Geschäftssystemanpassung von E-Mail-Anbietern in Folge der NSA-Affäre

Inhaltsverzeichnis

Abbildungs- und Tabellenverzeichnis

Abkürzungsverzeichnis

1. Einleitung: 1984 all over again
1.1. Problemstellung und Relevanz
1.2. Vorgehensweise

2. Die National Security Agency (NSA): Keine Macht dem Terrorismus

3. GMail und Mail von T-Online
3.1. GMail
3.2. Mail von T-Online

4. Konzeptionelle Grundlagen
4.1. Datenschutz
4.2. IT-Sicherheit
4.3. Geschäftssysteme und der Partialmodellansatz

5. Analyse und Auswertung der Geschäftssystemanpassungen
5.1. Methodik: Medienberichte von Juni 2012 bis Juni 2014 als Grundlage
5.2. Vorbereitung: Die systematische Literaturrecherche
5.3. Quantitative Auswertung: Die Medienberichterstattung in Zahlen
5.4. Qualitative Auswertung: Geschäftssystemanpassungen im Blickwinkel der Öffentlichkeit

6. Fazit und Ausblick

Literaturverzeichnis

Anhang
A. Expertengespräch (Gedächtnisprotokoll): SǤ Ǥ(Leiter Deutschlandkommunikation Deutsche Telekom)
B. Historie der Enthüllungen

Abbildungs- und Tabellenverzeichnis

Abbildungsverzeichnis

Abbildung 1: Das aktuelle Geschäftsmodell von Google

Abbildung 2: Definitionen: Daten-/Informationssicherheit, IT-Sicherheit und Datenschutz in Anlehnung an Bundesamt für Sicherheit in der Informationstechnik - BSI (2012) und Holznagel (2003)

Abbildung 3: Partialmodellansatz zur Analyse von Geschäftsmodellen und -systemen

Abbildung 4: Struktur der Suchalgorithmen für die Literaturrecherche

Abbildung 5: Anzahl der Medienberichte nach Zeitraum und Kontext (GMail und T- Online)

Tabellenverzeichnis

Tabelle 1: Suchalgorithmen für die Literaturrecherche in Nexis

Tabelle 2: Suchergebnisse und Datenbasis

Tabelle 3: Quantitative Verteilung der Medienberichte (GMail) nach Partialmodellen und Kontext (1. Zeitraum: 6. Juni 2012 - 5. Juni 2013 / 2. Zeitraum: 5. Juni 2013 - 6. Juni 2014)

Tabelle 4: Quantitative Verteilung der Medienberichte (T-Online) nach Partialmodell und Kontext (1. Zeitraum: 6. Juni 2012 - 5. Juni 2013 / 2. Zeitraum: 5. Juni 2013 - 6. Juni 2014)

Tabelle 5: Beispiele aus der Medienberichterstattung zu GMail nach Zeitraum, Partialmodell und Kontext

Tabelle 6: Beispiele aus der Medienberichterstattung zu Mail von T-Online nach Zeitraum, Partialmodell und Kontext

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung: 1984 all over again.

1.1. Problemstellung und Relevanz

Im Mai 2013 reist ein junger Mitarbeiter der National Security Agency (NSA) von Amerika nach Hongkong, um der Welt einen Einblick in seinen Arbeitsalltag zu verschaffen.¹ Es wird eine Lawine der Empörung losgetreten als die Welt erfährt, wie Amerika scheinbar seit Jahren digitale Daten von Zivilpersonen abfängt, auswertet und speichert. Die US-Amerikanische Regierung verteidigt die Aktivitäten ihrer Geheimdienstbehörde und gibt an, die Maßnahmen geschähen im Interesse des Gemeinwohls und der Terrorbekämpfung.² Die NSA durchsucht die Welt nicht mehr nach Indizien für mögliche Bedrohungen, sondert sammelt vielmehr ei- nen Hauhaufen aus Informationen an, um die Nadel, nach der sie suchen, darin vielleicht zu entdecken.³ Aus den Dokumenten, die Edward Snowden mit Hilfe verschiedener Zeitungen veröffentlicht, geht hervor, dass die NSA Daten großer Internetunternehmen wie Google ab- fängt und die Inhalte u.a. von E-Mail-Kommunikation nach ihrer Nadel durchsucht.⁴ E-Mails sind eine traditionelle und weit verbreitete Kommunikationsmethode im Internet. Rund 4,116 Mrd. E-Mail-Accounts gibt es schätzungsweise weltweit.⁵ Täglich werden nach Schätzungen ca. 196,3 Mrd. E-Mails verschickt⁶ - der größte Teil davon ist unverschlüsselt.⁷ Durch die Berichterstattung über die von Snowden enthüllten Fakten werden die Einzelheiten zu den Aktivitäten der NSA vielen Menschen zugänglich gemacht und es verbreitet sich die Gewiss- heit über das staatliche Abhören im Informationszeitalter. Datenschützer wurden lange Zeit als Zyniker und Dystopen bezeichnet, im Zuge der NSA-Affäre aber scheinen die von ihnen lang geforderten Maßnahmen zur Sicherung der Privatsphäre nicht mehr unverhätnismäßig. Im Zuge dieser Arbeit wird anhand von deutsch- und englischsprachigen Medienberichten aus dem Zeitraum Juni 2012 bis Juni 2014 überprüft, ob und wie E-Mail-Anbieter mittels Ge- schäftssystemanpassungen auf die NSA-Affäre reagiert haben. Beispielhaft werden hierfür die Dienste GMail (Anbieter: Google) und Mail von T-Online (Anbieter: Deutsche Telekom) analysiert. Anhand einer quantitativen und einer qualitativen Auswertung der Berichte soll untersucht werden, ob es einen sensibilisierten Markt gibt, auf den die Anbieter reagieren oder ob sich neue Chancen und Möglichkeiten ergeben haben, das Potenzial ihrer Dienste weiter auszuschöpfen. Die Anpassungen werden mit Hilfe des Partialmodellansatzes zur Analyse von Geschäftsmodellen und -systemen untersucht.⁸

