|
| Alexander Konzelmann * | | |
| Tagungsbericht IRIS 2016 | |
| JurPC Web-Dok. 47/2016, Abs. 1 - 35 | |
|
| |
| Das Internationale Rechtsinformatik Symposion IRIS fand von 25. bis 27. Februar 2016 in Salzburg zum 19. Mal statt und hat sich als bedeutende wissenschaftliche Tagung in Österreich und Mitteleuropa auf dem Gebiet der Rechtsinformatik einen festen Platz erobert. Der Schwerpunkt der Tagung liegt im Informationsaustausch der führenden österreichischen und internationalen Rechtsinformatiker/innen über die rechtsdogmatischen, technischen, wirtschaftlichen, sozialen und philosophischen Fragestellungen des Rechts in der Wissensgesellschaft. Eine Vielzahl von Veranstaltern um die Hauptverantwortlichen Erich Schweighofer, Friedrich Lachmayer, Dietmar Jahnel, Georg Borges, Franz Kummer, Maria Stoiber und Walter Hötzendorfer haben auch diesmal ein über achtzigköpfiges Wissenschaftlerteam zur Betreuung der Sessionen, Workshops, aber auch der Abendveranstaltungen und des Tagungsbandes gewonnen. Die veranstaltenden Institutionen rekrutieren sich unter anderem aus Arbeitsgruppen der Universitäten Wien und Salzburg, aus privatrechtlichen Vereinen zur Förderung der Informatik, aber auch aus dem Juristenverband, der Deutschen Gesellschaft für Recht und Informatik und dem österreichischen Rechtsinformationssystem. Der Cheforganisator und Spiritus Rector der Tagung, Prof. Erich Schweighofer gab das Motto "Netzwerke" vor, welches von vielen Referenten dankbar als Nucleus ihrer Betrachtungen und Werkstattberichte aufgenommen wurde. Eine kleine – persönliche – Auswahl der Referate sei im Folgenden kurz dargestellt. Im Übrigen kann auf den umfangreichen Tagungsband verwiesen werden. | Abs. 1 | | Internationale e-Identitäten | Abs. 2 | | Die eIDAS-Verordnung und ihre legistische Umsetzung in Österreich war das Thema von Peter Kustor, Bundeskanzleramt Wien. Zur Geschichte erinnerte er an den Vorschlag der Europäischen Kommission von 2011 zur Aktualisierung der Signaturrichtline und an deren Ziel eines Rechtsrahmens für grenzüberschreitende Anerkennung der elektronischen Identität. Damals habe das STORK-Projekt begonnen, ein Großpilotprojekt zur grenzüberschreitenden Anerkennung digitaler Signaturen. 2012 erfolgte der Kommissionsvorschlag für einen Beschluss zur gegenseitigen Anerkennung von elektronischen Identitäten, 2014 dann der Erlass der neuen Verordnung nach Durchführung von Projekten und Gremiensitzungen. Digitale Agenda und Aktionsplan hätten noch vorgesehen, zwei unterschiedliche Rechtsakte für Signaturen und Vertrauensdienst zu erlassen. Die Verordnung habe diese beiden nun inkorporiert und löse die Richtlinie komplett ab. Zudem überlagere sie entgegenstehendes innerstaatliches Recht (Anwendungsvorrang). | Abs. 3 | | Kustor betonte die Dichotomie zwischen Harmonisierung der Vertrauensdienste einerseits und der bloßen gegenseitigen Anerkennung der Identitäten aus notifizierten Systemen. Seit 2014 würden die Durchführungsrechtsakte zur eIDAS-VO mit konkretisierenden Normierungen und Spezifikationen erarbeitet und erlassen. Zum Stichtag 1.7.2016 trete all dies gemeinsam in Kraft und löse die alte Rechtslage der Signaturen ab. Das STORK-Projekt sei erfolgreich gewesen: man könne z.B. mit der österreichischen Signaturkarte oder Handy-Signatur beim estnischen Bürgerservice eingeloggt werden oder beim spanischen einheitlichen Ansprechpartner Anträge zur Eröffnung eines Gewerbes stellen; allerdings habe das Projekt nur Einsichten für die Funktionalität erbracht, nicht zur Rechtssicherheit. Die VO schränke nicht ein, welcher Art die Personenidentifizierungsdaten sein müssen, die im System verwendet werden. Konkretisierungen erfolgten durch Durchführungsverordnungen. Z.B. regle die DVO (EU) 2015/1501 vom 8.9.2015, dass der Mindestdatensatz Name, Vorname und Geburtsdatum plus eine eindeutige Kennung enthalten müsse. Dieser ID müsse entgegen allgemeiner Erwartung nicht zwingend dauerhaft sein, weil unter anderem Deutschland für seine Bürger keinen solchen dauerhaften ID verwende: Personalausweisnummern, Rentenversicherungsnummer etc. können sich ändern, Steueridentifikationsnummern sind nicht für jedermann vergeben. Mit der Handy-Signatur könne Österreich gut unter Geltung der eIDAS-VO starten, die Beibehaltung der Rechtswirkungen einer qualifizierten elektronischen Signatur nach § 886 ABGB sei vorgesehen. Verordnung und innerstaatliche Ausfüllungsregelungen seien künftig nebeneinander her zu lesen. Haftungsbestimmungen, die der iDAS-VO entsprechen, würden noch im e-Government-Gesetz erlassen werden. Die Umsetzung sei politisch noch nicht abgeschlossen, aber es könnte gerade noch zum 1. Juli 2016 in Österreich für das Gesamtpaket reichen. | Abs. 4 | | Auf Nachfrage, ob denn die Wortlautunterschiede der VO zur Richtlinie dennoch die inhaltliche Kontinuität des Regelungskomplexes unangetastet ließen, konnte Kustor Hinweise zum Hintergrund von