoto eine zentrale Rolle. Das betraf inhaltliche Schwerpunkte und das Verfahren. Die IGF-Diskussionen zum GDC wurden in einem Brief der Vorsitzenden des IGF Leadership Panel, Vint Cerf, und dem ausscheidenden und der neuen Vorsitzenden des MAG, Paul Mitchel und Carol Roach, an UN-Generalsekretär Guterres zusammengefasst. Sie forderten eine adäquate Einbeziehung aller Stakeholder in die Verhandlungen und erneuerten das Angebot, das IGF als Platz für die Umsetzung möglicher GDC-Empfehlungen zu nutzen. Der GDC soll im Rahmen des für den 23. September 2024 geplanten UN-Zukunftsgipfels verabschiedet werden.
Anfang Dezember 2024 fanden in New York zwei Konsultationsrunden mit Regierungen und Stakeholdern zum UN-Zukunftsgipfel statt.[4] Die beiden Ko-Koordinatoren Namibia und Deutschland (UN-Botschafterin Antje Leendertse) stellten den generellen Plan für das Gipfeldokument vor. Demnach soll auf dem Gipfel ein „Pact for the Future“ von 193 Staats- und Regierungschefs verabschiedet werden. Das geplante Dokument soll fünf Kapitel enthalten, darunter ein Kapitel 3 zum Thema „Science, Technology and Innovation; Digital Cooperation“. Der GDC ist als ein Annex zum UN-Zukunftspakt geplant.[5]
Koordinatoren für den GDC sind Schweden und Sambia. Beide Regierungen hatten im September 2023 ein zweiseitiges „GDC Issue Paper“ vorgelegt mit inhaltlichen Leitlinien (guardrails).Im Lichte der IGF-Diskussionen und den Dezember-Konsultationen in New York ist der Fahrplan für 2024 geklärt. Geplant sind vier Multistakeholder- und Regierungskonsultationen zwischen Februar und März 2024. Schriftliche Vorschläge können bis zum 10. März 2024 eingereicht werden. Danach sind drei zwischenstaatliche Regierungsverhandlungsrunden im April und Mai 2024 anberaumt. Der finale Entwurf des Textes wird für Juni oder Juli 2024 erwartet.[6]
Viele inhaltliche und prozedurale Fragen sind noch offen. Unklar ist, wie konkret mit den Vorschlägen von nicht-staatlichen Stakeholdern umgegangen wird. Unklar ist außerdem, wie detailliert der GDC sein soll. Vorschläge reichen von einem kurzen Statement mit generellen Grundsätzen bis zu einem umfangreichen Dokument mit Empfehlungen für die acht identifizierten Sachbereiche. Offen ist, wie das „Follow Up“ eines GDC organisiert werden soll. Das IGF hat sich angeboten, als „Landing Place“für eine Umsetzung von GDC-Empfehlungen zur Verfügung zu stehen. Das würde voraussetzen, dass die für 2025 geplante Überprüfungskonferenz des UN-Weltgipfels zur Informationsgesellschaft (WSIS+20) das IGF-Mandat verlängert. Der Vorschlag, der GDC solle ein alternatives „Digital Cooperation Forum“ (DCF) mit Sitz in New York schaffen, wurde zwar von der internationalen Community, u.a. beim IGF in Kyoto, zurückgewiesen, ist aber nicht vom Tisch.
WSIS+20 und der Begriff Internet Governance
Die Vorbereitungen für die für 2025 geplante Überprüfungskonferenz des UN-Weltgipfels zur Informationsgesellschaft (WSIS+20) haben mit einer sogenannten „Intersessional Session“ der „UN Commission on Science and Technology Development“ (UNCSTD) im November 2023 in Lissabon begonnen.[7] Die UNCSTD ist das UN-Gremium, das sich mit der Umsetzung der WSIS-Beschlüsse von Genf und Tunis befasst.
Bei der Tagung in Lissabon ging es vor allem darum, wie in der Zukunft die WSIS-Ziele stärker mit den nachhaltigen UN-Entwicklungszielen (Sustainable Development Goals/SDGs) verbunden werden können. WSIS+20 sollte daher den Weg bahnen für eine stärkere Koordinierung. Für die SDGs steht 2030 einen Überprüfungskonferenz an. Eine nachhaltige Entwicklung in den 2030er Jahren ohne eine starke Berücksichtigung der Digitalisierung sei unsinnig. Vorstellbar wäre daher, dass bei der UN-SDG-Gipfelkonferenz im Jahr 2030 die bisherigen SDG- und WSIS-Ziele für den nächsten Entwicklungszyklus (2030 – 2045) zu „Comprehensive Development Goals“ (CDGs) zusammengefasst werden.