1.2. Vorgehensweise

Im ersten Teil dieser Arbeit soll anhand verschiedener Konzepte eine theoretische Basis ge- schaffen werden, um sich mit dem Untersuchungsziel methodisch auseinander setzen zu können.

Zunächst werden unter 2.1. Einzelheiten zum Zweck der National Security Agency (NSA) und zu den Befugnissen und Möglichkeiten der Behörde dargelegt (dem Anhang kann außer- dem eine kurze chronologische Zusammenfassung entnommen werden, welche die thematisch relevanten Fakten aufzeigt, die von Juni 2012 bis Juni 2014 an die Öffentlichkeit gelangt sind). Beide Fallbeispiele, GMail und Mail von T-Online, werden unter 3.1. und 3.2. jeweils vorgestellt und es wird aufgezeigt, wie diese in die Anbieterorganisationen implementiert sind. Damit ein einheitliches Verständnis über die wichtigsten Begriffe in Bezug auf die Lite- ratururrecherche herrscht, werden die Konzepte Datenschutz anhand der geltenden Gesetzes- lage in Deutschland und IT-Sicherheit unter 4.1. und 4.2. vorgestellt. Die Ausführungen sind auf Grund der beschränkten Rahmenbedingungen dieser Arbeit, dem Forschungsgebiet und vor dem Hintergrund der Untersuchungsfrage stark abstrahiert. Schließlich werden unter 4.4. die Begrifflichkeiten Geschäftssystem und Geschäftsmodell definitorisch voneinander abge- grenzt und der Partialmodellansatz wird vorgestellt.

Im Anschluss an die konzeptionellen Grundlagen erfolgt im zweiten Teil die praktische Bear- beitung der Untersuchungsfrage, die auf den vorangestellten Konzepten aufbaut. Zunächst wird unter 5.1. die Methodik der Recherchearbeit erläutert und anschließend wird davon aus- gehend die Vorbereitung der Literaturrecherche unter 5.2. dargelegt. Letzteres fokussiert hauptsächlich die Wahl der Algorithmen zur strukturellen Recherche innerhalb der Datenbank von LexisNexis, anhand derer die Medienberichte ermittelt werden, und die Einteilung der Medienberichte anhand der vorgestellten Konzepte. Unter 5.3. und 5.4. werden die Ergebnisse der Analyse präsentiert, die aus der Recherchearbeit hervorgeht. Dabei erfolgt eine Untertei- lung in eine quantitative Auswertung, welche die Ergebnisse in numerischer Form ausführt, und eine qualitative Auswertung, in welcher die Ergebnisse dem Sinngehalt entsprechend analysiert werden. Die Resultate der Analyse werden abschließend in einem Fazit unter 6. zusammengefasst dargestellt und es wird ein Ausblick über weitere mögliche Forschungen im Rahmen des Untersuchungsgebietes gegeben.

