Andreas Schmitz

DSRI-Herbstakademie 2015: Internet der Dinge - Digitalisierung von Wirtschaft und Gesellschaft


ZD-Aktuell 2015, 04162      In diesem Jahr tagte die Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) vom 9.-12.9.2015 in Göttingen und kehrte damit an den Ort zurück, an dem sie im Jahr 2000 zum ersten Mal stattfand und ins Leben gerufen wurde. Beschäftigte man sich seinerzeit noch mit den Anfängen des Internets (das „der Dinge“ wurde allenfalls unter „Ubiquitous Computing“ vereinzelt erwähnt) und den damit einhergehenden rechtlichen Herausforderungen, so lautete das diesjährige Thema: „Internet der Dinge - Digitalisierung von Wirtschaft und Gesellschaft“. Dieses hochaktuelle Thema wurde durch 64 Vorträge von allen Seiten des Informationstechnologierechts beleuchtet und gab den rund 280 Teilnehmern abermals eine großartige Gelegenheit zum Austausch und zu spannenden Diskussionen.

Da das diesjährige Thema einen außerordentlich starken datenschutzrechtlichen Bezug aufwies, waren das Datenschutzrecht, aber auch die Datensicherheit an allen drei Tagen auf der Agenda. Angefangen mit Wearables und deren mannigfaltigen Verwendungsmöglichkeiten, über ein Zwiegespräch mit Barbie, die „Smart Factory“ bis hin zu sog. „Blockchains“ wurde die immer größer werdende Bandbreite des Internet of Things facettenreich dargestellt. Die diesjährige Herbstakademie endete dann mit der moralphilosophischen Frage, ob es einer neuen Ethik für das Internet der Dinge bedürfe.

 

Angesichts der schon aufgeführten Vielzahl an Vorträgen kann der nachfolgende Überblick nur einen kleinen Ausschnitt dessen darstellen, was die Herbstakademie auch in diesem Jahr wieder zu bieten hatte.

 

Zum Auftakt gab Stefan Wilmer (Noerr LLP, München) unter der Überschrift „Wearables und Datenschutz – Gesetze von gestern für die Technik von morgen“ einen Überblick über die rechtlichen Rahmenbedingungen derjenigen Computertechnologien, die man definitionsgemäß am Körper oder am Kopf trägt und die derzeit in aller Munde sind (was wortwörtlich betrachtet glücklicherweise noch nicht zutrifft). Neben der grundsätzlichen Verortung von Wearables in die allgemeine Datenschutzsystematik beschäftigte sich Wilmer mit der unter Datenschützern liebgewonnenen Frage, wann eine Person bestimmbar ist, und damit mit der Unterscheidung zwischen relativem und absolutem Personenbezug - eine Fragestellung, die bei Wearables gerade deshalb relevant ist, weil hierdurch der sachliche Anwendungsbereich deutschen Datenschutzrechts u.U. limitiert werden könnte. Eine besondere Problemstellung in seinem Vortrag stellte die Erhebung und Verarbeitung von Gesundheitsdaten dar, was angesichts der wachsenden Begeisterung der Krankenkassen für Wearables ein hoch spannendes Thema ist. I.E. geht Wilmer davon aus, dass eine rechtmäßige Verarbeitung nur auf Grundlage einer Einwilligung in Betracht  kommen wird.

 

Mit ihrem Vortrag „Hello Barbie! We kids dislike you – unknowingly“ widmete sich Dr. Johanna Wiebusch (Taylor Wessing, Hamburg) einer sehr bemerkenswerten Ausprägung des Internet of Things: der WLAN-fähigen und daher kommunizierenden Barbiepuppe. Eindrucksvoll demonstrierte Wiebusch im Zwiegespräch das ganze Können der Puppe und zeigte auf diese Weise die datenschutzrechtlichen Herausforderungen auf, die insb. darin liegen, dass das gesprochene Wort des Kindes an einen Server übermittelt, dort ausgewertet und eine entsprechende Antwort generiert wird. Damit aber nicht genug: Sie verfügt sogar über ein Erinnerungsvermögen und ist damit im Stande, die Konversation mit dem Kind fortwährend zu verbessern (jedenfalls solange die Eltern nicht über ein Online-Portal bestimmte Themen tabuisiert haben). Nach Klärung der Frage, welche datenschutzrechtlichen Gesetze Anwendungen finden (da es sich bei den Gesprächsmitschnitten um Inhaltsdaten handelt, ist es i.E. das BDSG) und wer die verantwortliche Stelle ist (sowohl der Anbieter des Service als auch die Eltern, die über das schon erwähnte Online-Portal nicht unerhebliche Einflussmöglichkeiten haben), setzte sich Wiebusch u.a. mit der Interessenabwägung gem. § 28 Abs. 1 Nr. 2 BDSG auseinander, die i.E. zu Gunsten des Kindes ausfiel, weshalb nur noch die Einwilligung als Rechtfertigungsgrundlage in Betracht kam, wobei hier die erste Hürde bereits in der nicht vorhandenen Einwilligungsfähigkeit des Kindes zu sehen sei. Kamen als Einwilligende somit nur noch die Eltern in Betracht, führte Wiebusch die Zuhörer sehr unterhaltsam zurück in den allgemeinen Teil des BGB und prägte den Begriff des „datenschutzrechtlichen In-Sich-Geschäfts“, welches auch hier als unzulässig anzusehen sei, da die Eltern nicht verantwortliche Stelle mit eigenen Interessen sein und zugleich für ihr Kind einwilligen könnten. Lediglich, so i.E., sofern die Eltern keinen aktiven Einfluss auf die Datenverarbeitung der Gesprächsmitschnitte nähmen, komme eine Einwilligungslösung i.R.d. elterlichen Fürsorgepflicht in Betracht.

