JurPC Web-Dok. 37/2018 - DOI 10.7328/jurpcb201833337

Alexander Konzelmann (*)

Konzelmann, Alexander

Tagungsbericht IRIS 2018

JurPC Web-Dok. 37/2018, Abs. 1 - 30


Von 22. bis 24. Februar 2018 fand in Salzburg im Juridicum der Universität das 21. Internationale Rechtsinformatik Symposion (IRI§) statt. Hervorzuheben an dieser Veranstaltung ist die unmittelbare Verknüpfung von Praxis und Theorie in Präsentationen, Podiumsdiskussionen und Vorträgen zu allen aktuellen Entwicklungen im Bereich Computer, Internet und Recht. Die Beiträge sind in englischer oder deutscher Sprache abgefasst. Parallel zur Veranstaltung erscheint der massive Tagungsband mit den diesjährigen Referaten. Passend zum Topos Informatik existieren aber auch elektronische Versionen aller Beiträge, teilweise sogar Podcasts; hierum kümmert sich traditionell die Weblaw AG.Abs. 1
Das über 70-köpfige Programmkomittee mit Erich Schweighofer, Franz Kummer, Ahti Saarenpää und Burkhard Schafer an der Spitze gab das Generalthema "Datenschutz/LegalTech" vor. Viele Referenten nahmen dies als Anknüpfungspunkt ihrer Betrachtungen und Werkstattberichte. In bis zu sieben parallelen Sessionen wurden weit über 100 Kurzreferate mit Diskussionsteil zu aktuellen Entwicklungen gehalten. Daher könnte selbst ein idealer Live-Tagungsbericht nur etwa 17 Prozent der Inhalte abdecken. Die Referate waren jeweils gruppenweise Session-Bereichen zugeordnet wie e-government, e-democracy, IT-Recht, e-procurement, Science Fiction, Rechtsvisualisierung, e-commerce, Rechtstheorie, Datenschutz, Urheberrecht, Cybersecurity und Informationssysteme. Hierbei bleibt kennzeichnend, dass einerseits neue Denkansätze auf ihre praktische Relevanz als Hilfsmittel im Rechtsalltag kritisch beäugt wurden; andererseits wurden aktuelle „Gadgets" stets auf ihre Konformität mit den vorgefundenen rechtlichen Rahmenbedingungen abgeklopft. Praktikabilität und Compliance sind – außer „Neuheit" – die Hauptpunkte, auf welcher die Rechtsinformatik-Community den Akzent legt. Dieses Jahr rückte zusätzlich zur bereits 2017 herausgehobenen EU-Datenschutz-Grundverordnung das Thema „Legal Tech" in den Vordergrund und außerdem wurden mehr Themen als bisher in Form von Podiumsdiskussionen behandelt.Abs. 2
Peter Ebenhoch und Felix Gantner verglichen einen „normalen Vertragsschluss" mithilfe des semiotischen Dreiecks (Syntax, Pragmatik, Semantik) mit "Smart Contracts", wie sie als eine Art Realverträge auf einer Blockchain (z.B. Ethereum) hinterlegt sind. Während bei einem „normalen" Vertrag der Lehrsatz „falsa demonstration non nocet" gelte, sei dies bei einem abstrakt programmierten Vertrag nicht selbstverständlich. Der „Smart Contract" sei ohne die menschliche Syntax quasi „autistisch", die Syntax der digitalisierten Vertragsausformung sei überbetont, von Kontext und Pragmatik losgelöst. Daher sei es notwendig, „legal programming" einzuführen, am besten mit einem „legal editor", der vordefinierte juristische Begriffe als Teile des Programmcodes beinhalte und auch gegenüber dem Nutzer so ein kontrolliertes Vokabular darstellen solle. Programmcode und Vertragstext seien Textsorten, die im Sinne eines „literate programming" nach Donald E. Knuth miteinander zu verflechten seien, um den erwähnten Autismus zu überwinden. Ebenhoch und Gantner fordern also einen „Smart Context", der an der Schnittstelle zwischen Programmierung und Kautelarjurisprudenz den Blockchain-Verträgen mitzugeben sei, um sie juristisch zu validieren. Sie hatten ein Beispiel einer solchen Verpackung in einer an Javascript angelehnten Programmiersprache mit Variablen und Funktionen als fiktiven Quellcode - und auch als Ansicht mit Icons in einem „Vertragseditor" vorbereitet, mit dem Ethereum-Währungseinheiten in Zehntelteilen an- und verkauft werden können. Die juristische und die informatische Sphäre seien zusammenzuführen, um „Smart Contracts" im Rechtssystem zu integrieren.Abs. 3
Bettina Mielke und Christian Wolff diskutierten Smart Contracts als interdisziplinäres Problem unter der Zitierung eines Aphorismus' aus dem Nachlass von Schiller: „Klar ist der Aether und doch von unergründlicher Tiefe, offen dem Auge, dem Verstand bleibt er doch ewig geheim." Smart Contracts seien auch nach 20 Jahren ohne allgemein anerkannte Definition. Programmierer tendierten dazu, aufgrund automatisierter Smart Contracts juristisch erarbeitetes Vertragsrecht für überflüssig zu halten. Juristen hingegen kümmerten sich nicht um das Verständnis derjenigen Technik, die sie dann ohne technisches Vorverständnis rechtlich einzuordnen versuchten. Ein Beispiel für eine praktische Anwendung von Smart Contracts seien Mietwagen mit smart lock, das sich öffnen lässt, wenn die Miete bezahlt ist. So benötige man nur eine App benötigt, aber keinen Besuch am Schalter. Das Problem sei, dass es bisher nur Grundlagenforschung und alte Texte gebe, aber keine klare Einordnung des unglücklich gewählten Begriffes „Smart Contract". Er sei aber in der Praxis im Einsatz und damit die Begriffswahl nicht mehr rückgängig zu machen, nur erläuternd zu flankieren.Abs. 4