Umformulierungen geben: meist habe es sich um die künftige Vermeidung inzwischen (seit 1999) eingetretener vereinzelter Fehl- oder Überinterpretationen gehandelt, welche man durch neue, weniger auslegungsanfällige Formulierungen wieder „einfangen" wollte, z.B. solle die remote-Aufbewahrung von Identifikationsdaten bei sogenannten Serversignaturen zulässig sein/bleiben. | Abs. 5 | | Juhani Korja von der Universität von Lappland in Rovaniemi erklärte, wie Finnlands Strafgesetz seit kurzer Zeit mit dem Diebstahl von Identitäten umgeht. Identität sei die Grundlage sozialer und rechtlicher Beziehungen. Und heute sei eine Verletzung der Identität nicht nur eine Verletzung des Trägers dieser ID, sondern auch ein Eingriff in Werte der Gesellschaft. Eingriffe in die digitale ID könnten auch immer einfacher begangen werden. Deshalb seien Strafgesetze zu deren Schutz notwendig geworden. Finnland habe im September 2015 einen Paragraphen 9a in Kapitel 30 des StGB eingefügt, der es unter Strafe stellt, wenn jemand, um einen Dritten zu täuschen persönliche Daten oder Identifizierungsdaten eines Anderen benutzt, um über die Person zu täuschen und damit wirtschaftlichen Schaden oder eine nicht unerhebliche andere Beeinträchtigung verursacht. | Abs. 6 | | Besser Suchen und Finden | Abs. 7 | | Über die Analyse von Suchanfragen zur Verbesserung von Suchtechnologien bei LexisNexis berichtete Anton Geist zusammengefasst Folgendes: Die Analysesoftware ermittle den Wortlaut der Suchanfrage, das verwendete Suchformular, die Trefferanzahl und einen Zeitstempel, jedoch keine Informationen zu den Suchenden. Ausgewertet wurden alle Suchanfragen aus einer Woche, von welchen 60% "normale" Volltextsuchen gewesen seien. Unter den sogenannten Direktzugriffen, also gezielten Suchlinks zu Einzeldokumenten, sei die Mehrzahl die Suche nach Kommentierungen zu einer bereits bekannten Norm. Suchoperatoren würden zu 95% NICHT genutzt. 20% aller Suchanfragen seien im Betrachtungszeitraum mehrmals vorgekommen, davon allerdings die meisten in Form von Anfragen nach bekannten Vorschriftenkürzeln. Wir wüssten ja alle von uns selber, wie wir bei Google suchen, und darum könnten wir lediglich davon träumen, dass die Nutzer einer Rechtsdatenbank anders suchen, die Realität sehe so nicht aus. Verlagsseitige Dokumentempfehlungen und Verlinkungen allerdings würden intensiv genutzt. | Abs. 8 | | Die Folgerungen des Referenten für zentrale Entwicklungsbereiche im Suchanfragen-Bereich seien: Autosuggest, und zwar weniger zur Anwendung von Querverweisen auf Thesaurus-Einträge als zur Korrektur von Tippfehlern, Ranking, Schulungen, das Mappen von Suchbegriffen auf Rechtsgebiete, sowie die Nutzung der gesammelten Suchanfragen zur Identifizierung von Content-Lücken. | Abs. 9 | | Marius Roth stellte die Geschichte von LexFind.ch vor, einer Seite zur Aggregation von Schweizer Bundes- und Kantonsrecht, die seit 2006 durchgehend in Betrieb sei. Es handle sich nicht um ein zentrales Rechtsinformationssystem, es gebe auch keine abgestimmten Metadaten, aber eine dezentrale Organisation mit URI-Strukturen. 2016 werde auch das kantonale Vertragsecht online auffindbar gemacht werden. LexFind beobachte alle kantonalen Vorschriftendatenbanken auf gelöschte, neu hinzugekommene und inhaltlich geänderte Vorschriften. Dabei gebe es keine speziellen Schnittstellen zu den kantonalen Datenbanken. Tägliches Updating sämtlicher Inhalte bzw. Neuerstellung der Indizes erfolge aufgrund gezielter Differenzrecherchen. Die Webseiten-Beobachtung von LexFind könne auch rein statistisch ermitteln, wie viele Regulierungen es gibt, wie oft sich diese ändern und wie intensiv der Änderungsanfall ist. Es gebe z.B. konstant stark 300 Schweizerische Bundesgesetze, deren Zeichenanzahl sei aber von 2007 bis 2015 von 100 Mio auf 135 Mio. gestiegen (ohne Einbeziehung der Alt-Versionen), d.h., die Bundesgesetze würden immer länger. Die Finanzierung von LexFind erfolge durch die Staatsschreiberkonferenz, also eine Kooperation der Kantonsregierungen. Strukturelle Änderungen auf den Seiten der Originaldatenbanken, wie z.B. der Übergang von HTML- auf PDF-Dokumente, erzeugten immer wieder technische Herausforderungen bei LexFind, insbesondere beim Mapping neuer (Meta-)Daten auf die inhaltlich entsprechenden Vorgängervorschriften. | Abs. 10 | | Jürgen Lintzel berichtete über Zeitschriften-Jahresregister des Manz-Verlages aus und in der Rechtsdatenbank RDB. Es gehe dabei um alphabetische Personenregister, Sachregister, redaktionell erstellte Schlagwortregister, Rechtsprechungsregister - sortiert nach Gericht, Datum, Aktenzeichen - und chronologische Publikationslisten, jeweils aber willkürlich begrenzt auf das Erscheinungsjahr. Mithilfe einer Rechtsdatenbank mit Metadatensuche und Sortiermöglichkeiten hingegen könnten solche Register individuell bei der Datenbanknutzung abgefragt und zusammengestellt werden, auch über mehr als ein Jahr