Das Internationale Rechtsinformatik Symposion IRIS fand von 25. bis 27. Februar 2016 in Salzburg zum 19. Mal statt und hat sich als bedeutende wissenschaftliche Tagung in Österreich und Mitteleuropa auf dem Gebiet der Rechtsinformatik einen festen Platz erobert. Der Schwerpunkt der Tagung lag im Informationsaustausch der führenden österreichischen und internationalen Rechtsinformatiker/innen über die rechtsdogmatischen, technischen, wirtschaftlichen, sozialen und philosophischen Fragestellungen des Rechts in der Wissensgesellschaft. Einige Referate – etwa zu internationalen e-Identitäten oder dem Diebstahl von Identitäten – wurden bereits in den letzten Ausgaben des PUBLICUS besprochen.

Hier folgen Besprechungen der weiteren Referate zum Thema elektronischer Rechtsverkehr in Deutschland sowie zum Spannungsfeld zwischen öffentlicher Sicherheit und privater Freiheit durch technische Fortschritte. Der Beitrag wird fortgesetzt.

Entwicklungen des ERV in Deutschland

Zum elektronischen Rechtsverkehr in Deutschland beantwortete Daniela Freiheit eingangs die Frage, wer sich um die Trends in der deutschen Justiz kümmere: der E-Justice-Rat, die BLK (Bund-Länder-Kommission für die Einführung der IT in der Justiz), darunter die Arbeitsgruppen ERV, Justizportal, IT-Standards und „Zukunft”. Die laut Gesetzgeber zu bearbeitenden Trends seien in Deutschland: e-Formulare, Anwaltspostfächer, Schutzschriftenregister, Zustellung gegen elektronisches Empfangsbekenntnis – wer 2018 ein besonderes elektronisches Anwaltspostfach nutze, brauche keine (andere) elektronische Signatur. Ab 2022 gelte die flächendeckende Öffnung des ERV (trotz gesetzlich noch möglicher opt-out-Klausel) für alle professionellen Einreicher. Falls jemand frage, ob dann die NSA alle Schriftsätze mitlesen dürfe, könne mit nein geantwortet werden. Seit 2005 gebe es die funktionierende Infrastruktur EGVP mit doppelter Verschlüsselung nach OSCI-Standard, 79000 Postfächer und 1,5 Mio. beförderte Nachrichten. Eine häufige weitere Frage laute, wie denn trotz doppelter Verschlüsselung der Adressat noch erkannt werden könne? Das tue kein Mensch, sondern eine „Intermediär”-Software, die den ersten Umschlag öffnen und den Empfänger erkennen könne, und in einem weiteren zweiten Umschlag dann die Nachricht an dessen Postfach weiterleite. Das elektronische Anwalts- und Verwaltungspostfach gelte nur für einen geschlossenen Nutzerkreis mit authentifizierten Nutzern mit gesicherten elektronischen Identitäten, die in einem zentralen Dienst („SAFE”-System) gespeichert seien. Die Anwendungen im Umkreis des EGVP verfügten über keine eigenen Nutzerverwaltungen, sondern alle Nachrichten gingen zuerst einmal in Kopie an SAFE, wo die Berechtigung zum Senden und Empfangen geprüft werde, bevor die Nachricht bearbeitet werde. Die Identität der registrierten Nutzer bestehe aus vier Datengruppen: Persönliche Daten (Format XJustiz), Nutzername plus Kennwort, Softwarezertifikat und Rolle (Rollen seien in SAFE definiert als Paare aus Rollentyp/Rollenwert). Derzeit arbeite das System nur für 144000 Nutzer aus dem Bereich RA, Notar, Gerichtsvollzieher, Bürger, Firmen, etc. Diese Bereiche bildeten jeweils eigene Daten„töpfe”, die nur in einem gemeinsamen Format gespeichert und durchsucht würden, aber die Rechte-Verifikationsstufen erfolgten vorab. Das „F” in „SAFE” heiße „föderiert”, das heißt, Notare, Rechtsanwälte und andere Gruppierungen prüfen die Gruppenzugehörigkeit jeweils für sich und das Ergebnis werde dann jeweils standardisiert in SAFE abgelegt. Für die gemeinsame Durchsuchbarkeit der Datensätze gebe es einen integrierten Suchservice.

