Iryna Lishchuk

DGRI-Jahrestagung 2015


Unter dem Motto „Smart aber hart: Haftungsrisiken bei IT-Innovationen“ fand vom 19.-21.11.2015 die diesjährige Jahrestagung der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) in Stuttgart statt. Aktuelle Rechtsentwicklungen im IT-Bereich, wie etwa IT-Sicherheitsgesetz, Entwurf eines E-Health-Gesetzes, sowie brennende Rechtsfragen rund um den Einsatz von IT-Innovationen, wie automatisiertes Fahren, autonom agierende Systeme, Tracking Devices, wurden dabei diskutiert. Insb. wurde auf die Aspekte der Haftung und des Datenschutzes eingegangen, und das aus Perspektive des deutschen wie auch des US-amerikanischen Rechts.

MMR-Aktuell 2016, 376740     Nach Grußworten des Vorsitzenden der DGRI, Prof. Dr. Dirk Heckmann, Universität Passau, wurde die Tagung mit der Keynote „Kristallkugel oder Planungsinstrument für Innovation –Potentiale der Innovations- und Zukunftsforschung“ von Dr. Antje Bierwisch, Fraunhofer ISI, Karlsruhe, eröffnet. Die Perspektiven der IT-Forschung von heute sowie die Herausforderungen, wie etwa Klimawandel, Industrie 4.0 und Biotechnologie, wurden skizziert.

Die Anwendung von IT-Innovationen, insb. in lebenswichtigen Sektoren, wie Healthcare oder Autoverkehr, bergen rechtliche Risiken. Welche Gefährdungspotenziale dabei entstehen sowie wer, der Hersteller oder der Halter oder der Nutzer, für welche Anwendungen der IT-Produkte haftet, wurde in weiteren Vorträgen diskutiert. Dem Thema Haftung im IT-Bereich wurde der Vortrag von Prof. Dr. Georg Borges, Universität des Saarlands, gewidmet. Fragen wie z.B., ob es gesetzliche Normen sind, die Anforderungen an IT-Angebote und dementsprechend die Haftung regulieren, oder ob es eher technische Standards sind, an die man die Haftungsfragen anknüpfen kann, oder ob die Aufsichtskontrolle und Durchsetzung der Normen den Behörden obliegt, wurden aufgeworfen und differenziert beantwortet.  

Da die Haftung nicht nur die IT-Produkte selbst betrifft, sondern auch die Benutzung der personenbezogenen Daten durch solche Produkte, wurde auch auf Fragen des Datenschutzes eingegangen. Im Vortrag „Big Health Data zwischen Innovation und Determination“ beschäftigte sich der DGRI-Vorsitzende mit ethischen Grenzen datenbasierter Geschäftsmodelle. Heckmann zeigte an Beispielen von Google-Flu-Trends, Predictive Policing oder Connected Cars die Einsatzmodelle, in denen Daten zum Wirtschaftsgut werden und der Begriff Big Data zur Anwendung kommt.

IT-Produkte, die auf Datenverarbeitung basieren, bieten einerseits neue Wertschöpfungsmechanismen, bergen andererseits aber auch das Gefährdungspotenzial, dass der Mensch, mit dessen Daten operiert wird, zum Produkt wird. Dasselbe lässt sich im digitalisierten Gesundheitswesen beobachten, wo der Patient nicht nur als Patient, sondern eher als Nutzer angesehen wird. Soweit man aber die Datenverknüpfung und Big Data, gerade auch im Gesundheitswesen, im Hinblick auf die Grundprinzipien des Datenschutzes betrachtet, stellt sich die Frage, inwieweit die rechtlichen Voraussetzungen zu solcher Datenverarbeitung erfüllt sind. Laut § 4a BDSG bedarf die Erhebung, Verarbeitung oder Nutzung der Daten einer Einwilligung des Betroffenen, die nur dann wirksam ist, soweit sie freiwillig, ausdrücklich, zweckgebunden und informiert abgegeben wurde. Die Verknüpfung der schon vorhandenen für bestimmte Zwecke gesammelten Daten stelle dabei eine Zweckänderung dar, die zur Legitimation ebenso der Einwilligung des Betroffenen bedarf. In Bezug auf die Legitimation der Datenverknüpfung kann dann die Zweckbindung gegen die kompatible Nutzung der Daten abgewogen werden. Aus diesen Beobachtungen lassen sich in Big Health Data folgende Tendenzen aufzeichnen: „Big Data hat eine helle und dunkle Seite. Big Data hat eine freiwillige und unfreiwillige Seite. Big Data ist rechtlich nur bedingt regulierbar“, so Heckmann.