2. Die National Security Agency (NSA): Keine Macht dem Terrorismus

Die Gründung der nationalen Sicherheitsbehörde NSA datiert sich auf das Jahr 1952.⁹ Die Behörde unterliegt der Aufsicht des Verteidigungsministeriums und ist Teil der Intelligence Community (IC).¹⁰ Zum Gründungszeitpunkt bestand die Aufgabe der NSA darin, auf techni- schem Weg die nationalen Geheimdienstaktivitäten der USA zu unterstützen, um den ver- schiedenen anderen Behörden wie dem FBI, der Drogenfahndung und dem Verteidigungsmi- nisterium zu assistieren. Das damalige Ziel war allein das Abhören ausländischer Kommuni- kation.¹¹ Mit den technischen Fortschritten des 20. Jahrhunderts wurde daraus ein hoch spezi- alisiertes Geschäft und bereits in den 70er Jahren lagen dem Kongress der US Regierung Be- richte vor, dass die Behörde auch inländische Kommunikation zur Kriegsbekämpfung abhöre. Im Zuge der NSA-Affäre wurde bekannt, dass mittlerweile sämtliche Metadaten aus E-Mail- und Telefonkommunikation innerhalb der USA gespeichert werden.¹² Als zuständige Behörde für nationale Sicherheit, verpflichtet sich die NSA dem Ziel, die USA vor Bedrohungen aller Art zu schützen. Das Sicherheitskonzept hat sich in den letzten Jahrzehnten allerdings verän- dert und bedeutet nicht mehr nur das Land vor Bedrohungen von außen zu schützen, sondern auch gegen Gefahren aus dem Inland vorzugehen.¹³ Die NSA kooperiert zudem mit den Ge- heimdiensten ausländischer Staaten, die als five-eyes bekannt sind.¹⁴ Der NSA standen 2013 rund 10,8 Mrd. USD zur Verfügung, die für vier verschiedene Phasen der globalen Überwa- chung eingesetzt werden, und sie ist damit die zweitbestfinanzierte Behörde der IC nach der CIA. Die erste Stufe der Überwachung ist Management und Support, auf der die Angelegen- heiten und Ziele festgelegt werden, die es zu überwachen gilt und Mittel zur Verfügung ge- stellt werden, die dafür benötigt werden. Auf der zweiten Stufe, der Datensammlung, werden Rohinformationen durch Interviews, technische und physische Überwachung und Spionage zusammengetragen. Die dritte Stufe, Datenverarbeitung und -durchsuchung, beschäftigt sich mit der Aufarbeitung der Rohdaten, also dem Entschlüsseln von Nachrichten, Übersetzen ausländischer Daten, Durchsuchung, Aufbereitung und Speicherung zur späteren Abrufbarkeit der Informationen. Die bearbeiteten und korrelierten Daten werden auf der letzten Stufe den Präsidialämtern zugetragen, die auf Basis der Informationen politisch-strategische Entschei- dungen treffen, die wiederum die erste Stufe initiieren.¹⁵ Die NSA beschäftigt ca. 107.000 Stellen, darunter eine Vielzahl an Hackern, die darauf spezialisiert sind, Verschlüsselungen zu knacken oder sich Zugang zu vertraulichen System zu verschaffen. ¹⁶ Schon vor dem Heart- bleed-bug 2014 war es der NSA 2010 gelungen, das Verschlüsselungsprotokoll SSL zu kna- cken, mit der unter anderem auch der Transportweg bei E-Mail-Kommunikationen verschlüs- selt werden kann.¹⁷ Die Behörde dementierte im Zuge der NSA-Affäre allerdings, für den Heartbleed-bug, der eine massive Sicherheitslücke in dem vielseitig genutzten Verschlüsse- lungsverfahren OpenSSL darstellt, verantwortlich zu sein. Von dem Vorfall waren unter an- derem auch die GMail-Nutzer betroffen gewesen. ¹⁸ Aus dem Priority Framework der NSA geht hervor, dass auch Deutschland als gering bis mittel prioritäres Abhörziel gilt. In Deutsch- land sind die Ziele vor allem auf das Abhören politischer Aktivitäten und die Überwachung der finanziellen und wirtschaftlichen Lage festgelegt. ¹⁹ Am 30. Oktober 2013 wurde überdies bekannt, dass die NSA die unternehmenseigenen Glasfaserkabel des Providers Google infil- triert hat.²⁰ Dies wurde wenig später durch Berichte der Wahington Post untermauert, der Do- kumente vorliegen, die zeigen, dass die NSA in den Besitz von Daten gelangt ist, die so nicht unverschlüsselt im Netz zu finden gewesen wären.²¹ Kurz nach den Veröffentlichungen der Dokumente von Edward Snowden nahm die US Regierung Stellung zu den Geheimdienstak- tivitäten der NSA. Präsident Obama verteidigte im Juli 2013 die bekanntgewordenen Aktivi- täten der Behörde und gab an, dass vollkommene Sicherheit nicht mit einer vollkommenen Privatsphäre einhergehen könne.²² Die globale Überwachung durch die NSA war unter ande- rem durch die 2001 gelockerten Abhörbestimmungen derartig ausgeprägt möglich. Unter der Regierung von G.W. Bush wurden die Bestimmungen nach den Terroranschlägen im Sep- tember 2001 ausgeweitet.²³

3. GMail und Mail von T-Online

In den nachfolgenden zwei Abschnitten wird gezeigt, welche Bedeutung die E-Mail- Angebote GMail und Mail von T-Online für die Geschäftstätigkeit der Anbieter haben und wie diese in die Anbieterorganisationen integriert sind.

3.1. GMail

GMail ist der entgeltlose E-Mail-Dienst des US-amerikanischen Suchmaschinenanbieters Google Incorporated. GMail wurden 2007 nach einer 3 Jahre langen Beta-Testphase für die allgemeine Nutzung freigegeben²⁴ und wird laut eigener Angaben von 425 Millionen aktiven Nutzern weltweit genutzt.²⁵ Damit zählt GMail zu den größten E-Mail-Providern weltweit.²⁶ In Deutschland hat der E-Mail-Dienst einen Marktanteil von rund 6,2% und rangiert damit hinter dem Angebot von T-Online.²⁷ Beim Marktstart des Angebotes war GMail vor allem durch den vergleichsweise großen Speicherplatz von 10 MB und wenig später 25 MB unter seinen Wettbewerbern hervorgetreten. Mittlerweile bietet der E-Mail-Dienst 15 GB entgeltlo- sen Speicherplatz, der für alle unter dem GMail-Account genutzten Applikationen (z.B. Google Drive) geteilt wird.²⁸ Zu Beginn der Geschäftstätigkeit von Google basierte das Ge- schäftsmodell auf einem zentralen Software-Agenten, dem Suchalgorithmus Page-Rank, der grundsätzlich die Relevanz einer Website bestimmt und sie ausgehend davon bewertet. Diese Relevanz wird nicht wie es zuvor üblich war, allein an der Häufigkeit der gesuchten Keywords oder der URL gemessen, sondern nutzt die Anzahl der absoluten und gewichteten auf die Website verweisenden Links als Maßstab der Relevanz. Dieses Modell allein erzielte allerdings noch keine Erlöse für das Unternehmen. ²⁹ Erst durch die Vernetzung des zentralen Regelwerks mit weiteren Geschäftsalgorithmen hat Google einen effektiven Marketingdienst aufgebaut, der Daten aus verschiedenen firmeneigenen Quellen auswertet und den Nutzern der Dienste zielgerichtete Werbung schalten kann. Ein Anbieter, der ein Werbeprogramm bei Google aufsetzt legt selbst fest, unter welchen Suchanfragen, bzw. verwandten Themen die Website des Anbieters einem User der Google Dienste angezeigt werden soll. Die Abwick- lung der Zusammenführung geschieht über komplexe Softwareoperationen, unter denen die verschiedenen Dienste des Anbieters (z.B. GMail) integriert und vernetzt sind. So ist aus Googles ehemaligem Ein-Algorithmus-System ein vernetztes-Algorithmen-System entstanden, auf dem das Geschäftsmodell des Anbieters basiert.³⁰ Das Geschäftsmodell von Google ist in Abbildung 1 in übersichtlicher Weise dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Das aktuelle Geschäftsmodell von Google³¹