Betrachtungszeitraum. Diese Methode sei für Nutzer und Verlag günstiger. Das passendere Stichwort sei „Zeitschichtenregister" statt Zeitschriftenregister. | Abs. 11 | | Roman Behul, Leiter der Forschungsabteilung bei Atos IT Solutions and Services als Lieferant für das slowakische Portal slov-lex.sk, ein Produkt des Ministeriums für Justiz (wörtlich für Gerechtigkeit „Ministerstvo Spravodlivosti Slovenskej Republiky"), gefördert durch Fonds der EU. Gleichzeitig mit der Bürgerinformation über das geltende Recht sei das Produkt auch eine Arbeitshilfe für Parlamentarier bei der Planung künftiger Vorschriften. Es zeige die angefragte Vorgänger-Version und die künftige Fassung von Paragraphen übersichtlich an, und erleichtere in dieser Weise die Entscheidungsfindungen der Parlamentarier, für die auch ein Vorschriften-Editor geplant sei, im Rahmen eines Informationssystems e-Legislative. Auch eine direkte Verlinkung mit den passenden EU-Vorschriften sei darin vorgesehen. Die Vorhersehbarkeit der Gesetzgebung und deren Transparenz sollen mithilfe des Systems ebenfalls erhöht werden. Registrierte Anwender könnten dann z.B. Vorschriftenentwürfe im Sinne der Einbeziehung interessierter Kreise (Lobbyismus, Bürgerbeteiligung) kommentieren. | Abs. 12 | | Plenarvortrag über die mediale Präsenz von Rechtsinformatik | Abs. 13 | | Von der FU Brüssel, Center for Law, Science, Technology and Society Studies (vub.ac.be/LSTS/index.shtml), war der Leiter Prof. Paul de Hert, eingeladen zum Plenarvortrag „From market place to networks. What have we (you/me) read lately?" | Abs. 14 | | Der Redner stieg in seine Ausführungen ein mit der Bemerkung, Anwälte hätten viel zu tun, man müsse nur die Zeitungen aufschlagen. Apple wolle ein iPhone eines toten Verdächtigen nicht entschlüsseln. Honda rufe Airbags zurück. Die freie Meinungsäußerung werde torpediert, indem Antiterrorgesetze gegen Betrunkene, Künstler, Komödianten etc. angewendet werden. Jeden Tag werde über neue online-Technologien berichtet. Wir läsen alarmierende Nachrichten über Datenausbeutung von Nutzern von Bequemlichkeitssoftware, über Bedrohungen der Privatheit und der freien Meinungsäußerung; die Frage laute, ob wir vielleicht nur das Falsche lesen? David Collingridge habe 1980 geschrieben (The Social Control of Technology), dass technische Fortschritte regelmäßig schneller von den Nutzern akzeptiert und angewandt würden, als die damit verbundenen Auswirkungen vollständig ermessen werden könnten und auch lange bevor das Gesetz dann etwaige negative Auswirkungen regulatorisch eingrenzen könne; diese Eingrenzung erfolge dann teuer, langsam und mit einer gewissen Dramatik. | Abs. 15 | | De Hert verwies auf den Autor Ulrich Beck (1944-2015): Die internationalen Verflechtungen und globalen Risiken seien so groß geworden, dass wirksames Risikomanagement nur im Wege internationaler Zusammenarbeit erfolgen könne. Individualistische Herangehensweisen hingegen seien zum Scheitern verurteilt. Das Gute daran sei, dass die Ungewissheit der Individuen durch z.B. europäische Einheit kleiner gemacht werden könne. Nationalstaatlichkeit sei inzwischen ein Zombie-Konzept. Nationale Interessen würden heutzutage am besten dadurch geschützt, dass man transnationale Wege gehe und Partnerschaften suche. Dies sei die andere Seite der Risiken der Globalisierung und insofern ein Lichtblick. Also ja, wir läsen die falschen Texte. | Abs. 16 | | Gegenseitiges Vertrauen sei der Schlüssel für die Bewertung aktueller Pläne der EU zur Umsetzung des EuGH-Urteils C-131/12 zu Google Spain in der Datenschutz-Leitlinie (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf). - Facebooks Datenschutz gleichzeitig in mehreren Staaten gerichtlich überprüfen zu lassen und Googles Besteuerung in mehreren Staaten erzwingen zu wollen, sei aber nach Ansicht des Referenten kein guter Weg und keine echte „Internet"-Herangehensweise. Die Unvorhersehbarkeit des zuständigen Gerichts sei ebenso ein Problem: Z.B die Solange II (vom 22.10.1986, 2 BvR 197/83) und Kadi (vom 3.9.2008, C-402/05 P; C-415/05 P) - Entscheidungen von BVerfG einerseits und EuGH andererseits stellten im Namen des Grundrechtsschutzes die Kohärenz europäischer Rechtsschutzsysteme in Frage (gut sei manchmal nur gut gemeint). Die Unvorhersehbarkeit von Verträgen trage zusätzlich zur Unsicherheit bei, vgl. ACTA, wo es zwar um Freiheitsrechte und Handel ging, aber die Verhandlungen geheim gehalten wurden. ACTA sei aber zurückgewiesen worden von verschiedenen Communities, sodass nachverhandelt werden müsse. Zu all den Unvorhersehbarkeiten komme nun aber auch noch die Unvorhersehbarkeit der Communities (viele Stimmen, aber welche sind die zu hörenden?). Wenn man z.B. aus ACTA lernen wolle, dass eine vorbereitende Öffentlichkeitsbeteiligung stattfinden sollte, dann bleibe unklar, welche Öffentlichkeit man mit welchen Maßnahmen erreiche und wer sich wirklich äußern werde. Eine Frage laute: Wie macht man dann ein perfektes Gesetz? Die Antwort sei: Gar nicht. Man müsse gelehrte Vermutungen anstellen und raten, dabei aber offen bleiben für neue Erkenntnisse und deren Einarbeitung in bestehende Entwürfe, man müsse "responsive" sein. Was aber ist "responsiveness" im Verständnis von de Hert? „You have to have no own opinion or you have to hide it well." Man dürfe keine eigene Meinung haben oder sie zumindest gut verbergen, damit man ahnen kann, welche Regeln die Mehrheit vermutlich akzeptieren werde. Auch so werde man zwar keine perfekten Gesetze hinbekommen, aber bessere als sie derzeit manchmal entstehen. Spieler, Konsumenten, Cyborgs, Bürger, Hacker, Designer etc. seien seiner Beobachtung nach häufig zuversichtlich gegenüber der Zukunft und wir sollten vielleicht von ihnen lernen, weniger alarmiert zu sein. Wir könnten seiner Ansicht nach vieles entdramatisieren, wenn das Gesetz agil, angemessen, subsidiär und punktuell einschreite und ansonsten Verantwortung auch den Bürgern überlasse. „Legislatives Gesetz" sei nicht alles, was die „Rechtsordnung" ausmache, es müsse daher nicht alles durch positives Recht geregelt werden. Das Rechtssystem sei ein Ökosystem, welches aus miteinander verbundenen Communities bestehe. Das positive Recht des Cyberspace werde ein antwortendes Recht sein. Denn eine Vorab-Regulierung aller denkbaren Konstellationen sei zu fehleranfällig. Unter anderem auch, weil sich die Technologien dauernd änderten. | Abs. 17 | | Zur Frage der Rückwirkung dieser Entwicklungen auf die Ausbildung der Juristen meinte der Referent: Einerseits: Rechtsanwälte würden nicht dadurch bessere Juristen, indem man sie ständig technologischen Herausforderungen aussetze und andererseits: Recht (nicht nur positives Recht, sondern die tatsächlich angewandte Rechtsordnung) sollte zwar technologieneutral sein, aber nicht ignorieren, in welchem technologischen Umfeld die Communities leben. Es müssten deshalb ständig Kompromisse gefunden werden. Insgesamt hielt de Hert - jedenfalls vordergründig - ein Plädoyer für mehr Optimismus. | Abs. 18 | | Entwicklungen des ERV in Deutschland | Abs. 19 | | Zum ERV in Deutschland beantwortete Daniela Freiheit eingangs die Frage, wer sich um die Trends in der deutschen Justiz kümmere: der E-Justice-Rat, die BLK (Bund-Länder-Kommission für die Einführung der IT in der Justiz), darunter die Arbeitsgruppen ERV, Justizportal, IT-Standards und „Zukunft". Die laut Gesetzgeber zu bearbeitenden Trends seien in Deutschland: e-Formulare, Anwaltspostfächer, Schutzschriftenregister, Zustellung gegen elektronisches Empfangsbekenntnis. -Wer 2018 ein besonderes elektronisches Anwaltspostfach nutze, brauche keine (andere) elektronische Signatur. Ab 2022 gelte die flächendeckende Öffnung des ERV (trotz gesetzlich noch möglicher opt-out-Klausel) für alle professionellen Einreicher. Falls jemand frage, ob dann die NSA alle Schriftsätze mitlesen dürfe, könne mit nein geantwortet werden. Seit 2005 gebe es die funktionierende Infrastruktur EGVP mit doppelter Verschlüsselung nach OSCI-Standard, 79000 Postfächer und 1,5 Mio. beförderte Nachrichten. Eine häufige weitere Frage laute, wie denn trotz doppelter Verschlüsselung der Adressat noch erkannt werden könne? Das tue kein Mensch, sondern eine „Intermediär"-Software, die den ersten Umschlag öffnen und den Empfänger erkennen könne, und in einem weiteren zweiten Umschlag dann die Nachricht an dessen Postfach weiterleite. Das elektronische Anwalts- und Verwaltungspostfach gelte nur für einen geschlossenen Nutzerkreis mit authentifizierten Nutzern mit gesicherten elektronischen Identitäten, die in einem zentralen Dienst („SAFE"-System) gespeichert seien. Die Anwendungen im Umkreis des EGVP verfügten über keine eigenen Nutzerverwaltungen, sondern alle Nachrichten gingen zuerst einmal in Kopie an SAFE, wo die Berechtigung zum Senden und Empfangen geprüft werde, bevor die Nachricht bearbeitet werde. Die Identität der registrierten Nutzer bestehe aus vier Datengruppen: Persönliche Daten (Format XJustiz), Nutzername plus Kennwort, Softwarezertifikat und Rolle (Rollen seien in SAFE definiert als Paare aus Rollentyp/Rollenwert). Derzeit arbeite das System nur für 144000 Nutzer aus dem Bereich RA, Notar, Gerichtsvollzieher, Bürger, Firmen, etc. Diese Bereiche bildeten jeweils eigene Daten"töpfe", die nur in einem gemeinsamen Format gespeichert und durchsucht würden, aber die Rechte-Verifikationsstufen erfolgten vorab. Das „F" in „SAFE" heiße „föderiert", das heißt, Notare, Rechtsanwälte und andere Gruppierungen prüfen die Gruppenzugehörigkeit jeweils für sich und das Ergebnis werde dann jeweils standardisiert in SAFE abgelegt. Für die gemeinsame Durchsuchbarkeit der Datensätze gebe es einen integrierten Suchservice. | Abs. 20 | | Über das besondere elektronische Anwaltspostfach „beA" und seine Herausforderungen sprach Thomas Fenske von der deutschen Bundesrechtsanwaltskammer