Die Lissabon-Diskussion zeigte auch, dass vor dem Hintergrund der geo-strategischen Spannungen die Erwartungen an große Fortschritte bei WSIS+20 eher bescheiden sein sollten. Es wäre bereits ein Erfolg, wenn sich alle 193 Staaten darauf einigen könnten, sich erneut zu den Grundsätzen und Zielen der Genfer Prinzipiendeklaration (2003) und der Tunis Agenda (2005) zu bekennen. Das in Genf vereinbarte Ziel zur Schaffung einer „people-centred, inclusive and development-oriented Information Society, where everyone can create, access, utilize and share information and knowledge, enabling individuals, communities and peoples to achieve their full potential in promoting their sustainable development and improving their quality of life, premised on the purposes and principles of the Charter of the United Nations and respecting fully and upholding the Universal Declaration of Human Rights“sei weiterhin gültig und bedürfe keiner Korrektur. Eine Neuverhandlung der Dokumente trüge die Gefahr eines Absenkens der Standards von Tunis und Genf in sich. Für eine Neuerfindung des Fahrrades bestünde kein Bedarf. Dort, wo in den letzten 20 Jahren neue Herausforderungen entstanden sind – wie künstliche Intelligenz oder soziale Netzwerke – sollte es Anpassungen geben, eventuell auch durch die Schaffung von zwei oder drei neuen „WSIS Action Lines“.
Dieses Herangehen gelte grundsätzlich auch für Internet Governance, wie sie in der Tunis Agenda definiert wurde. Seit Tunis wurden durch neue Entwicklungen auch neue Begriffe in die Diskussion eingeführt wie Digital Governane, AI Governance, Cybergovernance, Data Governance, IOT Governance usw. Grundsätzlich würde die in Tunis angenommene breite Definition von Internet Governance auch die Governance-Herausforderungen neuer Entwicklungen im Cyberspace und bei der Digitalisierung abdecken. Das beträfe insbesondere den Multistakeholderansatz, aber auch die Notwendigkeit für offene, transparente, inklusive und bottom-up Politikentwicklungsprozesse. Die „breite Definition“ von Tunis umfasse sowohl die technischen Aspekte (Management kritischer Internet-Ressourcen und Standardisierung), als auch die „Internet related public policy issues“. Internet Governance sei daher weiterhin als Oberbegriff akzeptabel, wobei es Spezifika in den einzelnen Bereichen gäbe, die auch durch spezifische Governance-Formen abgebildet werden sollten. Die Rückführung des Begriffs Internet Governance auf die technischen Aspekte (enge Definition) und die Benennung politischer Aspekte als „Digital Governance“ sei wenig hilfreich, führe zur Begriffsverwirrung und einerFragmentierung der Diskussion.
In Lissabon wurde auch die Zukunft des IGF diskutiert. WSIS+10 hatte 2015 das IGF-Mandat um zehn Jahre verlängert. WSIS+20 muss über eine erneute Verlängerung bzw. eine Erweiterung des Mandats entscheiden. Das ist eng verbunden mit dem GDC. Sollte der GDC vereinbaren, dem IGF ein Mandat zur Umsetzung seiner Beschlüsse zu erteilen, hätte dies präjudizierenden Charakter für eine Mandatsverlängerung und könnte zu einem IGF+ führen. Sollte der GDC ein neues DCF etablieren, wäre die Zukunft des IGF offen. UN-Tech Envoy Amandeep Gil Singh erwähnte in Lissabon das DCF nicht, unterstützte aber auch nicht den Vorschlag von Vint Cerf, Paul Mitchel und Carol Roach, das IGF zum „GDC-Landeplatz“ zu machen.
Der exakte Fahrplan für WSIS+20ist noch unklar. Er soll bei der regulären UNCSTD-Tagung im April 2024 in Genf präzisiert werden. Dabei geht es auch darum, ob es eine gesonderte WSIS-Überprüfungskonferenz geben soll oder ob die Überprüfung im Rahmen der 80. UN-Vollversammlung (September – Dezember 2025) erfolgt. Offen ist auch, inwieweit die ITU eingebunden wird und wie die Zukunft des von der ITU veranstalteten WSIS-Forums aussieht.
Regulierung von KI: Möglichkeiten maximieren, Risiken minimieren
Die Diskussion zur künstlichen Intelligenz hat im 4. Quartal 2024 weiter an Fahrt gewonnen. Es gibt mittlerweile kein führendes Land mehr, dass sich nicht mit einer nationalen KI-Strategie befasst. Im Unterscheid zur Frühzeit des Internet, wo es breite Übereinstimmung gab, dass eine frühzeitige Internetregulierung schädlich sei für Innovationen und zu Freiheitseinschränkungen führen könnte, gibt es bei der KI einen breiten Konsensus, dass eine KI-Regulierung notwendig ist.
Die Einigkeit bezieht sich vor allem auf den Grundsatz, dass man die Möglichkeiten von KI maximieren und die Risiken minimieren muss, Die Meinungen gehen aber auseinander, wie diese Regulierung konkret aussehen soll. Das Spektrum reicht von Vorschlägen für eine sehr detaillierte Regulierung mit klar geregelten Pflichten und Verantwortlichkeiten, einschließlich Verboten für die Entwicklung von KI-Anwendungen, die die Menschenwürde verletzen, bis zu Vorschlägen für Rahmenregelungen, bei denen mehr allgemeine Grundsätze fixiert werden und spezifische Regulierungen erst dann getroffen werden, wenn die Konsequenzen von einzelnen Anwendungen konkreter eingeschätzt werden können.
