Tagungsbericht IRIS 2017 (Teil 1)
Tagungsbericht IRIS 2017 (Teil 1)
Von 23. bis 25. Februar fand in Salzburg im Juridicum der Universität zum nunmehr zwanzigsten Mal das Internationale Rechtsinformatik Symposion (IRI§) statt. Der herausragende Aspekt dieser Veranstaltung ist die unmittelbare Verknüpfung von Praxis und Theorie in Präsentationen und Vorträgen zu allen aktuellen Entwicklungen im Bereich Computer, Internet und Recht. Die Beiträge sind in englischer oder deutscher Sprache und parallel zur Veranstaltung erscheint bereits der umfangreiche gedruckte Tagungsband mit den diesjährigen Referaten in ausformulierter Fassung. Denn auch Rechtsinformatiker wissen: was man schwarz auf weiß besitzt, kann man getrost nach Hause tragen, obwohl der Server der Weblaw AG die Dokumente auch komplett online vorhält (http://jusletter-it.weblaw.ch/issues/2017/IRIS).
Das Organisationsteam mit Erich Schweighofer, Dietmar Jahnel, Friedrich Lachmayer und Peter Mader an der Spitze gab das Motto „Trends und Communities der Rechtsinformatik“ vor, worunter insbesondere die Communities von vielen Referenten dankbar als Anknüpfungspunkt ihrer Betrachtungen und Werkstattberichte aufgenommen wurde. In bis zu sieben parallelen Sessionen wurden weit über 100 Kurzreferate mit Diskussionsteil zu aktuellen Entwicklungen gehalten, die den Bereichen e-Government, e-Democracy, LEFIS (internationales Rechtsschulennetzwerk), e-Procurement, Science Fiction, Rechtsvisualisierung, e-Commerce, Rechts- und Wissenschaftstheorie, Datenschutz, Urheberrecht, Cybersecurity und Informationssysteme gruppenweise zugeordnet waren. Dabei war kennzeichnend, dass einerseits neue Denkansätze auf ihre praktische Relevanz als Hilfsmittel im Rechtsalltag abgeklopft wurden, andererseits neue „Gadgets“ stets auf ihre Konformität mit den vorgefundenen rechtlichen Rahmenbedingungen (auch die Puppe Cayla). Praktikabilität und Compliance sind – außer „Neuheit“ – die Hauptpunkte, auf welcher die Rechtsinformatik-Community den Akzent legt. Der Tagungsbericht beinhaltet eine sehr subjektive Auswahl der angebotenen Live-Vorträge und gibt diese holzschnittartig reduziert wieder.
Datenschutz
Georg Borges von der Universität Saarbrücken übernahm 2017 den zentralen Plenarvortrag. In diesem ging er auf die Potenziale für den praxisgerechten Grundrechtsschutz ein, welche der neuen EU-Datenschutz-Grundverordnung (DSGVO) innewohnen. Die DSGVO stelle einen Meilenstein in der Entwicklung des Datenschutzrechts dar, da sie unmittelbar anwendbares einheitliches Datenschutzrecht für die gesamte Union bringe. Inhaltlich stehe sie in der Tradition der Europäischen Datenschutz-Richtlinie von 1995 und verzichte weitgehend auf umfassende Reformen des Datenschutzrechts. Zu den innovativen Elementen der DSGVO hingegen gehöre die Regelung zur Zertifizierung, die nach Aussage des Referenten ohne Vorbild sei. Die Datenschutz-Zertifizierung sei für moderne Formen der Datenverarbeitung wie Cloud Computing von besonderer Bedeutung. Der Beitrag zeigte, wie die Zertifizierung ablaufen wird. Die typisierte Fallkonstellation sei wie folgt: Wenn ein Cloud-Nutzer, z.B. eine Bank, beim Cloud-Anbieter, z.B. amazon web services, Daten seiner Kunden verarbeiten lässt, dann haben die Kunden der Bank keine Vertragsbeziehung zum Anbieter des Cloudservice und deren Datenschutzinteressen müssen folglich vom Cloud-Nutzer gewahrt werden.