Seit der Veröffentlichung des E-Mail-Dienstes weisen Datenschützer darauf hin, dass das Sammeln der Daten aus den verschiedenen Kanälen des Anbieters Google, die dann unter dem GMail-Account zu Werbezwecken in Form aggregierter Nutzerprofile zusammengetra- gen werden könnten, sehr bedenklich in Bezug auf den Datenschutz der Nutzer ist.³² Diese Befürchtung verstärkte als Google im März 2012 die Datenschutzbedingung für rund 70 sei- ner Dienste in einem einzelnen Dokument zusammenlegt hat. Eine Prüfung durch die franzö- sische CNIL ergab, dass die Zusammenlegung gegen die Datenschutzrichtlinien der EU ver- stößt.³³ In den Datenschutzbedingungen von Google ist seit dem 31.3.2014 ausdrücklich er- wähnt, dass unter die möglicherweise erfassten Informationen von Google auch GMail- Nachrichten fallen.³⁴ Unter einem Link können GMail-Nutzer außerdem einsehen, wie die von Google genutzten Daten über sie ausgewertet werden und können hier mittlerweile auch die interessenbezogene Werbung deaktivieren.³⁵

Google zeigte sich auf die Enthüllungen im Rahmen der NSA-Affäre hin entrüstet und forder- te Reformen für die Sicherheitsbehörde.³⁶ Außerdem erhöhte der Anbieter die Verschlüsse- lungsmaßnahmen sämtlicher Übermittlungswege, nachdem bekannt geworden war, dass die NSA die unternehmenseigenen Datenverbindungen von Google anzapft. Die Priorität für die- se Maßnahme hatte bis dahin noch nicht bestanden, da die Verbindungen nicht öffentlich zu- gänglich sind.³⁷

3.2. Mail von T-Online

Der entgeltlose Mail Dienst von T-Online ist Teil des Access-nahen Geschäfts der Deutschen Telekom.³⁸ T-Online war ein ehemals eigenständiges Unternehmen und zuständig für die Online-Dienste der Telekom. Nachdem T-Online 1996 aus der Telekom ausgegliedert wurde, startete das Unternehmen im Zuge der Neustrukturierung der Telekom (Umstellung auf die Vier-Säulen-Strategie) im April 2000 als T-Online AG an der Börse.³⁹ Die Vier-Säulen- Strategie repräsentiert die damaligen strategischen Ziele der Telekom und ihre zentralen Wachstumsfelder.⁴⁰ Die Technologie hat sich rasant entwickelt und mit ihr konvergieren zu- nehmend die zentralen Angebote der Telekom. Auf Grund dieser wachsenden Konvergenz von Online-Diensten und Telekommunikation wird die T-Online AG 2006 vom Deutschen Telekom Konzern wieder zurückgekauft und in das Hauptgeschäft eingepflegt.⁴¹ Die Verant- wortung für das Internet Portal T-Online und damit die Hauptverantwortlichkeit für den E- Mail-Dienst wird dem Geschäftsbereich „Products and Innovation“ übertragen. Zu dieser Zeit ist der Geschäftsbereich für die Entwicklung neuer Produkte für die verschiedenen Angebote der Telekom zuständig. Später wird der Telekom Konzern wiederholt reorganisiert und ist mittlerweile überwiegend regional strukturiert. Der einzig funktionale Teil der Telekom ist T- Systems, der nach wie vor die Geschäftskunden der Telekom betreut. Der E-Mail-Dienst der Telekom fällt somit heute in die Verantwortlichkeit der Deutschen Telekom. Der E-Mail- Dienst diente der T-Online Sparte im Rahmen des Access-nahen Geschäfts damals dazu, das Internetangebot des Unternehmens für die Kunden attraktiver zu gestalten und in einer Zeit in der Kunden noch eine minutenweise Abrechnung für die Internetnutzung erhielten, galt dies als wichtiger wirtschaftlicher Bestandteil, um die Kunden im Netz zu halten.⁴² Mittlerweile bedeutet der E-Mail-Dienst für die Deutsche Telekom lediglich eine Kann-Dienstleistung, die der Anbieter seinen Nutzern traditionell entgeltlos zur Verfügung stellen. Der Zugang zum sogenannten E-Mail-Center erfolgt über das Internetportal bzw. kann auch über ein E-Mail- Programm wie Outlook oder die mobile Mail-App von T-Online erfolgen. In dem über den Browser zugänglichen E-Mail-Center werden keine Werbeanzeigen geschaltet und auch die E-Mails werden ohne zusätzliche Werbebanner verschickt. Laut eigener Aussage werden von Anbieterseite auch keine Informationen aus den Nachrichten-Inhalten der E-Mail gesammelt. ⁴³ Neben dem entgeltlosen E-Mail-Angebot gibt es noch einen bezahlten E-Mail-Dienst von der Deutschen Telekom, der ebenfalls über das T-Online-Portal läuft und mit einem erweiter- ten Cloudangebot in Verbindung angeboten wird (Dieser Dienst ist nicht Gegenstand dieser Arbeit). Die Deutsche Telekom ist mit dem E-Mail-Dienst Mitbegründer der Initiative E- Mail-made-in-Germany (kurz: EmiG), ein Angebot mehrerer in Deutschland ansässiger E- Mail-Provider. Die Anbieter wollen garantieren, dass E-Mails durch Verschlüsselungsverfah- ren sicher versendet und empfangen werden können.⁴⁴ Bereits Ende April 2014 wurden die Nutzer des T-Online Angebotes benachrichtigt, dass die E-Mail-Kommunikation auf die SSL- Verschlüsselung umgestellt wird. Neben der Kooperation in der EmiG-Initiative bemüht sich die Telekom um ein nationales Routing bei der E-Mail-Kommunikation.⁴⁵