Die wichtigsten Ereignisse im 4. Quartal 2023 waren der Londoner AI-Gipfel im Oktober, die Verabschiedung der AI Executive Order von US-Präsident Biden im November und die Einigung in der Europäischen Union auf das „EU-AI-Act“ im Dezember. Im Dezember hat auch die von UN-Generalsekretär berufene KI-Expertengruppe ihren Zwischenbericht vorgelegt. Der Europarat hat substanzielle Fortschritte bei der Ausarbeitung einer KI-Rahmenkonvention gemacht, deren Fertigstellung für den März 2024 angekündigt wurde.[8] Italien, das am 1. Januar 2024 die G7-Präsidentschaft übernommen hat, will den „G7-AI-Hiroshima-Prozess“ weiterführen[9]. Russland und China haben gleichfalls Vorschläge für eine globale KI-Regulierung unterbreitet. Kritische Stimmen aus dem globalen Südenwerden lauter, die beklagen, dass die Entwicklung von KI-Anwendungen bislang wenig beigetragen hat zur Überwindung der digitalen Spaltung. Indien hat jetzt den Vorsitz der von der OECD geführten „Global Partnership on Artificial Intelligence“ (GPAI) übernommen[10] und will daran arbeiten, Befürchtungen vor einer „AI North-South Divide“ zu minimieren.
i. Der vom britischen Premierminister Sunak in London veranstaltete „KI-Gipfel“ verabschiedete eine „Bletchley Declaration“. Darin verständigen sich 27 Regierungen und zahlreiche führende Internetunternehmen, KI-Risiken frühzeitig zu identifizieren und entsprechende Politiken sowie notwendige Regulierungen zu entwickeln. Internetunternehmen werden zu Transparenz bei Entwicklung, Testen und Markeinführung von KI-Produkten aufgefordert. Gefördert werden soll ein „internationally inclusive network of scientific research on frontier AI safety that encompasses and complements existing and new multilateral, plurilateral and bilateral collaboration, including through existing international fora and other relevant initiatives, to facilitate the provision of the best science available for policy making and the public good“.[11] Bemerkenswert war, dass China zu der ansonsten westlich dominierten Konferenz eingeladen wurde und eine konstruktive Rolle spielte. Kritisiert wurde die Abwesenheit der Zivilgesellschaft. Kritisiert wurde auch die Unverbindlichkeit des Ergebnisses. Der KI-Gipfel soll jährlich stattfinden. Für 2024 hat sich Seoul als Gastgeber angeboten.
ii. US-Präsident Biden hat am 30. Oktober 2024 eine über 100 Seiten lange „Executive Order (EO) on Safe, Secure, and Trustworthy Artificial Intelligence“ veröffentlicht. Ziel der EO ist „to establishe new standards for AI safety and security, to protect Americans’ privacy, to advance equity and civil rights, to stand up for consumers and workers, to promote innovation and competition, to advance American leadership around the world, and more.“[12] Bidens EO kann man als eine Antwort auf das seit Jahren in der EU diskutierte und im Dezember 2023 finalisierte EU AI Act sehen. Eine EO eines Präsidenten ist kein förmliches Gesetz, hat aber gleichfalls bindende Wirkung. Im US-Kongress gibt es eine Reihe von Vorschlägen für ein KI-Gesetz, aber die Aussichten für eine parteiübergreifende Lösung sind gering. Zwischen dem EU-Gesetz und der EO des US-Präsidenten gibt es zahlreiche Ähnlichkeiten, aber auch wesentliche Unterschiede. Präsident Biden setzt weniger auf den in der EU präferierten „risk based approach“mit Verboten und konkreten Pflichten für Dienstanbieter. Die EO setzt mehr auf rechtliche Rahmenbedingungen, die Schutzmechanismen für Verbraucher enthalten, aber auch Freiräume für Innovationen lassen. Ausdrücklich bezieht sich die EO auf die Notwendigkeit eines globalen Vorgehens, sowohl durch bilaterale Konsultationen mit Drittländern als auch durch die Unterstützung des G7-AI-Hiroshima-Prozesses, der G20, OECD und entsprechender UN-Initiativen.
iii. Am 8. Dezember 2024 wurde nach monatelangen Verhandlungen im Trilog zwischen Europäischen Rat, Europäischen Parlament und Europäischen Kommission eine finale Einigung über das seit Jahren diskutiert „EU AI Act“ erzielt. EU-Kommissionspräsidentin von der Leyen sagte: „Das KI-Gesetz der EU ist der weltweit erste umfassende Rechtsrahmen für KI. Dies ist ein historischer Moment. Mit dem KI-Gesetz werden europäische Werte in einer neuen Ära umgesetzt. Indem die heutige Einigung den Schwerpunkt der Regulierung auf identifizierbare Risiken legt, wird eine verantwortungsvolle Innovation in Europa gefördert. Durch die Gewährleistung der Sicherheit und der Grundrechte der Menschen und Unternehmen wird sie die Entwicklung, den Einsatz und die Einführung vertrauenswürdiger KI in der EU unterstützen. Unser KI-Gesetz wird einen wesentlichen Beitrag zur Entwicklung globaler Regeln und Grundsätze für eine auf den Menschen ausgerichtete KI leisten.“[13] Das Gesetz führt vier Risikogruppen für KI-Anwendungen ein. Bei einer Nichtbeachtung der Regelungen drohen Unternehmen Strafen bis zu 35 Millionen Euro. Mit dem KI-Gesetz werden Transparenzregeln entlang der Wertschöpfungskette eingeführt. Für KI-Modelle mit systemischen Risiken gibt es Verpflichtungen für Risikomanagement, Überwachung, Modellbewertung und Angriffstests. Neue Verhaltenskodizes sollen in Kooperation mit Wirtschaft, Wissenschaft und Zivilgesellschaft ausgearbeitet werden. Nationale Marktüberwachungsbehörden erhalten Aufsichtsbefugnisse. Ein neues „Europäisches Amt für künstliche Intelligenz“ wird in der EU-Kommission eingerichtet. Verstärkt wird die internationale Zusammenarbeit im Rahmen der G7, der G20, der OECD und der UNO.
