IT-Rechtstag

Breiter Bogen

Von Rechtsfragen beim Einsatz der KI über europarechtliche Entwicklungen des IT-Rechts und Datenschutzes bis zum Thema „Hass im Netz“ spannte sich der Bogen des 15. Österreichischen IT-Rechtstags.

Der 15. IT-Rechtstag des Vereins Infolaw im Mai 2021 wurde pandemiebedingt virtuell abgehalten. Die Referate zu den drei Schwerpunktthemen Software und IT, E-Commerce, Datenschutz wurden auf sechs Vortragsblöcke verteilt. Eine Podiumsdiskussion am 12. Mai 2021, bei der eine erste Bilanz über die am 1. Jänner 2021 in Kraft getretenen Regelungen zum Thema Hass im Netz gezogen wurde, erfolgte unter jeweiliger Zuschaltung der Diskutanten. Univ.-Prof. Dr. Vera Bühlmann, TU Wien, befasste sich in ihrer Eröffnungsrede unter dem Titel „Recht der Zukunft – Zukunft des Rechts“ mit philosophischen Aspekten künst licher Intelligenz (KI).
Für Schäden, die durch ein autonom fahrendes Kraftfahrzeug verursacht werden, haftet nach dem EKHG der Fahrzeughalter auch ohne eigenes Verschulden (Gefährdungshaftung), wie Univ.-Prof. Dr. Christiane Wendehorst, Universität Wien, ausführte. Die den Schaden tragende Haftpflichtversicherung könnte, bei Fehlerhaftigkeit des Produkts, allenfalls im Regressweg herangezogen werden. Wie aber, wenn der Fahrfehler auf die Steuerung durch ein autonom agierendes System zurückzuführen ist? Wer haftet dafür, wenn durch einen Reinigungsroboter, der auf öffentlichen Verkehrsflächen eingesetzt wird, ein Mensch niedergestoßen wird, weil ein Software-Update fehlerhaft war? In Betracht kommen der Betreiber der Maschine, der Hersteller oder derjenige, der das Update programmiert und/oder durchgeführt hat. Gefordert wird, die Gefährdungshaftung auszudehnen, doch sieht Wendehorst das Problem eher in einer fehlenden Anpassung der Produkthaftungs-Richtlinie an vernetzte und offene Produkte.
Angenommen, eine Bank setzt für die Prüfung der Kreditwürdigkeit von Kunden ein KI-System ein, das anerkannt ist und unter Beachtung aller Sorgfaltspflichten eingesetzt wird. In einem Einzelfall kommt das System zu einer völligen Fehleinschätzung, wodurch einem Kunden ein Schaden entsteht. Hätte ein Mitarbeiter diese Entscheidung getroffen, müsste das Unternehmen für dessen Fehlleistungen haften. Geht man davon aus, dass jemand nur für eigenes Verschulden haftet, beim Einsatz der KI ein solches aber nicht vorliegt, haftet die Bank letztlich gar nicht. Richtigerweise müsste, so Wendehorst, die Gehilfenhaftung nach § 1313a ABGB sinngemäß angewendet werden. Wo aber liegt der Sorgfaltsmaßstab, sobald die Fähigkeiten der KI diejenigen eines Menschen übertreffen?
Was ist, wenn Menschen durch die KI nur mehr eine untergeordnete Rolle zugewiesen wird, was psychische und emotionale Schäden mit sich bringt. Für solche Schäden wird, sofern nicht eine medizinisch festgestellte Depression vorliegt, kaum gehaftet. Zudem wird den Betreiber kaum ein Verschulden treffen und es ist fraglich, ob das Produkthaftpflichtgesetz auf reine Software anwendbar ist. Jedenfalls nicht dann, wenn die Software als Dienstleistung vertrieben wird.
KI kann aus dem Verhalten von Kunden auf Plattformen im Weg der Mustererkennung auch lernen, dass manche allenfalls auch einen höheren, wenn nicht sogar überteuerten Preis für eine Ware bezahlen würden. Der Betreiber der Plattform weiß davon nichts. Ihn interessiert nur der Umsatz.
Würde eine. auch nur mittelbare, Diskriminierung auf Grund des Geschlechts erfolgen, wäre diese auch bei Einsatz von KI verboten. Ansonsten aber gibt es kaum eine Handhabe, zumal im Zivilrecht oft Verschulden oder sogar Vorsatz verlangt werden.
Nachdem das Europäische Parlament 2017 eine Empfehlung zu zivilrechtlichen Regelungen im Bereich der Robotik abgegeben hatte, mit dem Vorschlag der Anerkennung einer elektronischen Person (was aber mittlerweile weitgehend verworfen wurde), legte das Parlament am 20. Oktober 2020 einen Verordnungsvorschlag vor. In diesem ist für KI-Systemen mit hohem Risiko eine Gefährdungshaftung vorgesehen, für andere KI-Systeme eine verschärfte Verschuldenshaftung. Am 21. April 2021 hat die Europäische Kommission einen Vorschlag für ein europäisches KI-Gesetz eingebracht (Artificial Intelligence Act); COM(2021) 206 final). Ferner hat eine 2018 gegründete hochrangige Expertengruppe der EU-Kommission für Künstliche Intelligenz (HLEG AI) Ethikrichtlinien für eine vertrauenswürdige KI entwickelt, ebenso auch die Datenethikkommission (DEK) als Beratungsgremium der deutschen Bundesregierung. In dem im Oktober 2019 unter Co-Vorsitz von Prof. Wendehorst erstellten Bericht wird in fünf Stufen ein risikoadaptierter Regulierungsansatz empfohlen, der, je nach Gefährdungsgrad, von wenig bis kaum erforderlichen Eingriffen über Zulassungsverfahren und laufende Kontrollen bis zum völligen Verbot algorithmischer Systeme reicht. Auch sollen soziale Risiken einbezogen werden.

