Tagungsbericht IRIS 2019 Teil 1

Tagungsbericht IRIS 2019 Teil 1

Von 21. bis 23. Februar 2019 fand in Salzburg im Juridicum der Universität das 22. Internationale Rechtsinformatik Symposion (IRIS) statt. Hervorzuheben an dieser Veranstaltung ist die unmittelbare Verknüpfung von Praxis und Theorie in Präsentationen, Podiumsdiskussionen und Vorträgen zu allen aktuellen Entwicklungen im Bereich Computer, Internet und Recht. Die Beiträge sind in englischer oder deutscher Sprache abgefasst. Parallel zur Veranstaltung erscheint der massive Tagungsband mit den jeweils aktuellen Referaten. Passend zum Selbstverständnis von Informatikern veröffentlicht die Weblaw AG aber auch elektronische Versionen und teilweise sogar Podcasts der Beiträge. Für die lokale Organisation besonders gedankt wurde Maria Stoiber, Dietmar Jahnel und Peter Mader.

Publikumswirksame Überschriften

Das über 80-köpfige Programmkomitee mit Erich Schweighofer, Franz Kummer und Ahti Saarenpää an der Spitze gab das Generalthema »Internet of Things« vor. Die IRIS Konferenz betont ihre interdisziplinäre Ausrichtung und die Einbeziehung der Verwaltung, Wirtschaft und Zivilgesellschaft in das Programm und legte deshalb die Verantwortung für die konkrete Ausgestaltung des Programms in die Hände und Köpfe der Vortragenden. Viele Referenten übernahmen das Generalthema als Ziel- oder Anknüpfungspunkt ihrer Betrachtungen und Werkstattberichte. In bis zu sieben parallelen Sessionen wurden weit über 100 Kurzreferate mit Diskussionsteil zu aktuellen Entwicklungen gehalten. Daher könnte selbst ein idealer Live-Tagungsbericht nur etwa 17 Prozent der Inhalte abdecken. Viele Referenten machten sich daher die Mühe, eine publikumswirksame Überschrift zu wählen, wie z. B. „Mutter, der Mann mit den CoCs ist da“ (von Tschohl, Scheichenbauer, Kastelitz und Hötzendorfer), zum Thema „Verhaltensregeln“ (Code of Conduct, CoC) nach Artikel 40 DSGVO.
Die Referate waren folgenden sogenannten Sessions zugeordnet: Internet of Things, Autonomes Fahren, Blockchain, Smart Contracts, LegalTech, Juristische Informatiksysteme, Rechtsinformation, Suchtechnologien, Robolaw, Theorie der Rechtsinformatik, E-Commerce, E-Procurement, E-Government, E-Justice, E-Democracy, E-Participation, E-Gesetzgebung, Rechtstheorie, Rechtsvisualisierung, Legal Design, Sicherheit und Recht, Datenschutz und Urheberrecht. Kennzeichnend für diese Tagung bleibt seit vielen Jahren, dass einerseits neue Denkansätze auf ihre praktische Relevanz als Hilfsmittel im Rechtsalltag kritisch untersucht werden, und dass andererseits aktuelle »Technologien« auf ihre Konformität mit den vorgefundenen rechtlichen Rahmenbedingungen abgeklopft werden. Praktikabilität, Compliance und eben die »Neuheit« sind die Akzente, auf welche die Rechtsinformatik-Community dabei Wert legt.