iv. Am 15. Dezember 2023 publizierte die von UN-Generalsekretär António Guterres berufene KI-Expertengruppe ihren Zwischenbericht „Governing AI for Humanity“.[14] Er enthält eine Übersicht über den heutigen KI-Entwicklungsstand sowie zukünftige Trends und analysiert verschiedene internationale politische Initiativen zur KI-Regulierung. Zur Diskussion werden fünf Prinzipien gestellt für einen möglichen UN-KI-Vertrag: „AI should be governed inclusively, by and for the benefit of all; AI must be governed in the public interest, AI governance should be built in step with data governance and the promotion of data commons; AI must be universal, networked and rooted in adaptive multistakeholder collaboration; AI governance should be anchored in the UN Charter, International Human Rights Law, and other agreed international commitments such as the Sustainable Development Goals“. Diskutiert werden Optionen zur Schaffung eines UN-Gremiums für KI. Guterres hatte das Modell der IAEA in einer KI-Diskussion im UN-Sicherheitsrat ins Gespräch gebracht. EU-Kommissionspräsidentin von der Leyen hatte beim G20-Gipfel auf den Weltklimarat verwiesen. Die UN-Expertengruppe hat über 20 Modelle untersucht, darunter auch ICANN, jedoch noch keinen abschließenden Vorschlag unterbreitet. Der Abschlussbericht soll noch im Sommer 2024 vorgelegt werden.
Künstliche Intelligenz als militärische Waffe
In den militärischen Konflikten in der Ukraine und in Gaza spielt das Internet eine immer größere Rolle. Das betrifft insbesondere die Rolle von sozialen Netzwerken bei der Beeinflussung der öffentlichen Meinung. Im Ukraine-Krieg werden insbesondere internetbasierte Drohnen eingesetzt, sowohl für die Aufklärung als auch für offensive Operationen. Cyberangriffe auf zivile und militärische Objekte sind integrale Bestandteile der Kriegführung auf beiden Seiten. So werden z.B. die in ukrainischen Großstädten installierten technischen Überwachungskameras, die eine russische Software benutzen, von russischen Hackern als Einfallstor benutzt zur militärischen Aufklärung. Auf der anderen Seite greift eine ukrainische semi-private IT-Armee regelmäßig Ziele in Russland an. Im Gaza-Krieg nutzt die israelische Armee KI-generierte Gesichtserkennung, um Hamas Kämpfer zu identifizieren und zu töten. Damit wird das Internet quasi zur Waffe.
Die globalen sozialen Netzwerke werden zunehmend zu einer Plattform für psychologische Kriegsführung. Versuche, über eine Plattform-Regulierung Hetze und Falschinformationen (fake news & hate speech) unter Kontrolle zu bekommen, sind bislang wenig erfolgreich. Die EU hat im 4. Quartal 2023 mit der Umsetzung des Digital Services Act (DSA) begonnen und von den großen Internet-Plattformen Berichte eingefordert, wie sie sich an die vom DSA vorgegebenen Standards halten.[15] In der UNESCO wurde im Oktober 2023 ein Dokument mit Grundsätzen für eine Plattformregulierungverabschiedet, die für alle 193 UN-Staaten gilt. Das Dokument ist jedoch rechtlich nicht verbindlich.[16]
Warnungen, dass die Welt in ein KI-Wettrüsten hineingerät, nehmen zu. Erstmalig wurde im Oktober 2023 in der UN-Vollversammlung über internetbasierte autonome Waffensysteme diskutiert. Bislang fanden Verhandlungen dazu in einer „Group of Governmental Experts on Lethal Autonomous Weapons Systems“ (GGE LAWS) statt.[17] Dort gibt es aber keinen Fortschritt.[18] Am 4. Dezember 2023 nahm die 78. UN-Vollversammlung eine von Österreich initiierte UN-Resolution mit 164 Ja-Stimmen bei fünf Gegenstimmen (Russland, Indien, Mali, Niger, Belarus) und Enthaltungen (darunter China) an. Die UN-Resolution enthält allerdings wenig Substanz. UN-Generalsekretär Guterres wird lediglich aufgefordert, der nächsten UN-Vollversammlung einen umfassenden Bericht vorzulegen. Regierungen und Stakeholder werden aufgefordert, dem Bericht zuzuarbeiten. Was mit diesem Bericht im Herbst 2024 passieren soll, bleibt unklar.[19]
