Tagungsbericht IRIS 2018 Teil 1
Tagungsbericht IRIS 2018 Teil 1
Von 22. bis 24. Februar 2018 fand in Salzburg im Juridicum der Universität das 21. Internationale Rechtsinformatik Symposion (IRI§) statt. Hervorzuheben an dieser Veranstaltung ist die unmittelbare Verknüpfung von Praxis und Theorie in Präsentationen, Podiumsdiskussionen und Vorträgen zu allen aktuellen Entwicklungen im Bereich Computer, Internet und Recht. Die Beiträge sind in englischer oder deutscher Sprache abgefasst. Parallel zur Veranstaltung erscheint der massive Tagungsband mit den diesjährigen Referaten. Passend zum Topos Informatik existieren aber auch elektronische Versionen aller Beiträge, teilweise sogar Podcasts; hierum kümmert sich traditionell die Weblaw AG.
Das über 70-köpfige Programmkomitee mit Erich Schweighofer, Franz Kummer, Ahti Saarenpää und Burkhard Schafer an der Spitze gab das Generalthema »Datenschutz/LegalTech« vor. Viele Referenten nahmen dies als Anknüpfungspunkt ihrer Betrachtungen und Werkstattberichte. In bis zu sieben parallelen Sessionen wurden weit über 100 Kurzreferate mit Diskussionsteil zu aktuellen Entwicklungen gehalten. Daher könnte selbst ein idealer Live-Tagungsbericht nur etwa 17 Prozent der Inhalte abdecken. Die Referate waren jeweils gruppenweise Session-Bereichen zugeordnet wie e-government, e-democracy, IT-Recht, e-procurement, Science Fiction, Rechtsvisualisierung, e-commerce, Rechtstheorie, Datenschutz, Urheberrecht, Cybersecurity und Informationssysteme. Hierbei bleibt kennzeichnend, dass einerseits neue Denkansätze auf ihre praktische Relevanz als Hilfsmittel im Rechtsalltag kritisch beäugt wurden; andererseits wurden aktuelle »Gadgets« stets auf ihre Konformität mit den vorgefundenen rechtlichen Rahmenbedingungen abgeklopft. Praktikabilität und Compliance sind – außer »Neuheit« – die Hauptpunkte, auf welcher die Rechtsinformatik-Community den Akzent legt. Dieses Jahr rückte zusätzlich zur bereits 2017 herausgehobenen EU-Datenschutz-Grundverordnung das Thema »Legal Tech« in den Vordergrund und außerdem wurden mehr Themen als bisher in Form von Podiumsdiskussionen behandelt.
Semiotisches Dreieck und Smart Contracts
Peter Ebenhoch und Felix Gantner verglichen einen »normalen Vertragsschluss« mithilfe des semiotischen Dreiecks (Syntax, Pragmatik, Semantik) mit »Smart Contracts«, wie sie als eine Art Realverträge auf einer Blockchain (z.B. Ethereum) hinterlegt sind. Während bei einem »normalen« Vertrag der Lehrsatz »falsa demonstratio non nocet« gelte, sei dies bei einem abstrakt programmierten Vertrag nicht selbstverständlich. Der »Smart Contract« sei ohne die menschliche Syntax quasi »autistisch«, die Syntax der digitalisierten Vertragsausformung sei überbetont, von Kontext und Pragmatik losgelöst. Daher sei es notwendig, »legal programming« einzuführen, am besten mit einem »legal editor«, der vordefinierte juristische Begriffe als Teile des Programmcodes beinhalte und auch gegenüber dem Nutzer so ein kontrolliertes Vokabular darstellen solle. Programmcode und Vertragstext seien Textsorten, die im Sinne eines »literate programming« nach Donald E. Knuth miteinander zu verflechten seien, um den erwähnten Autismus zu überwinden. Ebenhoch und Gantner fordern also einen »Smart Context«, der an der Schnittstelle zwischen Programmierung und Kautelarjurisprudenz den Blockchain-Verträgen mitzugeben sei, um sie juristisch zu validieren. Sie hatten ein Beispiel einer solchen Verpackung in einer an Javascript angelehnten Programmiersprache mit Variablen und Funktionen als fiktiven Quellcode – und auch als Ansicht mit Icons in einem »Vertragseditor« vorbereitet, mit dem Ethereum-Währungseinheiten in Zehntelteilen an – und verkauft werden können. Die juristische und die informatische Sphäre seien zusammenzuführen, um »Smart Contracts« im Rechtssystem zu integrieren.