Der Referent hob folgende Regelungen der DSGVO zur Zertifizierung hervor: Artikel 32 Absatz 1 (Verarbeitungssicherheit), Artikel 28 Abs. 1 (Pflicht zur Auswahl eines geeigneten Auftragsverarbeiters) und Artikel 43 (Ermächtigung der Kommission zum Erlass von Regeln über Prüfung und Zertifizierung). Bisher gebe es keine gesetzlichen Regelungen über die Qualifikation der Prüfstellen und Zertifizierer und deren Akkreditierung; daher sei es angemessen, in der Zwischenzeit solche Verfahrensregelungen zum Vertragsinhalt mit den Diensteanbietern zu machen. Immerhin regle aber Artikel 28 Absatz 5 der DSGVO, dass zum Nachweis hinreichender Garantien Verhaltensregelungen und Zertifizierungsverfahren herangezogen werden können. – § 11 Abs. 2 Sätze 1 und 4 des deutschen BDSG statuiere in solchen Konstellationen hingegen noch eine Pflicht zur Kontrolle (vor Ort) mit Ergebnisdokumentation. Eine solche Pflicht zum „Prüftourismus“ sei heute z.B. gegenüber SAP oder Microsoft für alle Nutzer von deren Cloud-Diensten allerdings nicht mehr besonders funktional bzw. praktisch unerfüllbar. An dieser Stelle könne eine Zertifizierung, wie sie die DSGVO vorsehe, einen praktikablen Ersatz bieten: Wenn eine unabhängige Instanz den Serviceanbieter nach allen Regeln der Kunst überprüft und darüber ein vertrauenswürdiges Zertifikat ausgestellt habe, dann könnten die einfachen Nutzer das Zertifikat abrufen und sich darauf verlassen, um insofern ihrer Schutzpflicht für die Datenschutzinteressen ihrer Kunden zu genügen. Dieses Konzept liege der DSGVO zugrunde. Fraglich sei, ob denn das ausgestellte Zertifikat alle gesetzlichen Pflichten aus DSGVO und auch nach nationalen Datenschutzgesetzen abbilde und ob die Prüfung selbst wirklich im Detail gewährleiste, dass die praktische Umsetzung der Datenschutzanforderungen erfüllt sei, technisch ebenso wie in der Qualifikation und der Unabhängigkeit der Zertifizierer.
Ein Pilot-Projekt „Datenschutz-Zertifizierung für Cloud-Dienste“ (2015, www.tcdp.de) habe zum Beispiel erwiesen, dass die Zertifizierung modular ablaufen müsse, um redundante Prüfungen – ohne Qualitätsabstriche – zu vermeiden. Weiterhin habe sich gezeigt, dass je nach Sensibilität der zu verarbeitenden Daten und der Art der Verarbeitung unterschiedliche Schutzklassen angemessen seien, in welche die Aufträge jeweils korrekt eingestuft werden müssen. Demgemäß sei es korrekt, Zertifikate nach Schutzklassen gestaffelt zu erteilen. Drittens sei es sinnvoll, auf internationale Standards im Wege gezielter (ausschnittweiser) dynamischer Verweisungen zurückzugreifen , insbesondere auf die Datenschutzanforderungen in ISO/IEC 27002, 27017 und 27018, die sich innerhalb von Zertifizierungen nach ISO/IEC 27001 bewährt hätten. Ausformulierte und als verbindlich publizierte Prüfstandards auf Grundlage der DSGVO gebe es bisher nicht, sie seien aber ein wichtiges Desiderat, um die Verordnung effektiv zu machen; bis dahin fehle es noch an einem vollwertigen Ersatz zum unpraktikablen „Prüftourismus“.
Borges verglich die DSGVO mit der Hamburger Elbphilharmonie und bezog sich dabei auf die anfängliche Euphorie ab 2005, die mannigfaltigen Entwurfsversionen, auf 4000 Änderungswünsche im EU-Parlament, von denen 200 substantielle intensiv behandelt wurden und darauf, dass Stolz und Freude, als die DSGVO über zehn Jahre später verabschiedet wurde, ähnlich groß gewesen seien wie bei der Eröffnung des vielzipfligen Musiktempels in der Hansestadt.