BRAK. - Das ERV-Gesetz verpflichte die BRAK zur Einrichtung dieser Postfächer für alle ca. 165000 zugelassenen Anwälte in Deutschland. Ende-zu-Ende-Verschlüsselung und zwei-Faktor-Authentifizierung (Besitz und Wissen) trügen zur Sicherheit bei. Termin zum Start wäre der 1.1.2016 gewesen. Aufgrund der Prognose mangelnder Akzeptanz in der Anwaltschaft wegen unzureichender Benutzerfreundlichkeit (u.a. bevorzugter Zugriff via Kanzleisoftware statt über Standardbrowser) und mangelnder Berücksichtigung anwaltlicher Besonderheiten (z.B. bei der Bearbeitung und Terminierung besonders großer Akten) sei der Termin bewusst nicht eingehalten worden, sondern es seien Nachbesserungen vor der verpflichtenden Einführung geplant, derzeit im Widerspruch zur gesetzlich vorgegebenen Frist. Ein zentrales Sicherheitsfeature sei das HSM (= Hardware-Security-Module), das seien vier zentrale - physisch gesicherte - Geräte in unterschiedlichen Rechenzentren für die Identifikation der jedes Anwalts mithilfe seiner individuellen Karte. Dieses prüfe stets, wer was aus einem Postfach lesen darf. Beim Anwalt selbst genüge hingegen ein Standard-Kartenlesegerät. Der neue Personalausweis habe leider kein ausreichendes Verschlüsselungs-Zertifikat, sodass er trotz Signaturfunktion mit qeS-Modul und Identifikationszertifikat nicht für die besonders sicheren Authentifikationswege der BRAK / BNotK eingesetzt werden könne. Es sei daher eine gesonderte Karte nötig, um erstmalig zum Postfach Zugang zu erhalten. Auf Frage von Ralf Hecksteden, ob es bereits es eine Legaldefinition für „Ende-zu-Ende-Verschlüsselung" gebe, anwortete der Referent mit nein, denn ausführende Verordnungen seien zum Teil noch nicht erlassen. Der OSCI-Standard werde vermutlich eine der zugelassenen Methoden werden. | Abs. 21 | | Die Rolle der Zertifizierungsstelle der Bundesnotarkammer als akkreditierter Zertifizierungsdiensteanbieter im Projekt „beA" (https://bea.bnotk.de/) war Thema bei Martin Davies. Teil 1 betraf technische Grundlagen, insbesondere die asymmetrische Verschlüsselung: ein privater geheimer Schlüssel verbleibe beim Inhaber, der öffentliche Schlüssel werde Bestandteil einer Public Key Infrastructure. Die Zuordnung des privaten Schlüssels zu einer Person erfolge durch ein Zertifikat einer Zertifizierungsstelle. So eine Zertifizierungsstelle sei dafür zuständig, bei jeder Benutzung den privaten Schlüssel auch zu validieren, d.h. die Zuordnung zum Inhaber zu bestätigen. Teil 2 behandelte die organisatorische Umsetzung: 31 von 43 zertifizierten Diensteanbietern hätten inzwischen den Dienst wieder eingestellt. Europaweite Ausschreibungsverfahren seien in einem solchen Projekt nicht erwünscht gewesen. Die BNotK betreibe daher in Kooperation mit der BRAK eine nicht outgesourcete eigene Institution mit der Zertifizierungsstelle in Köln, die ihrerseits regelmäßig vom TÜVIT zertifiziert werde. Die Kanzlei-Ausstattung mit Hardware und Zertifikaten koste mit den Produkten der BNotK pro Mitarbeiter zwischen 100 und 200 Euro. Die laufenden Kosten für Rechtsanwaltskarte und System betrügen jährlich mindestens 30 Euro für die Kartennutzung plus ca. 60 bis 70 Euro jährlich für die Systemnutzung. | Abs. 22 | | Das Spannungsfeld "Sicherheit und Recht" | Abs. 23 | | Im Arbeitskreis Sicherheit und Recht ging es um die Verschiebung der Bewertungen im Spannungsfeld zwischen öffentlicher Sicherheit und privater Freiheit durch technische Fortschritte und Vernetzungen. Den Beitrag zur Netzwerk Analyse und voraussagebasierter Polizeiarbeit - von einem reaktiven zu einem proaktiven Vorgehen der Polizei stellte Federico Costantini, Jurist von der Universität Udine aus Italien, vor und fragte unter dem Titel „Network Analysis and «Predictive Policing»: Towards a «Profiling Society", ob wir uns in Richtung einer Profiling Gesellschaft entwickelten. Gewisse Problemkonstellationen könnten erwachsen aus Netzwerkanalysen und voraussagebasierter Polizeiarbeit. Denn da bei gehe es nicht nur um Beobachtung, Überwachung und Aufrechterhaltung einer Ordnung, sondern um technologische Herausforderungen, die vor kurzem noch Science Fiction gewesen wären und die eine besonders intensive Kontrolle des Staates über Bürger verursachten und deshalb im Sinne der Grundrechte besonders genaues Hinsehen erforderten. Er verwies auf den Fall Bayout aus 2009: ein verurteilter Straftäter wurde früher entlassen, weil er genetisch auf einen frühen Tod prädisponiert war. Könne man so etwas auch umgekehrt (zulasten von Tätern) anwenden? Prädiktive Polizeiarbeit funktioniere, sei effektiv und könne Kosten sparen. Erfolge resultierten aus z.B. Netzwerkanalysen. Die Effektivität begründete der Referent z.B. damit, dass Polizeisoftware in Mailand Aufklärungsraten bei Diebstählen merklich erhöht habe. Aber sie bringe auch Nachteile, vor allem für die persönlichen Freiheiten. Dazu gab es ein fiktives Beispiel: Jemand habe gefährliche Gegenstände