Charlotta Kronblad bedauerte, das zu wenige große und kleine Beratungsfirmen Smart Contracts und Smart Services für ihre juristisch relevanten Dienstleistungen einsetzen. Dies berge das Risiko disruptiver wirtschaftlicher Entwicklungen. Daher wolle sie die Gründe für die Zögerlichkeit der Entscheider in Rechtsberatungsfirmen herausfinden und dazu animieren, deren Barrieren zu überwinden. Diese Überzeugungsarbeit sei eine Herausforderung nicht etwa für die modernen – funktionierenden – Technologien, sondern für die Anbieter und Verkäufer der smarten Technologien. Neue Organisationsformen und die Berücksichtigung anderer Sprachen als Englisch böten Entwicklungschancen. Die Arbeitskultur der Berater werde sich aber eventuell erst mit einem Generationenwechsel ändern. Ein konkretes Beispiel zur Veranschaulichung wurde nicht angeführt.Abs. 5
„Legal Tech und GoCore! – der Weg zu Mindeststandards" lautete der Vortragstitel von Viola Schmid von der TU Darmstadt. Zum Thema Legal Technology vertrat sie die Ansicht, dass diese Entwicklung die Märkte der juristischen Dienstleistungen fühlbar transformiere. Neue rechtliche Kernfrage im Zuge der Entwicklung des LegalTech-Markts seien die Aufrechterhaltung der Unabhängigkeit von menschlichen Richtern wie Anwälten in einer vernetzten Rechtswelt sowie die gewachsenen Infrastrukturanforderungen an die Stromversorgung und an Verschlüsselungsalgorithmen. Hintergrund sei, dass solche - bisher eher als Randbedingungen wahrgenommene - Fragen künftig für die Funktionsfähigkeit der Rechtsschutzgewährleistung sowie individueller Freiheit an Bedeutung gewönnen. Es müssten sich verlässliche Mindeststandards herausbilden. Auch die Bürger, die Rechtsschutz beanspruchen, müssten sich anpassen und immer öfter elektronische Schnittstellen nutzen, um Anträge oder Fragen zu stellen. Und sie müssten mithilfe einer Art „Cybererziehung" lernen, die Vertrauenswürdigkeit von Informationen aus dem Internet selbstständig zu bewerten, denn eine Mensch-Maschine-Interaktion komme immer häufiger vor. Der Weg zu Mindeststandards sei das frühzeitige Herausarbeiten von wiederkehrenden Fragen, die hinter den „Problemfällen" der e-Justiz steckten. Als Beispiel misslungener Bildung von Vertrauen auf Mindeststandards führte die Referentin den aktenkundig gewordenen Fall (BGH 6.10.2011, RiZ(R) 7/10) eines nicht-geheimen Administratorenpassworts in der hessischen Justizverwaltung an sowie das deutsche besondere elektronische Anwaltspostfach (beA), welches aufgrund technischer Mängel im Sicherheitsbereich nicht zum gesetzlich vorgesehenen Startdatum den Betrieb aufnehmen konnte. Für die Relevanz der Infrastrukturfragen zitierte Schmid Pressemitteilungen über den hohen Stromverbrauch beim Bitcoin-Mining („Klimakiller Kryptowährung"). Sie definierte – abweichend von z.B. Wikipedia-Einträgen – „LegalTech" als Technologieassistenz mit unterschiedlichen Autonomiegraden im Bereich der ersten bis dritten Gewalt inklusive der Indienststellung der nicht-staatlichen Rechtsanwälte.Abs. 6
Otto Kammerlander vom Verlag Österreich zeigte das Onlinemodul "Datenschutz" aus einer e-Learning-Anwendung namens jurnet.at. Ziel der Plattform sei es, komplexe juristische Inhalte für Nicht-Juristen so aufzubereiten, dass der Einstieg erleichtert wird, ohne dabei die Inhalte verfälschend zu vereinfachen. Dafür werden auch Videos und witzige Verknüpfungen verwendet. Ansatzpunkt der Entwicklung sei gewesen, dass Datenschutzbeauftragte, die in Österreich oft Informatiker seien, an die Implementation der EU-DSGVO heranzuführen waren, welche jedoch mehr für Juristen als für IT-Spezialisten vorformuliert sei. Mit klassischen juristischen Fachbüchern sei diesen nicht gedient. Autoren dieser Werke könnten durchaus im Gespräch Inhalte klar und einfach darstellen, aber bei der Niederschrift verfielen sie wieder in ausufernde Komplexität und Nuancierungen. Daher sei ein solches e-Learning-Projekt nur in einer größeren Kooperation befriedigend zu realisieren.Abs. 7
Gerhard Laga und Anna-Maria Minihold präsentierten Fragen im Zusammenhang mit der Konzeption der „Ersten Federation" des Wirtschaftsportalverbundes in Österreich, welche für das gemeinsame Internetportal der Wirtschaftskammern (staatliche Arbeitgeberverbände) zuständig sei. Dieses habe mehrere Funktionen für verschiedene Zielgruppen, die Anmeldungen mit verschiedenen Rollen verlangen. Das Identitätsmanagement mit einem Single-Sign-On-Konzept sei technisch vom Portalverbund der Öffentlichen Verwaltung übernommen worden. Dabei seien datenschutzrechtliche, steuerrechtliche und Haftungsfragen aufgetreten. Als Federation werde eine Gruppe in einem Vertrauensnetzwerk bezeichnet. Pro Federation gebe es als theoretische Rollen einen Federation Operator, einen Identity Provider (Verantwortlicher für die Benutzerverwaltung) und einen Service Broker sowie Attribute Provider und Service Provider (Betreiber, die den Nutzern des Portals Zugriffe erlauben). Außerdem vorgesehen seien externe Identity Provider und „normale" Benutzer: Dem Federation Operator organisatorisch übergeordnet sei eine Aufsichtsstelle. Der Service Broker sei ein sogenannter „Blind Proxy", d.h. er kenne nicht die Identität der anfragenden Stelle, bestätige nur gegenseitig