nach oben

Erschienen in:

Open Access 2022 | OriginalPaper | Buchkapitel

Modell der Reichweitenhierarchie: Gestaltungsdimensionen digitaler Souveränität

verfasst von : Alexander Schäfer

Erschienen in: Selbstbestimmung, Privatheit und Datenschutz

Verlag: Springer Fachmedien Wiesbaden

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Patentsuche

Aus

Zusammenfassung

Die gesetzgeberische Reichweite eines Staates ist die Voraussetzung zur Gewährleistung der Durchsetzung bestimmter Rechte. Die digitale Souveränität endet mit der Abgabe rechtlicher Durchsetzung. Falls Datensouveränität nicht gewährleistet werden kann, ergeben sich Problemfelder. Im folgenden Paper werden zunächst zwei der vorhandenen Problemfelder (Pattern of Life – Analyse und Industriespionage) erläutert und so die Notwendigkeit aufgezeigt, die einer digitalen Souveränität obliegt. Um diesen Problemen zu begegnen, wird ein Modell dargestellt, welches den notwendigen Unterbau zur Gewährleistung einer ausreichenden Reichweite gesetzlicher Initiativen im digitalen Raum beschreibt. Darauf aufbauend werden Handlungsempfehlungen gegeben, um die beschriebenen notwendigen Bedingungen zu realisieren.

1 Wirkungstiefe europäischer Gesetzgebung

Wenn sich die Legislative eines Staates die Möglichkeit offenhalten möchte, eigene Prinzipien umsetzen zu können, ergibt sich die Notwendigkeit, Maßnahmen zu ergreifen, die eine entsprechende Selbstbestimmung ermöglichen. Konkret muss eine Basis geschaffen werden, die die Durchsetzung der Beschlüsse der Legislative erst ermöglicht.

In diesem Beitrag wird die Realisierung digitaler Souveränität des Staatenverbunds der Europäischen Union im Hinblick auf die Datenschutzgrundverordnung (DSGVO) und die informationelle Selbstbestimmung thematisiert. Das im Verlauf vorgestellte Modell der Reichweitentenhierarchie ist generisch aufgebaut und lässt sich somit auch auf abweichende gesetzgeberische Initiativen übertragen.

In diesem Zusammenhang soll das Recht auf informationelle Selbstbestimmung „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“, gewähren [1]. Um dieses Recht zu gewährleisten, ist digitale Souveränität notwendig. Hierunter wird „die Fähigkeit zu selbstbestimmtem Handeln und Entscheiden im digitalen Raum“ verstanden [2, 3].

Die Wirkungstiefe bestimmter Regularien stellt sich als nicht weitgreifend genug heraus, solange deren Durchsetzung nicht wirkungsvoll umgesetzt werden kann. Daraus resultierende ausgewählte Problemfelder werden nachfolgend dargestellt. Um die Bedingungen einer ausreichenden Reichweite gesetzlicher Initiativen zu gewährleisten, werden im weiteren Abschn. 3 aufeinander aufbauende Freiheitsgrade identifiziert, die die notwendige Grundlage einer entsprechenden Wirkungstiefe darstellen. Diese werden systematisch im Modell der Reichweitenhierarchie zusammengefasst. Auf dieser Grundlage werden in Abschn. 4 Gestaltungsmöglichkeiten dieser Freiheitsgrade diskutiert.

2 Problemfelder mangelnder Datensouveränität

Das zukünftige Verhalten vorherzusagen, sich die momentanen Überzeugungen einer Person zu vergegenwärtigen und deren scheinbare Vergangenheit zu manipulieren, ist ein Teil des Potenzials, welches die Auswertung des digitalen Lebens einer Person ermöglicht. Die Auswertung wie auch die Nutzung von Datensätzen kann in für Personen und Organisationen ungewollten Zuständen resultieren. Im Folgenden wird aufgezeigt, inwieweit die Vorhersehbarkeit von Verhalten und das Ausspähen interner Firmeninformationen Problemfelder von Datenverarbeitung darstellen können, um anhand dieser ausgewählten Beispiele den notwendigen Handlungsbedarf aufzuzeigen.

2.1 Pattern of life – Analyse

Das Konzept der Pattern of life – Analyse (dt. „Lebensmuster-Analyse“) ist ungeachtet der breitflächigen Nutzung zur nachrichtendienstlichen Informationsgenerierung nicht formal definiert [4]. Biltgen und Ryan skizzieren Lebensmuster jedoch als einen spezifischen Satz von Verhaltensweisen und Bewegungen, die mit einer bestimmten Entität über einen bestimmten Zeitraum hinweg verbunden sind [5]. Die technologischen Fortschritte der letzten zwei Jahrzehnte – eine Revolution in der Informationstechnologie und das Aufkommen von Big Data – verbessern die Fähigkeit, große Datenmengen zu sammeln und zu verarbeiten [6]. Mittels der Verarbeitung von Lebensmustern lassen sich Verhaltensweisen und Anomalien analysieren und prognostizieren.

Eine verstärkte Datenbasis führt demnach zu aussagekräftigeren Vorhersagen. Nachfolgend wird anhand ausgewählter Beispiele aufgezeigt, wie entsprechende Datensätze erstellt werden können.

Mit der Nutzung von Services über das Internet hinterlässt der jeweilige Nutzer Spuren, welche ausgewertet werden können und somit Rückschluss auf seine Lebensweisen, Einstellungen und Vorlieben zulassen. Dabei kann nicht nur generierter Content analysiert werden. Ebenfalls fallen Metadaten an, die Potenzial für Auswertungen bieten. Bewegungsprofile können unter anderem durch die Kommunikation eines Mobilfunkgeräts mit Mobilfunkmasten erstellt werden [7]. Beispielsweise stellt die amerikanische Telefongesellschaft AT&T amerikanischen Behörden Metadaten getätigter Anrufe, die bis ins Jahr 1987 zurückreichen, zur Verfügung [8].

Mobilgeräte wachsen stetig in ihrer Bedeutung für die Kommunikation [9‐12]. Applikationen auf Smartphones verbinden sich mit deren jeweiligem Netzwerk. Textnachrichten, E-Mail-Notifikationen, Standortbestimmungen und Analytic Tools können genutzt werden, um eine Bewegungskarte zu erzeugen, während diese broadcasten [13].

Die Videoaufnahmen von Bodycam-Aufnahmen der Bundespolizei werden auf Servern des US-Konzerns Amazon gespeichert [14].

Die entsprechenden Daten können genutzt werden, um die Einstellungen der Betroffenen zu analysieren, deren zukünftiges Verhalten vorherzusagen und Anomalien in deren regulärem Leben festzustellen. Fraglich ist, ob ein Staat solche Datensätze und die damit verbundenen Auswertungsmöglichkeiten an dritte Unternehmen aushändigen sollte, welche anderen Regularien Folge zu leisten haben als jenen, die dieser Staat bestimmt.