Über das besondere elektronische Anwaltspostfach „beA” und seine Herausforderungen sprach Thomas Fenske von der deutschen Bundesrechtsanwaltskammer BRAK. – Das ERV-Gesetz verpflichte die BRAK zur Einrichtung dieser Postfächer für alle ca. 165000 zugelassenen Anwälte in Deutschland. Ende-zu-Ende-Verschlüsselung und zwei-Faktor-Authentifizierung (Besitz und Wissen) trügen zur Sicherheit bei. Termin zum Start wäre der 1. 1. 2016 gewesen. Aufgrund der Prognose mangelnder Akzeptanz in der Anwaltschaft wegen unzureichender Benutzerfreundlichkeit (u. a. bevorzugter Zugriff via Kanzleisoftware statt über Standardbrowser) und mangelnder Berücksichtigung anwaltlicher Besonderheiten (z. B. bei der Bearbeitung und Terminierung besonders großer Akten) sei der Termin bewusst nicht eingehalten worden, sondern es seien Nachbesserungen vor der verpflichtenden Einführung geplant, derzeit im Widerspruch zur gesetzlich vorgegebenen Frist. Ein zentrales Sicherheitsfeature sei das HSM (= Hardware-Security-Module), vier zentrale – physisch gesicherte – Geräte in unterschiedlichen Rechenzentren für die Identifikation jedes Anwalts mithilfe seiner individuellen Karte. Dieses prüfe stets, wer was aus einem Postfach lesen darf. Beim Anwalt selbst genüge hingegen ein Standard-Kartenlesegerät. Der neue Personalausweis habe leider kein ausreichendes Verschlüsselungs-Zertifikat, sodass er trotz Signaturfunktion mit qeS-Modul und Identifikationszertifikat nicht für die besonders sicheren Authentifikationswege der BRAK / BNotK eingesetzt werden könne. Es sei daher eine gesonderte Karte nötig, um erstmalig zum Postfach Zugang zu erhalten. Auf Frage von Ralf Hecksteden, ob es bereits eine Legaldefinition für „Ende-zu-Ende-Verschlüsselung” gebe, anwortete der Referent mit nein, denn ausführende Verordnungen seien zum Teil noch nicht erlassen. Der OSCI-Standard werde vermutlich eine der zugelassenen Methoden werden.

Die Rolle der Zertifizierungsstelle der Bundesnotarkammer als akkreditierter Zertifizierungsdiensteanbieter im Projekt „beA” (https://bea.bnotk.de/) war Thema bei Martin Davies. Teil 1 betraf technische Grundlagen, insbesondere die asymmetrische Verschlüsselung: ein privater geheimer Schlüssel verbleibe beim Inhaber, der öffentliche Schlüssel werde Bestandteil einer Public Key Infrastructure. Die Zuordnung des privaten Schlüssels zu einer Person erfolge durch ein Zertifikat einer Zertifizierungsstelle. So eine Zertifizierungsstelle sei dafür zuständig, bei jeder Benutzung den privaten Schlüssel auch zu validieren, d. h. die Zuordnung zum Inhaber zu bestätigen. Teil 2 behandelte die organisatorische Umsetzung: 31 von 43 zertifizierten Diensteanbietern hätten inzwischen den Dienst wieder eingestellt. Europaweite Ausschreibungsverfahren seien in einem solchen Projekt nicht erwünscht gewesen. Die BNotK betreibe daher in Kooperation mit der BRAK eine nicht outgesourcete eigene Institution mit der Zertifizierungsstelle in Köln, die ihrerseits regelmäßig vom TÜVIT zertifiziert werde. Die Kanzlei-Ausstattung mit Hardware und Zertifikaten koste mit den Produkten der BNotK pro Mitarbeiter zwischen 100 und 200 Euro. Die laufenden Kosten für Rechtsanwaltskarte und System betrügen jährlich mindestens 30 Euro für die Kartennutzung plus ca. 60 bis 70 Euro jährlich für die Systemnutzung.