Datenschutz.

Prof. Dr. Eva Souhrada-Kirchmayer gab einen Überblick über die neuere Rechtsprechung des BVwG und VwGH zum Datenschutz. Wegen der auch öffentlich geführten Diskussion sind unter anderem hervorzuheben Entscheidungen über die Verarbeitung von Daten einer „Parteiaffinität“ zum Zweck des Adresshandels und Direktmarketings (W258 2217446-1/15E und W258 2217446-1/35E), oder die Verwendung eines Algorithmus für die Berechnung von Arbeitsmarktchancen von Arbeitssuchenden durch das AMS (W256 2235360-1/5E). Bemerkenswert ist auch das Erkenntnis, wonach eine Verletzung des Rechts auf Geheimhaltung vorliegt, wenn aus dem Grundbuch gewonnene Daten von Grundstückseigentümern dazu verwendet werden, diese wegen eines allfälligen Verkaufs des Grundstücks zu kontaktieren (W274 2238717-1/4E). Das Recht auf Löschung aus einer Bonitätsdatenbank war Gegenstand des unter Zahl W211 2225136-1/5E protokollierten Verfahrens des BVwG.
Rechtsanwalt Dr. Roland Marko befasste sich mit der Doppelgleisigkeit des Rechtsschutzes, indem Auskunftsansprüche nach Art. 15 DSGVO sowohl durch Klage vor dem Zivilgericht als auch durch Beschwerde bei der Aufsichtsbehörde geltend gemacht werden können (Art. 79 und 77 DSGVO).
Ing. Daniel Kissler, MSc MA, zeigte auf, wie trotz Anonymität oder Pseudonymität durch eine Kombination von Attributen letztlich eine Person doch identifiziert werden kann. Dem kann durch Verschlüsselung der betreffenden Daten entgegengewirkt werden, was jedoch aufwendiger ist und bei Verlust des Schlüssels zum Verlust der Daten führt.

TKG 2021.

