JurPC Web-Dok. 34/2017 - DOI 10.7328/jurpcb201732334

Alexander Konzelmann *

Konzelmann, Alexander

Tagungsbericht IRIS 2017

JurPC Web-Dok. 34/2017, Abs. 1 - 29


Von 23. bis 25. Februar fand in Salzburg im Juridicum der Universität zum nunmehr zwanzigsten Mal das Internationale Rechtsinformatik Symposion (IRI§) statt. Der herausragende Aspekt dieser Veranstaltung ist die unmittelbare Verknüpfung von Praxis und Theorie in Präsentationen und Vorträgen zu allen aktuellen Entwicklungen im Bereich Computer, Internet und Recht. Die Beiträge sind in englischer oder deutscher Sprache und parallel zur Veranstaltung erscheint bereits der umfangreiche gedruckte Tagungsband mit den diesjährigen Referaten in ausformulierter Fassung. Denn auch Rechtsinformatiker wissen: was man schwarz auf weiß besitzt, kann man getrost nach Hause tragen, obwohl der Server der Weblaw AG die Dokumente auch komplett online vorhält (http://jusletter-it.weblaw.ch/issues/2017/IRIS).Abs. 1
Das Organisationsteam mit Erich Schweighofer, Dietmar Jahnel, Friedrich Lachmayer und Peter Mader an der Spitze gab das Motto „Trends und Communities der Rechtsinformatik" vor, worunter insbesondere die Communities von vielen Referenten dankbar als Anknüpfungspunkt ihrer Betrachtungen und Werkstattberichte aufgenommen wurde. In bis zu sieben parallelen Sessionen wurden weit über 100 Kurzreferate mit Diskussionsteil zu aktuellen Entwicklungen gehalten, die den Bereichen e-Government, e-Democracy, LEFIS (internationales Rechtsschulennetzwerk), e-Procurement, Science Fiction, Rechtsvisualisierung, e-Commerce, Rechts- und Wissenschaftstheorie, Datenschutz, Urheberrecht, Cybersecurity und Informationssysteme gruppenweise zugeordnet waren. Dabei war kennzeichnend, dass einerseits neue Denkansätze auf ihre praktische Relevanz als Hilfsmittel im Rechtsalltag abgeklopft wurden, andererseits neue „Gadgets" stets auf ihre Konformität mit den vorgefundenen rechtlichen Rahmenbedingungen (auch die Puppe Cayla). Praktikabilität und Compliance sind – außer „Neuheit" - die Hauptpunkte, auf welcher die Rechtsinformatik-Community den Akzent legt. Der Tagungsbericht beinhaltet eine sehr subjektive Auswahl der angebotenen Live-Vorträge und gibt diese holzschnittartig reduziert wieder.Abs. 2