Militärische Aspekte bei denKI- Regulierungen der EU, des Europarates und der USA sind ausgeklammert. Der im Dezember 2023 verstorbene ehemalige US-Außenminister Henry Kissinger hatte im Oktober 2023 in einem Aufsatz in „Foreign Affairs“ vor einer militärischen KI-Katastrophe gewarnt und sie mit den Risiken eines Atomkrieges verglichen. „Will machines with superhuman capabilities threaten humanity’s status as master of the universe? Will AI undermine nations’ monopoly on the means of mass violence? Will AI enable individuals or small groups to produce viruses capable of killing on a scale that was previously the preserve of great powers? Could AI erode the nuclear deterrents that have been a pillar of today’s world order? At this point, no one can answer these questions with confidence. But as we have explored these issues for the last two years with a group of technology leaders at the forefront of the AI revolution, we have concluded that the prospects that the unconstrained advance of AI will create catastrophic consequences for the United States and the world are so compelling that leaders in governments must act now.“[20] Kissinger forderte, dass China und die USA zu diesem Thema Verhandlungen nach dem Modell der amerikanisch-sowjetischen SALT Verhandlungen zur Vermeidung eines Atomkrieges in den späten 1960er Jahren aufnehmen. Inwieweit die von den Präsidenten der USA und China, Biden und Xi, bei ihrem Gipfeltreffen am 15. November 2023 in San Francisco vereinbarten KI-Konsultationen diese militärischen Aspekte einschließen, bleibt abzuwarten[21].
Neue UN-Resolutionen zu Cybersicherheit
Im Ergebnis der UN-Cybersicherheitsverhandlungen im Rahmen der 78. UN-Vollversammlung wurden Anfang Dezember drei Resolutionen verabschiedet, die die Arbeit der Open Ended Working Group (OEWG) betreffen[22]. Im November legte die Vorsitzende des Ad Hoc Committees (AHC) zur Ausarbeitung einer UN-Konvention gegen Cyberkriminalität einen weiteren konsolidierten Entwurf vor. Die UN-Resolutionen und der AHC-Konventionsentwurf spiegeln die momentane geo-politische Großwetterlage wider: Alle Staaten sind im Prinzip – wie beim Klimawandel – überzeugt, dass man für die Stabilität des Cyberspace etwas unternehmen muss, um nicht ungebremst in ein globales Desaster zu laufen. Aber die Vorstellungen, wie das zu erreichen ist, driften zwischen Autokratien und Demokratien weit auseinander. Und der „globale Süden“ meldet sich immer nachhaltiger mit einer eigenen Stimme zu Wort.
Die drei UN-Resolutionen zur OEWG betreffen die Schaffung eines zwischenstaatlichen Mechanismus von Kontaktpunkten zur Reduzierung der Gefahr eines Cyberkrieges, ein von den westlichen Staaten vorgeschlagenes Aktionsprogramm zur Umsetzung der elf Cybersicherheitsnormen von 2015 sowie einen zukünftigen Verhandlungsmechanismus zu Cybersicherheit im Rahmen der UN.
i. Die Resolution zum Fortschrittsbericht des OEWG-Vorsitzenden[23] wurde im Konsens verabschiedet. Kernstück des Berichts war die Einigung auf die Schaffung eines zwischenstaatlichen Mechanismus zur Errichtung von sogenannten „Points of Contact“ (PoC). Der PoC-Mechanismus soll wie das „rote Telefon“ funktionieren, dass zwischen den USA und der damaligen Sowjetunion nach der Kuba-Krise in den 1960er Jahren installiert worden war. Im Falle eines Cyberangriffs soll es Regierungen die Möglichkeit geben, mit der verdächtigten Regierung Kontakt aufzunehmen, um die Situation abzuklären. Ein ähnlicher Mechanismus wurde vor Jahren von der OSZE eingeführt und funktioniert gut.
ii. Russland wollte mit seiner Resolution ein Mandat erhalten zur Ausarbeitung neuer Cybersicherheitsnormen und ihre zukünftige Verankerung in einer rechtsverbindlichen UN-Konvention zu Cybersicherheit erreichen. Der Westen lehnt das nicht grundsätzlich ab, argumentiert aber, dass man sich zunächst Klarheit darüber verschaffen sollte, wie denn die bereits existierenden elf GGE-Normen in der Praxis der Staaten angewandt werden. Erst müsse man ein umfassendes Bild über völkerrechtsgemäßes Verhalten von Staaten im Cyberspace haben. Dann könne man Lücken im Normengefüge identifizieren und deren Verrechtlichung diskutieren. Die finale Text bleibt diesbezüglich vage. Er erhielt 112 Ja- und 52 Nein-Stimmen (darunter alle EU-Mitglieder, die USA, Japan, Australien, Türkei, Ukraine und Albanien) bei elf Enthaltungen.