 

Bettina Robrecht (DB Mobility Logistics AG) beschäftigte sich mit der „Digitalisierung im Beschäftigungsverhältnis – Do's & Don’ts“ und wies auf den Kulturwandel in Unternehmen hin, der sich vor allem durch die flächendeckende Ausstattung der Mitarbeiter mit verschiedensten IT-Produkten / Smart Devices vollziehe und seine Ausprägung etwa in flexibleren Arbeitszeiten und -orten zeige, aber eben auch in den dem Arbeitgeber nunmehr zur Verfügung stehenden Kontroll- und Profilbildungsmöglichkeiten. Die sich in diesem Sinne entwickelnde „Arbeitswelt 4.0“, so einer der Schwerpunkte, begegne damit dem Zielkonflikt etablierter unternehmenseigener IT-Infrastruktur mit zentraler Geräte- und Programmadministration auf der einen, und Tablets und Smartphones, deren Konnektivität und Lifestyle-Faktor im Vordergrund stehe, auf der anderen Seite. Als Konsequenz für die IT-Organisation, so Robrecht, bedeute dies u.a. die Entscheidung zwischen einer seitens des Unternehmens definierten Modellpalette oder der Gestattung, eigene Endgeräte mitzubringen (bring your own device - BYOD), was wiederum technische Sicherungsmaßnahmen wie Container-Lösungen oder Mobile Device Management nach sich ziehen würde. Korrespondierend hierzu, so Robrecht weiter, bestünden sodann organisatorische Herausforderungen etwa im Hinblick auf die Trennung von dienstlicher und privater Kommunikation oder Arbeitnehmerschutzrechte. Als Zwischenergebnis konstatiert sie die Notwendigkeit eines Perspektivwechsels i.S.e. Herausforderung für Mitarbeiter und Vorgesetzte gleichermaßen sowie vor allem eine deutlich gestiegene Eigenverantwortung aller Beteiligten, die insb. auch datensicherheitstechnische Aspekte im Fokus haben sollte. Schließlich gelangt Robrecht zu dem Fazit, dass Digitalisierung im Beschäftigtenverhältnis mit tiefgreifender Veränderung gleichzusetzen, damit mehr als nur die Summe verschiedener IT-Projekte sei und es daher erforderlich werde, neue „Spielregeln“ für neue Technologien ebenso zu berücksichtigen wie die Einbindung der verschiedenen Interessenvertreter.

 

In eine ähnliche Richtung ging auch der Vortrag von Kai Hoffman (Universität Passau): „‘Smart Factory‘ – Arbeitnehmerdatenschutz in der Industrie 4.0“. Hierbei standen die Fabrik und die in ihr tätigen Arbeiter und Maschinen im Fokus. Anhand datenschutzrechtlicher Grundprinzipien wie Transparenz, Zweckbindung und Erforderlichkeit untersuchte Hoffman, inwieweit sich die immensen datenschutzrechtlichen Herausforderungen der Industrie 4.0 mit den schon zur Verfügung stehenden datenschutzrechtlichen Werkzeugen bewältigen ließen. Insofern kam er zum Ergebnis, dass hierbei insb. Betriebsvereinbarungen eine wesentliche Rolle spielen werden und es darüber hinaus auf eine präzise Abgrenzung des jeweiligen „Datenumgangs“, gemessen am jeweiligen Zweck, ankommen werde. Dort, wo das aus einem intensiven Datenumgang entstehende Risiko zu hoch werde, müsse dem durch die Implementierung technischer Verwendungsschranken begegnet werden.

