Tagungsbericht IRIS 2018 Teil 3
Tagungsbericht IRIS 2018 Teil 3
Dies ist die Fortsetzung des Beitrags Tagungsbericht IRIS 2018 Teil 1 und Teil 2
StGB und Forschungsfreiheit
Christoph Sorge und Jochen Krüger stellten die Frage, ob sie sich als IT-Sicherheitsforscher im Helmholtz-Zentrum selbst durch ihre Forschungsarbeiten strafbar machen können. Die Feststellung der Verbreitung von Sicherheitslücken durch Scannen großer Netzbereiche, das Ausbringen von sogenannten Honeypots, die Entwicklung von Werkzeugen zum Auffinden und Demonstrieren von Sicherheitslücken erzeugten Konfliktpotenzial im Datenschutzrecht und Strafrecht. Betrachtet wurde konkret die strafrechtliche Komponente der Fragestellung. § 202c des deutschen StGB als eine der Umsetzungen der Cybercrime Convention sanktioniere auch das reine Vorbereiten des Ausspähens und Abfangens von Daten. Das BVerfG habe die entsprechende Verfassungsbeschwerde von Forschern gegen die befürchtete Verunmöglichung der IT-Sicherheitsforschung als unzulässig verworfen und auf die verfassungskonforme Auslegung der Strafnorm im Lichte der Wissenschaftsfreiheit verwiesen. Auch die Erwägungsgründe der DSGVO nähmen die Forschungstätigkeit an einigen Stellen von der Tatbestandsmäßigkeit aus. Allerdings fordere Artikel 35 der DSGVO (Folgeabschätzungspflicht) laut den Referenten auch die vermehrte Einschaltung von Ethikkommissionen und Compliance-Modulen an Universitäten, um die strafrechtlichen Bedenken teilweise zu reduzieren; auch wenn Strafrecht und Ethik unterschiedliche Perspektiven haben, könnte doch ein positives Vorab-Votum einer Ethikkommission zumindest zu einem unvermeidbaren Verbotsirrtum der Forscher führen. Bisher habe es in den zehn Jahren seit seiner Einführung übrigens noch kein publiziertes Urteil zu § 202c StGB bei Forschungsarbeiten gegeben.
EDV-gestützte Compliance-Prüfung
Monica Palmirani von der Universität Bologna stellte ein Teilprojekt aus einem Komplex zur computergestützten Überprüfung der Datenschutz-Compliance von Unternehmen und Verwaltungen nach der DSGVO vor. Es handelte sich um die Entwicklung einer differenzierten Ontologie mit Werkzeugen aus dem standardisierten Bereich von LegalRuleML, für den auch visuelle Werkzeuge vorliegen. Die vorgestellte Ontologie nenne sich PRONTO. Im Gesamtprojekt würden Rechtsinformationen in maschinenlesbares Format gebracht und gesammelt. Dann würden sie in ein XML überführt, ausgelesen, und mit Struktur und Metadaten in der Darstellungsform »Akoma Ntoso« in einem LegalXML-Format repräsentiert. Davon würde eine weitere Repräsentation in einem LegalRuleML (Schreibweise für deontische Normen) erstellt. Letztlich solle eine Visualisierung im Semantischen Web entstehen, die zum Konzept »Legal Open Data« passe. Die Methode solle letztlich dazu dienen, DSGVO-Prüfungen einheitlich zu unterstützen. Ein DSGVO-konformer Compliance-Bericht für einen Audit könne Output sein, wenn an einem entsprechenden grafischen Editor die Ausgangssachverhalte eingestellt werden. Zur Vorbereitung dessen gehöre die im Referat vorgestellte Erstellung der fein gegliederten Ontologie mit ihren Objekten, Subobjekten, Attributen und Relationen zu den Regelungen und den Tatbestandsmerkmalen der DSGVO. Es würden externe Meinungen eingeholt, um die Ontologie auf Konsistenz und Praxistauglichkeit zu prüfen. Diese Prüfungen erfolgten durch Menschen »von Hand«, aber auch durch Computer mittels SparQL-Queries.