Identitäten von Identity und Service Providern. Diesen Broker gebe es aber in der konkreten B2B-Konstruktion nicht, er sei unter den gegebenen Aufgabestellungen für überflüssig erachtet worden. Bei der automatischen Rechnungserstellung hätte er sogar gestört, weil auf Rechnungen laut Umsatzsteuerrecht beide Parteien stehen müssten. Zur Differenzierung von Identitäten und zur Zuordnung von Handlungen gelte technisch – in Übereinstimmung mit DSGVO und allgemeinem Zivilrecht - Folgendes: Eine natürliche Person mit dem Attribut „Vertreter einer juristischen Person" habe eine andere elektronische Identität (=ein anderes Benutzerkonto) als diese natürliche Person, die sich ohne Attributsverwendung einloggt. Use case sei der Compass Verlag, der Firmeninformationen in Echtzeit anbiete; zweiter Use case werde ein Ausschreibungsportal sein. Hierbei sei eine besondere Form der Haftungsvermeidung eingearbeitet worden: Bei Verzögerungen im System würden automatisch die Abgabefristen für damit zusammenhängende Angebote verlängert.Abs. 8
Stefan Hessel von der Universität Saarbrücken fragte nach der Datensicherheit von elektronischen Spielzeugen mit Internetzugriff. Ansatzpunkt sei das deutsche Telekommunikationsgesetz, das z.B. als Alltagsgegenstand getarnte Telekommunikationsanlagen verbietet und sogar den Besitz unter Strafe stellt. Nach der Puppe „Cayla" wurden Uhren mit Monitoring-Funktionen (z.B. präparierte SIM-Karten) untersucht. Im Anschluss wurde nun der Bär „mein Freund Freddy" mit einer ca. 10 Meter weit wirksamen Bluetooth-Funktion vorgestellt. Über eine App könne man durch den Bären reden und das Umfeld des Bären abhören. Die Tatbestandsmerkmale Sendeanlage, Tarnung, Eignung zum Abhören und Bestimmtheit seien auch bei dem Teddybären „Freddy" erfüllt. Dennoch habe die Bundesnetzagentur dieses Spielzeug nicht verboten. Denn es könne nicht der Hersteller abhören, sondern ein eigenverantwortlich handelnder Dritter, der als Hacker dazwischentrete, was dem Hersteller nicht zuzurechnen sei. Aus Sicht des Referenten ergibt sich so eine Einschränkung des Schutzes auf den 10-Meter-Bereich nicht aus dem Gesetzestext, auch weil der Teddy keinen Passwortschutz habe. Er appellierte, die Anforderungen an die Datensicherheit in Gesetzen über Spielzeuge zu erhöhen, z.B. privacy by design vorzuschreiben.Abs. 9
Felix Gantner untersuchte Umkehrungen der Sentenz „Code is Law", nämlich "Law is Code" im Sinne von „Gesetz entspricht Code" oder „Gesetz und Code sind austauschbar". „Code is Law" sei die Beschreibung einer Realität, in der sich viele schriftliche Äußerungen derartig vollziehen müssen, dass sie in den vorgegebenen codierten Kontext passen: Da Code das eigentliche Regulierungsmittel im Cyberspace darstelle und dieser quasi allgegenwärtig sei, sei es nachvollziehbar, wenn man zu der Ansicht komme, dass Code gesetzesähnliche Wirkungen habe. Rechtstexte seien hingegen besondere, kontextsensitive, oft mehrdeutig oder unklar formulierte Formen von Programmcode. Rechtsnormen seien im Gegensatz zu Naturgesetzen ein soziales Phänomen, in Sprache ausgedrückt, nicht in Mathematik. Sie seien zeitlich begrenzt und veränderbar und sie enthielten Begriffe anstelle von Variablen. Daher seien Rechtstexte sehr selten 1:1 als Programmcode umsetzbar. Insbesondere auch für Umsetzungen mit einer Blockchain, die nach häufig gehörten Aussagen automatisch rechtsrelevanten Output erzeuge, sei es dennoch falsch, von einer Austauschbarkeit von Programmcode und Gesetzen auszugehen. Ihr Erfolg gründe sich auf „proof of work, stake and authority" (Beweis von geleisteter Arbeit, Inhaberschaft und Autorität). Der Beleg der Inhaberschaft gelinge aber nur, weil die Interessen großer Stakeholder mit denen anderer Inhaber oft korrelierten und bewusste Kompromittierungen des in die Blockchain gesetzten Vertrauens für alle Beteiligten kontraproduktiv wäre. Bei klarer Interessendivergenz hingegen würde die auf Vertrauen basierende Blockchain nicht mehr funktionieren.Abs. 10
Beate Glück vom Hauptverband der österreichischen Sozialversicherungsträger und Martin Zach vom Bundesarbeitsministerium stellten zeitliche Grenzen der Konsolidierung von Rechtsvorschriften dar, aus dem Blickwinkel der SozDok, einer umfassenden Dokumentation der Gesetze und Verwaltungsvorschriften des österreichischen Sozialversicherungsrechts. Da Rechtsdatenbanken das Inkrafttreten einer Version eines Paragrafen zahlenmäßig exakt bestimmen müssen, ändere sich der traditionelle Konsolidierungsbegriff. Die außerhalb eines exakten Zeitrahmens liegenden Gesetzesausgaben in Buchform würden immer mehr durch elektronisch hergestellte Produkte ergänzt, die weit exakter als die traditionelle Konsolidierung den Rechtsakt der Novellierung in zeitlicher Hinsicht fixierten. Anfang und Ende von Versionen eines Paragrafen in einer Rechtsdatenbank seien aber differenzierter zu sehen, als sie derzeit von diesen dokumentiert würden. Rechtstechnische Anmerkungen zum Gesetzestext lösten das Dilemma nur zum Teil. Als Beispiel dienten unter anderem Übergangsbestimmungen. Der Gesetzgeber könne damit die frühere Rechtslage für bestimmte Fälle und/oder für einen gewissen