Akzeptanzprobleme von Smart Contracts
Bettina Mielke und Christian Wolff diskutierten Smart Contracts als interdisziplinäres Problem unter der Zitierung eines Aphorismus‘ aus dem Nachlass von Schiller: »Klar ist der Aether und doch von unergründlicher Tiefe, offen dem Auge, dem Verstand bleibt er doch ewig geheim.« Smart Contracts seien auch nach 20 Jahren ohne allgemein anerkannte Definition. Programmierer tendierten dazu, aufgrund automatisierter Smart Contracts juristisch erarbeitetes Vertragsrecht für überflüssig zu halten. Juristen hingegen kümmerten sich nicht um das Verständnis derjenigen Technik, die sie dann ohne technisches Vorverständnis rechtlich einzuordnen versuchten. Ein Beispiel für eine praktische Anwendung von Smart Contracts seien Mietwagen mit smart lock, das sich öffnen lässt, wenn die Miete bezahlt ist. So benötige man nur eine App, aber keinen Besuch am Schalter. Das Problem sei, dass es bisher nur Grundlagenforschung und alte Texte gebe, aber keine klare Einordnung des unglücklich gewählten Begriffes »Smart Contract«. Er sei aber in der Praxis im Einsatz und damit die Begriffswahl nicht mehr rückgängig zu machen, nur erläuternd zu flankieren.
Charlotta Kronblad bedauerte, dass zu wenige große und kleine Beratungsfirmen Smart Contracts und Smart Services für ihre juristisch relevanten Dienstleistungen einsetzen. Dies berge das Risiko disruptiver wirtschaftlicher Entwicklungen. Daher wolle sie die Gründe für die Zögerlichkeit der Entscheider in Rechtsberatungsfirmen herausfinden und dazu animieren, deren Barrieren zu überwinden. Diese Überzeugungsarbeit sei eine Herausforderung nicht etwa für die modernen – funktionierenden – Technologien, sondern für die Anbieter und Verkäufer der smarten Technologien. Neue Organisationsformen und die Berücksichtigung anderer Sprachen als Englisch böten Entwicklungschancen. Die Arbeitskultur der Berater werde sich aber eventuell erst mit einem Generationenwechsel ändern. Ein konkretes Beispiel zur Veranschaulichung wurde nicht angeführt.
Vertrauen in Legal Tech gewinnen
»Legal Tech und GoCore! – der Weg zu Mindeststandards« lautete der Vortragstitel von Viola Schmid von der TU Darmstadt. Zum Thema Legal Technology vertrat sie die Ansicht, dass diese Entwicklung die Märkte der juristischen Dienstleistungen fühlbar transformiere. Neue rechtliche Kernfragen im Zuge der Entwicklung des Legal Tech-Markts seien die Aufrechterhaltung der Unabhängigkeit von menschlichen Richtern wie Anwälten in einer vernetzten Rechtswelt sowie die gewachsenen Infrastrukturanforderungen an die Stromversorgung und an Verschlüsselungsalgorithmen. Hintergrund sei, dass solche – bisher eher als Randbedingungen wahrgenommene – Fragen künftig für die Funktionsfähigkeit der Rechtsschutzgewährleistung sowie individueller Freiheit an Bedeutung gewönnen. Es müssten sich verlässliche Mindeststandards herausbilden. Auch die Bürger, die Rechtsschutz beanspruchen, müssten sich anpassen und immer öfter elektronische Schnittstellen nutzen, um Anträge oder Fragen zu stellen. Und sie müssten mithilfe einer Art »Cybererziehung« lernen, die Vertrauenswürdigkeit von Informationen aus dem Internet selbstständig zu bewerten, denn eine Mensch-Maschine-Interaktion komme immer häufiger vor. Der Weg zu Mindeststandards sei das frühzeitige Herausarbeiten von wiederkehrenden Fragen, die hinter den »Problemfällen« der e-Justiz steckten. Als Beispiel misslungener Bildung von Vertrauen auf Mindeststandards führte die Referentin den aktenkundig gewordenen Fall (BGH 6.10.2011, RiZ(R) 7/10) eines nicht-geheimen Administratorenpassworts in der hessischen Justizverwaltung an sowie das deutsche besondere elektronische Anwaltspostfach (beA), welches aufgrund technischer Mängel im Sicherheitsbereich nicht zum gesetzlich vorgesehenen Startdatum den Betrieb aufnehmen konnte. Für die Relevanz der Infrastrukturfragen zitierte Schmid Pressemitteilungen über den hohen Stromverbrauch beim Bitcoin-Mining (»Klimakiller Kryptowährung«). Sie definierte – abweichend von z.B. Wikipedia-Einträgen – »Legal Tech« als Technologieassistenz mit unterschiedlichen Autonomiegraden im Bereich der ersten bis dritten Gewalt inklusive der Indienststellung der nicht-staatlichen Rechtsanwälte.