Die Conclusio der Referentin war, dass die Ontologie PRONTO zusammen mit Prüfprozessoren zur Qualifizierung rechtlicher Daten und Dokumente diene. Der Musterfall sei ein Prüfschema von Datenschutzabläufen anhand der DSGVO, der Ansatz sei aber generisch. Juristische Ontologien würden nicht direkt zum Argumentieren genutzt. Dazu diene LegalXML, welches Ontologien voraussetze. Die Homepage http://sinatra.cirsfid.unibo.it/XSDocViewer/ scheint aktiv zu sein und Tools zu enthalten, welche das Ganze nutzbar machen und wohl am Ende auch »JA/NEIN«-Ergebnisse ausgeben kann. – Die Referentin wurde während der Sitzung zur nächsten W3C-Sitzung über Modelling von LegalRuleML eingeladen.
Verantwortungsvolle Roboter
Einer der Preisträger des LexisNexis-Wettbewerbs, Wouter van Haaften vom Leibniz Center for Law von der Uni Amsterdam zeigte den Blickwinkel normativer Systeme auf autonome Systeme, insbesondere auf das autonome Fahren unter dem Schlagwort »the future of driving«. Ziel sei, meaningful human control »MHC« zu garantieren, also sinnvolle menschliche Kontrolle. Dies sei eine zentrale Anforderung der internationalen Straßenverkehrsabkommen und der meisten nationalen Zulassungsvorschriften. Die Ausgangsfrage sei, ob es eine Möglichkeit gebe, ein autonomes Auto zu bauen, das dennoch entsprechend der verkehrsrechtlichen Abkommen unter echter (sinnvoller) menschlicher Kontrolle ist. Diese Anforderung habe mehrere gestufte Voraussetzungen: Softwareprüfung vorab durch den Hersteller und durch die Zulassungsbehörde, Test im Simulator, Prüfungen bei der Zulassung und nach jedem Update, Zertifizierung des Herstellers, der Software und der Updates, Prüfung der Hardware, Prüfung der Funktionalität, regelbasierte zertifizierte Fahr-Software mit transparenten Algorithmen, sowie eine Festlegung wer hafte, wenn doch etwas passiere. Dazu komme die Forderung nach einer klaren Regelung, wie ein Insasse die Softwarefahrt notfalls beenden könne. Gefragt werde auch, wie lang alle Fahrdaten im Speicher vorgehalten würden und was durch wen ausgewertet werden dürfe, wenn es einen Unfall oder eine Notbremsung gegeben habe. Vermutlich würde auch vorgeschrieben, dass ein redundantes Steuersystem für den Fall des Ausfalls des Erstsystems bereitstehe. Haften werde im Schadensfall nicht der Fahrer, sondern primär der Softwarekontrolleur (Autohersteller) und sekundär der Softwarehersteller. Nur wenn so eine Haftungs- und Kontrollkette verlässlich bestünde, die auf einem menschlichen Verantwortlichen zurückzuführen sei, der primär hafte, könne die Zulassung des autonomen Systems (Autos, aber auch andere Maschinen) erfolgen.
Datenschutz versus Bequemlichkeit
Artikel 24 der DSGVO stellt nach Ansicht der Referenten Árpád Geréd und Galileo Fasching aus Wien viele derzeit nicht erfüllte Anforderungen für Mobilitätsdienste wie Taxi-Apps, Botendienste oder AirBnB. Solche Dienstleister vereinten zum Teil sehr aussagekräftige sensible Datenkategorien über ihre Kunden, wie Zahlungsmittel, Bewegungshistorien, Reiserouten, Präferenzen, Gesundheitsdaten bei Diensterbringungen wie Krankenfahrten oder Behindertentransporte, Mobiltelefonnummer, Mobiltelefonnummer des Taxifahrers, des Vermieters, Heimatadressen, Mailadressen, Sprachpräferenzen, individuelle Bewertungen, UStID etc. Viele Fragen seien offen, denn was die DSGVO bei solch sensiblen Daten fordere, betreffe unter anderem Fragen der datenschutzfreundlichen Voreinstellung (opt-in) bei Zustimmungserklärungen, die Kommunikation der Betroffenenrechte, eine Kommunikation über ausgelagerte Auftragsverarbeiter sowie eine Dokumentation der technischen und organisatorischen Maßnahmen zur Durchsetzung der Datenschutzrechtsgrundsätze. Geréd wies darauf hin, dass auch schon vor der unmittelbaren Geltung der DSGVO das österreichische Datenschutzrecht ähnliche und ebenfalls unerfüllte Anforderungen an diese Dienstleister stelle. Als illustratives Beispiel für absichtlich online geteilte Bewegungsprofile zeigte der Referent eine Landkarte von Vancouver, die ein Radfahrer namens Lund mit einer App von Strava aufgehübscht hatte: http://www.cbc.ca/news/canada/british-columbia/stephen-lund-creates-gps-art-while-cycling-using-strava-app-1.3305859.