Zeitraum weiterhin vorsehen. So sei § 57a des ASVG zum 1.1.2016 außer Kraft getreten. Auf Lehrverhältnisse, die vor diesem Tag begonnen haben, sei er gemäß der Schlussbestimmung des § 690 Absatz 3 ASVG aber dennoch anzuwenden. Das Bestehen von Übergangsbestimmungen werde aber nicht durch die Suchoptionen der Datenbanken RIS oder SozDok abgedeckt. Es gebe lediglich redaktionelle Anmerkungen zum Gesetzestext im RIS in der Rubrik „Beachte" und in der SozDok in der Dokumenteninformation. Für eine gute Visualisierung solcher Tatbestände müssten die Datenbanken prinzipiell mit tiefer gehenden Metadaten ausgestattet werden. Eine Verfeinerung des Metadatums „Inkrafttreten", eine nachhaltige Visualisierung der Zusammenhänge zwischen materieller Änderung und deren Wirksamkeit und ein situativer Zugang bei der Suche könne vielleicht Abhilfe schaffen. Auch die Darstellung von Versionen zu Paragraphen, die unter einer – noch nicht eingetretenen – Bedingung erlassen wurden, mit „In Kraft ab 01.01.9000" wurde thematisiert.Abs. 11
Der mit der Tagung verbundene und inzwischen traditionelle LexisNexis Best Paper Award 2018 zeichnete von einer Jury begutachtete Einreichungen zur IRIS-Tagung aus. Den ersten Preis erhielten Aljoscha Dietrich, Dominik Leibenger und Christoph Sorge mit „Sicherheit und Datenschutz im Smart Grid – rechtliche Anforderungen und technische Lösungen". Der zweite Preis ging an Wouter van Haaften, Tom van Engers und Robert Meijer mit „A Normative Systems Perspective on Autonomous Systems: The Future of Driving" und der dritte an Laura Drechsler mit „Data as Counter-performance: A New Way Forward or a Step Back for the Fundamental Right of Data Protection?". Das österreichische Bundesrechenzentrum verteilte kleine Abdeckungen für Webcams als ironische Datenschutzprophylaxe.Abs. 12
Christoph Sorge von der Universität Saarbrücken übernahm einen zentralen Plenarvortrag mit dem offenen Titel "Zum Verhältnis von IT-Sicherheit und Recht". In diesem ging er auf IT-Sicherheits-Praxis, -forschung und -fragestellungen ein und bezeichnete Juristen, die für solche Fragestellungen ins Boot geholt werden, scherzhaft als Bedenkenträger und Spaßbremsen. Die Risiken für den praxisgerechten Grundrechtsschutz schätzte er wie folgt ein: Frage an den Juristen als IT-Sicherheitsbeauftragten: „Sind wir zu paranoid?" – Antwort: „Nein, wir sind wahrscheinlich gar nicht paranoid genug." Es sei die Aufgabe eines IT-Sicherheitsbeauftragten, stets das Schlimmste zu befürchten, ein sogenanntes „Sicherheits-Mindset" im Sinne von Bruce Schneider zu haben.Abs. 13
Eingangsbeispiel war das deutsche besondere elektronische Anwaltspostfach „beA" und das am 22.12.2017 öffentlich gewordene Problem der Kompromittierung von dessen Verschlüsselung. Anlass sei die versehentliche Auslieferung eines privaten Schlüssels an alle 165.000 Nutzer und eine nachfolgende Aufforderung gewesen, das Zertifikat als root-Zertifikat zu installieren. Die Folge sei die Angreifbarkeit aller Anwaltsrechner von außen gewesen. Das Problem sei binnen 24 Stunden erkannt, den Nutzern bekannt gemacht und das beA abgeschaltet worden. Zudem seien noch folgende Probleme aufgetreten: Die Erkennbarkeit der beA-Client Security von außen sei eingetreten und eine Remote Code Execution sei möglich gewesen, und zwar aufgrund der Verwendung veralteter Software. Nach Maßstäben der IT-Sicherheit sei damit ein Totalschaden eingetreten, obwohl das beauftragte Unternehmen ATOS laut BSI die Erlaubnis zur Erstellung von Sicherheits-Audits habe. Es sei derzeit noch unbekannt, wann das beA wieder eingeschaltet wird. – Ähnlich sei 2011 eine Fallkonstellation aus den Niederlanden gewesen, in deren Folge die Firma "DigiNotar" insolvent wurde. Auch hier seien akkreditierte IT-Sicherheitsfirmen beteiligt gewesen und dem Auftraggeber habe letztlich kein Vorwurf bei der Dienstleisterauswahl gemacht werden können.Abs. 14
Sorge benannte als neues Hauptproblem die Gefahr, dass die Stimmen die Oberhand gewinnen könnten, welche schon immer vor der Digitalisierung gewarnt hätten und nun dafür seien, zu Schreibmaschine und Papier zurückzukehren. Dem sei entschieden entgegenzutreten. Es sei nun auch seitens der BRAK ein weiterer Schritt in Richtung Transparenz gegangen worden, indem mit der erneuten Sicherheitsüberprüfung vor Freischaltung ein bisher unbeteiligtes Unternehmen beauftragt worden sei. Zudem sei beschlossen worden, dessen Gutachten zugänglich zu machen. Transparenz wurde auch in der anschließenden Diskussionsrunde als zentral für die Schaffung von Sicherheit und Vertrauen in neue Anwendungen eingestuft. Fehlende Testphasen, Geld-, Zeit- und Kommunikationsmängel bei der Anforderungsformulierung seien laut einer Anmerkung von Pascale Berteloot hingegen Faktoren, die erfahrungsgemäß Risiken für digitale Projekte bergen. Jörn Erbguth warnte vor einer Gleichsetzung von Zertifizierung mit tatsächlicher Sicherheit.Abs. 15
Als positives Beispiel einer funktionierenden IT-Regulierung nannte Sorge die eIDAS-Verordnung. Dieser Regelungskomplex sei konsistent und interoperabel. Zwar sei der Ansatz nicht wirklich technologieneutral und auch wenig verallgemeinerungsfähig. Demgegenüber zeige eIDAS, dass man ausgewählte technische Bereiche legislativ so regulieren könne, dass eine funktionierende Infrastruktur entstehe. Leider würden die Vertrauensdienste noch nicht in großer Breite angeboten und genutzt.Abs. 16