Aufnahmen, die in sozialen Medien wie etwa Facebook hochgeladen werden, lassen sich zur Gesichtserkennung nutzen [15]. So erstellte die amerikanische Firma Clearview eine Art Suchmaschine für Gesichter, in die ein Gesicht eingespeist werden kann und anschließend Aufnahmen zurückgegeben werden, auf denen das Gesicht von Interesse abgebildet ist. Die Datenbank, auf die dabei zurückgegriffen wird, wurde nach Aussage des Unternehmens aus frei zugänglichen Quellen erstellt.

2.2 Industriebeeinflussung

Ein über die Verhaltensanalyse hinausgehendes Problemfeld stellt die wirtschaftliche Einflussnahme dar, die im folgenden Unterkapitel behandelt wird. Gesetzesvorgaben anderer Staaten können deren Behörden dazu befähigen, Internetfirmen und IT-Dienstleister mit Sitz in diesem Staat Zugriff auf gespeicherte Daten zu gewähren, selbst wenn sich die Datensätze auf Servern eines anderen Staates befinden. Bei den abgegriffenen Daten kann es sich auch um Firmengeheimnisse handeln. Ein entsprechendes Vorgehen wird beispielsweise seitens der Vereinigten Staaten von Amerika durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) legitimiert [16]. Diese Daten könnten von der Regierung dieses Staates an andere Unternehmen weitergegeben werden.

Der CLOUD Act wurde 2018 durch den US-Kongress bewilligt und sieht vor, dass sich Cloud Anbieter, die ihren Sitz in den Vereinigten Staaten von Amerika haben, nicht auf nationale und supranationale Datenschutzgesetze berufen können und somit auch entgegen lokal geltender Gesetzgebung Daten herauszugeben haben [17, 18]. Dies gilt für Daten von US-Bürgern, US-Unternehmen und Unternehmen anderer Nationen mit einem Sitz in den USA. Angefragte Unternehmen können sich nur darauf berufen, dass die herauszugebenden Daten weder einen US-Bürger noch einen in den USA ansässigen Nicht-US-Bürger betreffen und zusätzlich die Herausgabe das Datenschutzrecht eines Landes verletzen würde, falls dieses Land mit den USA eine Exekutivvereinbarung abgeschlossen hat [19]. Insgesamt ist es dabei irrelevant, an welchem Ort sich die Server physisch befinden. Bei der Datenherausgabe erfolgt keine Benachrichtigung des Betroffenen.

Der Jurist und mehrjährige Datenschutzbeauftragte des Landes Schleswig–Holstein Thilo Weichert warnt in seiner Einschätzung vor einer aus dem CLOUD und Patriot Act resultierenden Datenweiterleitung an US-Wirtschaftsunternehmen durch US-Geheimdienste [20].

Das 2015 verabschiedete Gesetz der Volksrepublik China zur nationalen Sicherheit verpflichtet alle Bürger der Volksrepublik, staatliche Behörden, Streitkräfte, politische Parteien, Volksgruppen, Unternehmen, öffentliche Einrichtungen und andere gesellschaftliche Organisationen zur Aufrechterhaltung der nationalen Sicherheit. [21, 22]. Hierunter wird auch verstanden, dass Daten auf Verlangen der Regierung herausgegeben werden.

3 Bedingungen informationeller Selbstbestimmung

Im Nachfolgenden werden Freiheitsgrade erläutert, die notwendig sind, um die digitale Souveränität eines Staates zu verstärken und somit Lösungen für die genannten Herausforderungen zu entwickeln. Die Realisierung einer ausreichenden Reichweite gesetzlicher Initiativen bedingt, dass diese auf die notwendigen Stufen technischer Ausgestaltung, die nachfolgend als Freiheitsgrade bezeichnet werden, angewendet werden können. Zur strukturierten Adressierung wurde ein hierarchisches Modell (Abb. 1) entwickelt, das diese Stufen beinhaltet. Nur wenn sich die Gesetzgebung auf alle die dem Modell der Reichweitenhierarchie zugrundeliegenden Freiheitsgrade erstreckt, kann digitale Souveränität gewährleistet werden.

Gesetzgebung

Das Bundesverfassungsgericht stellte 1983 mit seinem Urteil zur Volkszählung folgendes fest [23]:

„Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, daß [sic.] etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und daß [sic.] ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten.

Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.

Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfaßt. [sic.]“

Um diesen vom Gesetzgeber vorgesehenen Schutz umsetzen zu können, ist es notwendig die Reichweite erlassener Gesetzte zu gewährleisten. Wie im vorherigen Kapitel erläutert, werden aufgrund der Gesetzgebung anderer Staaten Daten über Personen herausgegeben, ohne dass diese selbst über eine entsprechende Preisgabe bestimmen können. Ein solches Vorgehen ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar. Hieraus resultiert für einen Staat, welcher andere Werte hinsichtlich der Behandlung von Datenschutz verfolgt, die Notwendigkeit, Datensouveränität zu erhalten, um entsprechende Rechte wirkungsvoll durchsetzen zu können.

Die Umsetzung des grundlegenden Rechts auf informationelle Selbstbestimmung bedingt somit die Gerichtsbarkeit über die zugrundeliegenden Infrastrukturen. Zur Realisierung digitaler Souveränität ist es notwendig, die Reichweite gesetzgeberischer Bestimmungen auf die einzelnen Freiheitsgrade der Reichweitenhierarchie auszuweiten.

Services

Im Bereich der Services ist es in diesem Sinne notwendig, dafür Sorge zu tragen, dass Services, die genutzt werden, sich auch dem territorial geltenden Recht unterwerfen. Dies stellt in Zeiten international operierender Unternehmen keine Trivialität dar. Unter Umständen werden die vom Gesetzgeber beabsichtigten Regelungen durch die Anwendung einer anderen Gerichtsbarkeit ausgehebelt. So zeigte zum Beispiel die 2015 getroffene Entscheidung des EuGHs hinsichtlich des Safe-Harbor-Abkommens (Urteil Schrems gegen Data Protection Commissioner) einmal mehr, dass in den USA kein gleichwertiges Datenschutzniveau existiert und der Schutz personenbezogener Daten nicht ausreichend gewährleistet ist, wenn diese in die USA transferiert werden [24, 25]. Der Gerichtshof stellte fest, dass das Safe-Harbor-Abkommen ein angemessenes Schutzniveau ohne Faktengrundlage postulierte [26]. Hintergrund dabei war die Realisierung eines problemlosen Datentransfers in die USA und an US-amerikanische Unternehmen. Der „Verantwortliche“ muss hierbei beim Transfer und der Speicherung sicherstellen, dass die Daten nach europäischen Datenschutzstandards verarbeitet und gelagert werden. Da die USA jedoch einen anderen Umgang mit Daten durch ihre Ermittlungsbehörden und Geheimdienste per Gesetz beschlossen haben, musste eine entsprechende Regelung getroffen werden. Nachdem das Safe-Harbour-Abkommen gekippt wurde, entstand das EU-US Privacy Shield, bei dem US-Konzerne sich selbst durch Zusicherung zertifizieren konnten. Auch diesen Beschluss hat der EuGH für europarechtswidrig und somit nichtig erklärt.