Michael Bohne von der FH Dortmund berichtete über die Geschichte des Datenschutzrechts und über Aktualität der alten Argumente für heutige Diskussionen. Er scherzte, erfahrungsgemäß sei das Thema „Ethik und Recht“ bei BWLern schwierig und bei Juristen unmöglich. Er berichtete, dass viele frühe namhafte Datenschutz-Koryphäen aus anderen Fachbereichen zur Juristerei gekommen waren, durchaus auch Theologen und Mathematiker. Die Privatsphäre als Anknüpfungspunkt des Schutzbedürfnisses sei bereits seit 1970 in den Mittelpunkt der Diskussion gerückt. Bereits Steinmüller habe den Anknüpfungspunkt für eine Art informationelles Selbstbestimmungsrecht in einem Gutachten in Artikel 2 GG gesehen und Simitis habe schon 1977 gefordert, dass Computer vergessen können müssen. Die Frage um den exakten Schutzgegenstand bestimme auch heute noch die Diskussionen um Zweck und Grenzen des Datenschutzes.
Datenbanken
Beate Glück vom Hauptverband der österreichischen Sozialversicherungsträger beleuchtete Granularität und Funktionalität der öffentlichen RIS-Rechtsdatenbanken, insbesondere die Abbildung von sogenannten Zeitschichten im Vorschriftenportal. Dabei legte sie Wert auf die Abgrenzung von Inkrafttretensregelungen mit und ohne Rückwirkung einerseits und Beschluss- und Verkündungsdaten andererseits. Es gebe nicht nur Stichtage, sondern auch „Sichttage“. Wenn z.B. § 8 ASVG von unterschiedlichen Änderungsgesetzen viermal nacheinander jeweils „zum 1.1.2014“ geändert worden sei, dann halte das RIS zwar vier Versionen dieses Paragraphen mit dem Inkrafttretensdatum 1.1.2014 vor, um dem Nutzer die legislative Entwicklung zu zeigen. Aber es wurde von der Rednerin als weiterer Wunsch geäußert, auch das effektive Verkündungsdatum von Novellen in der Datenbank abfragefähig zu hinterlegen, sodass eine Suchmaske auch die vorläufig noch „unsichtbaren“ Zwischenversionen je nach Betrachtungszeitpunkt zeigen kann. Auf diese Weise könne z.B. einem Vorwurf der Falschberatung begegnet werden, wenn zum Beratungszeitpunkt die fragliche Änderung noch nicht publiziert worden war. Auch die Darstellung von Versionen zu Paragraphen, die unter einer – noch nicht eingetretenen – Bedingung erlassen wurden, mit dem Metadatum „In Kraft ab 01.01.9000“ wurde thematisiert.
Felix Gantner von Infolex.at proklamierte eine Entwicklung im Bereich der Rechtsinformationen von der Anwendung zum „Legal GPS“, denn juristische Volltextdatenbanken hätten sich als Standardwerkzeug für die juristische Arbeit zwar erfolgreich etabliert. Durch die große Zahl der angebotenen Dokumente sinke jedoch die Präzision der Recherche. Zusätzlich bringe die technische Entwicklung im Bereich der Smartphones und Tablets das Konzept der textorientierten Anwendung in Bedrängnis. Deshalb wollte der Referent andere Möglichkeiten diskutieren, die eine automatisierte Analyse und Bearbeitung der Verweis- und Netzwerkstrukturen sowie der Begriffsnetzwerke juristischer Dokumente biete, um alternative Darstellungsformen und Benutzerschnittstellen für Rechtsdatenbanken zu entwickeln. Als prototypische Beispiele stellte er eine Art Navigationssystem durch eine „Sachverhaltslandschaft“ einerseits und durch eine – andere Begrifflichkeiten hervorhebende – „Rechtsanwendungslandschaft“ andererseits im Sinne gerichteter Graphen aus einer Graphendatenbank vor.
Hinweis der Redaktion: Die Besprechungen weiterer Referate – etwa zur eIDAS-Verodnung zu dem Themenbereich „e-Government“, den Themenbereichen „e-Commerce und Urheberrecht“ sowie „e-Justice“ und schließlich zu aktuellen Fragen aus dem Bereich „Rechtstheorie“ – erfolgen in einem zweiten Teil des Veranstaltungsberichts.