Die Deutsche Telekom ist außerdem seit 2012 ein durch den BSI akkreditiertes DE-Mail- Unternehmen.⁴⁶ Das DE-Mail Angebot der Telekom ist kein entgeltloses Angebot wie das entgeltlose E-Mail-Angebot, das als Beispiel für die vorliegende Arbeit dient, und darf auch nicht mit diesem verwechselt werden. Die Angebote sind klar voneinander getrennt und er- zeugen einen unterschiedlichen Nutzen. Während bei dem entgeltlosen E-Mail-Angebot die virtuelle Kommunikation im Vordergrund steht, geht es bei dem DE-Mail-Angebot um ein staatlich akkreditiertes Sicherheitsangebot, mit dem sensible Dokumente über das Netz „be- quem, sicher und vertraulich“⁴⁷ ausgetauscht werden können. Die Telekom erhoffte sich mit dem Einstieg in das DE-Mail-Programm den Einstieg in einen nachhaltig wachsenden Markt.⁴⁸

4. Konzeptionelle Grundlagen

Um die Nachvollziehbarkeit der anschließenden Analyse der Geschäftssystemanpassungen der exemplarisch gewählten E-Mail-Dienstleister zu gewährleisten, sollen nachfolgend die gewählten Konzepte vorgestellt werden, anhand derer die Literaturanalyse stattfindet.

4.1. Datenschutz

Im beschränkten Rahmen dieser Arbeit wird nur exemplarisch auf die Datenschutzgesetze eingegangen, die in der Bundesrepublik Deutschland Geltung finden.

Das moderne Datenschutzrecht in Deutschland beruht grundsätzlich auf dem Recht auf in- formationelle Selbstbestimmung⁴⁹, das sich verfassungsrechtlich aus der allgemeinen Hand- lungsfreiheit (vgl. Art. 2 Abs. 1 GG) in Verbindung mit dem Gesetz der Menschenwürde (vgl. Art. 1 Abs. 1 GG) ableitet und 1983 als Grundrecht anerkannt wurde. Der Beschluss des Bun- desverfassungsgerichts, der von einer Verfassungsbeschwerde gegen das Volkszählungsurteil ausging, wurde folgendermaßen von dem Gericht kommentiert: “Das Grundrecht gewährleis- tet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwen- dung seiner persönlichen Daten zu bestimmen.“⁵⁰ Nach den Legaldefinitionen des Bundesda- tenschutzgesetzes (BDSG) wird zwischen personenbezogenen, anonymen und pseudonymen Daten unterschieden (gem. §3 Abs. 1, 6, 6a BDSG). Personenbezogene Daten beziehen sich auf bestimmbare Personen. Anonyme Daten hingegen können nur mit einem großen Aufwand an Zeit, Kosten und Arbeitskraft auf eine bestimmte Person zurückgeführt werden (gem. §3 Abs. 6 BDSG) und fallen nicht unter das Verbot der Erhebung und Verarbeitung von Daten, bei der es eines Erlaubnisvorbehaltes bedarf. ⁵¹ Der Umgang mit personenbezogenen Daten gliedert sich in drei grundsätzliche Phasen. Die erste Phase ist das zielgerichtete, also nicht zufällig erlangte oder aufgedrängte Beschaffen von Daten über den Betroffenen, was als das Erheben von Daten bezeichnet wird. Die zweite Phase beschreibt die Verarbeitung, unter der sich das Speichern, die Veränderung, die Übermittlung, die Sperrung und die Löschung per- sonenbezogener Daten gliedert. Als Nutzung schließlich wird jede Art der Verwendung per- sonenbezogener Daten bezeichnet, bei der es sich nicht um die Erhebung oder Verarbeitung handelt.⁵² In einem Unternehmen ist die Geschäftsleitung dafür verantwortlich, dass die Ver- arbeitung personenbezogener Daten nach den geltenden Gesetzen geschieht.⁵³ Gerade in der Wirtschaft gibt es erhebliche Probleme mit der Durchführung der Datenschutzgesetze, da die formellen Regeln einerseits oft nicht eingehalten werden, die Datenschutzaufsichtsbehörden andererseits das Schaffen der verantwortlichen Stellen mangels Kontingenten, sowohl perso- nell als auch technisch, nicht ausreichend verfolgen können. ⁵⁴ Betroffene können gegenüber öffentlichen und nicht-öffentlichen Stellen die Rechte über Auskunft der Datenerhebung und - verarbeitung (gem. §19/§34 BDSG), Benachrichtigung über diese Aktivität (gem. §19a/§33 BDSG) und das Recht auf Berichtigung, Sperrung und Löschung ihrer Daten (gem. §20/§35 BDSG) geltend machen.