iii. Die von Frankreich eingebrachte Resolution zum Aktionsprogramm wurde mit 158 Ja- und 10 Nein-Stimmen (darunter China und Russland) bei 12 Enthaltungen angenommen.[24] Das „Program of Action“ (PoA) soll sich auf die Implementierung der elf GGE-Normen von 2015 konzentrieren und nach dem Auslaufen des OEWG-Mandats im Jahr 2025 zu einer dauerhaften UN-Cybersicherheitsverhandlungsplattform führen. Frankeich hatte vorgeschlagen, im Jahr 2025 eine Weltkonferenz zu Cybersicherheit zu veranstalten, um Grundsätze, Ziele und Aktionen eines PoA zu definieren. Der Vorschlag für eine solche Konferenz erhielt aber keine Mehrheit.
iv. Für die aktuelle Arbeit der OEWG im Jahr 2024 hat diese schizophrene Duplikation zunächst keine Konsequenzen. Es sind erneut zwei reguläre Sitzungen und mehrere informelle Konsultationen geplant.[25] Die Zukunft der OEWG nach 2025 ist aber weiterhin offen und muss nun von der 79. UN-Vollversammlung im Herbst 2024 geklärt werden.
v. Offen ist auch, wie nicht-staatliche Stakeholder aus Wirtschaft, Wissenschaft, Zivilgesellschaft und der technischen Community in die Arbeit der OEWG einbezogen werden. Zwischen den formalen OEWG-Sitzungen finden sogenannte informelle Konsultationen statt, bei denen alle, unabhängig ob sie vom ECOSOC als eine NGO anerkannt sind oder nicht, ihre Stimme erheben können. Das betrifft z.B. Internetunternehmen wie Microsoft, Forschungseinrichtungen wie das Genfer Cyber Peace Institute oder das in Den Haag ansässige Global Forum on Cyber Expertise (GFCE). Von der Teilnahme an regulären OEWG-Sitzungen sind viele NGOs ausgesperrt. Die von Frankreich eingebrachte POA-Resolution fordert einen inklusiven Dialog mit „relevanten Stakeholdern“ dort, wo es „angemessen“ ist. Bei der Beurteilung, was „angemessen“ ist, haben alle Staaten ein Veto-Recht. So hat Russland mehr als ein Dutzend NGOs auf die „schwarze Liste“ gesetzt, darunter auch die Berliner „Stiftung Neue Verantwortung“ (SNV). Die Ukraine wiederum hat die Teilnahme russischer Einrichtungen wie das Moskauer Institut für internationale Beziehungen (MGIMO) blockiert.
Am 6. November 2023 hat die Vorsitzende des AHC eine neuen Textentwurf für die UN-Konvention gegen Cyberkriminalität vorgelegt.[26] Der Text ist aber noch überfüllt mit „eckigen Klammern“. Unklar ist nach wie vor, was genau unter einer Straftat im Cyberspace verstanden wird. Das illegale Eindringen in fremde Netzwerke? Der Verstoß eines Bloggers gegen nationale Zensurbestimmungen? Westliche Länder wollen eine enge Definition, Autokratien eine breite. Unklar sind Verfahren für grenzüberschreitende Online-Ermittlungen und die Auslieferung von identifizierten Straftätern. Und strittig ist auch, wie man eine ausgewogene und sich an Rechtsstaatlichkeit orientierte Balance zwischen Cybersicherheit und Menschenrechten findet. Die finale Sitzung ist für Ende Januar 2024 in New York angesetzt. Sollte es keinen Konsensus geben, kann die Konvention auch mit einer Zwei-Drittel-Mehrheit verabschiedet und im Herbst 2024 der UN-Vollversammlung vorgelegt werden. Sollten der Westen auf eine Unterzeichnung verzichten, würde für ihn die Budapester Konvention gegen Cyberkriminalität des Europarates von 2001 fortgelten.
EU-Digitalpolitik bringt zahlreiche Gesetze voran
Die EU-Digitalpolitik war im 4. Quartal 2023, und hier insbesondere im Dezember, sehr intensiv. Das betraf sowohl die Gesetzgebung als auch die Implementierung der „Digitalen Dekade“ und der Ausbau bilateraler Kooperationen.
Am 1. Dezember wurde eine finale Einigung über des „Cyber Resilience Act“ (CRA) erreicht. Mit dem CRA soll die Sicherheit von Hard- und Software erhöht werden.[27] Auch zum Gesetz über künstliche Intelligenz – den EU AI Act – wurde am 5. Dezember Einigung erzielt.[28] Zuvor hatten sich im Trilog Kommission, Parlament und Rat auf eine abschließende Regelung zur sogenannte EUid Brieftasche (European Digital Identity Wallet) geeinigt. Alle Bürgerinnen und Bürger der EU werden so die Möglichkeit erhalten, eine EUid-Brieftasche für den Zugang zu öffentlichen und privaten Online-Diensten zu benutzen, wobei die Sicherheit und der Schutz der personenbezogenen Daten in ganz Europa in vollem Umfang gewährleistet werden.[29] Am 30. November hat die EU-Kommission in der Umsetzung des EU Chips Act ein gemeinsame Unternehmen für Chips aus der Taufe gehoben, um das europäische Halbleiter-Ökosystem und die technologische Führungsrolle Europas zu stärken. Damit soll die Kluft zwischen Forschung, Innovation und Produktion überbrückt und die Vermarktung innovativer Ideen erleichtert werden. Das „Chips Joint Undertaking“ wird Pilotanlagen einrichten für die EU-Mittel in Höhe von 1,67 Mrd. EUR bereitgestellt werden.[30] Für die Schaffung eines „gemeinsamen Europäischen Datenraumes“ nach dem „Data Governance Act“ (DGA) hat die EU-Kommission am 14. Dezember einen mit 41 Millionen EUR dotierten Vertrag mit einem privaten Konsortium abgeschlossen, dem von Deutschland IONOS angehört.[31] EU-Kommissar Breton forderte bei einem „Industry-Roundtable“ am 4. Dezember in Brüssel vom Privatsektor mehr Investitionen in digitale Infrastrukturen.[32]Im Frühjahr 2024 soll dazu ein EU-Weißbuch veröffentlicht werden.