gekauft, Hasskommentare auf Facebook geliked, treffe sich regelmäßig mit bekannten Straftätern und habe online Kontakte zu als gefährlich eingestuften Personen. Ein Algorithmus habe ausgerechnet, dass er wahrscheinlich demnächst eine bestimmte Person schädigen werde. Sei dies eine Voraussage, eine Vermutung, gar Wissen, oder noch gar nichts von alldem? - Könne man mit diesem Wissen zu einem Richter gehen und einen Durchsuchungs- oder Haftbefehl beantragen? Liege eine Art „Anscheinsbeweis" vor, den z.B. der Verdächtige entkräften müsse? Europäische Vorschriften verböten in gewissen Konstellationen automatische Entscheidungen nur auf der Grundlage von Daten über Personen. Diese Rechtsordnung verbiete also zu weit gehende Rechtsfolgen auf der Grundlage von Netzwerkanalysen. Es gebe zeitgenössische Philosophen (Luciano Floridi), die forderten, dass man Informationen als Teil der Realität verstehe und so könne man Informationen als Fakten ansehen, die eine polizeiliche Reaktion rechtfertigten. Der Referent wendete sich gegen eine solche Einordnung. Denn wenn es Sanktionen gebe, ohne dass ein actus reo oder eine mens rea erwiesen sind (Unschuldsvermutung), dann werde die Existenz des freien Willens verneint. Dies sei zumindest im Ergebnis abzulehnen. | Abs. 24 | | Agnes Zaure, Universität Tartu (Estland), thematisierte ebenfalls das Gleichgewicht zwischen Privatheit, Informationsfreiheit und nationaler Sicherheit. Das Gleichgewicht werde von unterschiedlichen Staaten angesichts terroristischer oder anderer globaler Bedrohungen in unterschiedlicher Weise verschoben, und dies, obwohl sich diese Staaten häufig durch dieselben internationalen Vereinbarungen über Menschenrechte gebunden hätten, diese aber in unterschiedlicher Weise auslegten. Internetüberwachung finde besonders stark in USA, Russland, China, Indien, UK, Arabische Staaten, Frankreich, Australien und Nordostafrika statt, obwohl all diese Staaten angeblich dieselben Menschenrechte respektierten. Jedoch gebe es Gesetze wie den „patriot act", welche Abwägungsergebnisse bei Eingriffen in persönliche Freiheiten zu deren Lasten verschöben, ohne dass sich die Texte selbst änderten. China und Russland hätten sogar zuerst Fakten geschaffen und erst später die Gesetze dazu erlassen. Dazu wurde Art. 8 Abs. 2 und 10 Abs. 2 der EMRK zitiert: „Gefahr für die nationale Sicherheit" sei immer ein Ausnahmetatbestand und ein solcher müsse vor seiner Anwendung stets die Dreifachfrage nach Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit bestehen. Die englischen Fälle Brother Watch v. UK (2013), Liberty & Others v. The Security Service, SIS, GCHQ (5. Dec. 2014) hätten im Vereinigten Königreich das Gleichgewicht so stark in Richtung Sicherheit verschoben, dass nun vor dem EGMR um die Rechtfertigung gerungen werde. (http://www.bbc.com/news/technology-32251699) | Abs. 25 | | Für die Zukunftsaussichten stellte die Referentin drei Alternativen zur Wahl: ein einziges globales Modell für das Gleichgewicht zwischen Überwachung und Freiheit? Oder ein neuer weltweiter Vertrag? Oder eine je nach Staat unterschiedliche Herangehensweise? | Abs. 26 | | Eine globale Cyberlaw Agenda forderte Viola Schmid von der TU Darmstadt und nannte 13 "Basics" für eine Forschungsmatrix zum Cyberlaw. Die Referentin vertritt dezidiert die Ansicht, dass die Entwicklungen in den Bereichen Globalisierung, Vernetzung, Digitalisierung und Computerleistung dazu geführt haben, dass weder eine ganz neue Rechtsordnung dafür erfunden werden müsse, noch dass für alle neu entstandenen Problemkonstellationen bestehende Rechtsregeln übertragen werden könnten. Sie ruft daher zu einer disziplinübergreifenden Erforschung des Cyberlaw auf und gibt eine Outline aus dreizehn Punkten als Forschungsmatrix aus. Es gehe ihr nicht um die - bereits erfolgende - Erforschung von Netzwerken, sondern um Forschung durch Netzwerke. Der Cyberspace sei eine neue Dimension des Seins, sie füge Länge, Breite, Höhe und Zeit eine gleichwertige Ergänzung hinzu. Diese müsse rechtlich erfasst und beschreiben werden, denn erst Cyberlaw mache den Cyberspace zur lebenswerten Cyberworld. Dafür könne u.a. Kant zitiert werden, der im „Ewigen Frieden" die Differenz zu einer lebenswerten Welt im Bestehen einer Rechtsordnung benennt. Derzeit befänden wir uns in einer Übergangsphase, in der die vorläufige Beschränkung auf „Hauptkriegsschauplätze" erlaubt sei. Für die Probleme in der Anfangszeit müsse man anstelle von Maximalforderungen an die Technologie ein Malfunction Management (MaMa) erarbeiten und mit vorübergehenden Ausfällen rechnen. Man müsse stets gewahr sein, dass eine globale Vernetzung und Konkurrenz bestehe, wobei jede national oder disziplinär begrenzte Betrachtung hinderlich sei. Es sei im Cyberlaw schwieriger als in der klassischen Gesetzgebung, für rechtliche Nachhaltigkeit zu sorgen. Man sehe an kurz nacheinander erfolgenden widersprüchlichen legislativen