L4
Datensouveränität
Verletzung unmöglich, nicht nur verboten
Zustandslose Verarbeitung kombiniert mit zustandsbehafteter, verschlüsselter Speicherung unter Kontrolle der Lernenden — dasselbe Architekturmuster, das Apple's Private Cloud Compute global bewiesen hat, angewendet auf den intimsten Datensatz, den Menschen ansammeln. Treuhänderische Schlüssel für Kinder mit Threshold-Kryptografie und gestaffelter Übergabe ins Erwachsenenalter. Die Tiefe von L2 erzwingt L4 — ohne L4 wird das tiefe Profil zum gefährlichsten Überwachungsinstrument, das je für Bildung gebaut wurde.
Der Mechanismus
Souveränität in L4 ist keine politische Behauptung. Sie ist eine Reihe technischer Bedingungen, die der Rest der Architektur erfüllen muss.
Drei halten die Schicht zusammen. Verarbeitung ist zustandslos, wo immer die Funktion es zulässt: Generatoren, Evaluatoren und Retrieval-Aufrufe behandeln das Lernerprofil als flüchtigen Input, nicht als Konto, das sie aufbauen. Wo Zustand persistiert werden muss, geschieht das unter Schlüsseln, die die Lernenden halten — oder, bei Minderjährigen, deren treuhänderische Kette. Datensätze fließen durch L7 nur als Ableitungen, die die Lernenden autorisiert haben, und zwar pro Zweck einzeln, nicht als Pauschalgenehmigung, die ein Anbieter später erweitern könnte.
Das Ergebnis: Zu keinem Zeitpunkt hält ein einzelner Akteur — Anbieter, Institution, Ministerium — genug des Profils, um die Lernenden zu rekonstruieren.
Warum die Tiefe von L2 L4 erzwingt
L2 ist mit Absicht tief. Ein Profil, das reich genug ist, um ein Kind gut zu unterrichten, ist auch reich genug, es ein Leben lang zu überwachen. Die Architektur hat sich für Tiefe in L2 entschieden, weil oberflächliche Profile oberflächliches Unterrichten produzieren; der Preis dieser Entscheidung: derselbe Datensatz, geleakt, wäre katastrophal.
L4 ist der Preis, den die Architektur für L2s Tiefe zahlt. Ohne L4 tauscht das System Überwachung gegen Individualisierung. Mit L4 verschwindet der Tausch: Die Lernenden bekommen den personalisierten Tutor, und kein unautorisierter Akteur bekommt die Datei.
Treuhänderische Schlüssel für Kinder
Kinder können nicht in lebenslange Datenflüsse einwilligen. L4 behandelt das als erstrangiges Problem, nicht als Fußnote.
Für Minderjährige werden die Schlüssel zum Profil aufgeteilt — typischerweise zwischen der sorgeberechtigten Person, einer Schulbehörde und einem öffentlichen Treuhänder — mittels Threshold-Kryptografie. Zwei von drei genügen für Routineoperationen; alle drei sind für dauerhafte Übertragungen oder externe Offenlegungen nötig. Mit dem Alter wandern die Anteile: Mit 14 hält das Kind einen Anteil direkt, mit 18 die Mehrheit, mit 21 wird die volle Verwaltung übergeben und die Anteile der bisherigen Halter werden widerrufen.
Die Migration ist automatisch, vorhersagbar und in jedem Schritt auditiert. Die Architektur lehnt die Alternative — ein „Sie bekommen Ihre Daten, wenn wir es sagen" eines Anbieters — als Nicht-Antwort ab.
A state that demands access gets nothing — not because a contract forbids it, but because no interface exists.
Was kein einzelner Akteur sieht
Selbst mit vollem Audit-Zugriff sieht kein einzelner Akteur das ganze Profil. Der Staat, der über einen Vertrag Zugriff verlangt, bekommt dasselbe wie der Angreifer, der einen Server kompromittiert: Shards. Um die Datei zu rekonstruieren, braucht es entweder die authentifizierte Einwilligung der Lernenden oder eine richterliche Anordnung in Verbindung mit den Threshold-Treuhändern.
Das ist nicht darauf ausgelegt, legitime Aufsicht zu behindern. Es ist darauf ausgelegt, illegitime Aufsicht so teuer zu machen, dass sie sichtbar wird. Souveränität, die in Code festgehalten ist, geht schwerer verloren als Souveränität in Verträgen: Verträge lassen sich neu verhandeln, Eigentum kann wechseln, Jurisdiktionen lassen sich verlassen. Eine Schnittstelle, die nie für die Offenlegung der Daten gebaut wurde, kann nicht nachträglich überredet werden, sie offenzulegen.
Quelle
Architecture-Paper, Abschnitt 6. DOI: 10.5281/zenodo.18759134. CC BY 4.0.