Datenschutz

Abs. 3
Georg Borges von der Universität Saarbrücken übernahm 2017 den zentralen Plenarvortrag. In diesem ging er auf die Potenziale für den praxisgerechten Grundrechtsschutz ein, welche der neuen EU-Datenschutz-Grundverordnung (DSGVO) innewohnen. Die DSGVO stelle einen Meilenstein in der Entwicklung des Datenschutzrechts dar, da sie unmittelbar anwendbares einheitliches Datenschutzrecht für die gesamte Union bringe. Inhaltlich stehe sie in der Tradition der Europäischen Datenschutz-Richtlinie von 1995 und verzichte weitgehend auf umfassende Reformen des Datenschutzrechts. Zu den innovativen Elementen der DSGVO hingegen gehöre die Regelung zur Zertifizierung, die nach Aussage des Referenten ohne Vorbild sei. Die Datenschutz-Zertifizierung sei für moderne Formen der Datenverarbeitung wie Cloud Computing von besonderer Bedeutung. Der Beitrag zeigte, wie die Zertifizierung ablaufen wird. Die typisierte Fallkonstellation sei wie folgt: Wenn ein Cloud-Nutzer, z.B. eine Bank, beim Cloud-Anbieter, z.B. amazon web services, Daten seiner Kunden verarbeiten lässt, dann haben die Kunden der Bank keine Vertragsbeziehung zum Anbieter des Cloudservice und deren Datenschutzinteressen müssen folglich vom Cloud-Nutzer gewahrt werden.Abs. 4
Der Referent hob folgende Regelungen der DSGVO zur Zertifizierung hervor: Artikel 32 Absatz 1 (Verarbeitungssicherheit), Artikel 28 Abs. 1 (Pflicht zur Auswahl eines geeigneten Auftragsverarbeiters) und Artikel 43 (Ermächtigung der Kommission zum Erlass von Regeln über Prüfung und Zertifizierung). Bisher gebe es keine gesetzlichen Regelungen über die Qualifikation der Prüfstellen und Zertifizierer und deren Akkreditierung; daher sei es angemessen, in der Zwischenzeit solche Verfahrensregelungen zum Vertragsinhalt mit den Diensteanbietern zu machen. Immerhin regle aber Artikel 28 Absatz 5 der DSGVO, dass zum Nachweis hinreichender Garantien Verhaltensregelungen und Zertifizierungsverfahren herangezogen werden können. - § 11 Abs. 2 Sätze 1 und 4 des deutschen BDSG statuiere in solchen Konstellationen hingegen noch eine Pflicht zur Kontrolle (vor Ort) mit Ergebnisdokumentation. Eine solche Pflicht zum „Prüftourismus" sei heute z.B. gegenüber SAP oder Microsoft für alle Nutzer von deren Cloud-Diensten allerdings nicht mehr besonders funktional bzw. praktisch unerfüllbar. An dieser Stelle könne eine Zertifizierung, wie sie die DSGVO vorsehe, einen praktikablen Ersatz bieten: Wenn eine unabhängige Instanz den Serviceanbieter nach allen Regeln der Kunst überprüft und darüber ein vertrauenswürdiges Zertifikat ausgestellt habe, dann könnten die einfachen Nutzer das Zertifikat abrufen und sich darauf verlassen, um insofern ihrer Schutzpflicht für die Datenschutzinteressen ihrer Kunden zu genügen. Dieses Konzept liege der DSGVO zugrunde. Fraglich sei, ob denn das ausgestellte Zertifikat alle gesetzlichen Pflichten aus DSGVO und auch nach nationalen Datenschutzgesetzen abbilde und ob die Prüfung selbst wirklich im Detail gewährleiste, dass die praktische Umsetzung der Datenschutzanforderungen erfüllt sei, technisch ebenso wie in der Qualifikation und der Unabhängigkeit der Zertifizierer.Abs. 5
Ein Pilot-Projekt „Datenschutz-Zertifizierung für Cloud-Dienste" (2015, www.tcdp.de) habe zum Beispiel erwiesen, dass die Zertifizierung modular ablaufen müsse, um redundante Prüfungen - ohne Qualitätsabstriche – zu vermeiden. Weiterhin habe sich gezeigt, dass je nach Sensibilität der zu verarbeitenden Daten und der Art der Verarbeitung unterschiedliche Schutzklassen angemessen seien, in welche die Aufträge jeweils korrekt eingestuft werden müssen. Demgemäß sei es korrekt, Zertifikate nach Schutzklassen gestaffelt zu erteilen. Drittens sei es sinnvoll, auf internationale Standards im Wege gezielter (ausschnittweiser) dynamischer Verweisungen zurückzugreifen , insbesondere auf die Datenschutzanforderungen in ISO/IEC 27002, 27017 und 27018, die sich innerhalb von Zertifizierungen nach ISO/IEC 27002 bewährt hätten. Ausformulierte und als verbindlich publizierte Prüfstandards auf Grundlage der DSGVO gebe es bisher nicht, sie seien aber ein wichtiges Desiderat, um die Verordnung effektiv zu machen; bis dahin fehle es noch an einem vollwertigen Ersatz zum unpraktikablen „Prüftourismus".Abs. 6
Borges verglich die DSGVO mit der Hamburger Elbphilharmonie und bezog sich dabei auf die anfängliche Euphorie ab 2005, die mannigfaltigen Entwurfsversionen, auf 4000 Änderungswünsche im EU-Parlament, von denen 200 substantielle intensiv behandelt wurden und darauf, dass Stolz und Freude, als die DSGVO über zehn Jahre später verabschiedet wurde, ähnlich groß gewesen seien wie bei der Eröffnung des vielzipfligen Musiktempels in der Hansestadt.Abs. 7
Michael Bohne von der FH Dortmund berichtete über die Geschichte des Datenschutzrechts und über Aktualität der alten Argumente für heutige Diskussionen. Er scherzte, erfahrungsgemäß sei das Thema „Ethik und Recht" bei BWLern schwierig und bei Juristen unmöglich. Er berichtete, dass viele frühe namhafte Datenschutz-Koryphäen aus anderen Fachbereichen zur Juristerei gekommen waren, durchaus auch Theologen und Mathematiker. Die Privatsphäre als Anknüpfungspunkt des Schutzbedürfnisses sei bereits seit 1970 in den Mittelpunkt der Diskussion gerückt. Bereits Steinmüller habe den Anknüpfungspunkt für eine Art informationelles Selbstbestimmungsrecht in einem Gutachten in Artikel 2 GG gesehen und Simitis habe schon 1977 gefordert, dass Computer vergessen können müssen. Die Frage um den exakten Schutzgegenstand bestimme auch heute noch die Diskussionen um Zweck und Grenzen des Datenschutzes.Abs. 8