Vorschriftenverkündung für Maschinen

Zum Thema „Rechtsdurchsetzung und autonome Systeme“ äußerte sich Felix Gantner aus Österreich. Autonome Systeme stellen nach seiner Ansicht die Rechtsordnung auf die Probe. Denn aufgrund des autonomen Verhaltens dieser Systeme könne durch den Betreiber während des laufenden Betriebs nicht sichergestellt werden, dass sich die Maschinen normkonform verhalten. Die Durchsetzung und Wirksamkeit von Rechtsnormen werde damit fraglich. Verbraucherschutzwidrige AGBs oder einseitige Vorschriftenauslegungen zugunsten von Behörden könnten – auch versehentlich – in die Programme eingebaut sein, Zurückbehaltungsrechte oder Einwendungen nicht unmittelbar ausgeübt werden. Es sei daher notwendig, neue Formen der Kundmachung von Rechtsvorschriften mit Maschinen als Adressaten zu entwickeln. Der Referent stellte daher einen Ansatz zur amtlichen «Verteilung» (statt Verkündung) digitaler Rechtsnormen über eine private, aber vom Gesetzgeber betriebene, Blockchain auf autonome Systeme vor.

Digitale Klone

Dominika Galajdova von der Masaryk University in Tschechien referierte über virtuelle menschliche Hüllen, digitale Klone und Unsterblichkeit. Ihr Anliegen war es, Ähnlichkeiten und Unterschiede zwischen den – streng regulierten – biologischen Klonen einerseits und den – noch unregulierten – digitalen Klonen zu erarbeiten. Sie hatte zur Verdeutlichung drei Beispiele vorgestellt. „Replika“, ein Film über einen persönlichen Chatbot, zeigte eine Figur, die tagelang in ihr Smartphone versunken mit einer verstorbenen Freundin chattet. Der interaktive Chatbot konnte die Persönlichkeit perpetuieren. Das Video stellte implizit die Frage, ob ein Suchtpotenzial entsteht, welches die Trauerphase eventuell nicht einmal ablöst, sondern verstärkt oder verlängert. Die Filmvorführung bestand aus Ausschnitten auf Youtube (https://www.youtube.com/watch?v=yQGqMVuAk04). Das Beispiel „Fake Obama“ war ebenfalls auf Youtube und stammte aus den BBC News vom 19. Juli 2017. Die Lippenbewegungen waren dazu rückwärts nach dem gewünschten Text synchronisiert worden, nachdem zur Vorbereitung Filmausschnitte von Barack Obama mit den darin ausgesprochenen Wörtern oder Silben analysiert und zurechtgeschnitten worden waren. Der Effekt war frappierend (https://www.bbc.com/news/av/technology-40598465/fake-obama-created-using-ai-tool-to-make-phoney-speeches). Das dritte Beispiel war der digitale Klon des UBS-Chefs Daniel Kalt, der mit der Watson-KI von IBM ausgestattet wurde, die durch Kalt selbst auf Antworten trainiert worden war, die er in gewissen Situationen für angemessen hält (http://fortune.com/2018/07/05/ubs-digital-clone-chief-economist-daniel-kalt/). Somit wurde für Videokonferenzen bei Terminkollisionen die Repräsentation eines wirklich existierenden Menschen vorbereitet. Es gebe daher eigentlich zwei Diskussionsbereiche im philosophischen und rechtlichen Bereich: Der reine digitale Klon einerseits und die damit verknüpfte künstliche Intelligenz (KI) andererseits. Die persönlichen Daten des repräsentierten Menschen und deren Vergleichbarkeit mit den transferierten Daten in ein digitales Datenset aus Pixeln mit einem Chatbot. Zu differenzieren sei zudem die Auswirkung der Technik auf ein einwilligendes Individuum, auf eine bestimmbare Zielgruppe oder auf irgendjemanden. Die Frage der Zuschreibung von Rechten zum Klon, zur repräsentierten Person, zum Schöpfer des Klons oder zur Allgemeinheit stelle sich ebenfalls in verschiedenen Dimensionen.
Tatsächlich sei die Verbotsgesetzgebung hinsichtlich der Klonung von Menschen in der Reproduktionsmedizin (US, UN, EU) sehr restriktiv. Vermutete Gründe seien eine mangelnde Datengrundlage, weil Humanklone nicht testweise erzeugt werden (dürfen) und weil sie – falls sie in rechtswidriger Weise doch entstünden – eventuell durch Umweltfaktoren vom DNA-Spender abweichen würden (vgl. Zwillingsexperimente). Philosophische Ansätze unterlägen ebenfalls grundsätzlichen Mängeln an erkenntnistheoretisch gefestigten Daten und sie litten unter dem alten Streit zwischen Körper-Geist-Trennung oder Monismus. Das Hochladen einer Persönlichkeit in eine unkörperliche Umgebung erscheine technisch nicht vollständig möglich. – Falls aber digitales Klonen wider Erwarten doch gelingen könnte, gäbe es weitere juristische Herausforderungen, z.B. das Lebensende neu zu definieren und einen (digitalen) Nachlass und dessen Zuschreibungen zu regulieren. Die Referentin fragte unter anderem: Wem stehen Urheberrechte zu? Ist der digitale Klon „nur“ eine Software? Oder ist er eine Datenbank, die das EU-Datenbankschutzrecht genießt? Wenn der DNA-Spender einverstanden ist, könnte das Erschaffen seines digitalen Klons zulässig sein. Was passiere aber in Missbrauchsfällen? Dürften post mortem die Verwandten der Schaffung so eines Klons zustimmen? Wer haftet, falls der digitale Klon Schaden anrichtet (Betrug und Beleidigung durch einen Chatbot könnte denkbar sein.)?