Datenschutz für Nicht-Juristen
Otto Kammerlander vom Verlag Österreich zeigte das Onlinemodul »Datenschutz« aus einer e-Learning-Anwendung namens jurnet.at. Ziel der Plattform sei es, komplexe juristische Inhalte für Nicht-Juristen so aufzubereiten, dass der Einstieg erleichtert wird, ohne dabei die Inhalte verfälschend zu vereinfachen. Dafür werden auch Videos und witzige Verknüpfungen verwendet. Ansatzpunkt der Entwicklung sei gewesen, dass Datenschutzbeauftragte, die in Österreich oft Informatiker seien, an die Implementation der EU-DSGVO heranzuführen waren, welche jedoch mehr für Juristen als für IT-Spezialisten vorformuliert sei. Mit klassischen juristischen Fachbüchern sei diesen nicht gedient. Autoren dieser Werke könnten durchaus im Gespräch Inhalte klar und einfach darstellen, aber bei der Niederschrift verfielen sie wieder in ausufernde Komplexität und Nuancierungen. Daher sei ein solches e-Learning-Projekt nur in einer größeren Kooperation befriedigend zu realisieren.
Wirtschaftsportalverbund Österreich
Gerhard Laga und Anna-Maria Minihold präsentierten Fragen im Zusammenhang mit der Konzeption der »Ersten Federation« des Wirtschaftsportalverbundes in Österreich, welche für das gemeinsame Internetportal der Wirtschaftskammern (staatliche Arbeitgeberverbände) zuständig sei. Dieses habe mehrere Funktionen für verschiedene Zielgruppen, die Anmeldungen mit verschiedenen Rollen verlangen. Das Identitätsmanagement mit einem Single-Sign-On-Konzept sei technisch vom Portalverbund der Öffentlichen Verwaltung übernommen worden. Dabei seien datenschutzrechtliche, steuerrechtliche und Haftungsfragen aufgetreten. Als Federation werde eine Gruppe in einem Vertrauensnetzwerk bezeichnet. Pro Federation gebe es als theoretische Rollen einen Federation Operator, einen Identity Provider (Verantwortlicher für die Benutzerverwaltung) und einen Service Broker sowie Attribute Provider und Service Provider (Betreiber, die den Nutzern des Portals Zugriffe erlauben). Außerdem vorgesehen seien externe Identity Provider und »normale« Benutzer: Dem Federation Operator organisatorisch übergeordnet sei eine Aufsichtsstelle. Der Service Broker sei ein sogenannter »Blind Proxy«, d.h. er kenne nicht die Identität der anfragenden Stelle, bestätige nur gegenseitig Identitäten von Identity und Service Providern. Diesen Broker gebe es aber in der konkreten B2B-Konstruktion nicht, er sei unter den gegebenen Aufgabestellungen für überflüssig erachtet worden. Bei der automatischen Rechnungserstellung hätte er sogar gestört, weil auf Rechnungen laut Umsatzsteuerrecht beide Parteien stehen müssten. Zur Differenzierung von Identitäten und zur Zuordnung von Handlungen gelte technisch – in Übereinstimmung mit DSGVO und allgemeinem Zivilrecht – Folgendes: Eine natürliche Person mit dem Attribut »Vertreter einer juristischen Person« habe eine andere elektronische Identität (= ein anderes Benutzerkonto) als diese natürliche Person, die sich ohne Attributsverwendung einloggt. Use case sei der Compass Verlag, der Firmeninformationen in Echtzeit anbiete; zweiter Use case werde ein Ausschreibungsportal sein. Hierbei sei eine besondere Form der Haftungsvermeidung eingearbeitet worden: Bei Verzögerungen im System würden automatisch die Abgabefristen für damit zusammenhängende Angebote verlängert.
IoT und Datenschutz
Stefan Hessel von der Universität Saarbrücken fragte nach der Datensicherheit von elektronischen Spielzeugen mit Internetzugriff. Ansatzpunkt sei das deutsche Telekommunikationsgesetz, das z.B. als Alltagsgegenstand getarnte Telekommunikationsanlagen verbietet und sogar den Besitz unter Strafe stellt. Nach der Puppe »Cayla« wurden Uhren mit Monitoring-Funktionen (z.B. präparierte SIM-Karten) untersucht. Im Anschluss wurde nun der Bär »mein Freund Freddy« mit einer ca. 10 Meter weit wirksamen Bluetooth-Funktion vorgestellt. Über eine App könne man durch den Bären reden und das Umfeld des Bären abhören. Die Tatbestandsmerkmale Sendeanlage, Tarnung, Eignung zum Abhören und Bestimmtheit seien auch bei dem Teddybären »Freddy« erfüllt. Dennoch habe die Bundesnetzagentur dieses Spielzeug nicht verboten. Denn es könne nicht der Hersteller abhören, sondern ein eigenverantwortlich handelnder Dritter, der als Hacker dazwischentrete, was dem Hersteller nicht zuzurechnen sei. Aus Sicht des Referenten ergibt sich so eine Einschränkung des Schutzes auf den 10-Meter-Bereich nicht aus dem Gesetzestext, auch weil der Teddy keinen Passwortschutz habe. Er appellierte, die Anforderungen an die Datensicherheit in Gesetzen über Spielzeuge zu erhöhen, z.B. privacy by design vorzuschreiben.
Dieser Beitrag wird am 22. März 2018 fortgesetzt.