Datenbanken

Abs. 9
Beate Glück vom Hauptverband der österreichischen Sozialversicherungsträger beleuchtete Granularität und Funktionalität der öffentlichen RIS-Rechtsdatenbanken, insbesondere die Abbildung von sogenannten Zeitschichten im Vorschriftenportal. Dabei legte sie Wert auf die Abgrenzung von Inkrafttretensregelungen mit und ohne Rückwirkung einerseits und Beschluss- und Verkündungsdaten andererseits. Es gebe nicht nur Stichtage, sondern auch „Sichttage". Wenn z.B. § 8 ASVG von unterschiedlichen Änderungsgesetzen viermal nacheinander jeweils „zum 1.1.2014" geändert worden sei, dann halte das RIS zwar vier Versionen dieses Paragraphen mit dem Inkrafttretensdatum 1.1.2014 vor, um dem Nutzer die legislative Entwicklung zu zeigen. Aber es wurde von der Rednerin als weiterer Wunsch geäußert, auch das effektive Verkündungsdatum von Novellen in der Datenbank abfragefähig zu hinterlegen, sodass eine Suchmaske auch die vorläufig noch „unsichtbaren" Zwischenversionen je nach Betrachtungszeitpunkt zeigen kann. Auf diese Weise könne z.B. einem Vorwurf der Falschberatung begegnet werden, wenn zum Beratungszeitpunkt die fragliche Änderung noch nicht publiziert worden war. Auch die Darstellung von Versionen zu Paragraphen, die unter einer – noch nicht eingetretenen - Bedingung erlassen wurden, mit dem Metadatum „In Kraft ab 01.01.9000" wurde thematisiert.Abs. 10
Felix Gantner von Infolex.at proklamierte eine Entwicklung im Bereich der Rechtsinformationen von der Anwendung zum „Legal GPS", denn juristische Volltextdatenbanken hätten sich als Standardwerkzeug für die juristische Arbeit zwar erfolgreich etabliert. Durch die große Zahl der angebotenen Dokumente sinke jedoch die Präzision der Recherche. Zusätzlich bringe die technische Entwicklung im Bereich der Smartphones und Tablets das Konzept der textorientierten Anwendung in Bedrängnis. Deshalb wollte der Referent andere Möglichkeiten diskutieren, die eine automatisierte Analyse und Bearbeitung der Verweis- und Netzwerkstrukturen sowie der Begriffsnetzwerke juristischer Dokumente biete, um alternative Darstellungsformen und Benutzerschnittstellen für Rechtsdatenbanken zu entwickeln. Als prototypische Beispiele stellte er eine Art Navigationssystem durch eine „Sachverhaltslandschaft" einerseits und durch eine - andere Begrifflichkeiten hervorhebende - „Rechtsanwendungslandschaft" andererseits im Sinne gerichteter Graphen aus einer Graphendatenbank vor.Abs. 11