 

Auch in diesem Jahr gab Dr. Flemming Moos (Osborne Clarke) gewohnt unterhaltsam wieder ein „Update Datenschutzrecht“. Moos setzte sich zunächst sehr kritisch mit dem Urteil des VG Köln v. 25.2.2015 (wird demnächst in ZD veröffentlicht) auseinander, das dem TKG eine Sperrwirkung hinsichtlich anderweitiger, im TKG nicht ausdrücklich vorgesehener Einwilligungsmöglichkeiten zukommen lassen möchte. U.a. unter Bezugnahme auf das Volkszählungsurteil lehnt Moos diese Entscheidung ab und verweist vor allem auf das informationelle Selbstbestimmungsrecht unter Betonung des Letzteren. Im Anschluss daran berichtete Moos über das BGH-Urteil v. 20.5.2015, das sich mit der Zweckbindung von Beschäftigtendaten auseinandersetzt und hierbei insb. auf das Verhältnis des § 32 BDSG zu § 28 Abs. 2 BDSG eingeht. Neben jüngeren Dashcam-Urteilen und einem Urteil des LAG Köln v. 12.1.2015 (ZD 2015, 288) zur Teilkündigung eines Datenschutzbeauftragten ging Moos abschließend noch auf das Working Paper 226 der Art. 29-Datenschutzgruppe ein.

 

Auf eine höchst spannende Reise, nämlich in die Welt der sog. „Smart Contracts“, aber auch in die des BGB AT, nahm David Klein, LL.M. (Taylor Wessing, Hamburg) das Auditorium mit, als er zum Thema „Blockchains als Verifikationsinstrument für Transaktionen im IoT“ sprach. Ausgangspunkt und Anlass der Überlegungen sind die Maschine-zu-Maschine(„M2M“)-Transaktionen, die, so Klein, das „zentrale Nervensystem“ des Internet of Things abbilden. Während man beim alltäglichen Brötchenkauf noch auf Altbewährtes wie Angebot und Annahme zurückgreifen könne, sei dies bei der M2M-Kommunikation ungleich schwieriger, sowohl zivilrechtlich als auch etwa im Hinblick auf finanzielle Interessen. Basierend auf dieser Bedarfsanalyse gelangt Klein zur nicht unumstrittenen „Cryptocurrency Bitcoin“ und gelangt darüber zu Blockchains, die das „technologische Rückgrat kryptographischer Transaktionen“ darstellen, „vereinfacht“ aber als Logs gedacht werden können. Tatsächlich handelt es sich um einzelne Datenblöcke, die innerhalb eines Peer-To-Peer-Netzwerks geschrieben werden und verifizierbar sind. Ein wesentlicher Vorteil sei hierbei die direkte Ausführbarkeit, die sozusagen Grundvoraussetzung für funktionierende „Smart Contracts“ zwischen Maschinen sei und somit zur Folge habe, dass Verpflichtungs- und Verfügungsgeschäft in einer Transaktion zusammenfallen. Wie lassen sich solche Prozesse jedoch (vertrags-) rechtlich einfangen? Klein legte hierbei das Augenmerk auf die Willenserklärung und deren subjektives Element, welches durch Maschinen grds. nicht eigenständig wahrgenommen werden könne. Die Ausführungen des BGH aus 2002, nämlich dass nicht das Computersystem, sondern die dieses benutzende Person die Willenserklärung abgebe, sei, so Klein weiter, vielleicht noch bei einer Waschmaschine denkbar, die eigenständig Waschmittel bestelle, höre aber spätestens im Bereich der industriellen und finanzsektorspezifischen Anwendungen auf. Als einen möglichen Lösungs- und Denkansatz schlägt Klein sozusagen eine analoge Anwendung der Grundsätze zum Verhaltensunrecht vor, da auf diese Weise die Zurechnung einer M2M-Transaktion dem jeweiligen Nutzer über die Verantwortlichkeit auferlegt werden könne. Nicht zu Unrecht erhielt Klein für seine Ausarbeitung im Tagungsband den „Best Paper Award“.

 

Den Abschluss der diesjährigen Herbstakademie bildete die Frage: „Neue Ethik für das Internet der Dinge?“, vorgetragen von Barbara Schmitz (Kabel Deutschland Vertrieb und Service) und Thanos Rammos, LL.M. (Taylor Wessing). Ausgehend von der Frage, ob es noch mehr geben müsse als „nur" Recht und Regulatorisches, widmeten sich Schmitz/Rammos u.a. der Technik-, Umwelt-, Rechts- und Medizinethik. Die Änderungen von Wertvorstellungen durch neue Technologien seien daher abzugleichen mit normativen Determinanten, Wertvorstellungen in der Kunst und dem Autonomieanspruch des Einzelnen. Anschaulich wurde aufgezeigt, dass der technische Fortschritt auch Ängste provoziere, denen nicht zuletzt auch durch ein ethisches Regelwerk zu begegnen sei. I.E. halten Schmitz/Rammos u.a. fest, dass bereits bestehende Konzepte auf das Internet of Things übertragbar seien, ein gesellschaftlicher Diskurs bereits im Gange sei und zusätzliche neue Regelungen nicht zwingend Vorteile mit sich bringen müssten.

 

Ich freue mich bereits auf die nächste Herbstakademie und muss dabei an ein Zitat des Schriftstellers William Gibson denken: „The future is already here - it's just not very evenly distributed“.

 

 

RA Andreas Schmitz, LL.M., ist Syndikusanwalt beim Konzerndatenschutz der Deutsche Post DHL Group.