Aktionen (z.B. Vorratsdatenspeicherung), dass neu zu erforschen sei, wie man als gerecht empfundene Vorschriften mit ausreichend langer Halbwertszeit konzipiere. Ein weiterer Forschungspunkt sei der informationstechnologierechtliche Kreislaufgedanke („data is the new oil") mit seinen wirtschaftlichen Implikationen. Automatisierung und Mensch-Maschine-Interaktion würden ebenfalls neue rechtliche Fragen aufrufen. IT-Sicherheitsrecht mit seinen vielfältigen Abwägungen zwischen Freiheit und Sicherheit (security / safety) werde das Äquivalent zum traditionellen Rechtsstaatsprinzip werden und solle Primärrecht werden. Neue Grundrechte seien im Entstehen zu beobachten (Recht auf Flüchtigkeit/ Vergessenwerden, Recht auf nicht-digitales Leben). Auch Wahrheiten seien daher mit einer Art Verfallsdatum auszustatten. Und es müssten im Diskurs mindestens fünf Brücken neu gebaut werden: zwischen Generationen, zwischen Forschungsdisziplinen, zwischen Wissenschaft und Praxis, zwischen Fortschrittsmenschen und „Anticyberprotagonisten" sowie zwischen Räumen (Zeit, Volumen, Netz). Die Versicherheitlichung des Cyberspace erfordere die Definition von tragfähigen Säulen, damit daraus eine verrechtlichte Cyberworld entstehen könne. Die Referentin rief zu Widerspruch auf, um diese ausdrücklich vorläufige Agenda auch künftig zu verbessern und zu erweitern. | Abs. 27 | | Über den schwierigen Rechtsschutz für sekundäre Zielpersonen von (kommerziellen) „watchlists" berichteten Janos Böszörmeny und Agnes Balthasar-Wach, derzeit Universität Jerusalem. Es gehe begrifflich um die Bekämpfung von internationalem Terrorismus, Geldwäsche und Korruption; „sekundäre Zielpersonen" stünden auf Sanktionslisten, weil sie als Familienmitglieder und bekanntermaßen nahestehenden Personen von sanktionierten Personen zu deren Netzwerk gehören könnten. Sie erlitten ebenfalls das Einfrieren von Geldern und Reiseverbote. Derzeit betreibe die UN 15 Sanktionsregime und 13 Sanktionslisten; Rechtsschutz gebe es nur nachträglich, wenn man schon auf der Liste stehe, im sogenannten Streichungsverfahren. In der EU existiere folgender gerichtliche Rechtsschutz: gemäß Art.. 23 ff. .i.V.m. 215 AEUV (Sanktionen gegen Länder und gegen Einzelpersonen), Art. 75 AEUV, Nichtigkeitsklage nach Art. 263 und Haftung der EU nach Art. 340 AEUV. Es gebe eine ausdrückliche Sonderzuständigkeit des Gerichtshofs für die Überprüfung von Sanktionen. Der Gerichtshof habe zum Komplex „Grenzen der Einbeziehung von Familienmitgliedern" und zum (verbleibenden) Lebensstandard dieser Familienmitglieder Entscheidungen getroffen, vgl. C 376/10 P vom 13.3.2002 und T-202/12 vom 12.2.2014 sowie Rs. C-340/08 vom 29.4.2010. Solange z.B. eine Ehefrau eines Terroristen, deren Vermögen eingefroren ist, Sozialhilfeleistungen nicht zur Terrorismusfinanzierung verwende, dürfe sie diese Hilfe behalten. Eine Auswirkung auf die UN (außerhalb der EU) hat die EuGH-Rechtsprechung bislang nicht. Zum Rechtsinformatik-Bezug wurde gesagt: Die Identifizierung von sanktionierten Personen durch Banken oder Versicherungen werde mit automatisierten Fragebögen unterstützt, die kommerziell angeboten werden. Netzwerke politisch exponierter Personen könne man bspw. bei accuity.com betrachten. | Abs. 28 | | Einen Handlungskatalog (Watchlist Guidelines) für die Evaluierung der Anti-Terror-Gesetze in Österreich (Projekt „HEAT") stellte Christof Tschohl vor (unter anderem Arbeitskreis Vorrat.at). Er verwies auf die BVerfG zur Vorratsdatenspeicherung in Deutschland von 2010: Die Rechtfertigung einer Einzelmaßnahme im Netzwerk von Eingriffsmaßnahmen und technologischen Mitteln lasse sich nur im Gesamtzusammenhang des Systems beurteilen. D.h. zuerst sei wirkungsorientiert die Verhältnismäßigkeit des Gesamtüberwachungssystems zu prüfen, dann erst - von dieser Technikfolgenabschätzung abhängig - die Intensität des Grundrechtseingriffs der konkret inkriminierten Maßnahme zu beurteilen. Die angewandten Methoden der Vorschriftenevaluierung könnten auch zur materiellen Vorab-Prüfung weiterer Vorschriften von Legisten verwendet werden. IMSI-Catcher, predictive policing, unbestimmte Rechtsbegriffe in neuen Eingriffsnormen, unklare Regelungen, Staatstrojaner, fehlender Rechtsschutz und ähnliche technische und rechtliche Konstellationen wurden in ihrer Erlaubtheit angezweifelt. | Abs. 29 | | Kommunales Facebook? | Abs. 30 | | Peter Schilling trug Thesen zum Fragenkreis „Die Öffentliche Hand als Facebook-Informations-Anbieter", insbesondere ging es dabei um Facebook-Aktivitäten von Gemeinden. Der Referent kam zu folgenden Schlussthesen: Die Nutzung von Facebook zur amtlichen Selbstdarstellung von Gemeinden und anderen öffentlichen Körperschaften sei zulässig, falls Nicht-Facebook-Benutzer gleichbehandelt würden; diese negative Bedingung ist unter Beachtung der üblichen Praxis von Facebook gegenüber nicht angemeldeten Nutzern schwierig zu erfüllen. Auch Publikationsformen