e-Government

Abs. 12
Die eIDAS-Verordnung und ihre legistische Umsetzung in Österreich war das Thema von Peter Kustor, Bundeskanzleramt Wien. In Österreich wurde gleichzeitig mit dem Inkrafttreten der ersten Teile der eIDAS-Verordnung am 1.7.2016 das alte Signaturgesetz durch das -Signatur- und Vertrauensdienstegesetz (SVG) ersetzt. Der das Thema eID (elektronische Identitäten) betreffende Teil der eIdas-Verordnung sei aber noch nicht in nationales Recht umgesetzt. Umsetzung könne hierbei nur Flankierung und Umfeld sein, denn es für Verordnungen gelte das „Wiederholungsverbot", schon um die Normqualität nicht zu ändern. (EuGH Rs. C 39/72). Inzwischen sind neue Komitologie-Rechtsakte zur eIDAS-Verordnung hinzugekommen, die Näheres zu Siegeln, Vertrauensliste, Signaturformaten und Zeitstempelregelung aussagen. Auch wurde das österreichische e-Government-Gesetz aktualisiert und eine Durchführungsverordnung zum SVG erlassen. Beim Themenbereich eID gehe es nicht um vollständige Harmonisierung, sondern nur um gegenseitige Anerkennung. Kooperationsmechanismus, Interoperabilität qua Mindestdatensatz, Sicherheitsniveaus und Notifizierungsverfahren – zu diesen 4 Regelungsbereichen gebe es nach Artikel 12 der Verordnung 910/20124 inzwischen je einen Durchführungsrechtsakt; und entsprechend diesen seien die innerstaatlichen Regelungen zu treffen, um die gegenseitige Anerkennung zu erreichen. Deutschland habe inzwischen die Prenotification für ein nationales eID-Schema abgeschickt. In der Schweiz sei ein eID-Gesetz Entwurf im Parlament eingebracht. Attribute in einem eID-Ausweis könnten z.B. Führerscheininhaberschaft, Jugendlichenausweis, KFZ-Eigentumsnachweis, oder Berufsträgerzugehörigkeit sein. Bei alldem solle die Balance gewahrt werden zwischen „data only once" (Benutzerfreundlichkeit) einerseits und Datenschutzinteressen (Sicherheit) andererseits. Privatwirtschaftliche Nutzungen der eID solle unterstützt und gefördert werden. 750.000 Handysignaturen und 200.000 ID-Karten seien in Österreich derzeit bereits aktiv.Abs. 13
Laut Alexander Konzelmann hat die eIDAS-Verordnung (EU) Nr. 910/2014 auch einen fühlbaren Einfluss auf die bundesdeutsche Rechtswirklichkeit. Seit ihrem Inkrafttreten am 1. Juli 2016 seien legislative Auswirkungen in Deutschland eingetreten, insbesondere der Entwurf des neuen Vertrauensdienstegesetzes VDG. „eIDAS" stehe für elektronische Identitäten und Authentifizierungs-Services, wozu Zertifikate, Zeitstempel, Siegel und Signaturen samt technischer Infrastruktur gehören. Der Entwurf des VDG (Wortlaut enthalten im Download zu http://www.bmwi.de/Redaktion/DE/Downloads/Stellungnahmen/Stellungnahmen-elDAS-VO/stellungnahme-voi.pdf) wurde vorgestellt und auf bereits ergangene Stellungnahmen der Ärzteschaft und des DIHT hingewiesen. Für Deutschland neu sei z.B., dass man das Schlüsselpaar nicht mehr selbst verwalten müsse; es könne von einem Dritten kommen, der einen authentifiziert hat. Dies betreffe Dienste wie SMS-TAN (Handy-Signatur) und „fernausgelöste" online-Signaturen. Außerdem wurde die Vertrauensliste nach Artikel 22 der Verordnung thematisiert: In diese seien - pro Mitgliedsstaat - alle registrierten Anbieter von Vertrauensdiensten eingetragen. Der Referent schlug vor, die Menge der Eintragungen und den Anteil an privatwirtschaftlichen Anbietern als Seismograph des wirtschaftlichen Impacts der eIDAS-Verordnung zu sehen. Es sei Bewegung in beide Richtungen auf der deutschen Liste (Aufruf von http://tlbrowser.tsl.website/tools/ und Klick links oben auf "DE") zu beobachten, jedenfalls sei das Inkrafttreten der EU-Verordnung nicht unbemerkt geblieben.Abs. 14
Michael Tonndorf trug zum Thema CIRCABC vor. Ausgangspunkt war, dass Communities eine gemeinsame Datenablage und Austauschplattform benötigten. CIRCABC (Communication and Information Resource Centre for Administration, Businesses and Citizens) sei eine übergreifende Kollaborationsplattform der EU-Kommission für e-Government / e-Justice-Vorhaben. Eine solche Plattform müsse Nutzergruppen aus heterogenen Zusammensetzungen unterstützen, Vertraulichkeit, -Verfügbarkeit und Datenintegrität gleichzeitig herstellen, sie dürfe keine Lizenzgebühren kosten und solle mehrsprachig sein. Sie wurde auf der Basis von Alfresco realisiert und biete als strukturierte Dokumentanablage Metainformationen, Bibliotheken, Nachrichtenforen, Diskussionsforen, einen Zwischenspeicher und eine Suche über mehrsprachige Indizes. Sie verfüge über eine Versionenverwaltung und unterstütze auch bulk-operations. Da sie eine Benutzerverwaltung mit Gruppenmanagement habe, stelle die Anwendung sicher, dass nur angemeldete Nutzer in den für sie freigegebenen Gruppen aktiv sind, unabhängig davon, aus welchen Institutionen sie ursprünglich kommen. 3700 Gruppen, 170000 aktive Nutzer und 5,5 Millionen Dokumente zeigten, dass die Plattform als Arbeitsmittel akzeptiert sei.Abs. 15