Man solle Auguste Kerckhoffs (Militärsicherheitsexperte im 19. Jahrhundert) Prinzip der Offenheit anwenden, der gefordert hatte, dass eine Verschlüsselung nicht durch Bekanntwerden des Verfahrens unsicher werden darf. Die besten Verschlüsselungsalgorithmen seien solche, die transparent, aber dennoch ungeknackt sind, obwohl z.B. Preise auf deren Kompromittierung ausgesetzt sind. Man solle anstatt nach dem jeweils aktuellen „Stand der Technik" lieber nach der Implementierung des – häufig deutlich fortschrittlicheren – „Standes der Forschung" streben.Abs. 17
Rechtliche Aspekte von Cloud Computing in der Finanz- und Versicherungswirtschaft beleuchtete ebenfalls Christoph Sorge von der Universität Saarbrücken. Insbesondere in regulierten Unternehmen wie Banken und Versicherungen könne Cloud-Computing als wichtiger Baustein von sogenannten FinTech-Anwendungen zu aufsichtsrechtlichen Herausforderungen führen. Es gehe dabei weniger um das reine Speichern von Daten in der Cloud, sondern um das Verarbeiten der Daten eigener Kunden durch externe Dienstleister auf deren Servern, insbesondere weil das Verarbeiten verschlüsselter Daten spezifische Anforderungen stelle. Als Beispiele nannte er die Netz-Infrastruktur-Sicherheits(NIS)-Richtlinie der EU, das deutsche IT-Sicherheitsgesetz und die BSI-KRITIS-Verordnung. Letztere sei anwendbar, falls mehr als 500.000 Personen potenziell betroffen sind, z.B. bei der Bargeldversorgung, beim unbaren Zahlungsverkehr oder bei der Abwicklung von Wertpapiergeschäften. Der Fokus dieser Legislatur liege auf ständiger Verfügbarkeit bei gleichzeitiger Resilienz gegen Angriffe und Missbrauchsversuche sowie auf der ständigen Erreichbarkeit verantwortlicher Personen. – Wenn nun solche Dienstleistungen teilweise ausgelagert würden, dürfe von den Standards nicht nach unten abgewichen werden. Die Überwachung und die Qualifikation des Dienstleisters müsse stets gewährleistet bleiben und das beauftragende Unternehmen bleibe verantwortlich.Abs. 18
Über das Aufsichtsrecht hinaus seien aber auch verbandsinterne Vorschriften über Standards sowie weitere heteronome Normen bei der Verlagerung von Kundendaten zur Verarbeitung in Clouds zu beachten: Oftmals (z.B. laut BSI-Gesetz) wirkten die Branchenvertreter selbst an der Entwicklung und Formulierung von Standards mit, zu deren Einhaltung sie dann über eine dynamische Verweisung vom Gesetzgeber verpflichtet werden. Beispiele seien die Bankenaufsichtsrechtliche Anforderungen an die IT-Abwicklung von Rechtsgeschäften (BAIT) von der BaFin die PSD 2-Richtline 2015/2366 der EU sowie spezielle Sicherheitsanforderungen aus der Kreditkartenindustrie selbst. Es liege in einzelnen Fällen eine störende Redundanz von Regulierungen auf den unterschiedlichen Hierarchieebenen vor (EU-Recht, nationales Gesetzesrecht, nationale aufsichtsrechtliche Vorschriften der Verwaltungsbehörde, verbandsinterne Regelungen, normative Ausformulierungen des Standes der Technik). – Es sei eine differenzierte Betrachtungsweise hinsichtlich der Bewertung von Outsourcing und Cloud-Computing in Bezug auf den Datenschutz nötig, denn die Erhöhung der Risiken durch Datentransporte und der Einbeziehung Dritter als Mitwisser könne auch durch Zugewinne an Professionalität im Umgang mit sensiblen Daten durch erfahrene zentrale Sicherheitsdienstleister ausgeglichen werden.Abs. 19
Eine statistische Auswertung über zehn Jahre (2006-2016) zum Stichwort "Cybercrime" hatten Edith Huber (Donau-Universität Krems), Gerald Quirchmayr (Informatik Universität Wien) und Leopold Löschl (österreichisches Bundeskriminalamt) mit einem größeren Team am Wiener Landesstrafgericht durchgeführt. In einer umfangreichen Publikation („Die Cyberkriminellen in Wien") wurde das Ergebnis veröffentlicht. 5.400 Akten führten zu 399 Hauptverhandlungen, wobei das häufigste Ermittlungshindernis unbekannte Täter gewesen seien. Es wurde an 118 Fällen hieraus unter anderem untersucht, ob die Taten z.B. nur aufgrund der Nutzung von Computern und/oder Internet möglich waren, ob es Muster in Methoden und Motiven gegeben hatte und welche Straftatbestände erfüllt waren. Häufig gewesen seien Kleinkriminalität wie Identitätsdiebstahl, Online-Shopping mit fremden Accounts, Datenmissbrauch. Viel seltender hingegen seien Delikte registriert worden, die spezifische IT-Kenntnisse und bewusste Schwachstellenausnutzung voraussetzten. Genauer seien dies 7,9 Prozent, und zwar rein männliche Täter mit spezifischer Ausbildung und mit Organisationen statt Privatpersonen als Opfer. Die Motive dieser Taten beinhalteten zwar auch Bereicherungsabsichten, aber es seien stets Motive wie Rache und dem Willen, Fähigkeiten unter Beweis zu stellen, beteiligt gewesen. 