Artikel 48 der DSGVO regelt die Herausgabe von Daten an Behörden eines Landes außerhalb der EU wie folgt [19, 27]:

„Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen […] nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“

Es kann nicht sichergestellt werden, dass Unternehmen, die gleichzeitig anderen Gesetzen unterliegen, die bei deren Einhaltung einen Bruch mit der DSGVO in Konsequenz aufweisen, die Einhaltung der DSGVO priorisieren. Insbesondere gestaltet sich eine Ahndung schwierig, wenn das Vergehen nicht angezeigt werden kann. Wie bereits ausgeführt, ist beispielsweise eine Benachrichtigung der Betroffenen bei einer Datenherausgabe aufgrund des CLOUD-Acts nicht vorgesehen. Die Nutzung von Services, die entgegengesetzten Gesetzgebungen unterliegen, birgt somit das erwähnte Risiko aufgrund anderer Bestimmungen, sich nicht an hiesige Regularien zu halten. Die Juristin in Irland Yvonne Cunnane (Facebook) deutete an, dass sich der Konzern wegen der Einschränkungen der DSGVO ggf. aus dem Europa-Geschäft zurückziehen könnte, da er unter diesen Umständen die Services Facebook und Instagram in der EU nicht weiterführen könne [28, 29].

Serviceorientierte Architektur

Um entsprechende Services initial aufzubauen, können wiederverwendbare Programmbausteine genutzt werden [30]. Diese ermöglichen es, Services in viel kürzerer Zeit zu entwickeln. Falls jedoch beim Einsatz entsprechender serviceorientierter Architekturen (SoA) auf Anwendungen zurückgegriffen wird, deren Gerichtsbarkeit nicht dem europäischen Recht unterliegt, kann der Einsatz wiederum in datenschutz- und datensicherheitskritischen Konsequenzen resultieren.

Rechenzentren/Internet as a Service

Selbst wenn ein Service per se den hiesigen Gesetzen unterliegt, kann informationelle Selbstbestimmung nicht in jedem Fall durch den Gesetzgeber realisiert werden. Dies ist der Fall, wenn ein Rechenzentrum entweder einem nicht der Gerichtsbarkeit unterliegendem Territorium zugeordnet ist oder aber dies zwar territorial erfüllt, jedoch von Unternehmen betrieben wird, die in der Hauptsache Recht befolgen, das nicht der hiesigen Rechtsprechung entspricht. Beispielsweise bietet die Deutsche Telekom unter anderem ein Rechenzentrum zur Anmietung an [31]. Hierbei tritt diese jedoch lediglich als Cloud Solution Provider auf. Der eigentliche Anbieter des Cloud-Dienstes ist hier die US-amerikanische Firma Microsoft. Der 2018 unterzeichnete und bereits erwähnte CLOUD-Act befugt US-amerikanische Behörden, Daten von Servern US-amerikanischer Unternehmen, die im US-amerikanischen Ausland stehen, abzufragen [32‐34]. Bei Rückgriff auf entsprechende Rechnerkapazitäten, wie dies auch bei Internet as a Service (IaaS) der Fall ist, kann somit die europäische DSGVO unter Umständen nicht eingehalten werden.

Netzwerkprotokolle zur Datenübertragung

Die den heutigen Datenströmen zugrundeliegenden Netzwerkprotokolle (Internetprotokollfamilie) des OSI-Referenzmodells sind in der Hauptsache frei einsehbar [35‐37]. Das den offenen Standards zugrunde liegende Regelwerk ist beispielsweise mittels sogenannter RFC-Dokumente (Request for Comments) nachzuvollziehen. Damit lassen sich diese auf Schwachstellen untersuchen.

Nichtsdestotrotz kann nicht ausgeschlossen werden, dass das gezielte Ausspielen entsprechender Protokolle genutzt werden kann, um Datenströme auszulesen oder umzulenken.

Core Network, Radio Access Network, User Equipment

Die Datenströme selbst werden über das Core- & Radio Access Network übertragen und mittels User Equipment visuell aufbereitet dem Anwender zur Verfügung gestellt. Der diesen zugrundeliegende Hardwareunterbau stellt die essenzielle Basis digitaler Souveränität dar [38]. In einem Bericht des Geheimdienstausschusses des Repräsentantenhauses in den USA wird ausgesagt, dass Telekommunikationsnetze auf Vertrauen und Verlässlichkeit aufbauen und diese für böswilliges Eindringen oder störende Aktivitäten anfällig sind [21]. Aus diesem Grund sei ein ausreichendes Vertrauensniveau gegenüber dem Ausrüstungslieferanten als auch gegenüber dem Betreiber notwendig.

Der BND-Präsident Bruno Kahl stellte in einer Anhörung des parlamentarischen Kontrollgremiums des Bundestags fest, dass Infrastruktur kein tauglicher Gegenstand für einen Konzern sei, „dem man nicht voll vertrauen kann“ [39]. Aus einem internen Vermerk des Auswärtigen Amts, der als Verschlussache eingestuft wurde, geht hervor, dass Ende 2019 von US-Seite nachrichtendienstliche Informationen weitergegeben wurden, denen zufolge Huawei nachweislich mit Chinas Sicherheitsbehörden zusammenarbeite [40]. Konkrete Details wurden jedoch nicht öffentlich.

T-Mobile US wurde 2017 in einem Zivilprozess gegen Huawei 4,8 Mio. Dollar Schadensersatz zugesprochen [41, 42]. Ein eindeutiger Nachweis, dass die Mitarbeiter im Auftrag Huaweis gehandelt haben, konnte jedoch nicht erbracht werden. Hintergrund waren Spionagevorwürfe in Bezug auf einen Testroboter.

Darüber hinaus wird Huawei in einer Anklageschrift vorgeworfen im Juli 2013 ein Bonussystem betrieben zu haben, das Mitarbeitern für die Weitergabe von gestohlenen Unternehmensinformationen Boni anbot [42‐44]. Diese Informationen beruhen auf E-Mails, an die das FBI gelangt ist.

Obwohl der australische Staat 2018 die Verlegung von Unterseekabeln für die Salomonen durch Huawei unterbunden hat, betonte die australische Außenministerin Julie Bishop klar, dass es nicht angebracht wäre, in diesem Kontext auf Sicherheitsfragen einzugehen, sondern Australien den Salomonen lediglich ein billigeres Angebot gemacht habe [45].