Eine Gruppe von Vorträgen hatte den Tenor „Once only: Bürokratieabbau durch Verwaltungsvernetzung". Das „once only principle" OOP ist laut Maria Wimmer von der Universität Koblenz einer von sieben Handlungsgrundsätzen des e-Government–Aktionsplans 2016-2020 der EU. Das Prinzip besage, dass der Bürger Informationen und Dokumente, die er „dem Staat" bereits zur Verfügung gestellt hat, diese nicht bei der Folgebehörde erneut beibringen muss. Vielmehr solle man Verfahren von vornherein so ausgestalten, dass diese Daten – zweckbestimmt und datenschutzrechtlich korrekt - durchgereicht würden. Die anderen Grundsätze des neuen Aktionsplans (http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52016DC0179) bedeuteten, dass e-Government-Verfahren wie folgt auszugestalten seien: standardmäßig digital, international und interoperabel, barrierefrei, offen und transparent sowie vertrauenswürdig und sicher. Laut Robert Krimmer von der Technischen Universität Tallinn sei es noch dringender, den Grundsatz „Once only" für Unternehmen umzusetzen. Beispielsweise müssten Unternehmen, die sich an Ausschreibungen beteiligen, immer wieder dieselben Datenblocks eingeben. Und bei Schiffen müssten immer wieder die Schiffsdaten und die Daten der Besatzung beigebracht werden. Das solle in einem von drei Pilotprojekten vereinheitlicht und vereinfacht werden. Die DSGVO werde allerdings während der Projektlaufzeit ein anderes Datenschutzregime bringen, auf welche die laufenden Projekte sich dann flexibel einstellen müssen. Vanessa Kroyer thematisierte eine in Österreich angelaufene antragslose Familienbeihilfe als „Once-only" für Bürger: In verschiedenen Verfahrensstadien nach der Geburt eines Kindes benötige man für Behördengänge Geburtsurkunde, Staatsbürgerschaftsnachweis, Vaterschaftsanerkenntnis, Heiratsurkunde, Scheidungsurteil mit Rechtskraftnachweis, Wohnsitzmeldung, Meldungen an die Sozialversicherung, Bankverbindung und Antrag auf Familienbeihilfe. Daher sei das „Projekt One-Stop-Shop Geburt" gestartet worden. Es definiere das Standesamt als leitende Behörde für die einmalige Datenerhebung und sternförmige Datenweitergabe an Personenregister, Melderegister, Sozialversicherung und Finanzamt. Zudem entfalle das Antragserfordernis, sodass die Behörde bei Vorliegen der Bezugsberechtigung die Familienbeihilfe überweise. Die Leistung der Familienbeihilfe erfolge demnach sogar als „no-stop-shop", eine behördliche Wohltat für junge Familien (https://www.bmf.gv.at/egovernment/projekte/alf.html). Abschließend referierte Michaela Führer von der init AG Berlin über eine Lebenslage „Kind" als noch fiktives Beispiel in Deutschland. In Deutschland würden Daten wegen des Gebots der Zweckbindung der Datenerhebung getrennt von anderen Verfahren und Behörden gespeichert. Trotz Artikel 91c GG finde bisher nur ein geringer Datenaustausch zwischen Behörden statt. Und deutsche Staatsbürger nutzten sehr wenig digitale Angebote. Vorgeschlagen wurde ein online verfügbares „Servicekonto", auf dem man sich authentifiziert, einen Datensafe und einen Dokumentensafe nutzen und Abläufe alter und laufender Verfahrend nachverfolgen könnte, und auf dem man einen Briefkasten zum Empfang von Behördenpost hätte und Zahlungen im sicheren Umfeld veranlassen würde. Auf diese Weise hätte der Bürger datenschutzrechtlich unbedenklich und höchst transparent selbst in der Hand, welche Daten er öffentlichen Stellen zur Verfügung stellen möchte. Im Gegenzug müsste sich der Bürger aber selbst um seinen Datensafe kümmern, hätte also eine neue Aufgabe, aber gleichzeitig auch die Datenhoheit. Diese Dezentralisierung beeinträchtige - je nach Umsicht der Nutzer - die Sicherheit. Denn ob die Aktualität des Safes und die Integrität seiner Inhalte dauerhaft gewährleistet ist und bleibt, könne die Verwaltung in diesem Modell nicht prüfen. Ein Kompromissvorschlag von Wimmer bestünde daher darin, dass zwar eine amtliche Ablage gesicherter personenbezogener Daten zur Verfügung gestellt würde, dass aber jeder Abruf beim Bürger eine Meldung verursache, wer wann zu welchem Zweck welche Daten abgerufen habe.Abs. 16