Alexander Utz hatte eine rechtliche Einordnung sogenannter »Taxi-Apps« erarbeitet. Als Grundsachverhalt bot er ein international tätiges Unternehmen ohne Niederlassung in Österreich an, welches ohne eigene Fahrzeuge online via App (in deutscher Sprache) in Österreich Fahrten an Endkunden vermitteln solle, also in etwa wie Uber. In Betracht komme die Einordnung als Taxi, Mietwagen, Gelegenheitsverkehr mit privaten oder gewerblichen Fahrern oder eine Wahrnehmung der Dienstleistungsfreiheit nach AEUV, weiterhin noch eine Einordnung als Reisebürogewerbe, sodass eine Gewerbeanmeldung in Österreich erforderlich sei. Eine »Uber«-Vorlageentscheidung (Vermittlung nur an private Fahrer) aus Spanien wurde vom EuGH unter dem Aktenzeichen C-434/15 in der Form entschieden, dass die Tätigkeit eine Verkehrsdienstleistung nach Artikel 58 Abs. 1 AEUV darstelle. So sei zwar keine direkte Anwendung von Artikel 56 AEUV möglich, aber von EU-Organen seien bisher für Verkehrsdienstleistungen nach Artikel 58 keine Sonderregelungen publiziert worden. § 373a der österreichischen Gewerbeordnung erlaube unter anderen als den dargestellten Umständen Online-Personenbeförderungsdienstleistungsvermittler (»Mitfahrzentralen«), die vorübergehend und gelegentlich ihre Dienste anbieten. Der Referent wies zusätzlich darauf hin, dass nach österreichischem Recht ein Smartphone als »Taxameter« mangels Eichfähigkeit weder geeignet noch zulässig sei.
Über rechtliche Implikationen der Paypal-Nutzung im e-commerce berichtete Clemens Bernsteiner von der Universität Wien unter Hinweis auf die deutsche BGH-Entscheidung VII ZR 83/16 und VIII ZR 213/16 vom 22.11.2017 (»Käuferschutzrichtlinie«). Diese erlaubte es dem Verkäufer, den Käufer auf Zahlung des Kaufpreises zu verklagen, obwohl nach der ebay-internen Käuferschutzrichtlinie bereits das Verkäuferkonto zugunsten des Käufers in Höhe des Kaufpreises rückbelastet worden war. Die Referenten prüften die Rechtslage nach dem österreichischen Zivilrecht nach und kamen zu dem Schluss, dass mit dogmatisch anders aufgebauter Begründung (ergänzende Vertragsauslegung und Theorie der realen Leistungsbewirkung) das gleiche Ergebnis herauskommen würde.
Alexander Konzelmann aus Stuttgart stellte Situationen dar, in denen Flüchtlinge in Lagern in Kenia und im Irak zum Zwecke der Erfassung durch Hilfswerke des UNHCR und des WFP mit staatlichem Einverständnis mobile IDs von GSMA-Mitgliedern wie Safaricom in Form von »kastrierten« SIM-Karten erhalten. Mit solchen IDs können sie dann über Apps Gutscheine für Nahrungsmittel aus örtlichen Märkten erhalten und auch registriert und gezählt werden. Flüchtlinge erreichten Europa des Öfteren zwar ohne Papiere, aber mit Mobiltelefonen mit individualisierenden Apps, zum Teil auch mit solchen von internationalen Hilfsorganisationen. Laut Publikationen von GSMA seien die Identifikationssysteme und damit verbundenen mobilen IDs auch eIDAS-konform gemäß der VO (EU) Nr. 910/2014; ein Test habe 2017 stattgefunden. Allerdings habe kein EU-Staat einen solchen Identifikationsdienst an die EU als Vertrauensdienst notifiziert. Daher bleibe die Anregung des Referenten weiterhin offen, zu prüfen, ob prekäre Registrierungen und ID-Zuteilungen für Flüchtlinge, die die EU betreten, nicht europaweit einheitlich an solchen bereits bestehenden mobilen IDs anknüpfen könnten, bis die innerstaatlichen Verfahren zur Zuteilung von Papieren greifen, z.B. durch eine weitere Aktualisierung der Verordnung Nr. 1030/2002 zur einheitlichen Gestaltung des Aufenthaltstitels. Gemäß einer Anmerkung aus dem Arbeitskreis sei der »Level of Trust« von den GSMA-mobile-IDs niedriger als nach eIDAS für eine eID erforderlich. Allerdings kann eIDAS-Konformität für die schlichte Erbringung von Vertrauensdiensten auf einem niedrigeren Level bestehen als für eine vollwertige maschinelle Identifizierung.