Fragen an Entscheidungsdatenbanken

Jakub Harašta aus Tschechien evaluierte Suchsysteme für Case Law-Entscheidungsdatenbanken in seiner Heimat. Er legte außer auf die angebotene Technik und Datenbasis auch darauf Wert, angepasste Suchstrategien zu entwickeln und zu lehren sowie die einmal aufgebaute User-Kompetenz über Jahre hinweg zu erhalten. Ausgangspunkt sei eine vergleichende Studie über Angebote von Wolters Kluwers ASPI, Beck und Codexis gewesen, die die Frage stellte: Warum erhalte ich unterschiedliche Ergebnisse, wenn ich in verschiedenen Entscheidungsdatenbanken zu tschechischem „Case Law“ dieselben Suchen durchführe? Die Studie umfasste die drei Anbieter, amtlich publizierte und nicht publizierte Entscheidungen sowie verschieden erfahrene Nutzer. Die Ergebnisse wurden nach drei Kriterien gewichtet: 1. ‚Precision‘ (möglichst keine falsch positiven Ergebnisse), 2. ‚Recall‘ (im Verhältnis zu einer Idealdatenbank möglichst umfassende Ergebnisse) und 3. ‚Relevance‘ (anhand der ja-nein-Frage: „Hilft mir die gefundene Entscheidung, den Paragraphen aus der Suchanfrage besser zu verstehen?“). Maximilian Herberger merkte zu dieser Studie an, dass er aus Deutschland keine systematisch-methodologischen Untersuchungen zu diesem Komplex kenne. Harašta kritisierte als Ergebnis eine gewisse Intransparenz hinsichtlich der Information darüber, was publiziert werde und was nicht und wann sich die Präferenzen hierüber änderten. Er kritisierte, dass es keine staatliche Urteilsdatenbank gebe, aber immerhin seien die privaten Datenbanken für Studenten gratis. Und er stellte fest, dass unklar bleibe, in welchen Fällen Querverweise bzw. Links auf eine andere Entscheidung in ein Urteil geschrieben würden.