In Deutschland wird die weitere Integration von Infrastruktur durch Huawei in manchen Bereichen weiterhin forciert. Beispielsweise verstärkt die Stadt Duisburg ihre Zusammenarbeit mit Huawei im Bereich der Entwicklung von Smart Cities [46]. Der Website Huaweis zufolge hat die Zusammenarbeit das Ziel, die Umwandlung Duisburgs von einer traditionellen Industriestadt in eine dienstleistungsorientierte, intelligente Stadt zu fokussieren. Dies soll durch intelligente Verwaltung, Hafenlogistik, Bildung, Infrastruktur, 5G, Breitband, Häuser und urbanes IoT realisiert werden.

Die Deutsche Telekom, die sich zu 32 % in deutschem Staatsbesitz befindet und der größte Mobilfunkanbieter im Land ist, setzt bei ihren Einkäufen auf 30 % amerikanische und jeweils 25 % chinesische und europäische Hersteller [47, 48].

Die Bundesnetzagentur legte im April 2020 einen Sicherheitskatalog für kritische Telekommunikations- und Datenverarbeitungssysteme vor, welcher unter anderem mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt wurde [49, 50]. Dieses soll die für Netzbetreiber geltenden Sicherheitsanforderungen des Telekommunikationsgesetzes (TKG) zukunftssicherer gestalten. Der Abschnitt „Zusätzliche Sicherheitsanforderungen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial“ zielt auf eine Zertifizierung und Sicherstellung der Produktintegrität kritischer Komponenten ab [51]. Sorge zu tragen hat dafür der Betreiber des Telekommunikationsnetzes. Die Vertrauenswürdigkeit der Lieferanten und Hersteller soll durch eine Eigenerklärung sichergestellt werden, die bei Zuwiderhandlung mit Vertragsstrafen geahndet wird. Diese Versicherung beinhaltet die Verpflichtung, dass „vertrauliche Informationen […] nicht […] in das Ausland gelangen oder ausländischen Stellen im Inland zur Kenntnis gelangen“. Insbesondere hat die Bezugsquelle dabei zu versichern, „dass diese rechtlich und tatsächlich in der Lage ist, eine Weitergabe von vertraulichen Informationen von oder über seine Kunden an Dritte abzulehnen“. Huawei bezeichnete den Ansatz als „sachorientierten und auf technischen Standards beruhenden“. Dabei verspricht das Unternehmen, man wolle „transparent mit Regulierungsbehörden, Kunden und Branchenorganisationen zusammenarbeiten.“

Dem Auswärtigen Amt geht eine entsprechende technische Überprüfung einzelner Bauteile nicht weit genug [40]. Eigene Sicherheitsinteressen könnten nur durch Genehmigungsverfahren gewahrt werden, die rechtliche Rahmenbedingungen mit einbeziehen, welchen ein Ausrüster ausgesetzt ist. Vorgeschlagen wird eine Vertrauensprüfung, die durch einen „interministeriellen Ausschuss“ durchgeführt wird.

Das Modell der Reichweitenhierarchie

Die in diesem Kapitel erläuterten und sich bedingenden Freiheitsgrade wurden zur Veranschaulichung im Modell der Reichweitenhierarchie (Abb. 1) dargestellt. Freiheitsgrade beschreiben hierbei jene Stufen, die der Gesetzgebung zugrundeliegen und auf deren Wirkungstiefe sie Einfluss nehmen. Die vollständige Umsetzung der jeweils höheren Stufe bedingt hierbei die Erfüllung der darunterliegenden Stufe. Um die Reichweite der Gesetzgebung in ihrer Gänze zu erreichen und den damit verbundenen Wirkungsraum informationeller Selbstbestimmung zu realisieren, ist die Eingliederung aller Stufen in den Wirkungsbereich gesetzlicher Initiativen notwendig.

4 Gestaltungsoptionen

Zur Realisierung digitaler Souveränität ist es erforderlich die Reichweite gesetzgeberischer Bestimmungen auf die einzelnen Stufen der Bedingungspyramide auszuweiten. Dieser Beitrag fokussiert sich auf Gestaltungsoptionen für die technischen Ebenen, um der Gesetzgebung die notwendige Wirkungstiefe zu ermöglichen.

Services & serviceorientierte Architekturen

Im Bereich der Services ist es in diesem Sinne für einen Staat anzustreben, Gründungen, aus denen potenziell zukunftsweisende Unternehmen entstehen, zu unterstützen. Ebenfalls sollten Bestrebungen gefördert werden, die darauf abzielen, Substitutionsservices anzubieten, die im hauptsächlichen Unterschied zu bestehenden Services den hiesigen Gesetzen unterliegen. Somit können Alternativen angeboten werden, die informationelle Selbstbestimmung anbieten. Gründungsvorhaben weisen jedoch Gründungshemmnisse auf [52]. Beispielsweise fallen diese bei der Finanzierung und bürokratischen Regelungen an. Angebote unkomplizierter Hilfestellungen können hier Hemmnisse adressieren.

Nichtsdestotrotz sind neben staatlichen Förderungen insbesondere die Bürgerinnen und Bürger eines Staates dazu aufgerufen, die Initiative zu ergreifen und Services anzubieten. Forschungsergebnisse belegen, dass es dabei nicht darauf ankommt, ein großes Risiko einzugehen, sondern vielmehr dieses zu minimieren und mit dem zur Verfügung stehenden Repertoire Ideen umzusetzen [53]. Nur wenn diese Initiativen ergriffen werden, kann und sollte von staatlicher Seite Unterstützung erfolgen, die eine Realisierung der Ideen vereinfacht.

Open Source Software ermöglicht, durch die Eigenschaft des frei einsehbaren Quellcodes, Sicherheitslücken in der Software zu untersuchen [54]. Dieser Ansatz sollte gefördert werden. Denkbar wäre auch eine staatlich finanzierte Entwicklung entsprechend freier Software.

Rechenzentren/Internet as a Service

Um die benötigten Dienste auch skalierbar zu nutzen, können Clouddienste mit entsprechender quelloffener Software kombiniert werden. Hierfür lassen sich Clouddienste europäischer Anbieter nutzen. Datenschutzhindernissen, die dadurch entstehen, dass Clouddienste genutzt werden, denen die Gerichtsbarkeit eines anderes Staates zugrundeliegt, kann somit entgegengewirkt werden. Gleichzeitig wird die digitale Infrastruktur des Staatenverbundes aufgrund der Nutzung gefördert.

Erfolgen kann dies durch Unternehmen oder Organisationen selbst. Alternativ eröffnet sich Marktpotenzial für neue Unternehmen innerhalb des Staatenverbundes, indem diese Komplettpakete in Form von Software as a Service (SaaS) anbieten, die dementsprechend in ihrer Gesamtheit den hiesigen Gesetzen unterliegen und somit die angestrebte gerichtsbare Reichweite erhöhen.