11,2 Prozent der Fälle beträfen Datenmissbrauch in Firmen, ausnahmslos aus persönlichen Beweggründen. Es sei auch ausgewertet worden, welche Arten von Gegenständen bei Durchsuchungen beschlagnahmt wurden und welche Typen von Daten (Anruflisten, Malware, Fotos, Videos von Bankomaten, Textnachrichten) ausgewertet wurden, um die Ermittlungen zum Abschluss zu bringen. Es sei eine hohe Korrelation zwischen dem Einsatz spezifischer Ermittlungsmaßnahmen und der Wahrscheinlichkeit einer Verurteilung festgestellt worden. Das Nichtstattfinden von Ermittlungen könne allerdings auf einer Vielzahl von Gründen beruhen, von denen eine große Zahl „nicht möglich" laute. In anderen Fällen (Aufwandsvermeidung) plädierte Quirchmayr für eine stringentere Ermittlungsarbeit der beteiligten Stellen. Nur 15 Prozent der angeklagten Fälle hätten nachweislich zu einem Freispruch geführt, d.h. der effektive Filter seien die Staatsanwaltschaften. Quirchmayr berichtete aus den USA eine Beobachtung des FBI, wonach inzwischen online "Crime as a service" beauftragt werden könne, ohne dass die Täter einfach greifbar wären.Abs. 20
Christoph Sorge und Jochen Krüger stellten die Frage, ob sie sich als IT-Sicherheitsforscher im Helmholtz-Zentrum selbst durch ihre Forschungsarbeiten strafbar machen können. Die Feststellung der Verbreitung von Sicherheitslücken durch Scannen großer Netzbereiche, das Ausbringen von sogenannten Honeypots, die Entwicklung von Werkzeugen zum Auffinden und Demonstrieren von Sicherheitslücken erzeugten Konfliktpotenzial im Datenschutzrecht und Strafrecht. Betrachtet wurde konkret die strafrechtliche Komponente der Fragestellung. § 202c des deutschen StGB als eine der Umsetzungen der Cybercrime Convention sanktioniere auch das reine Vorbereiten des Ausspähens und Abfangens von Daten. Das BVerfG habe die entsprechende Verfassungsbeschwerde von Forschern gegen die befürchtete Verunmöglichung der IT-Sicherheitsforschung als unzulässig verworfen und auf die verfassungskonforme Auslegung der Strafnorm im Lichte der Wissenschaftsfreiheit verwiesen. Auch die Erwägungsgründe der DSGVO nähmen die Forschungstätigkeit an einigen Stellen von der Tatbestandsmäßigkeit aus. Allerdings fordere Artikel 35 der DSGVO (Folgeabschätzungspflicht) laut den Referenten auch die vermehrte Einschaltung von Ethikkommissionen und Compliance-Modulen an Universitäten, um die strafrechtlichen Bedenken teilweise zu reduzieren; auch wenn Strafrecht und Ethik unterschiedliche Perspektiven haben, könnte doch ein positives Vorab-Votum einer Ethikkommission zumindest zu einem unvermeidbaren Verbotsirrtum der Forscher führen. Bisher habe es in den zehn Jahren seit seiner Einführung übrigens noch kein öffentlich publiziertes Urteil zu § 202c StGB bei Forschungsarbeiten gegeben.Abs. 21
Monica Palmirani von der Universität Bologna stellte ein Teilprojekt aus einem Komplex zur computergestützten Überprüfung der Datenschutz-Compliance von Unternehmen und Verwaltungen nach der DSGVO vor. Es handelte sich um die Entwicklung einer differenzierten Ontologie mit Werkzeugen aus dem standardisierten Bereich von LegalRuleML, für den auch visuelle Werkzeuge vorliegen. Die vorgestellte Ontologie nenne sich PRONTO. Im Gesamtprojekt würden Rechtsinformationen in maschinenlesbares Format gebracht und gesammelt. Dann würden sie in ein XML überführt, ausgelesen, und mit Struktur und Metadaten in der Darstellungsform „Akoma Ntoso" in einem LegalXML-Format repräsentiert. Davon würde eine weitere Repräsentation in einem LegalRuleML (Schreibweise für deontische Normen) erstellt. Letztlich solle eine Visualisierung im Semantischen Web entstehen, die zum Konzept „Legal Open Data" passe. Die Methode solle letztlich dazu dienen, DSGVO-Prüfungen einheitlich zu unterstützen. Ein DSGVO-konformer Compliance-Bericht für einen Audit könne Output sein, wenn an einem entsprechenden grafischen Editor die Ausgangssachverhalte eingestellt werden. Zur Vorbereitung dessen gehöre die im Referat vorgestellte Erstellung der fein gegliederten Ontologie mit ihren Objekten, Subobjekten, Attributen und Relationen zu den Regelungen und den Tatbestandsmerkmalen der DSGVO. Es würden externe Meinungen eingeholt, um die Ontologie auf Konsistenz und Praxistauglichkeit zu prüfen. Diese Prüfungen erfolgten durch Menschen „von Hand", aber auch durch Computer mittels SparQL-Queries.Abs. 22
Die Conclusio der Referentin war, dass die Ontologie PRONTO zusammen mit Prüfprozessoren zur Qualifizierung rechtlicher Daten und Dokumente diene. Der Musterfall sei ein Prüfschema von Datenschutzabläufen anhand der DSGVO, der Ansatz sei aber generisch. Juristische Ontologien würden nicht direkt zum Argumentieren genutzt. Dazu diene LegalXML, welches Ontologien voraussetze. Die Homepage http://sinatra.cirsfid.unibo.it/XSDocViewer/ scheint aktiv zu sein und Tools zu enthalten, welche das Ganze nutzbar macht und wohl am Ende auch „JA/NEIN"-Ergebnisse ausgeben kann. – Die Referentin wurde während der Sitzung zur nächsten W3C-Sitzung über Modelling von legalRuleML eingeladen.Abs. 23