e-Commerce und Urheberrecht

Abs. 17
Zum Thema Industrie 4.0 in der Automobilindustrie berichtete Birgit Renzl, ABWL-Professorin von der Universität Stuttgart, über Erfordernisse zur Interdisziplinarität, die durch neue Rahmenbedingungen für die Automobilindustrie veranlasst werden, und zwar weniger im Bereich des autonomen Fahrens, sondern in der vernetzten Produktion und in den Anforderungen der Individualisierung von Fahrzeugausstattungen („Smart factory" mit Losgröße 1) sowie rechtlich, jeweils damit verschränkt, durch die Rahmenanforderungen der „compliance". Dazu wurde eine Studie bei Daimler-Benz durchgeführt. Die Digitalisierung der Wertschöpfungskette führe zu Erfordernissen einer wandlungsfähigen und individualisierbaren Produktion. Die menschenleere Fabrikhalle bleibe genauso eine Illusion wie früher das sogenannte papierlose Büro. Bei den Fach- und Methodenkompetenzen sowie den sozialen Kompetenzen der Mitarbeiter ergäben sich durch häufigere kurzfristige Änderungen von Teams und Anforderungen (Compliance) höhere und spezifischere Anforderungen. Für Fachwissen und Compliance-Anforderungen könnten zentralisierte Lerndatenbanken und Schulungen zu deren Nutzung eine gewisse Unterstützung anbieten.Abs. 18
Ob in Österreich die urheberrechtliche Speichermedienvergütung für Privatkopien vor einem Umbruch stehe, thematisierte Philipp Homar vor dem Hintergrund der aktuellen Rechtsprechung zur Rechtssache „amazon". Das österreichische Urheberrechtsgesetz (§ 42b) könne mit Artikel 5 Absatz 2 der InfoSoc-Richtlinie (2001/29/EU) laut einer Entscheidung des EuGH von 2013 in Übereinstimmung stehen. Nur 50 % der Speichermedienvergütung werde direkt an die Urheber ausgeschüttet, der Rest an soziale und kulturelle Einrichtungen. Die AustroMechana GmbH (österreichische Verwertungsgesellschaft, Tochter der AKM Genossenschaft) streite mit amazon über die Unionsrechtskonformität der Regelung der Speichermedienvergütung. Der OGH musste aufgrund der EuGH-Entscheidung aufheben und an die Ursprungsinstanz (Handelsgericht Wien) zur weiteren Beweiserhebung zurückverweisen. Inzwischen sei der Prozess wieder beim OGH angekommen und eine Entscheidung stehe unmittelbar bevor. Das Verfahren sei seit dem zweiten Durchlauf tendenziell zugunsten amazon „gekippt". Es gehe um eine Frage, ob eine Rückerstattungspflicht gegenüber Privatpersonen generell ausgeschlossen werden dürfe, die der Referent aber nicht als relevant für eine Europarechtswidrigkeit ansah. Vielmehr plädierte er für eine richtlinienkonforme Auslegung des österreichischen Urheberrechtsgesetzes.Abs. 19
Clemens Appl von der Donau-Universität Krems referierte über das aktuelle EU-Copyright Package unter dem Titel „Neue Kapitel einer unendlichen Geschichte". Rund 15 Jahre nach Inkrafttreten der europäischen InfoSoc-Richtlinie zur Schaffung eines harmonisierten Rechtsrahmens mit Mindestanforderungen im Urheberrecht (2001/29/EU) und im Lichte eines veränderten technologischen wie sozialen Umfelds hat die Europäische Kommission einen Richtlinienvorschlag zur Anpassung des Urheberrechts an die Erfordernisse eines Digitalen Binnenmarkts vorgelegt. Zehn weitere Richtlinien im Bereich des Urheberrechts gestalteten einen disparaten Gesamtrahmen (Datenbankschutz, Informationsweiterverwendung etc.). Die neu vorgeschlagene Richtline über das „Urheberrecht im Binnenmarkt" wolle nur Einzelaspekte regulieren, wie Data-Mining, vergriffene Werke, Verlegerbeteiligung, Online-Vergütungen, Online-Lehre, Schutz von Presseveröffentlichungen, faire Vergütung, Erhalt kulturellen Erbes und „Sonstiges", enthalte aber keine allgemeinen urheberrechtlichen Reglungen von Belang und sei insofern im Vergleich zu ihrem Titel eine Mogelpackung. Denn der Entwurf trage laut Ansicht des Referenten zwar vielfältigen partikularen Stakeholder-Interessen Rechnung, lasse aber ein Gesamtkonzept für eine EU-Urheberrechtsordnung nicht erkennen, Komplexität und Rechtsunsicherheit drohten zu wachsen.Abs. 20