Auch sind Ausgestaltungen denkbar, bei denen auf lokales Hosting zurückgegriffen wird [32]. Softwareanbieter, die anderen gesetzlichen Bestimmungen unterliegen, können On-Premises Software liefern, welche es den Serverbetreibern ermöglicht, die Software zu betreiben, ohne einen für diese ungewollten Datenabfluss befürchten zu müssen. Bei Installationen auf Servern, die mit dem Internet verbunden sind, wie dies etwa unter Rückgriff auf IaaS-Provider der Fall ist, kann es ratsam sein, Datenabflüsse zu überprüfen oder auf vertrauenswürdige Zertifizierer zurückzugreifen.

Beschriebene Hindernisse, die durch die Speicherung von Daten auf Servern entstehen können, deren Betreiber mehreren Gesetzgebern unterstehen, können in einigen Fällen durch den Einsatz von Verschlüsselungen ausgeräumt werden. Diese sollten entsprechend so angelegt sein, dass der Serverbetreiber selbst die Daten nicht auslesen kann.

Die Idee bei der Nutzung von sogenannten Ende-zu-Ende (E2E) verschlüsselten Anwendungen liegt darin, dass selbst bei einer Weitergabe von Daten immer noch eine entsprechende Entschlüsselung vorgenommen werden müsste [55]. Je nachdem, wie das entsprechende E2E-Verschlüsselungssystem ausgestaltet ist, variiert die Stärke des gewährten Schutzes. Darüber hinaus lassen sich Metadaten in vielen Fällen weiterhin auslesen [56]. Es wird allerdings auch an Lösungen gearbeitet, die auch eine Verschlüsselung für Metadaten umsetzen [57].

Core Network, Radio Access Network, User Equipment

Die den Rechenzentren zugrundeliegende Infrastruktur basiert auf Komponenten von Netzwerkausrüstern. Weisen diese ihren Hauptsitz in dem Staat auf, in dem die digitale Souveränität hergestellt bzw. erhalten werden soll, unterliegen diese der dort herrschenden Gesetzgebung. Wie erläutert, können diese, falls Niederlassungen und Geschäftstätigkeiten im Ausland bestehen, im Falle bestimmter Regularien von anderen Staaten zur Herausgabe von Daten aufgefordert werden. Dies ist beispielsweise beim CLOUD-Act der Fall. Zur Gewährleistung einer gesetzgeberischen Reichweite bis auf die Basisstufe der Reichweitenhierarchie sind ansässige Netzwerkausrüster zu fördern und ggf. ist anzustreben, weitere Hersteller aufzubauen. Hierbei kann es auch vorteilhaft sein, Unternehmenseinheiten derart voneinander zu trennen, dass Gesetzgebungen anderer Staaten keinen Einfluss auf jede dieser Einheiten ausüben können [32]. Eine pragmatische Alternative lässt sich in Kooperationen mit Netzwerkausrüstern sehen, von denen anzunehmen ist, dass die staatlichen Regularien längerfristig äquivalent zu den Hiesigen sind und sein werden. Gleichzeitig ist es, um Fairness zu garantieren, ratsam, jegliche Technologieanbieter einzuladen, sich am Wettbewerb um Aufträge zu beteiligen, solange die Sicherheitsanforderungen erfüllt werden. Parallelen lassen sich auf Endgeräte übertragen.

Den anstehenden 5G-Netzausbau hat die Europäische Union als „wichtige Voraussetzung für künftige digitale Dienste“ identifiziert [58]. Um 5G-Cybersicherheit zu garantieren, wurde mit der „5G networks EU Toolbox“ daher ein EU-Instrument geschaffen, mit dem Sicherheitsrisiken gemindert werden sollen, indem diese als „Orientierungshilfe bei der Auswahl und Priorisierung von Maßnahmen dienen“ soll [59]. Diese beruhen „ausschließlich auf Sicherheitserwägungen“.

Freiheitsgradeübergreifende Ansätze

Denkbar wäre auch der Einsatz entsprechender Siegel, die aufzeigen, dass das jeweilige Unternehmen Daten ausschließlich in der EU verarbeitet [60]. Somit könnten Verbraucher Marktsituationen schneller erfassen. Bei der Realisierung ist, wie bereits beim Sicherheitskatalog für kritische Telekommunikations- und Datenverarbeitungssysteme der Bundesnetzagentur erwähnt, besonders darauf zu achten, wie die Kriterien der Siegelvergabe gestaltet werden. Orientierungspunkt kann hierzu das Siegel der TeleTrusT-Zeicheninitiative „IT Security made in Germany“ bieten [61].

Bestrebungen hinsichtlich des Aufbaus einer dem Staatenverbund unterstehenden Dateninfrastruktur werden vom BMWi (Bundesministerium für Wirtschaft und Energie) mit dem Projekt GAIA-X gefördert [62‐64]. Die Zielsetzung von GAIA-X besteht in der Schaffung eines offenen digitalen Ökosystems zum Datenaustausch mittels einer vernetzten Dateninfrastruktur zur Stärkung der digitalen Souveränität. Dieses Projekt zielt darauf ab, dass der Staat nur als neutraler Mittler auftritt, wobei die konkrete Entwicklungsarbeit durch private Unternehmen umgesetzt wird. Bei der Kreierung des entsprechenden Projekts sollte jedoch darauf geachtet werden, inwieweit Unternehmen, die nicht ausschließlich den Gesetzgebungen des Staatenverbunds unterliegen, hinsichtlich sicherheitsrelevanter Abwägungen beteiligt werden. Kritische Stimmen, wie etwa die des Jurists und Ex-Unternehmers Mayer-Schönberger, sehen Lösungsansätze – statt in entsprechenden staatlich finanzierten Projekten – in einer Grundverordnung zur Datennutzung, die einer monopolistischen Datennutzung entgegenwirken soll [65]. Indem Sachdaten, die in Unternehmen erzeugt werden, mit anderen Unternehmen geteilt werden, steige der Nutzen exponentiell.

Darüber hinaus ist in Erwägung zu ziehen, die Leitmaßstäbe, die bei der Bewilligung durch den Staat hinsichtlich Unternehmensverkäufen zurate gezogen werden, zu überdenken. Die Brainloop AG aus München bietet für den Austausch sensibler Dokumente sichere Datenräume an und konnte vor dem Verkauf im Jahr 2018 70 % der Dax-Konzerne zu seinen Kunden zählen [66, 67]. Der Verkauf an die Softwarefirma Diligent mit Sitz in New York wurde seitens der deutschen Regierung nicht eingeschränkt [68].