Zur Umsetzung der RL 2018/1972 über den europäischen Kodex für die elektronische Kommunikation (EECC) liegt derzeit ein Ministerialentwurf (82/ME 27.GP) des Bundesministeriums für Landwirtschaft, Regionen und Tourismus vor. Unter anderem wird das künftige Gesetz zu terminologischen Anpassungen der StPO, des PolizeikooperationsG, des Polizeilichen StaatsschutzG (PStSG) und des SPG führen.
Wie Dr. Wolfgang Feiel, RTR-GmbH, berichtete, wird von einer Novellierung des bestehenden Telekommunikationsgesetzes (TKG) abgesehen, sondern das Gesetz zur Gänze als TKG 2021 beschlossen werden. In seinen Grundzügen stehe der Inhalt durch den EECC fest, da dem nationalen Gesetzgeber wenig Umsetzungsspielraum offen gelassen wird. Der vorliegende Entwurf sieht auch Vorschriften für das Amateurfunkwesen (Harmonisierung der Frequenzen) und Regelungen über den Not- und Katastrophenfunkverkehr (§ 148) vor.
Es ist eine Vollharmonisierung des Telekom-Verbraucherschutzes beabsichtigt, samt Wettbewerbsregulierung. Over-the-top-Dienste (OTT), also Mediendienste, die, wie etwa Google, Facebook, Twitter, Youtube oder Cloud-Dienste, direkt über das Internet angeboten werden, sollen verstärkt in das TK-Vertragsrecht eingebunden werden, etwa hinsichtlich AGB-Prüfung und Schlichtungsverfahren. Allgemein soll der Inhalt von Nutzerverträgen in einer Einleitung („Vertragszusammenfassung“; VO EU 2019/2243) kurz zusammengefasst werden. Ferner ist eine Informationsplicht über konsumentenschutzrechtliche Bestimmungen (§ 5a KSchG, § 4 FAGG) vorgesehen.
Bei Verträgen mit Mindestvertragsdauer muss deutlich auf das bevorstehende Ende der vertraglichen Bindung und die Möglichkeit der Vertragskündigung hingewiesen werden bzw. bei automatischer Verlängerung auf den Zeitpunkt, zu dem die Kündigung spätestens erklärt werden muss, um den Vertrag beenden zu können. Bei automatischer Verlängerung ist auf den im vergangenen Jahr bestmöglichen Tarif hinzuweisen, der dem konkreten Nutzungsverhalten entsprochen hätte, und zwar so rechtzeitig, dass ein Vertragswechsel noch möglich ist.
E-Mails müssen bei Wechsel des Anbieters noch während eines Jahres an die neue Mail-Adresse kostenfrei weitergeleitet werden. Bei Wohnsitzwechsel besteht ein Recht auf „Vertragsmitnahme“.

E-Commerce.

Bei dem in der Pandemie boomenden Online-Handel ist nicht ausgeblieben, dass auch Produkte vertrieben wurden, die Sicherheitsstandards nicht genügten, sodass etwa durch fehlerhafte Ladegeräte Wohnungsbrände entstanden.
Nach dem Produkthaftungsgesetz (PHG) haften der Unternehmer, der ein fehlerhaftes Produkt hergestellt und in den Verkehr gebracht hat, oder der Importeur. Handelsplattformen sind als bloße Vermittler in der Regel weder das eine noch das andere, erläuterte Dr. Roman Heidinger, Forschungsverein Infolaw/Universität Göttingen. Es treffen sie aber Schutz- und Sorgfaltspflichten insofern, als sie offensichtlich gefährliche Produkte vom Markt nehmen oder den Anbieter sperren müssen.

Hass im Netz.