Bei einer Übermittlung von Daten in die USA besteht kein angemessenes Datenschutzniveau. Damit eine Übermittlung trotzdem möglich ist, müssen sich die in den USA ansässigen Unternehmen nach dem sogenannten Safe-Harbour-Abkommen zertifizieren. Dies allerdings stellt auch die Problematik dar, denn es mangelt an Möglichkeiten zur Kontrolle der sich selbst zertifizierenden Unternehmen, und die in den USA ansässige Behörde wird nur auf eine Beschwerde hin tätig. Gerade vor dem Hintergrund der NSA-Affäre wird das Abkommen als nicht mehr ausreichend wahrgenommen, weshalb sich das EU-Parlament am 15.1.2014 für eine Beendigung des Safe-Harbour-Abkommens aussprach.⁵⁵

E-Mail-Anbieter stellen nach dem Telekommunikationsgesetz das geschäftsmäßige Erbringen von Telekommunikationsdiensten dar (gem. §3 Abs. 10 TKG). Damit ergeben sich für die Dienstleister nicht nur zusätzliche Auskunftspflichten. In Bezug auf Metadaten (die als Verbindungsdaten definiert werden)⁵⁶ und die Kommunikationsinhalte auch die Bindung der Anbieter an das Fernmeldegeheimnis (§88 TKG).⁵⁷ Den Anbietern ist es damit nicht gestattet, sich über die für die Erbringung des Angebotes benötigten Informationen hinaus Kenntnis über Inhalte oder Umstände der Kommunikation zu verschaffen. Die benötigten Daten dürfen weder für andere Zwecke eingesetzt, noch an Dritte weitergegeben werden, solange es keine andere gesetzliche Vorschrift gibt, die dies ausdrücklich legitimiert.

4.2. IT-Sicherheit

IT-Sicherheit bezieht sich auf die Einhaltung bestimmter Sicherheitsstandards, bezogen auf die Verfügbarkeit und Vertraulichkeit von Informationen in, bzw. bei der Anwendung von informationstechnischen Systemen oder Komponenten (gem. §2 Abs. 2 BSIG).⁵⁸ Als Schutz- ziele der IT-Sicherheit können Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität determiniert werden. Datenschutz bezeichnet hingegen den Schutz von personenbezogenen Daten vor dem Missbrauch durch Dritte⁵⁹ und Datensicherheit/Informationssicherheit den allgemeinen Schutz von Daten, ebenfalls hinsichtlich gegebener Anforderungen an deren Ver- traulichkeit, Verfügbarkeit und Integrität.⁶⁰ Die abgegrenzten Definitionen sind in Abbildung 2 in übersichtlicher Form dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Definitionen: Daten-/Informationssicherheit, IT-Sicherheit und Datenschutz in Anlehnung an Bundesamt für Sicherheit in der Informationstechnik - BSI (2012) und Holznagel (2003) ⁶¹

Die Verfügbarkeit bezeichnet den Zustand, in dem die Funktionalität des IT-Systems garan- tiert werden kann. Unter das Schutzziel der Integrität fallen die Vollständigkeit und Korrekt- heit der Daten. Das Schutzziel der Vertraulichkeit soll absichern, dass die Informationen des IT-Systems nur Befugten zugänglich sind und unter die Authentizität fallen die Aspekte, die absichern, dass die Daten/Informationen aus den angegebenen Quellen stammen. Schließlich muss in Form einer Qualitätsprüfung und -bestätigung der Verlass auf die genannten Schutz- ziele gesichert werden.⁶²