zur politischen Meinungsbildung, die auf Facebook aufsetzen, sind nicht zulässig. Und Beschlüsse, z.B. eines Gemeinderats, die auf einer Art Bürgerbeteiligung via Facebook oder Ähnlichem aufsetzen, könnten sogar unzulässig sein, wenn sie darauf basieren. | Abs. 31 | | Science Fiction: Anonymität und Prognosen | Abs. 32 | | Im Arbeitskreis Science Fiction und Utopien referierte Elisabeth Hödl über Open Data vs. Crypto-Welten: Chancen und Risiken in dezentralen Netzen, und stellte dafür wichtige Zitate vor: Bill Gates 1994: „Banking is necessary, banks are not." Und Johnston's Law: „alles, was dezentralisiert werden kann, wird dezentralisiert werden." | Abs. 33 | | Dezentralisation und Anonymität könnten zwar ein Ansatz für Freiheit zu sein, müssten aber nicht. Denn die Offenheit, Verlinkung und Transparenz sowie die Verfügbarkeit des WWW könnten auch - zusammen mit der Anonymität (TOR) - für Teilnehmer von Krypto-Organisationen dazu genutzt werden, außerhalb des staatlichen Zugriffs eine Kommunikationsstruktur aufzubauen, die zu einer Parallelwelt werden kann. Als Beispiel nannte die Referentin Bitcoins. Mit der Blockchain als dezentrales Buchhaltungssystem eignen diese sich als Krypto-Währung. Das Cryptovalley in Zug (Schweiz) mit der Währung ether/ethereum und eine Crowdfunding-Aktion mit Namen aus den Büchern „Daemon" und „Darknet" von Daniel Suarez lösten 2014 einen Hype aus (vgl. http://www.nzz.ch/digital/libertaere-visionaere-aus-crypto-valley-1.18380940) Die Blockchain gewähre Transparenz und stifte Vertrauen, aber die mit dem Bitcoin-System verbundene Anonymität führe zum Beispiel - zu Ende gedacht - zu einem Leerlaufen des Steuersystems. Und auch die Demokratie würde durch eine Auflösung der Bedeutung von Namen durch Anonymität in ihrer derzeitigen Form (personalisierte Wahlen) nicht mehr ausübbar. Je mehr Freiheit die Technik biete, desto größer würden gleichzeitig die Gefahren für die Freiheit derjenigen, die sich nicht aktiv damit auskennen. Hierzu gab es Beiträge aus dem Diskussionsteil von Wolfgang Schinagl: Es gibt die sogenannte Wikipedia-Polizei. Wer wird die TOR- und die Bitcoin-Polizei sein? Und von Prof. Hermann Maurer, selbst Science Fiction-Autor: TOR-Netzwerke, RSA-Verschlüsselung und Bitcoin seien erfunden worden, um Menschen zu helfen und würden bereits kurz danach von Kriminellen missbraucht. Z.B. der aktuelle Locky-Virus: Alle Daten des Geschädigten würden verschlüsselt und man müsse über ein TOR-Netzwerk mit Bitcoins ein Lösegeld bezahlen, damit die Daten wieder verfügbar werden. Weder sei der Virus bisher unschädlich gemacht worden, noch die Organisatoren gefunden, noch sei bisher die Verschlüsselung gebrochen worden. | Abs. 34 | | Peter Lechner fragte, wer zehn Euro auf die Wettervorhersage von übermorgen verwetten wolle? (niemand). Dennoch seien viele bereit, sehr viel Geld auf die globale Erwärmung in hundert Jahren zu setzen (also gegen global warming zu investieren). Prognosen seien ein interessantes Phänomen: jeder versuche zwar, die Zukunft zu erkennen, aber keiner wolle wirklich so genau wissen, was geschehen wird? (Beispiel Kassandra, Untergang von Troia). Prognosen über mehr als 15 Jahre seien unmöglich, wir wüssten sogar zu wenig über die Gegenwart, dennoch seien Prognosen als Steuerungsinstument immens wichtig. Noah habe auch seine Arche zu bauen begonnen, bevor es zu regnen anfing. Abschließend unterzog Lechner einige bekannte Prognosen einem Test: Die erste lautete: Lesen, Schreiben und Grundrechenarten muss man ab sofort nicht mehr in der Schule unterrichten. Denn Hosentaschen-Computer können Texte vorlesen, können Diktate schreiben und enthalten eine Rechnerfunktion. Wage deshalb jemand diese Entscheidung? Auch Fremdsprachenunterricht könnte man als überflüssig einstufen, weil Übersetzungsprogramme das - notdürftig - hinbekommen. Dieses Ziel werde aber - entgegen anderslautender Vorhersagen - seit 10 Jahren nicht besser erreicht als vorher. "Gershenfeld, you're right! We don't need computers. We need things that think." - Diese – auf den Buchtitel „When things start to think" bezogene - Prognose von Werner Dorfmeister (Microsoft) über das kommende Internet der Dinge bewahrheite sich derzeit. Hermann Maurers Prognose: „Das Internet bricht zusammen - Je früher desto besser." sei hingegen nicht eingetroffen, ebensowenig die Prognose von Peter Lechner selbst zur Abschaffung des Föderalismus in Österreich aus dem Jahr 2006. Zum Ende rief der Redner dazu auf, Prognosen aus dem Publikum abzugeben, die in den nächsten Jahren auf der IRIS nachgeprüft werden sollten. Das Experiment wurde unter großer Hörerbeteiligung gestartet. | Abs. 35 |
|
| |
| |
|
| | Fußnote: |
| |
| * Dr. Alexander Konzelmann ist Lektor für elektronische Medien beim Richard Boorberg Verlag, Stuttgart. |
|
| |
| |
| |
| (online seit: 05.04.2016) |
| | |
| |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs. |
| | |
| | |