Über datenschutzrechtliche sowie Haftungsfragen in Hinsicht auf IT-Innovationen in den USA berichtete Prof. Dr. Lothar Determann, Baker & McKenzie, Palo Alto. Die Rechtsgrundlagen für die Haftung in Amerika seien in den Bereichen zu suchen, wo bestimmte IT-Innovationen zum Einsatz kommen. In Bezug auf Software-Mängel könnten die Normen des Produkthaftungsgesetzes, gewerblichen Schutzrechts und Verbraucherschutzes sowie technische Standards und Gerätesicherheitsnormen relevant sein. Ansprüche auf Schadensersatz bzw. Damages seien in den USA anders geregelt. Dort werde zwischen „statutory“, „punitive and compensatory damages“ unterschieden. Da die Vertragsbestimmungen nach US-amerikanischem Recht keiner AGB-Kontrolle unterliegen, soweit der Verbraucher die Vertragsbedingungen unter Haftungsverzicht des Anbieters akzeptiere (z.B. durch „accept“-click), sei der Verbraucher an diese auch gebunden. Die Privacy-Rechtsfragen in den USA bereiten mit Blick auf neuere IT- und Rechtsentwicklungen neue Herausforderungen. Soweit man Big Data aus datenschutzrechtlicher Perspektive betrachtet, sei wie in Deutschland von einer Umwidmung der Daten auszugehen. Da in den USA kein sui generis-Schutz für Datenbanken besteht und Datensätze keinen Urheberschutz genießen, seien nach Determann die Eigentumsfragen an Daten vertraglich zu regeln.

 

Von datenschutzrechtlicher Relevanz war auch der Vortrag „Hochautomatisiertes Fahren zwischen Technik und Recht“, präsentiert von Dr. Joachim Rieß, dem Konzernbeauftragten für den Datenschutz, Daimler AG. Dabei zeigte Rieß, welche Risiken das automatisierte Fahren für geschützte Rechtsgüter darstellt und wie diese aus rechtlicher Perspektive strukturiert behandelt werden. So können z.B. Tracking-Devices das Recht des Fahrers auf informationelle Selbstbestimmung begrenzen oder Steuerungen und Manipulationen des Autos von außen in die Bewegungsfreiheit eingreifen. Damit das Auto autonom oder automatisiert steuerbar sei, werde es mit Multi-Mode-Sensorik-Devices ausgestattet, wie etwa Stereo-Multi-Purpose-Kamera, Multi-Mode-Radar und Nahbereichsradar, die die Positionierung und Bewegung des Autos je nach Verkehrsumständen bestimmen. Die live übertragenen Daten werden an den Traffic Service-Provider kommuniziert und von diesem zwecks Steuerung des Autos bearbeitet. Die Integrität der Daten aus dem Fahrzeug werde dadurch gesichert, dass die Daten über das Daimler Vehicle Backend verschlüsselt übertragen, dort anonymisiert und dann an Diensteanbieter übermittelt werden. Ein- und Ausschaltung der IT-Dienste werde dem Fahrer überlassen. Die Transparenz für den Kunden werde dadurch gewährleistet, dass die Dienste erst nach Zustimmung zu den Bedingungen freigeschaltet werden und der Fahrer zwischen den Diensten wählen und diese über das mercedes.me-Portal jederzeit abändern könne, so Rieß.

 

Iryna Lishchuk, LL.M. ist wissenschaftliche Mitarbeiterin am Institut für Rechtsinformatik an der Leibniz-Universität Hannover.