Die wirksamste Methode das Schutzziel der Vertraulichkeit zu erreichen ist Kryptografie, in Bezug auf E-Mail-Dienstleister, also z.B. die Verschlüsselung von Mailinhalten. Bei Krypto- grafie handelt es sich um mathematische Verfahren zur Verschlüsselung von Daten oder kompletter Kommunikationsverbindungen, die in Hard- und Software implementiert werden können. Das Entschlüsseln der Daten ist nur durch das Ausprobieren aller möglichen Schlüs- sel möglich, daher gilt, dass die Verschlüsselung umso sicherer ist, je länger die Schlüssel sind.⁶³ Das Vorteilhafte an Verschlüsselungsverfahren ist, dass das Verfahren an sich nicht geheim gehalten werden muss, sondern lediglich die Geheimhaltung der Schlüssel eine Rolle spielt. Die Veröffentlichung der Verfahren wirkt sich im Gegenteil sogar positiv auf die Si- cherheit aus, da so Schwachstellen durch die öffentliche Einsicht besser erkannt werden kön- nen. In der Praxis finden drei Arten der Verschlüsselung Anwendung: Die symmetrische, die asymmetrische und die hybride Verschlüsselung. Die hybride Verschlüsselung findet in der nachfolgenden Literaturanalyse eine besondere Beachtung. Sie ergibt sich aus einer Kombina- tion aus der symmetrischen und er asymmetrischen Verschlüsselung und umgeht die Nachtei- le der Sicherheitsproblematik der symmetrischen Verschlüsselung (gleiche Schlüssel müssen auf sicherem Weg ausgetauscht werden) und der Praktikabilität der asymmetrischen Ver- schlüsselung (erfordert mehr Rechenkapazität und ist daher nur für geringe Datenmengen sinnvoll). Bei der hybriden Verschlüsselung wird ein Session Key spontan und zufällig er- zeugt, der nur für den einmaligen Gebrauch vorgesehen ist und die Daten symmetrisch ver- schlüsselt. Der Session Key selbst wird durch ein asymmetrisches Verschlüsselungsverfahren geschützt. ⁶⁴ Das Verschlüsselungsprotokoll SSL, das von vielen E-Mail-Anbietern zur Ver- schlüsselung des Transportweges genutzt wird, verschlüsselt Daten mittels eines hybriden Verschlüsselungsverfahrens.⁶⁵

4.3. Geschäftssysteme und der Partialmodellansatz

Um nachfolgend die Geschäftssystemanpassungen der beiden E-Mail-Dienste GMail und Mail von T-Online nachvollziehbar analysieren zu können, werden in diesem Absatz zunächst die Begriffe Geschäftsmodell und Geschäftssystem definitorisch voneinander getrennt und anschließend der Partialmodellansatz zur Analyse von Geschäftsmodellen und -systemen er- läutert. In der Literatur wird der Begriff Geschäftsmodell nicht einheitlich verwendet.⁶⁶ In dieser Arbeit wird der Begriff wie in den folgenden Definitionen ausgeführt verstanden.

Ein Geschäftsmodell bildet „in stark vereinfachter, aggregierter und charakterisierender Form“⁶⁷ die Material-, Arbeits- und Informationsströme in und zwischen Unternehmen ab.⁶⁸ Die daraus resultierenden Erlösströme und Kostenwirkungen werden ebenfalls in dem Modell skizziert. Folgendermaßen enthält das Modell fundamentale Ansätze für Erfolg und Misser- folg des Geschäfts. Anhand des Geschäftsmodells lassen sich Aussagen über Input, Through- put und Output eines Unternehmens treffen. ⁶⁹ Ferner können Strategien und die Funktionen der an der Geschäftstätigkeit beteiligten Akteure aus dem Modell abgeleitet werden und es lässt sich erkennen, wo und wie die betrieblichen Funktionsbereiche eingebunden sind und welche wertschöpfende Rolle sie bei der betrieblichen Leistungserstellung spielen.⁷⁰ E- Business oder E-Commerce Geschäftsmodelle im Speziellen zeigen darüber hinaus auf, wel- che Möglichkeiten der Digitalisierung und der Vernetzung das Unternehmen wahrnimmt.⁷¹ Ziel ist es, die Kombination der verschiedenen Dimensionen und Elemente des Geschäftsmo- dells so zu gestalten, dass diese sich gegenseitig unterstützen. So können ökonomischer Wachstum geschaffen und Imitationsbarrieren gegenüber Wettbewerbern aufgebaut werden. Das Geschäftsmodell eines Unternehmens kann als seine Grundlogik verstanden werden, die wiedergibt, welcher Nutzen durch das Unternehmen geschaffen und wie dieser den Kunden und Partnern gestiftet wird.⁷²

Bei einem Geschäftssystem hingegen handelt es sich um „die konkrete Realisierung eines Geschäftsmodells“ ⁷³. So könnte man beispielsweise Ebay nach den allgemeinen Geschäfts- modelltypologien nach Rappa⁷⁴ unter brokerage/auction eingliedern, das realisierte Ge- schäftssystem von Ebay ist aber schließlich ein elektronischer Marktplatz mit individuellen Eigenschaften. Damit ein Geschäftsmodell in ein konkretes Geschäftssystem übersetzt wer- den kann, müssen auf den relevanten Märkten nachhaltige Wettbewerbsvorteile definiert und eine geeignete instrumentelle Umsetzung realisiert werden.⁷⁵ Ein Geschäftssystem steht nicht unbedingt isoliert da, sondern es lassen sich durchaus Zusammenhänge zwischen einzelnen Geschäftssystemen erkennen. In Form einer Kooperation kann ein Geschäftssystem bei- spielsweise unterschiedliche Organisationsformen besitzen. Außerdem muss eine einzelne Organisation nicht notwendigerweise nur ein Geschäftssystem umsetzen, denn es besteht die Möglichkeit, verschiedene Geschäftssysteme miteinander zu parallelisieren. Dadurch kann ein Geschäftssystem auch eine Kombination mehrerer Geschäftssysteme sein. Letztlich lässt sich feststellen, dass Geschäftssysteme herkömmlicher Weise ein strategisches Geschäftsfeld rea- lisiert, also einen gemeinsamen Bezugspunkt für strategische Ziele und Maßnahmen besitzt. ⁷⁶ Im Zeitablauf dienen die zu Grunde liegenden Geschäftsmodelle, bzw. -systeme strategischen Entscheidungsträgern im Unternehmen der Konzeptfindung (z.B.: Bei Neu-Gründung oder Umstrukturierung), der Konzeptanalyse (z.B.: Bei der Kontrolle der strategischen Ziele)

[...]