e-Justice

Abs. 21
Im Arbeitskreis E-Justice lautete eine publikumswirksame Überschrift: Richterliche Unabhängigkeit und Bring Your Own Device (BYOD) – Weg in die Zukunft oder unvertretbares Sicherheitsrisiko? Jochen Krüger und Frederik Möllers von der Universität Saarbrücken stellten die richterliche Unabhängigkeit als einen zentralen Gestaltungsgrundsatz für die Justiz in Beziehung zu dem verbreiteten Konzept „Bring Your Own Device" (BYOD), also die Nutzung privater Mobilgeräte zu dienstlichen Zwecken. Dies sei eine der neuen Entwicklungstendenzen in der digital geprägten Arbeitswelt. Die dadurch eröffnete Möglichkeit, an jedem Ort und zu jeder Zeit zu arbeiten, komme auch dem Selbstverständnis der Richter entgegen. Der Beitrag erörterte die Fragen, ob die privaten Geräte sicher genug ausgerüstet seien für die sensiblen Daten, mit denen sie beladen werden, und ob sie sich ausreichend in die Netzwerke der Justiz und in die Softwarearchitektur der elektronischen Justizakten einfügten. Einen der Lösungsansätze biete die Abschottung der dienstlichen von den privaten Daten direkt auf dem Gerät des Richters, so wie eine Firewall das Internet von gerichtsinternen Daten trenne. Einen weiteren Ansatz, der darin besteht, dass der Richter stets nur remote abspeichert, sahen sie eher kritisch, weil er eine ständige Online-Verbindung erfordere und weil die ständig gesendeten Daten „mitgeschnitten" werden könnten. Eine Zwischenspeicherung mit unregelmäßiger Synchronisation könnte diese Probleme umgehen, eröffne aber erhöhten Synchronisationsaufwand, wenn mehrere Beteiligte widersprechende Änderungen gleichzeitig einbringen und Risiken, wenn das Gerät verloren gehe. BYOD sei stets eine Schwachstelle in der Sicherheitskette und trage Probleme der richterlichen Unabhängigkeit mit sich. Insofern empfahlen die Referenten für Richter die Bereitstellung einheitlich vorbereiteter Geräte durch den Arbeitgeber.Abs. 22
Ob es möglich sei, eine Mail vom Rechtsanwalt zu bekommen, ohne dass gegen Berufsrecht und Datenschutz verstoßen werde, fragten Dominik Leibenger, und Christoph Sorge von der Universität Saarbrücken. Auch in Kanzleien sei die Nutzung elektronischer Kommunikationswege aus dem Alltag nicht wegzudenken. Ihre derzeitige Ausprägung drohe jedoch, die Verschwiegenheitspflicht von Anwälten zu gefährden. Zwar existierten sichere Verschlüsselungslösungen seit Jahrzenten; praktisch kommunizieren Anwalt und Mandant jedoch oft unverschlüsselt via Mail. Der Beitrag zeigte die Alternativen verschlüsselte Mail, unverschlüsselte Mail mit Verzichtserklärung des Mandanten, Webserver in der Kanzlei oder Webserver in der Cloud auf und nannte Schwachstellen wie Akzeptanz, Geheimnisgefährdung oder Berufsrechtswidrigkeit. Die Referenten präsentierten ein System zur mehrstufigen Ende-zu-Ende-verschlüsselten Kommunikation, das ohne technische Vorkehrungen auf Mandantenseite auskommt: Dabei liegen auf dem Server, den der Mandant kontaktiert, nur verschlüsselte Daten. Erst eine Javascript-Bibliothek, die der Server an den Browser des Mandanten gesondert ausliefere, könne dann im Browser die übermittelten Informationen entschlüsseln. Die Nachrichten des Anwalts an seinen Mandanten werden in der Kanzlei kryptographisch verschlüsselt und demjenigen Mandanten zugeordnet, der darauf Zugriff haben solle. Dann erst werde die Nachricht auf den Webserver übertragen und der Mandant erhalte eine E-Mail mit dem Link zur Nachricht, wobei der Mailserver stets nach Versand die Mail lösche. Zusätzlich werde die Anmeldung des Nutzers an den Webserver lediglich in kryptographisch asymmetrisch verschlüsselter Form an den Webserver übermittelt und führe zur Eröffnung einer Sitzung, die zeitlich begrenzt gültig sei. Somit würden auf dem Webserver keinerlei unverschlüsselte Daten abgelegt und der Mandant benötige auf seiner Seite keine Infrastruktur und müsse selbst nichts ver- oder entschlüsseln. Die technologische Basis sei open source und für viele gängige Plattformen geeignet, nämlich das Framework Django (Sprache python, https://www.djangoproject.com) und eine JavaSript-Kryptographie, unterstützt durch „forge" (https://github.com/digitalbazaar/forge). Die Referenten führten live und in weniger als zwei Minuten die erstmalige Kontaktaufnahme zwischen Mandanten und Rechtsanwalt über diese Kommunikationsplattform vor. Dazu muss ein Aktenzeichen angelegt werden und die Zugangsdaten werden zusammen mit der Serveradresse per Post einmalig an den Mandanten versandt.Abs. 23
Maren Krimmer von der Universität Tartu (Estland) berichtete über e-Justiz in Russland mit einem Beispiel der Registeragentur „Rosreestr" (POCPEESTP, https://rosreestr.ru/site/en/about/). Diese sei ein föderales Organ mit exekutiver Gewalt, zuständig für sämtliche Kataster- und Immobilienangelegenheiten in Russland. Diese Agentur besitze einen Onlineauftritt, der den kompletten Dienstleistungskatalog aufzeige und viele Erklärungen anbiete, wie man eine solche Dienstleistung in Anspruch nehmen kann. Um die Funktionsweise der Website von Rosreestr darzustellen, wurde ein Beispiel einer Eigentumsübertragung gewählt. Die Untersuchung erfolgte anhand eines von Layne und Lee für Russland vorgeschlagenen Entwicklungspfads für e-Government. Der Ablauf sei: Zugangsschlüssel kostenlos anfordern, Nutzerprofil anlegen mithilfe eine Kreditkarte und eines russischen Passes für lediglich 100 Rubel, Katasterauszug erhalten innerhalb eines Tages und dann einen Antrag auf Registrierung im Einheitlichen Staatlichen Register für Immobilienrechte (zentralisiertes Grundbuch und Katasteramt) einreichen. Terminvergaben erfolgten binnen 5 Tagen, die Kommunikation könne auch in Englisch erfolgen, das Verfahren sei transparent, es könne online oder per Telefon Kontakt zu Experten hergestellt werden, die mit geringen Wartezeiten rechtlich bindende Auskünfte erteilten.Abs. 24