Die Kombination der vorgeschlagenen Maßnahmen zielt auf die Förderung einer stärkeren Wirkungstiefe gesetzgeberischer Regularien ab. Digitale Souveränität soll in diesem Sinne die Reichweite der Gesetze, die von der hiesigen Legislative beschlossen werden, erhöhen. Wie eine zielführende Gesetzgebung hinsichtlich der Formulierung auszugestalten ist, ist ein Thema für sich.

5 Fazit

Ausgehend von einer Gesetzgebung eines Staates wurde ein Modell entwickelt, das die Limitationen gesetzgeberischer Reichweite verdeutlicht. Mit dem Modell der Reichweitenhierarchie wurden Bedingungen aufgezeigt, die erfüllt werden müssen, um die Reichweite gesetzlicher Initiativen beurteilen und darauf aufbauend verstärken zu können. Anhand des Modells lassen sich Problemfelder und Lösungsansätze strukturiert adressieren.

Für die entsprechenden Bereiche wurden Vorschläge zur Stärkung der digitalen Souveränität eines Staates erarbeitet. Auf diesen aufbauend ist sowohl eine vertiefte Diskussion der Gestaltung als auch deren Realisierung in Folgearbeiten anzustreben. Hierbei sind auch entsprechende Hindernisse wie beispielsweise kritische Einschätzungen der Wirtschaftlichkeitsbetrachtung von Open-Source-Software oder Netzwerkeffekte beim Aufbau alternativer Plattformen zu adressieren.

Es wäre im thematischen Kontext nicht angebracht Staaten, die ihrerseits ihre digitale Souveränität ausbauen, für deren gesetzgeberische Wirkungstiefe zu diskreditieren. Die Regierungen der Vereinigten Staaten von Amerika und die Volksrepublik China, als die in diesem Paper angeführten beispielhaften Staaten, welche zu derzeitigem Stand in manchen Konstellationen die Reichweite europäischer Gesetzgebung limitieren können, sollten nicht als Ursache mangelnder europäischer digitaler Datensouveränität (oder auch eines anderen Staates) angesehen werden.

Vielmehr ist es den europäischen Bürgern anzuraten (oder auch den Bürgern eines anderen Staates), gestalterische Initiativen zu ergreifen, die der hiesigen Legislative den Weg bereiten, die notwendige Reichweite zu erhalten, um den Wesenskern der Gesetzgebung umsetzen zu können.

Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.

Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.

Vorheriges Kapitel Ausprägungen von Uploadfiltern

Nächstes Kapitel Let the Computer Say NO! The Neglected Potential of Policy Definition Languages for Data Sovereignty

Geminn, C., Roßnagel, A.: „Privatheit“ und „Privatsphäre“ aus der Perspektive des Rechts – Ein Überblick. JuristenZeitung 14(2015), 703–708 (2015). https://doi.org/10.1628/002268815X14346427046980CrossRef

Bundesministerium für Wirtschaft und Energie.: Leitplanken Digitaler Souveränität. Nationaler IT Gipfel, Berlin, (2015). https://www.de.digital/DIGITAL/Redaktion/DE/Downloads/it-gipfel-2015-leitplanken-digitaler-souveraenitaet.pdf?__blob=publicationFile&v=1. Zugegriffen: 20. Okt. 2020

Bundesministerium für Wirtschaft und Energie.: Kompetenzen für eine digitale Souveränität. (2017). https://www.de.digital/DIGITAL/Redaktion/DE/Downloads/it-gipfel-2015-leitplanken-digitaler-souveraenitaet.pdf?__blob=publicationFile&v=1. Zugegriffen: 20. Okt. 2020

Craddock, R. Watson, D., Saunders, W.: Generic Pattern of Life and Behaviour Analysis. In: IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support, IEEE (2016)

Biltgen, P., Ryan, S.: Activity-Based Intelligence: Principles and Applications. Artech House, Boston (2016)

Biltgen, P., Bacastow, T., Kaye, T., Young, J.: Activity-Based Intelligence: Understanding Patterns-of-life. In: USGIF´s State & Future of GEOINT Report (2017)

Schmidt, A., Männel, T.: Potenzialanalyse zur Mobilfunkdatennutzung in der Verkehrsplanung, Fraunhofer IAO Homepage. https://www.iao.fraunhofer.de/lang-de/images/iao-news/telefonica-studie.pdf. Zugegriffen: 20. Okt. 2020

Kenneth, L.: AT&T Is Spying on Americans for Profit, DAILY BEAST Homepage (2017). https://www.thedailybeast.com/atandt-is-spying-on-americans-for-profit. Zugegriffen: 22. Okt. 2020

Neuer Comscore Report “Die mobile Bedürfnispyramide“ enthüllt globale Mobile-Trends, Comscore Pressemitteilung (2017). https://www.comscore.com/ger/Insights/Pressemitteilung/2017/3/Neuer-comScore-Report-Die-mobile-Beduerfnispyramide-enthuellt-globale-Mobile-Trends?cs_edgescape_cc=DE. Zugegriffen: 22. Okt. 2020

10.

Smartphone Usage Has Doubled in the Past Three Years, Comscore Homepage (2017). https://www.comscore.com/Insights/Blog/Smartphone-Usage-Has-Doubled-in-the-Past-Three-Years. Zugegriffen: 22. Okt. 2020

11.

Bitkom-Research. https://www.bitkom-research.de/system/files/document/20190620_Bitkom_Research_Studien_2019.pdf. Zugegriffen: 22. Okt. 2020

12.

Konsumenten punktgenau erreichen – Basisinformationen für fundierte Mediaentscheidungen, VuMa Touchpoints (2020). https://www.vuma.de/fileadmin/user_upload/PDF/berichtsbaende/VuMA_Berichtsband_2020.pdf. Zugegriffen: 22. Okt. 2020

13.

Apps und Datenschutz: Verbraucherzentrale Homepage (2020). https://www.verbraucherzentrale.de/wissen/digitale-welt/mobilfunk-und-festnetz/apps-und-datenschutz-6431. Zugegriffen: 20. Okt. 2020

14.

Biselli, A.: Kleine Anfrage – Bundespolizei speichert Bodycam-Aufnahmen weiter bei Amazon, Netzpolitik Homepage (2019). https://netzpolitik.org/2019/bundespolizei-speichert-bodycam-aufnahmen-weiter-bei-amazon/. Zugegriffen: 22. Okt. 2020

15.

Lückoff, J.: Fotos aus Facebook und Co. Gesichterdatenbank – Traum oder Albtraum? (2020). https://www.tagesschau.de/inland/gesichtserkennung-147.html. Zugegriffen: 22. Okt. 2020

16.

Privacy Shield schützt nicht vor US-Spionage via Cloud Act (2020). https://www.it-daily.net/it-sicherheit/datenschutz-grc/24008-privacy-shield-schuetzt-nicht-vor-us-spionage-via-cloud-act. Zugegriffen: 22. Okt. 2020

17.