Einer der Preisträger des LexisNexis-Wettbewerbs, Wouter van Haaften vom Leibniz Center for Law von der Uni Amsterdam zeigte den Blickwinkel normativer Systeme auf autonome Systeme, insbesondere auf das autonome Fahren unter dem Schlagwort „the future of driving". Ziel sei, meaningful human control „MHC" zu garantieren, also sinnvolle menschliche Kontrolle. Dies sei eine zentrale Anforderung der internationalen Straßenverkehrsabkommen und der meisten nationalen Zulassungsvorschriften. Die Ausgangsfrage sei, ob es eine Möglichkeit gebe, ein autonomes Auto zu bauen, das dennoch entsprechend der verkehrsrechtlichen Abkommen unter echter (sinnvoller) menschlicher Kontrolle ist. Diese Anforderung habe mehrere gestufte Voraussetzungen: Softwareprüfung vorab durch den Hersteller und durch die Zulassungsbehörde, Test im Simulator, Prüfungen bei der Zulassung und nach jedem Update, Zertifizierung des Herstellers, der Software und der Updates, Prüfung der Hardware, Prüfung der Funktionalität, regelbasierte zertifizierte Fahr-Software mit transparenten Algorithmen, sowie eine Festlegung wer hafte, wenn doch etwas passiere. Dazu komme die Forderung nach einer klaren Regelung, wie ein Insasse die Softwarefahrt notfalls beenden könne. Gefragt werde auch, wie lang alle Fahrdaten im Speicher vorgehalten würden und was durch wen ausgewertet werden dürfe, wenn es einen Unfall oder eine Notbremsung gegeben habe. Vermutlich würde auch vorgeschrieben, dass ein redundantes Steuersystem für den Fall des Ausfalls des Erstsystems bereitstehe. Haften werde im Schadensfall nicht der Fahrer, sondern primär der Softwarekontrolleur (Autohersteller) und sekundär der Softwarehersteller. Nur wenn so eine Haftungs- und Kontrollkette verlässlich bestünde, die auf einem menschlichen Verantwortlichen zurückzuführen sei, der primär hafte, könne die Zulassung des autonomen Systems (Autos, aber auch andere Maschinen) erfolgen.Abs. 24
Artikel 24 der DSGVO stellt nach Ansicht der Referenten Árpád Geréd und Galileo Fasching aus Wien viele derzeit nicht erfüllte Anforderungen für Mobilitätsdienste wie Taxi-Apps, Botendienste oder AirBnB. Solche Dienstleister vereinten zum Teil sehr aussagekräftige sensible Datenkategorien über ihre Kunden, wie Zahlungsmittel, Bewegungshistorien, Reiserouten, Präferenzen, Gesundheitsdaten bei Diensterbringungen wie Krankenfahrten oder Behindertentransporte, Mobiltelefonnummer, Mobiltelefonnummer des Taxifahrers, des Vermieters, Heimatadressen, Mailadressen, Sprachpräferenzen, individuelle Bewertungen, UStID etc. Viele Fragen seien offen, denn was die DSGVO bei solch sensiblen Daten fordere, betreffe unter anderem Fragen der datenschutzfreundlichen Voreinstellung (opt-in) bei Zustimmungserklärungen, die Kommunikation der Betroffenenrechte, eine Kommunikation über ausgelagerte Auftragsverarbeiter sowie eine Dokumentation der technischen und organisatorischen Maßnahmen zur Durchsetzung der Datenschutzrechtgrundsätze. Geréd wies darauf hin, dass auch schon vor der unmittelbaren Geltung der DSGVO das österreichische Datenschutzrecht ähnliche und ebenfalls unerfüllte Anforderungen an diese Dienstleister stelle. Als illustratives Beispiel für absichtlich online geteilte Bewegungsprofile zeigte der Referent eine Landkarte von Vancouver, die ein Radfahrer namens Lund mit einer App von Strava aufgehübscht hatte: http://www.cbc.ca/news/canada/british-columbia/stephen-lund-creates-gps-art-while-cycling-using-strava-app-1.3305859.Abs. 25
Alexander Utz hatte eine rechtliche Einordnung sogenannter „Taxi-Apps" erarbeitet. Als Grundsachverhalt bot er ein international tätiges Unternehmen ohne Niederlassung in Österreich an, welches ohne eigene Fahrzeuge online via App (in deutscher Sprache) in Österreich Fahrten an Endkunden vermitteln solle, also in etwa wie Uber. In Betracht komme die Einordnung als Taxi, Mietwagen, Gelegenheitsverkehr mit privaten oder gewerblichen Fahrern oder eine Wahrnehmung der Dienstleistungsfreiheit nach AEUV, weiterhin noch eine Einordnung als Reisebürogewerbe, sodass eine Gewerbeanmeldung in Österreich erforderlich sei. Eine „Uber"-Vorlageentscheidung (Vermittlung nur an private Fahrer) aus Spanien wurde vom EuGH unter dem Aktenzeichen C-434/15 in der Form entschieden, dass die Tätigkeit eine Verkehrsdienstleistung nach Artikel 58 Abs. 1 AEUV darstelle. So sei zwar keine direkte Anwendung von Artikel 56 AEUV möglich, aber von EU-Organen seien bisher für Verkehrsdienstleistungen nach Artikel 58 keine Sonderregelungen publiziert worden. § 373a der österreichischen Gewerbeordnung erlaube unter anderen als den dargestellten Umständen Online-Personenbeförderungsdienstleistungsvermittler („Mitfahrzentralen"), die vorübergehend und gelegentlich ihre Dienste anbieten. Der Referent wies zusätzlich darauf hin, dass nach österreichischem Recht ein Smartphone als „Taxameter" mangels Eichfähigkeit weder geeignet noch zulässig sei.Abs. 26
Über rechtliche Implikationen der Paypal-Nutzung im e-commerce berichtete Clemens Bernsteiner von der Universität Wien unter Hinweis auf die deutsche BGH-Entscheidung VII ZR 83/16 und VIII ZR 213/16 vom 22.11.2017 („Käuferschutzrichtlinie"). Diese erlaubte es dem Verkäufer, den Käufer auf Zahlung des Kaufpreises zu verklagen, obwohl nach der ebay-internen Käuferschutzrichtlinie bereits das Verkäuferkonto zugunsten des Käufers in Höhe des Kaufpreises rückbelastet worden war. Die Referenten prüften die Rechtslage nach dem österreichischen Zivilrecht nach und kamen zu dem Schluss, dass mit dogmatisch anders aufgebauter Begründung (ergänzende Vertragsauslegung und Theorie der realen Leistungsbewirkung) das gleiche Ergebnis herauskommen würde.Abs. 27