Rechtstheorie

Abs. 25
Der Arbeitskreis „Theorie des Rechts im Wissenszeitalter" umfasste drei Beiträge aus Universitäten in Zürich, Darmstadt und Rovaniemi von Rolf Weber, Viola Schmid und Ahti Saarenpää.Abs. 26
Informationsrecht sei laut Weber eine interdisziplinäre Weiterentwicklung aus der Disziplin der Rechtsinformatik und verwende deren Bausteine weiter. Es sei eine klassische Querschnittsmaterie geworden. Wissenschaftstheoretisch versuchte er diese Entwicklung in zwei unterschiedlichen Ansätzen einzufangen. Der erste Ansatz sei, dass phänomenologisch das Entstehen einer neuen Rechtsdisziplin faktische Veränderungen voraussetze, z.B. basierend auf naturwissenschaftlichen Erkenntnissen oder sozialen Umwälzungen. Bausteine der Rechtsinformatik wären demnach beispielsweise Datenschutz, Informationsgewinnungs- und verteilungsrecht, Schutz von Informationen, Schutz vor (zu viel) Information, Verwaltungsinformation, Schutz vor Technik, Schutz durch Technik und Schutz der Technik. Dazu sagte der Referent, dass dies alles heute in der Rechtsinformatik oder auch im Informationsrecht zwar behandelt werde, aber nicht immer unter diesen Überschriften, sondern unter eher politischen Titeln wie Open Data, e-Gouvernement, e-Justice, Internetrecht (CyberLaw) oder IT-Recht. Der zweite Modellansatz sei, dass theoretisch eine funktionale Ausrichtung für die Binnenstruktur des Informationsrechts maßgeblich sein müsse, nämlich die Integration der wichtigsten Axiome, die sich in den letzten Dekaden aus den IT-Erfindungen ergeben hätten, in die digitale Gesellschaft. Daraus ergäben sich Untergebiete wie Informationsentstehung, -speicherung, -übermittlung, -zugang, -entwicklung und -restriktion, Recht des Einsatzes der Informationstechnik, Archivrecht, Statistikrecht und Recht der Informationsgenerierung (Urheberrecht). – Auch dieser Ansatz habe (bislang?) wenig Niederschlag in den heute vorgefundenen mehrheitsfähigen Unterüberschriften der „Rechtsinformationswissenschaft" gefunden.Abs. 27
Viola Schmid von der TU Darmstadt referierte über die Zukunft des Rechts unter dem plakativen Ansatz „The End of Lawyers": eine Konsequenz von Citizen Science, Constitution 2.0, Web 3.0, Industrie 4.0 und Staat 4.0? Die Referentin fragte, ob die Rechtsinformatik und die Entwicklung und Globalisierung der Informationswissenschaften nicht zu einer Überforderung der Anwälte und Richter einerseits und der Ingenieure andererseits führe, so dass tatsächlich das Ende des klassischen Juristen im Sinne von Susskind eintreten könne. Am Beispiel der erlassenen, durchgesetzten und von EuGH und BVerfG wieder kassierten Vorratsdatenspeicherung, den sie als größtmöglichen anzunehmenden Unfall bezeichnete, zeigte Schmid, dass CyberLaw Rechtsunsicherheit bis in höchste politische Ebenen provoziert habe. Man solle sich fragen, was die technischen oder regulatorischen Mindeststandards sind, die hinter gewissen Begriffen stecken, damit man Buzzwords, die man in den Mund nimmt, auch ansatzweise erklären könne. Mit dieser Fragestellung ging sie an Begriffe aus der Tagespresse wie Terror 4.0 (http://www.spiegel.de/politik/deutschland/bundeskriminalamt-holger-muench-will-deutschland-fuer-terror-4-0-wappnen-a-1133996.html), Arbeit 4.0 (http://www.arbeitenviernull.de/) oder Staat 4.0 (https://www.youtube.com/watch?v=0GTdPjQ4aIs) heran und zeigte, dass dabei nicht immer klar sei, was denn jeweils die Stufen eins bis drei gewesen seien. Bei „Industrie 4.0" werde man auf ein Revolutionskonzept gestoßen (industrielle Revolutionen), nicht nur auf harmlose Versionierungen wie bei „Web 4.0". Was dies für „Staat 4.0" und diverse proklamierte digitale Agenden bedeute, bleibe der Phantasie der Zuhörer überlassen.Abs. 28
Ahti Saarenpää aus Rovaniemi vermisste Systematik und Informationskultur in den aktuellen Diskussionen zur Theorie des Informationsrechts. Er erläuterte mit Vehemenz, dass es kein Recht ohne Systematik gebe. Wenn man das System verlasse, finde man kein Recht, keine Legalität mehr. Juristen benötigten Systematik als Grundbedingung ihrer Wissenschaft. Er fragte, ob die Netzwerk-Gesellschaft ausreichend Systematik habe, um sich selbst effektive und konsensfähige rechtliche Regularien aufzuerlegen und ob die Informationsgesellschaft über hinreichend Informationskultur verfüge, um darauf ein Informationsrecht zu gründen. Er forderte zusätzlich zum Katalog der üblicherweise genannten „digitalen Grundrechte" das Recht auf eine Regierung, die auf Informationstechnik basiert und über Informationstechnik erreichbar ist und das Recht auf ausgewogene Information (information government und information balance). Die EU-DSGVO spreche an mehreren Stellen von europäischer Informationskultur, anstatt scharfe Regeln aufzustellen. Dies sei ein interessantes Zeichen von Entwicklung. Gleichzeitig zweifelte er an systematischer Entwicklung, weil vieles im Bereich der Digitalisierungsprojekte als ein ungeordnetes Nebeneinander erscheine und dass wegen des Prinzips der Datensparsamkeit teilweise bewusst Informationen vermieden oder unterdrückt würden. Falsch verstandener Datenschutz führe dazu, dass wir noch nicht das volle Potenzial der Informationstechnologie ausschöpfen können. IT sei mehr als ein Werkzeug, sie müsse erst noch als Grundlage für die Entwicklung neuer Denk- und Arbeitsansätze verstanden werden. Parallel dazu müsse auch das Informationsrecht nochmals in seiner Feinstruktur auf seine Zukunftstauglichkeit überdacht werden. Dies gehöre zu dem, was Saarenpää unter „Informationskultur" verstehe.Abs. 29

Fußnote:
* Autor ist Dr. jur. Alexander Konzelmann, Richard Boorberg Verlag, Stuttgart.

 
(online seit: 07.03.2017)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Konzelmann, Alexander, Tagungsbericht IRIS 2017 - JurPC-Web-Dok. 0034/2017