Ghoroghy, S.: CLOUD Act, DSGVO, E-Evidence-VO – aktuelle Entwicklung und Auswirkungen, Haufe Homepage (2019). https://www.haufe.de/recht/weitere-rechtsgebiete/strafrecht-oeffentl-recht/behoerdenzugriff-auf-nutzerdaten-cloud-act-dsgvo-e-evidence-vo_204_500808.html. Zugegriffen: 22. Okt. 2020

18.

Microsoft veröffentlicht sechs Grundsätze zum CLOUD Act (2019). https://www.board-portal-software.de/artikel/microsoft-veroeffentlicht-sechs-grundsaetze-zum-cloud-act-95/. Zugegriffen: 22. Okt. 2020

19.

Haar, T.: US CLOUD Act regelt internationalen Datenzugriff (2018). https://www.heise.de/select/ix/2018/7/1530927567503187. Zugegriffen: 22. Okt. 2020

20.

PlusMinus über die Übernahme von Brainloop durch den US-Riesen Diligent: Industriespionage durch den CLOUD Act? (2019). https://www.board-portal-software.de/artikel/plusminus-ueber-die-uebernahme-von-brainloop-durch-den-us-riesen-diligent-industriespionage-durch-de/. Zugegriffen: 22. Okt. 2020

21.

Sokolov, D.: Eine Frage des Vertrauens – Welche Rolle Huawei im Handelskrieg der USA gegen China spielt (2019). https://www.heise.de/select/ct/2019/5/1551439898501617. Zugegriffen: 22. Okt. 2020

22.

National Security Law of the People´s Republic of China (2015). https://en.pkulaw.cn/display.aspx?cgid=250527&lib=law#. Zugegriffen: 22. Okt. 2020

23.

BVerfGE 65, 1 – Volkszählung.https://www.servat.unibe.ch/dfr/bv065001.html. Zugegriffen: 22. Okt. 2020

24.

Schrems, M.: Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleistet, für ungültig. Gerichtshof der Europäischen Union, Pressemitteilung Nr. 117/15. (2015)

25.

Document 62014CJ0362. https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A62014CJ0362. Zugegriffen: 22. Okt. 2020

26.

Bleich, H.: FAQ: Das Ende des Privacy Shields. https://www.heise.de/ratgeber/FAQ-Das-Ende-des-Privacy-Shields-4906737.html. Zugegriffen: 22. Okt. 2020

27.

Art. 48 DSGVO Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung. https://dsgvo-gesetz.de/art-48-dsgvo/. Zugegriffen: 22. Okt. 2020

28.

The High Court Judicial Review – Facebook Ireland Limited and Data Protection Commission (2020). https://www.dropbox.com/s/yngcdv99irbm5sr/Facebook%20DPC%20filing%20Sept%202020-rotated.pdf?dl=0. Zugegriffen: 22. Okt. 2020

29.

Martin-Jung, H.: Streit um Datenschutz – Facebook bringt Abschied aus EU ins Spiel (2020). https://www.sueddeutsche.de/digital/datenschutz-safe-harbor-abkommen-privacy-shield-max-schrems-datenschutzaktivist-1.5041160. Zugegriffen: 22. Okt. 2020

30.

Hertig, D. CAS Information Security & Risk Management 2017: Sicherheit von SOA Services, Fachhochschule Nordwestschweiz Hochschule für Wirtschaft Homepage. https://www.fhnw.ch/plattformen/iwi/2017/12/07/cas-information-security-risk-management-2017-sicherheit-von-soa-service-oriented-architecture-services/. Zugegriffen: 22. Okt. 2020

31.

Microsoft Lizenzprogramme: Azure über Cloud Solution Provider vs. Enterprise Agreement. https://cloud.telekom.de/de/blog/cloud-infrastruktur/microsoft-lizenzprogramme. Zugegriffen: 22. Okt. 2020

32.

Yared, P.: How to manage global data under CLOUD Act governance (2020). https://iapp.org/news/a/how-to-manage-global-data-given-the-cloud-act/. Zugegriffen: 22. Okt. 2020

33.

Scheffler, M.: DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld (2019). https://www.datensicherheit.de/dsgvo-cloud-act-eu-unternehmen-spannungsfeld. Zugegriffen: 22. Okt. 2020

34.

Neuerer, D.: CLOUD ACT Bundesjustizministerium warnt Unternehmen vor Rechtsrisiken bei US-Datenzugriff (2019). https://www.handelsblatt.com/politik/deutschland/cloud-act-bundesjustizministerium-warnt-unternehmen-vor-rechtsrisiken-bei-us-datenzugriff/24351610.html?ticket=ST-4553710-Ue29xVzV1NP5Wr16pfCJ-ap2. Zugegriffen: 22. Okt. 2020

35.

Internet standards – RFCs. https://www.ietf.org/standards/rfcs/. Zugegriffen: 22. Okt. 2020

36.

iana – Internet Assigned Numbers Authority – About us. https://www.iana.org/about. Zugegriffen: 22. Okt. 2020

37.

Raising the world´s standards. https://standards.ieee.org/transformation/index.html. Zugegriffen: 22. Okt. 2020

38.

Lewis, J.: How will 5G shape Innovation and Security: A Primer (2018). Center for Strategic & International Studies Homepage. https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/181206_Lewis_5GPrimer_WEB.pdf. Zugegriffen 22. Okt. 2020

39.

Neuerer, D.: 5G-Debatte (2020). https://www.handelsblatt.com/politik/deutschland/5g-debatte-verfassungsschutz-sieht-5g-ausbau-als-ziel-chinesischer-spionage/25995726.html?ticket=ST-2055731-uZW7AeLyqwT9prOKoKAH-ap2. Zugegriffen: 22. Okt. 2020

40.

Koch, M.: “Smoking gun”: Streit um Beweise gegen Huawei (2020). https://www.handelsblatt.com/politik/deutschland/5g-debatte-smoking-gun-streit-um-beweise-gegen-huawei/25484764.html. Zugegriffen: 22. Okt. 2020

41.

Ein Telekom-Roboter steht im Zentrum der Vorwürfe gegen Huawei (2019). https://www.wiwo.de/unternehmen/it/t-mobile-us-ein-telekom-roboter-steht-im-zentrum-der-vorwuerfe-gegen-huawei/23924980.html. Zugegriffen: 22. Okt. 2020

42.

Heide, D., Hua, S., Karabasz, I.: Für Huawei wird es im Spionage-Streit eng (2019). https://www.handelsblatt.com/unternehmen/it-medien/technologiekonzern-fuer-huawei-wird-es-im-spionage-streit-eng-/23923326.html?ticket=ST-2198441-cStneudEhhRVFoMscwtu-ap2. Zugegriffen: 22. Okt. 2020

43.