Das Spannungsfeld „Sicherheit und Recht”

Im Arbeitskreis Sicherheit und Recht ging es um die Verschiebung der Bewertungen im Spannungsfeld zwischen öffentlicher Sicherheit und privater Freiheit durch technische Fortschritte und Vernetzungen. Den Beitrag zur Netzwerk Analyse und voraussagebasierter Polizeiarbeit – von einem reaktiven zu einem proaktiven Vorgehen der Polizei stellte Federico Costantini, Jurist von der Universität Udine aus Italien, vor und fragte unter dem Titel „Network Analysis and «Predictive Policing»: Towards a «Profiling Society”, ob wir uns in Richtung einer Profiling Gesellschaft entwickelten. Gewisse Problemkonstellationen könnten erwachsen aus Netzwerkanalysen und voraussagebasierter Polizeiarbeit. Denn dabei gehe es nicht nur um Beobachtung, Überwachung und Aufrechterhaltung einer Ordnung, sondern um technologische Herausforderungen, die vor kurzem noch Science Fiction gewesen wären und die eine besonders intensive Kontrolle des Staates über Bürger verursachten und deshalb im Sinne der Grundrechte besonders genaues Hinsehen erforderten. Er verwies auf den Fall Bayout aus 2009: ein verurteilter Straftäter wurde früher entlassen, weil er genetisch auf einen frühen Tod prädisponiert war. Könne man so etwas auch umgekehrt (zulasten von Tätern) anwenden? Prädiktive Polizeiarbeit funktioniere, sei effektiv und könne Kosten sparen. Erfolge resultierten aus z. B. Netzwerkanalysen. Die Effektivität begründete der Referent z. B. damit, dass Polizeisoftware in Mailand Aufklärungsraten bei Diebstählen merklich erhöht habe. Aber sie bringe auch Nachteile, vor allem für die persönlichen Freiheiten. Dazu gab es ein fiktives Beispiel: Jemand habe gefährliche Gegenstände gekauft, Hasskommentare auf Facebook geliked, treffe sich regelmäßig mit bekannten Straftätern und habe online Kontakte zu als gefährlich eingestuften Personen. Ein Algorithmus habe ausgerechnet, dass er wahrscheinlich demnächst eine bestimmte Person schädigen werde. Sei dies eine Voraussage, eine Vermutung, gar Wissen, oder noch gar nichts von alldem? – Könne man mit diesem Wissen zu einem Richter gehen und einen Durchsuchungs- oder Haftbefehl beantragen? Liege eine Art „Anscheinsbeweis” vor, den z. B. der Verdächtige entkräften müsse? Europäische Vorschriften verböten in gewissen Konstellationen automatische Entscheidungen nur auf der Grundlage von Daten über Personen. Diese Rechtsordnung verbiete also zu weit gehende Rechtsfolgen auf der Grundlage von Netzwerkanalysen. Es gebe zeitgenössische Philosophen (Luciano Floridi), die forderten, dass man Informationen als Teil der Realität verstehe und so könne man Informationen als Fakten ansehen, die eine polizeiliche Reaktion rechtfertigten. Der Referent wendete sich gegen eine solche Einordnung. Denn wenn es Sanktionen gebe, ohne dass ein actus reo oder eine mens rea erwiesen sind (Unschuldsvermutung), dann werde die Existenz des freien Willens verneint. Dies sei zumindest im Ergebnis abzulehnen.

Hinweis der Redaktion: Die Besprechung der weiteren Referate zum Thema „Spannungsfeld zwischen öffentlicher Sicherheit und privater Freiheit” sowie zu weiteren Themenbereichen – erfolgt abschließend in den kommenden Ausgaben des PUBLICUS.