Pragmatik erzeugt sogenannte Relevanz

Terezie Smejkalova von der Universität Brno (Brünn) hielt ein Referat über die sogenannte und vielzitierte „Wichtigkeit“ richterlicher Entscheidungen als „empfundenes Relevanz-Level“. Sie verleih ihrer Verwunderung Ausdruck, mit welcher Selbstverständlichkeit Urteilssammlungen von sich behaupteten, die „wichtigen“ Urteile zu bestimmten Themen zu enthalten, ohne dass genau zu klären sei, ob der Begriff „wichtig“ für alle Diskutanten eigentlich dieselbe Bedeutung habe. Häufig werde die Zitierhäufigkeit eines Urteils als das vermeintlich objektive Maß seiner Wichtigkeit ins Feld geführt. In Systemen mit Bindungswirkung von Vorgänger-Entscheidungen (stare decisis) sei es mit deren Hilfe einfacher, eine Leitentscheidung zu identifizieren und sie auch als wichtig einzustufen, aber auch in anderen Rechtssystemen sei die Zitierhäufigkeit ein gängiges Argument. Was aber mache eine fremde Entscheidung für einen aktuellen Richter „zitierfähig“? Es seien im Wesentlichen der Erkenntnisgewinn durch bereits geleistete Analyse vergleichbarer Fälle und Arbeitserleichterung durch das knappe Zitieren anstelle einer eigenen Argumentationskette. Um diese Effektivierungspotenziale auszuschöpfen, mache sich der Richter Mühe zu recherchieren. Und diese scheinbare Relevanz sei eigentlich eine zuerst individuell empfundene Praktikabilität, welche simple „Altfälle“ zu wichtigen Entscheidungen mache. – Die Referentin ordnete ihren Beitrag auch als Anwendung der Theorien von Wilson und Sperber über die Pragmatik ein, Zitate (ironisch) zu benutzen oder sie in einem anderen Zusammenhang zu erwähnen, um dadurch abgekürzt Information zu transportieren und auch, um Situationen aufzulockern, vgl. http://www.dan.sperber.fr/wp-content/uploads/1978-1981_wilson_irony-and-the-use-mention-distinction.pdf.

Messbarkeit von Europatreue

Alexander Konzelmann aus Stuttgart berichtete über seine Versuche, eine objektive Online-Quelle für die Ermittlung des Grades der Europatreue einzelner Mitgliedstaaten bei der Transformation von Europarecht zu finden. Es ging dabei nicht nur um das Online-Monitoring der Richtlinienumsetzung, sondern auch um Vertragsverletzungsverfahren in anderen Zusammenhängen, um die rechtstatsächliche Umsetzung von Verordnungen und deren Mängel sowie um eine nachvollziehbare Dokumentation dieser Vorgänge. Der Referent musste dazu mehrere Quellen erschließen, die unterschiedliche Vorzüge und Nachteile aufwiesen, aber in der Zusammenschau doch ein recht transparentes Bild böten, z. B. das Register der Beschlüsse über Vertragsverletzungsverfahren oder den sogenannten Binnenmarktanzeiger der Europäischen Kommission. Denn auch das Primärrecht, unmittelbar geltende Verordnungen und EuGH-Entscheidungen mit Fanalwirkung erzeugten Anpassungsdruck. Untersucht wurde zum einen die Auffindbarkeit und Transparenz dieser Monitoring-Seiten. Ein weiterer Aspekt war die wachsende Bedeutung der Präsentation transformationsbedürftiger EU-Rechtsakte als referenzierbare „Gegenstände“ im Internet, damit die Umsetzungsmaßnahmen eindeutige Bezugspunkte haben und anhand von Metadaten in transparenter, automatisierbarer und vergleichbarer Weise zugeordnet werden können. Vorgestellt und diskutiert wurden der CELEX-Identifikator und der European Legislation Identifier ELI und der anwesende jurPC-Herausgeber veranlasste die Aufnahme dieses Absatzes in den Bericht.