Lebendige Computer
Im Arbeitskreis Science Fiction und Utopien berichtete Wolfgang Schinagl von der WKO Steiermark unter dem Rubrum »Ich-Virtualisierung« über Fragen, die sich mit potenziellen Auswirkungen von Verhalten und Erfahrung auf die Biologie befassten. Er erörterte, ob dies letztlich in Verbindung mit fortschreitenden technischen Möglichkeiten so weit führen könne, dass ein Upload des menschlichen Bewusstseins in einen Roboter bzw. in einen Teilbereich eines virtuellen Datenraums realisierbar würde. Er führte zu diesem Gedankenexperiment viele Beispiele aus Literatur, Filmkunst und der Philosophy of Mind an und gab Lesehinweise wie z.B. Philip K. Dick, Brian Aldiss und Max Tegmark.
Dazu passend äußerte sich Peter Lechner zum Thema »Computer sind lebendig«. Sie erfüllten die Kennzeichen des Lebens durch Physis, Energieverbrauch und Metabolismus, Mobilität, Lebensdauer, Kontinuität und Selbstheilungsfähigkeiten sowie durch Reproduktion, denn ohne Computer könne man heute keine Computer mehr bauen. Computer hätten Sinnesorgane, hielten sich Haustiere (Maus, trojanisches Pferd, Virus), bekämen Krankheiten und fungierten als Partner fürs Leben. Ob Computer intelligent seien, lasse sich nicht entscheiden, weil es zu viele Definitionen von Intelligenz gebe. Ein klassischer IQ-Test scheitere am fehlenden feststellbaren »Lebensalter« eines Rechners. Den »Mimikry«-Turingtest als Chatbot habe jedenfalls bisher noch kein Computer bestanden. Daher fragte Lechner umgekehrt, ob denn das Gehirn (nur) ein Computer sei. Das würden aber Menschen (auch als Forscher) ungern zugeben, denn die bisherigen drei Kränkungen der Menschheit durch Kopernikus, Darwin und Freud seien genug. Die Kränkung durch Freud wurde folgendermaßen beschrieben: »Wir mussten erfahren, dass wir nicht Herr im eigenen Hirnkastl sind: getrieben durch Traumata und Hormone treiben wir hilflos durch die Welt, als Nahrungsgrundlage für Psychotherapeuten.« Ob Computer Gefühle haben, könne man nicht sagen. Ob sie mathematische Algorithmen nicht nur anwenden, sondern auch »verstehen« könnten, stehe zu vermuten, denn immerhin sei die Verifikation der 4-Farben-Vermutung für Landkarten von Francis Guthrie aus dem Jahr 1832 erst mithilfe von Rechnern in einer Art »brute-force-Dialog« gelungen. Der Referent berichtete mit Bezug zur Rechtsinformatik, dass er das Internet mit seiner Erschließung durch Google durchaus als Computer bezeichne. Er habe in einer Testreihe viele Rechtsfragen an das österreichische Rechtsinformationssystem RIS gestellt und die erhaltenen Antworten mit den Antworten von Google zu denselben Anfragen verglichen. In 99 Prozent der Fälle ergäben sich dieselben Treffer. Daher vermutete er, dass eines Tages dem Ergebnis solcher juristischer Google-Recherchen selbst Rechtsqualität durch die Nutzer beigemessen werde (»Google-Law«). Lechner schloss seine Ausführungen zu Intelligenz und Lebendigkeit von Rechnern mit einem Zitat von Chip Maguire: »Die Computer sind unsere Kinder. Wir sollten stolz sein, wenn sie gescheiter sind als wir.«
Alexander Konzelmann, Februar 2018