Justice News, (2019) Department of Justice Homepage. https://www.justice.gov/opa/pr/chinese-telecommunications-device-manufacturer-and-its-us-affiliate-indicted-theft-trade. Zugegriffen: 22. Okt. 2020

44.

Lahiri, T.: The full list of crimes the US accuses Huawei of committing (2019). https://qz.com/1535995/the-full-list-of-crimes-huawei-is-accused-of-committing-by-the-us/. Zugegriffen: 22. Okt. 2020

45.

Australia keeps China out of internet cabling for Pacific neighbor (2018). https://fr.reuters.com/article/us-australia-solomonislands-internet-idUSKBN1J90JY. Zugegriffen: 22. Okt. 2020

46.

Huawei Deepens Cooperation with Duisburg to Transform Germany´s Industrial Heartland into a Smart City (2018).. https://www.huawei.com/en/news/2018/9/huawei-duisburg-germany-smartcity. Zugegriffen: 22. Okt. 2020

47.

The geopolitics of 5G (2020). https://www.economist.com/briefing/2020/07/16/americas-war-on-huawei-nears-its-endgame. Zugegriffen: 22. Okt. 2020

48.

Vielfalt statt Abhängigkeit (2020). https://www.telekom.com/de/blog/konzern/artikel/telekom-setzt-auf-multi-vendor-strategie-603466. Zugegriffen: 22. Okt. 2020

49.

Sicherheitskatalog: Bund stellt bei 5G die Vertrauensfrage (2020). https://www.heise.de/news/Sicherheitskatalog-Bund-stellt-bei-5G-die-Vertrauensfrage-4867966.html?seite=2. Zugegriffen: 22. Okt. 2020

50.

Aktualisierung Sicherheitsanforderungen. https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/aktualisierung_sicherheitsanforderungen/aktualisierung_sicherheitsanforderungen-node.html. Zugegriffen: 22. Okt. 2020

51.

Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystem sowie für die Verarbeitung von personenbezogenen Daten nach § 109 Telekommunikationsgesetz (TKG) Version 2.0, Bundesnetzagentur (2020)

52.

Metzger, G., Heger, D., Höwer, D., Licht, G.: High-Tech-Gründungen in Deutschland – Hemnisse junger Unternehmen. Zentrum für Europäische Wirtschaftsforschung GmbH (2010)

53.

Sarasvathy, D.: Causation and effectuation: Toward a theoretical shift from economic inevitability to entrepreneurial contingency. Acad. Manag. Rev. 26(2), 243–263 (2001)CrossRef

54.

Fragen & Antworten zu Open Source Software, Bundesamt für Sicherheit und Informationstechnik Homepage. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/OpenSource/OpenSource.html. Zugegriffen: 22. Okt. 2020

55.

Nabeel, M.: The Many Faces of End-to-End Encryption and Their Security Analysis (2017), IEEE International Conference on Edge Computing (EDGE), Honolulu, HI, 2017, S. 252–259, doi: https://doi.org/10.1109/IEEE.EDGE.2017.47

56.

Wolf, F., Gebara, D.: Verschlüsselung erschwert die Strafverfolgung (2016). https://archiv.technikjournal.de/cms/front_content.php?idcat=59&idart=1470&lang=1. Zugegriffen: 22. Okt. 2020

57.

Steinhausen, I.: Der nicht verschlüsselbare Rest, IT-Zoom Homepage. https://www.it-zoom.de/sn/eset/e/der-nicht-verschluesselbare-rest-10131/. Zugegriffen: 22. Okt. 2020

58.

Sichere 5G-Netze: Fragen und Antworten zum EU-Instrumentarium (2020). Europäische Kommission Homepage. https://ec.europa.eu/commission/presscorner/detail/de/qanda_20_127. Zugegriffen: 22. Okt. 2020

59.

Cybersecurity of 5G networks EU Toolbox of risk mitigating measures, CG Publication (2020)

60.

Datenschutz ist europäisch – EU-Anbieter müssen gestärkt werden (2020). https://www.pressetext.com/news/datenschutz-ist-europaeisch-eu-anbieter-muessen-gestaerkt-werden.html. Zugegriffen: 22. Okt. 2020

61.

TeleTrusT-Initiative: Zeichen “IT Security made in Germany”. https://www.teletrust.de/itsmig/kriterien-und-antrag/. Zugegriffen: 22. Okt. 2020

62.

Schuster, H.: Was ist Gaia-X? (2019). https://www.it-business.de/was-ist-gaia-x-a-932306/. Zugegriffen: 22. Okt. 2020

63.

Klein, M.: Eine Cloud für Europa soll´s jetzt richten (2019). https://www.it-business.de/eine-cloud-fuer-europa-solls-jetzt-richten-a-887177/. Zugegriffen: 22. Okt. 2020

64.

Strocke, D., Witmer-Goßner, E.: Europäische Dateninfrastruktur kommt politisch und praktisch voran (2020). https://www.it-business.de/bmwi-sieht-gaia-x-durch-eugh-gestaerkt-a-962645/. Zugegriffen: 22. Okt. 2020

65.

Mayer-Schönberger, V., Ramge, T.: Gute Gründe für die digitale Allmende, FAZ vom 10.10.2020

66.

Voss, O.: Amerikaner wollen deutschen Online-Datentresor kaufen (2018). https://www.tagesspiegel.de/wirtschaft/brainloop-amerikaner-wollen-deutschen-online-datentresor-kaufen/22783182.html. Zugegriffen: 22. Okt. 2020

67.

Seeger, J.: Sicherheitsspezialist Brainloop von US-Firma übernommen (2018). https://www.heise.de/ix/meldung/Sicherheitsspezialist-Brainloop-von-US-Firma-uebernommen-4132342.html. Zugegriffen: 22. Okt. 2020

68.

Höpner, A., Heide, D., Schlautmann, C.: Der Geheimnisträger der deutschen Wirtschaft wird verkauft (2018). https://www.handelsblatt.com/unternehmen/it-medien/it-spezialist-brainloop-der-geheimnistraeger-der-deutschen-wirtschaft-wird-verkauft/22874290.html?ticket=ST-214970-cLY3MPdAWG6CMAIP3ZWm-ap1. Zugegriffen: 22. Okt. 2020

Titel: Modell der Reichweitenhierarchie: Gestaltungsdimensionen digitaler Souveränität
verfasst von: Alexander Schäfer
Verlag: Springer Fachmedien Wiesbaden
Buch: Selbstbestimmung, Privatheit und Datenschutz
Print ISBN: 978-3-658-33305-8

Electronic ISBN: 978-3-658-33306-5

Copyright-Jahr: 2022
DOI: https://doi.org/10.1007/978-3-658-33306-5_21