Profiling durch Gesundheitsgadgets

Über „Wearables und Datenschutz“ referierten Natalia Kalinowska und Katarzyna Morawska aus Warschau und gaben vorab eine Definition von Wearables: Es handle sich um eine Anwendung des Internet of Things (IoT) in Verbindung mit künstlicher Intelligenz (KI), um kleine Geräte am Körper, auch als Kleidungsbestandteile, mit dem Zweck der Datensammlung und auch der Datenübertragung von Gesundheitsdaten im Sinne von Artikel 4 Nummer 15 DSGVO. Gesundheitsdaten, die durch diese Geräte erhoben und verarbeitet werden, seien nach der DSGVO eine spezielle Datenkategorie, die speziellen Bestimmungen und besonderem Schutz unterliegen, weil die Auswirkung des Bekanntwerdens von Gesundheitsdaten für den Betroffenen größere Auswirkungen haben kann als die Diffusion „normaler“ persönlicher Daten. Durch die KI würden auch automatische Entscheidungen im Sinne von Artikel 22 DSGVO getroffen und es finde ein gezieltes Profiling statt.
Zu Annahmen und Ziel der aktuellen Forschungen berichteten die Referentinnen, dass 1029 Polen zur Nutzung von Wearables befragt worden seien. Die Gruppe im Alter von 35 bis 54 Jahren und mit höherer Bildung nutze die meisten davon. Zu Schlafmonitoring, Sportaufzeichnungen, eingehenden Telefonanrufen, Bezahlaktionen, Message-Schreiben und zur Langzeitüberwachung von Schritten und Herzaktivität habe es sehr häufig Datenaufzeichnungen der Geräte gegeben. 22% der Befragten hätten Bescheid gewusst, welche Daten genau gesammelt wurden. Ebenfalls 22% hätten angegeben, dass die Aufklärungsklausel über die zu sammelnden Daten abweichend von der DSGVO nicht unmittelbar sichtbar war, sondern aufgesucht werden musste, z.B. auf der Homepage der Hersteller. 33% hätten die AGBs gar nicht gelesen. Ein von der DSGVO gefordertes ausdrückliches Einverständnis könne jedenfalls nicht allein durch Tragen der Wearables impliziert werden. Als Ergebnisse der Befragungen wurde genannt: Die meisten Nutzer wissen im Wesentlichen Bescheid über die gesammelten Daten. Etwa die Hälfte der Befragten befürchten Datenmissbrauch oder äußerten Kritik daran, dass mehr Daten gesammelt werden, als für den Zweck des Geräts erforderlich seien. Die Nutzer sollten ermutigt werden, die Einstellungen zum Datenschutz bei Wearables bewusst und selbstbewusst vorzunehmen.

Profiling durch Saugroboter

Über Mängel bei Datenschutz und Datensicherheit bei elektronischen Haushaltsgeräten berichteten Sabine Proßnegg, Veronika Beimrohr und Gerhard Seuchter von der Fachhochschule Johanneum in Graz am Beispiel des Gerätes „Doomba 3000“, einem teilautonomen Billigstaubsaugerroboter mit Ultraschallsensor und -sender, WLAN-Anschluss, Kamera, GPS-system, via Bluetooth mit dem Smartphone steuerbar und viel billiger als Roomba. Hardware, Software und Webanwendung mit App-Entwicklung wurden zur Kostenersparnis outgesourced, das Webportal wurde seit der Fertigstellung aber vom Verkäufer betrieben. Allerdings wurde das Webportal nicht aktualisiert und konnte nach einiger Zeit gehackt werden. Das Webportal wurde im Projektversuch kompromittiert und könnte von Dieben zum Ausspionieren von abwesenden Hausbesitzern missbraucht werden. Das Gerät muss nämlich wissen, wie der Grundriss der Wohnung aussieht und wann die Besitzer weg sind, damit es nicht „stört“. Diese Informationen sind aber sensibel. Im Ergebnis wurde daher dargestellt, dass es Security nur als Prozess gebe, der über den ganzen Lebenszyklus eines Produktes geplant werden muss, auch wenn das Produkt billig sein soll. Ansonsten verletze der konkrete Staubsaugerhersteller die Artikel 12, 13, 14 und 26 der DSGGVO. Datenschutz by Design sollte hingegen die Leitlinie sein.

n/a