Alexander Konzelmann aus Stuttgart stellte Situationen dar, in denen Flüchtlinge in Lagern in Kenia und im Irak zum Zwecke der Erfassung durch Hilfswerke des UNHCR und des WFP mit staatlichem Einverständnis mobile IDs von GSMA-Mitgliedern wie Safaricom in Form von „kastrierten" SIM-Karten erhalten. Mit solchen IDs können sie dann über Apps Gutscheine für Nahrungsmittel aus örtlichen Märkten erhalten und auch registriert und gezählt werden. Flüchtlinge erreichten Europa des Öfteren zwar ohne Papiere, aber mit Mobiltelefonen mit individualisierenden Apps, zum Teil auch mit solchen von internationalen Hilfsorganisationen. Laut Publikationen von GSMA seien die Identifikationssysteme und damit verbundenen mobilen IDs auch eIDAS-konform gemäß der VO (EU) Nr. 910/2014; ein Test habe 2017 stattgefunden. Allerdings habe kein EU-Staat einen solchen Identifikationsdienst an die EU als Vertrauensdienst notifiziert. Daher bleibe die Anregung des Referenten weiterhin offen, zu prüfen, ob prekäre Registrierungen und ID-Zuteilungen für Flüchtlinge, die die EU betreten, nicht europaweit einheitlich an solchen bereits bestehenden mobilen IDs anknüpfen könnten, bis die innerstaatlichen Verfahren zur Zuteilung von Papieren greifen, z.B. durch eine weitere Aktualisierung der Verordnung Nr. 1030/2002 zur einheitlichen Gestaltung des Aufenthaltstitels. Gemäß einer Anmerkung aus dem Arbeitskreis sei der „Level of Trust" von den GSMA-mobile-IDs niedriger als nach eIDAS für eine eID erforderlich. Allerdings kann eIDAS-Konformität für die schlichte Erbringung von Vertrauensdiensten auf einem niedrigeren Level bestehen als für eine vollwertige maschinelle Identifizierung.Abs. 28
Im Arbeitskreis Science Fiction und Utopien berichtete Wolfgang Schinagl von der WKO Steiermark unter dem Rubrum "Ich-Virtualisierung" über Fragen, die sich mit potenziellen Auswirkungen von Verhalten und Erfahrung auf die Biologie befassten. Er erörterte, ob dies letztlich in Verbindung mit fortschreitenden technischen Möglichkeiten so weit führen könne, dass ein Upload des menschlichen Bewusstseins in einen Roboter bzw. in einen Teilbereich eines virtuellen Datenraums realisierbar würde. Er führte zu diesem Gedankenexperiment viele Beispiele aus Literatur, Filmkunst und der Philosophy of Mind an und gab Lesehinweise wie z.B. Philip K. Dick, Brian Aldiss und Max Tegmark.Abs. 29
Dazu passend äußerte sich Peter Lechner zum Thema "Computer sind lebendig". Sie erfüllten die Kennzeichen des Lebens durch Physis, Energieverbrauch und Metabolismus, Mobilität, Lebensdauer, Kontinuität und Selbstheilungsfähigkeiten sowie durch Reproduktion, denn ohne Computer könne man heute keine Computer mehr bauen. Computer hätten Sinnesorgane, hielten sich Haustiere (Maus, trojanisches Pferd, Virus), bekämen Krankheiten und fungierten als Partner fürs Leben. Ob Computer intelligent seien, lasse sich nicht entscheiden, weil es zu viele Definitionen von Intelligenz gebe. Ein klassischer IQ-Test scheitere am fehlenden feststellbaren „Lebensalter" eines Rechners scheitere. Den „Mimikry"-Turingtest als Chatbot habe jedenfalls bisher noch kein Computer bestanden. Daher fragte Lechner umgekehrt, ob denn das Gehirn (nur) ein Computer sei. Das würden aber Menschen (auch als Forscher) ungern zugeben, denn die bisherigen drei Kränkungen der Menschheit durch Kopernikus, Darwin und Freud seien genug. Die Kränkung durch Freud wurde folgendermaßen beschrieben: „Wir mussten erfahren, dass wir nicht Herr im eigenen Hirnkastl sind: getrieben durch Traumata und Hormone treiben wir hilflos durch die Welt, als Nahrungsgrundlage für Psychotherapeuten." Ob Computer Gefühle haben, könne man nicht sagen. Ob sie mathematische Algorithmen nicht nur anwenden, sondern auch „verstehen" könnten, stehe zu vermuten, denn immerhin sei die Verifikation der 4-Farben-Vermutung für Landkarten von Francis Guthrie aus dem Jahr 1832 erst mithilfe von Rechnern in einer Art „brute-force-Dialog" gelungen. Der Referent berichtete mit Bezug zur Rechtsinformatik, dass er das Internet mit seiner Erschließung durch Google durchaus als Computer bezeichne. Er habe in einer Testreihe viele Rechtsfragen an das österreichische Rechtsinformationssystem RIS gestellt und die erhaltenen Antworten mit den Antworten von Google zu denselben Anfragen verglichen. In 99 Prozent der Fälle ergäben sich dieselben Treffer. Daher vermutete er, dass eines Tages dem Ergebnis solcher juristischer Google-Recherchen selbst Rechtsqualität durch die Nutzer beigemessen werde ("Google-Law"). Lechner schloss seine Ausführungen zu Intelligenz und Lebendigkeit von Rechnern mit einem Zitat von Chip Maguire: „Die Computer sind unsere Kinder. Wir sollten stolz sein, wenn sie gescheiter sind als wir."Abs. 30

Fußnote:

(*) Dr. iur. Alexander Konzelmann ist Lektor beim Richard Boorberg Verlag, Stuttgart.

 
(online seit: 13.03.2018)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Konzelmann, Alexander, Tagungsbericht IRIS 2018 - JurPC-Web-Dok. 0037/2018