Am 24. November vereinbarte die EU eine digitale Partnerschaft mit Kanada, bei der insbesondere die Themen künstliche Intelligenz, digitaler Handel und Cybersicherheit besprochen werden sollen.[33]Am 5. und 6. Dezember fanden in Brüssel die 9. US-EU Cybersicherheitskonsultationen statt. Dabei wurde eine Vereinbarung zwischen ENISA und CISA, den beiden für Cybersicherheit zuständigen staatlichen Gremien, über einen erweiterten Datenaustausch abgeschlossen. Am 15. Dezember folgte ein ähnlicher Cybersicherheitsdialog mit Großbritannien.
Im 4. Quartal hat EU-Kommission erste Schritte zur Umsetzung des Digital Services Act (DAS) unternommen, insbesondere durch die Einforderung von Berichten von den Very Large Online Platforms (VLOPs). Am 12. Oktober wurde X (vormals Twitter) schriftlich aufgefordert zu berichten[34], am 1. Dezember Meta[35]und am 15. Dezember Google und Apple[36]. Am 20. Dezember wurden auch drei Erotik-Anbieter (Pornhub, Stripchat and XVideos) als VLOPs definiert und damit in die Berichtspflicht einbezogen[37]. Am 11. Dezember startete die EU-Kommission Konsultationen zur Schaffung einer „Agora“ genannten Plattform für den Datenaustausch zur Umsetzung des Digital Services Act (DSA). Am 18. Oktober verabschiedete die EU-Kommission eine Reihe von Empfehlungen an ihre 27 Mitglieder, wie sie mit Kontrollen für illegale Inhalte, und insbesondere terroristische Propaganda, umgehen sollen.[38].
Neue Herausforderungen für ICANN
ICANN beging im Oktober 2023 bei seiner 78. Tagung in Hamburg seinen 25. Geburtstag. Insgesamt wurde eine positive Bilanz gezogen. Diskutiert wurden aber auch ICANNs Defizite.
Zu den nachhaltigen Erfolgen von ICANN zählt insbesondere die IANA Transition von 2016, aber auch die Universal Dispute Resolution Policy (UDRP), die Erweiterung des Domainname Raumes (IDNs und new gTLDs) und die Erhöhung der DNS-Sicherheit durch die Einführung von DNSSEC. ICANN ist nach wie vor das weltweit anerkannte Modell eine Multistakeholderorganisation. In den 25 Jahren ist die Zahl der registrierten Domainnamen von wenigen Millionen 1998 auf fast 400 Millionen im Jahr 2023 gewachsen. 1998 gab es rund 200 aktive Top Level Domains, 2023 sind es rund 1500.
Schwachstellen von ICANN sind heute vor allem die langwierigen Prozesse bei der Entwicklung von Politiken (PDP), wie der Umgang mit Datenschutz in der ehemaligen Whois-Datenbank sowie die Einführung neuer gTLDs, eine schleichende Bürokratisierung und die Dominanz von kommerziellen Interessen der wirtschaftlich stärksten Stakeholder. Der Einfluss der Nutzer (At Large) ist in den letzten Jahren ständig geschwunden. Kritisch wird auch ICANNs Umgang mit den verschiedenen Reviews gesehen. Es gibt mehr als zehn Prozesse, in denen ICANNs Gremien und die einzelnen Politiken überprüft werden. Das führt zu Hunderten von Empfehlungen, die nur schleppend umgesetzt werden. Die Empfehlung des ATRT3 Teams, eine kritische Gesamtanalyse von ICANN vorzunehmen (Holistic Review) ist selbst drei Jahre nach Unterbreitung der Empfehlung noch immer in der Diskussionsphase.
Als neue Herausforderungen gelten vor allem der wachsende Missbrauch des DNS für rechtswidrige Aktivitäten (DNS Abuse), die Entwicklung von neuen und möglicherweise alternativen Namen- und Nummern-Systemen (Etherum)[39] oder staatliche Regulierung im Bereich von Cybersicherheit. Diskutiert wird nach wie vor, inwieweit sich ICANN mit seinem begrenzten technischen Mandat an den globalen Diskussionen zu Cybersicherheit und Internet Governance beteiligen sollte. ICANNs neuer CEO, der/die möglicherweise beim 79. ICANN Treffen in Puerto Rico bereits benannt wird, wird sich positionieren müssen, wie ICANN sich z.B. beim Global Digital Compact, bei WSIS +20 oder den UN-Cybersicherheitsverhandlungen positioniert.