---

¹ Vgl. Reißmann (2013).

² Vgl. Dpa, Kuri (2013a).

³ Vgl. Nakashima, Warrick (2013).

⁴ Vgl. Gellman, Soltani (2013).

⁵ Vgl. statista.com (2014a), Prognose für 2014.

⁶ Vgl. statista.com (2014b), Prognose für 2014.

⁷ Vgl. BITKOM (2013).

⁸ Vgl. Gersch (2002) S. 412ff., in Anlehnung an Wirtz (2013), S. 269ff.

⁹ Vgl. Hoffmeier et al. (2015).

¹⁰ Vgl. ODNI (2015).

¹¹ Vgl. MacAskill, Borger, Greenwald (2013).

¹² Vgl. Beuth (2014).

¹³ Vgl. Andreas, Price (2001), S. 52.

¹⁴ Vgl. Hoffmeier et al. (2015).

¹⁵ Vgl. Lindemann, Tate (2013) i.V.m. Wilson, Todd (2013).

¹⁶ Vgl. Kmi, Dpa (2013).

¹⁷ Vgl. Ruhmann (2014), Min. 11:02f.

¹⁸ Vgl. Dpa, Zota (2014).

¹⁹ Vgl. Cryptome (2013).

²⁰ Vgl. Gellman, Soltani (2013).

²¹ Vgl. Gellman, Soltani, Peterson (2013).

²² Vgl. Marshal (2013).

²³ Vgl. Greenwald, Ackermann (2013).

²⁴ Vgl. Pichai (2012).

²⁵ Vgl. Murray (2007).

²⁶ Vgl. Ludwig (2012).

²⁷ Vgl. Harnischmacher (2013).

²⁸ Vgl. Remse (2014).

²⁹ Vgl. Hoffmeister (2013), S. 205f.

³⁰ Vgl. Hoffmeister (2013), S. 206ff.

³¹ Hoffmeister (2013), S. 208.

³² Vgl. LW, Aust (2009).

³³ Vgl. Goldmayer (2012).

³⁴ Vgl. Google (2014a).

³⁵ Vgl. Wedekind (2014).

³⁶ Vgl. Washington Post Staff (2013).

³⁷ Vgl. Masnik (2013).

³⁸ Vgl. Holtrop (2003), S. 476.

³⁹ Vgl. Deutsche Telekom AG, Lüdde (2015)

⁴⁰ Vgl. ebd.

⁴¹ Vgl. A. (2014) i.V.m. Deutsche Telekom AG, Lüdde (2015).

⁴² Vgl. Holtrop (2003), S. 475f.

⁴³ Vgl. Deutsche Telekom AG, Baumann (2015).

⁴⁴ Vgl. Mahling (2013).

⁴⁵ Vgl. Kleinz, Kuri (2013b).

⁴⁶ Vgl. Deutsche Telekom, Lüdde (2012a).

⁴⁷ Deutsche Telekom, Lüdde (2012b).

⁴⁸ Vgl. ebd.

⁴⁹ Vgl. Hornung (2004), S. 4.

⁵⁰ BVerfGE 65, 1 (1).

⁵¹ Vgl. Taeger (2014), S.55ff.

⁵² Vgl. Taeger (2014), S.58 f.

⁵³ Vgl. Taeger (2014), S.122 ff.

⁵⁴ Vgl. Weichert (2005), S. 219.

⁵⁵ Vgl. Taeger (2014), S.121f.

⁵⁶ Metadaten, bei E-Mailkommunikation auch: Headerdaten, sind Informationen bspw. über Absender, Adressat, Kommunikationsdauer und -häufigkeit

⁵⁷ Vgl. Schaar (2002), S.91f.

⁵⁸ Vgl. Holznagel et al. (2003), S. 11.

⁵⁹ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI (2012), S. 14.

⁶⁰ Vgl. ebd.

⁶¹ Abbildung: Eigene Darstellung i.V.m. Holznagel et al. (2003), S. 11; Bundesamt für Sicherheit in der Informationstechnik - BSI (2012), S. 14.

⁶² Vgl. Holznagel et al. (2003), S. 13ff.

⁶³ Vgl. Holznagel et al. (2003), S. 87ff.

⁶⁴ Vgl. Holznagel et al. (2003), S. 90ff.

⁶⁵ Vgl. Franz (2010).

⁶⁶ Vgl. Schallmo (2013), S. 15.

⁶⁷ Gersch (2004), S.68.

⁶⁸ Vgl. Wirtz (2013), S. 268.

⁶⁹ Vgl. Gersch (2004), S.68.

⁷⁰ Vgl. Wirtz (2013), S. 268.

⁷¹ Vgl. Gersch (2002), S. 412.

⁷² Vgl. Schallmo (2013), S. 16

⁷³ Gersch, M. (2004), S.68.

⁷⁴ Vgl. Rappa (2010).

⁷⁵ Vgl. Schallmo (2013), S. 16

⁷⁶ Vgl. Gersch, Goeke (2008), S. 276.