In Form einer virtuellen, von Mag. Stefan Knotzer, Infolaw, moderierten Diskussionsrunde zogen die Medienanwälte Dr. Maria Windhager und Dr. Peter Zöchbauer Bilanz aus den bisherigen Erfahrungen mit dem Hass-im-Netz-Bekämpfungsgesetz (HiNBG), BGBl I 148/2020, und dem Kommunikationsplattformen-Gesetz (KoPl-G), BGBl I 151/2020, die beide am 1. Jänner 2021 in Kraft getreten sind (siehe Öffentliche Sicherheit, Nr. 3-4/21, S. 129–130). Die Sicht der Internet-Provider stellte Mag. Andreas Gruber dar.
Windhager bezeichnete die bisherige Rechtslage, sich gegen Anfeindungen aus dem Netz zur Wehr zu setzen, als „gar nicht so schlecht“. Allerdings seien die Verfahren zeitaufwendig, teuer und ineffizient gewesen. Aus Sicht des Betroffenen, der bloß schnell ein Hassposting entfernt haben will, dauere es zu lang, bis in etwa vier oder fünf Wochen eine einstweilige Verfügung erlassen wird. Als Abhilfe wurde das Mandatsverfahren eingeführt (§ 549 ZPO nF). So kann, ohne Beiziehung eines Anwalts, beim Bezirksgericht ein Antrag auf Erlassung eines Unterlassungsauftrags gestellt werden (Formular unter https:// portal.justiz.gv.at/at.gv.justiz.formulare/Justiz/HiN.aspx), über den ohne Anhörung der beklagten Partei entschieden wird. „Man hat den Eindruck, dass diese niederschwellige Möglichkeit bisher noch nicht in der Praxis angekommen ist“, meinte Windhager, und sah in der entsprechenden Kommunikation dieser Möglichkeiten eine Aufgabe für Beratungseinrichtungen. Dies betreffe auch die psychosoziale und juristische Prozessbegleitung nach § 66b StPO.
Das Gesetz richte sich gegen große Betreiber, bei denen es schwierig sei, vollständige Informationen über die hinter einem Posting steckenden Personen zu erhalten. Allerdings könne man auch bei Pseudonymen in den meisten Fällen die wahre Identität ermitteln. Durch § 71 StPO liege die Ausforschungsleistung nunmehr beim Staat, wenn das Opfer bei Gericht einen Beweisantrag stellt. Beweissicherung sei wichtig, etwa sofort einen Screenshot zu machen und die URL zu dokumentieren. Durch den dem Antrag stattgebenden Unterlassungsauftrag sei zumindest der Eintrag weg, was den Betroffenen in den meisten Fällen genüge. In der Folge könne in Ruhe überprüft werden, welche straf-, medien- und zivilrechtlichen Verfahren allenfalls noch in Frage kommen könnten.
Zöchbauer wies darauf hin, dass sich die in § 71 StPO aufgezählten Tatbestände, bei denen vom Gericht die Ausforschung des Täters durchgeführt wird, auf üble Nachrede (§ 111 StGB), Vorwurf einer schon abgetanen gerichtlich strafbaren Handlung (§ 113 StGB) und Beleidigung (§ 115 StGB) beschränken. Nicht erfasst sei beispielsweise, wenn in sozialen Medien behauptet werde, jemand sei „pleite“. Bei dem auf der Ebene der Bezirksgerichte laufenden Mandatsverfahren sei es problematisch, auf den unbestimmten Begriff der Menschenwürde als prozessuale Voraussetzung abzustellen.
Andreas Gruber betonte, dass alle Internet-Betreiber ein Interesse an einem sicheren Netz hätten. Auf fast allen Plattformen würden sich vertrauenswürdige Hinweisgeber (Trusted Flagger) befinden. Meldungen, etwa über Stopline als Meldestelle gegen sexuelle Missbrauchsdarstellungen Minderjähriger und nationalsozialistische Wiederbetätigung im Internet, würden priorisiert behandelt, ebenso auch Meldungen über Verstöße gegen die Nutzungsbestimmungen. Bei der Beurteilung von Rechtsverstößen nach dem jeweiligen nationalen Recht sei die Situation insofern schwieriger, als es auch auf den Kontext ankomme.

Kurt Hickisch

www.infolaw.at  

---

Öffentliche Sicherheit, Ausgabe 7-8/2021

Druckversion des Artikels ( 540 kB)