[1] https://intgovforum.org/en/filedepot_download/300/26575
[2]https://www.intgovforum.org/en/content/the-internet-we-want
[3]https://www.intgovforum.org/en/content/mag-2024-members
[4]https://www.un.org/sites/un2.un.org/files/sotf_co-facs_letter_mgos_and_civil_society_13_nov_2023.pdf
[5]https://www.un.org/sites/un2.un.org/files/informal_consultations_on_the_preparations_of_the_pact_for_the_future_on_19_october_2023.pdf
[6]https://www.un.org/techenvoy/sites/www.un.org.techenvoy/files/Co-facs_letter_Global_Digital_Compact_December_15.pdf
[7]https://unctad.org/meeting/commission-science-and-technology-development-2023-2024-inter-sessional-panel
[8] https://www.coe.int/en/web/artificial-intelligence/cai
[9] https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/g7-leaders-statement-on-the-hiroshima-ai-process/ und https://www.atlanticcouncil.org/event/road-to-puglia-amb-ferrari-on-italys-g7-presidency-in-a-time-of-crises/
[10]https://pib.gov.in/PressReleaseIframePage.aspx?PRID=1985585#:~:text=GPAI%20is%20a%20multi%2Dstakeholder,chair%20of%20GPAI%20in%202024.
[11] https://www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit-1-2-november-2023 „our agenda for addressing frontier AI risk will focus on: identifying AI safety risks of shared concern, building a shared scientific and evidence-based understanding of these risks, and sustaining that understanding as capabilities continue to increase, in the context of a wider global approach to understanding the impact of AI in our societies.
building respective risk-based policies across our countries to ensure safety in light of such risks, collaborating as appropriate while recognising our approaches may differ based on national circumstances and applicable legal frameworks. This includes, alongside increased transparency by private actors developing frontier AI capabilities, appropriate evaluation metrics, tools for safety testing, and developing relevant public sector capability and scientific research.
[12]https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/
[13]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473
[14]https://www.un.org/sites/un2.un.org/files/ai_advisory_body_interim_report.pdf
[15]https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act_en
[16]https://www.ifla.org/de/news/unesco-guidelines-for-the-governance-of-digital-platforms/
[17]https://wfuna.org/wp-content/uploads/2023/10/GA1-LAWS-background-doc.pdf
[18]https://docs-library.unoda.org/Convention_on_Certain_Conventional_Weapons_-Group_of_Governmental_Experts_on_Lethal_Autonomous_Weapons_Systems_(2023)/CCW_GGE1_2023_2_Advance_version.pdf
[19]https://press.un.org/en/2023/gadis3731.doc.htm
[20]https://www.foreignaffairs.com/united-states/henry-kissinger-path-artificial-intelligence-arms-control
[21]https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/15/readout-of-president-joe-bidens-meeting-with-president-xi-jinping-of-the-peoples-republic-of-china-2/
[22]https://research.un.org/en/docs/ga/quick/regular/78
[23]https://cyberpeaceinstitute.org/news/positive-step-towards-incremental-tangible-progress/
[24]https://www.diplomatie.gouv.fr/en/french-foreign-policy/security-disarmament-and-non-proliferation/news/2023/article/cybersecurity-adoption-of-the-french-resolution-for-a-un-action-program-3-nov
[25]https://www.reachingcriticalwill.org/disarmament-fora/ict/oewg-ii
[26]https://documents-dds-ny.un.org/doc/UNDOC/GEN/V23/084/92/PDF/V2308492.pdf?OpenElement
[27]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6168
[28]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473
[29]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5651
[30]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6167
[31]https://digital-strategy.ec.europa.eu/en/news/commission-awards-eu41-million-contract-develop-infrastructure-common-european-data-spaces-0
[32]https://digital-strategy.ec.europa.eu/en/news/commissioner-breton-calls-more-private-investment-connectivity-infrastructure-0
[33]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5953
[34]https://ec.europa.eu/commission/presscorner/detail/en/ip_23_4953
[35]https://digital-strategy.ec.europa.eu/en/news/commission-sends-request-information-meta-under-digital-services-act
[36]https://digital-strategy.ec.europa.eu/en/news/commission-sends-request-information-apple-and-google-under-digital-services-act
[37]https://digital-strategy.ec.europa.eu/en/news/commission-designates-second-set-very-large-online-platforms-under-digital-services-act
[38]https://digital-strategy.ec.europa.eu/en/library/coordinating-responses-incidents-particular-arising-dissemination-illegal-content
[39] Am 15. Dezember publizierte ICANNs Security and Stability Advisory Committee (SSAC) einen „SSAC Report on the Evolution of Internet Name Resolution Bericht https://itp.cdn.icann.org/en/files/security-and-stability-advisory-committee-ssac-reports/sac-123-15-12-2023-en.pdf