Dennis-Kenji Kipker

Schmid, IT- und Rechtssicherheit automatisierter und vernetzter cyber-physischer Systeme


Alexander Schmid, IT- und Rechtssicherheit automatisierter und vernetzter cyber-physischer Systeme. Event Data Recording und integrierte Produktbeobachtung als Maßnahmen der IT-Risikominimierung am Beispiel automatisierter und vernetzter Luft- und Straßenfahrzeuge, Berlin (Duncker & Humblot) 2019, Internetrecht und Digitale Gesellschaft, Bd. 16, ISBN 978-3-428-85633-6, € 107,90

MMR-Aktuell 2020, 424283   Laufend schreitet die Digitalisierung unseres Alltags voran – immer weitere technische Neuerungen erleichtern uns das Leben und die zunehmende Vernetzung ermöglicht, dass Daten in bislang ungekannter Geschwindigkeit und Umfang ausgetauscht werden. Hinzu tritt, dass automatisierte Systeme und KI-Anwendungen immer höher entwickelt sind. So lange alles problemlos funktioniert, stellen sich, wie so oft, kaum rechtlich relevante Fragestellungen. Anders aber, wenn es tatsächlich einmal durch automatisierte und vernetzte cyber-physische Systeme, sog. „CPS“, zu Beeinträchtigungen kommt. Dass die juristische Relevanz für solche „Zwischenfälle“ größer denn je ist, wird allein schon dadurch deutlich, dass es eben nicht mehr nur um den privaten Einsatz solcher CPS im „Smart Home“ oder als „Smart Wearable“ geht, sondern derlei Produkte nicht selten auch Einsatz in gesellschaftlich kritischeren Infrastrukturen erfahren – man denke hier an die „Smart Road Infrastructure“, die „Smart Factory“, „Smart Grids“ und bisweilen ganze „Smart Cities“, die von neu auf konzipiert werden. Alexander Schmid hat sich mit seiner Arbeit genau dieses wichtigen Problems angenommen, das er beispielhaft anhand der automatisierten und vernetzten Straßen- und Luftfahrzeuge diskutiert, die in der Öffentlichkeit regelmäßig eine breite Aufmerksamkeit erhalten.

Dabei geht die Arbeit von der grundlegenden These aus, dass die tägliche Nutzung von CPS nicht nur Vorteile bringt, sondern zugleich mit erheblichen faktischen Risiken verbunden ist, die wiederum zu vielfach diskutierten, aber zumeist noch ungelösten rechtlichen Problemen führen. Schmid differenziert in diesem Zusammenhang zwischen sog. „Unknown Causes of Trouble“ und den „Legal Causes of Trouble“. Erstere entstünden durch die hohe Komplexität von heutigen CPS, infolgedessen es kaum noch möglich sei, vom Reißbrett her ein Produkt zu entwickeln, das vollständig fehlerfrei ist. Hierdurch erstrecke sich die „Versuchsphase“ des Produkts über die Entwicklungsumgebung des Herstellers hinaus in die aktive Produktnutzung hinein. Letztere seien einerseits auf die Komplexität der zahlreichen Akteure und Haftungsadressaten für CPS zurückzuführen, andererseits auf das in der Praxis nicht selten schwierige Unterfangen, Auslöser und Ursache für ein schädigendes Ereignis in hochkomplexen technischen Umgebungen zweifelsfrei kausal zu erfassen.

Der Gang der Untersuchung untergliedert sich in insgesamt fünf Teile. Nach der einleitenden Erläuterung von Problemstellung und Gang der Darstellung widmet sich die Arbeit in einem kurzen Aufriss der Entwicklung und Klassifizierung der Automatisierung und Vernetzung von CPS. Teil 3 und Teil 4 bilden die inhaltlichen Hauptabschnitte der Arbeit. So werden im dritten Teil zunächst Chancen und Gefahren von autonom agierenden CPS am Beispiel des unbemannten Luftverkehrs dargestellt. Schmid gelangt dabei unter juristischen Gesichtspunkten zu dem Ergebnis, dass sich Automatisierung und Vernetzung als Problem und Problemlösung für die Rechtssicherheit zugleich darstellen, dies legt er in aller gebotenen Kürze anhand des Event Data Recording und der integrierten Produktbeobachtung überzeugend dar. Im vierten Teil wird sodann – denknotwendigerweise – dezidiert erörtert, ob und wie eine Rechtspflicht für Maßnahmen des Event Data Recording und der integrierten Produktbeobachtung besteht. In diesem Zusammenhang werden abschließend auch Anforderungen an eine mögliche Gesetzesreform in diesem Bereich aufgezeigt. Der fünfte Teil enthält die Zusammenfassung der Ergebnisse und die Schlussbemerkung.

Alexander Schmid kommt in seiner Bearbeitung zu dem Ergebnis, dass das Event Data Recording und die (integrierte) Produktbeobachtung beides Maßnahmen sind, die teils bereits seit Jahrzehnten genutzt werden, um mehr Rechtssicherheit, Nachweisbarkeit und tatsächliche Sicherheit im Umgang mit hochkomplexen Produkten zu schaffen. Dementsprechend stellten beide auch probate Mittel dar, um den Gefahren entgegenzutreten, die sich durch CPS ergeben. Auch ließen sich beide Maßnahmen bereits aus dem geltenden Recht ableiten, sodass ein gewisser „Basisschutz“ gewährleistet werde. Schmid schlägt zum Ende hin dennoch verschiedene gesetzliche Reformen vor, um über den Basisschutz hinaus eine umfassende Wahrnehmung der neuartigen Möglichkeiten der Automatisierung und Vernetzung zu gewährleisten.

Insgesamt ist die Arbeit als gelungener Digest zu einem gleichermaßen schwierigen wie hochaktuellen Thema zu sehen, das fortwährend auch über die Rechtswissenschaft hinaus diskutiert wird. Schmid gelingt es nicht nur, ohne große Ausschweifungen einen „roten Faden“ für das Thema zu finden, sondern auch, technische Vorgaben und Maßnahmen sowie rechtliche Regulierungsansätze miteinander zusammenzuführen. Für jeden, der sich mit IoT und CPS beschäftigt, ist die Arbeit deshalb eine lohnenswerte und erhellende Lektüre.

 

Dr. Dennis-Kenji Kipker ist wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.