127 79 2MB
German Pages 292 [293] Year 2019
Internetrecht und Digitale Gesellschaft Band 16
IT- und Rechtssicherheit automatisierter und vernetzter cyber-physischer Systeme Event Data Recording und integrierte Produktbeobachtung als Maßnahmen der IT-Risikominimierung am Beispiel automatisierter und vernetzter Luft- und Straßenfahrzeuge
Von
Alexander Schmid
Duncker & Humblot · Berlin
ALEXANDER SCHMID
IT- und Rechtssicherheit automatisierter und vernetzter cyber-physischer Systeme
Internetrecht und Digitale Gesellschaft Herausgegeben von
Dirk Heckmann
Band 16
IT- und Rechtssicherheit automatisierter und vernetzter cyber-physischer Systeme Event Data Recording und integrierte Produktbeobachtung als Maßnahmen der IT-Risikominimierung am Beispiel automatisierter und vernetzter Luft- und Straßenfahrzeuge
Von
Alexander Schmid
Duncker & Humblot · Berlin
Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahre 2018 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2019 Duncker & Humblot GmbH, Berlin
Satz: TextFormA(r)t, Daniela Weiland, Göttingen Druck: CPI buchbücher.de gmbh, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-15633-7 (Print) ISBN 978-3-428-55633-5 (E-Book) ISBN 978-3-428-85633-6 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
„1 – A robot may not injure a human being, or, through inaction, allow a human being to come to harm. 2– A robot must obey the orders given it by human beings except where such orders would conflict with the First Law. 3– A robot must protect its own existence as long as such protection does not conflict with the First or Second Law.“ Isaac Asimov, 1920–1992 I, Robot, vor Introduction
Vorwort In Zeiten, in denen Algorithmen eigenständig Musik komponieren oder Bilder malen, in denen jeder Alltagsgegenstand vernetzt zu werden scheint und cyber-physische Systeme wie selbstfahrende Straßenfahrzeuge oder selbstfliegende Drohnen allmählich unsere Straßen und unseren Himmel bevölkern, steht es mehr denn je in der Verantwortung des Rechts, mit diesen Entwicklungen Schritt zu halten und den sich hieraus ergebenden Gefahren effektiv entgegenzuwirken. Zwei mögliche Instrumente der Risikominimierung stellen in diesem Kontext das Event Data Recording und die Produktbeobachtung dar, für die sich im Anwendungsbereich automatisierter und vernetzter Systeme zukünftig völlig neuartige Möglichkeiten ergeben werden. Während die Produktbeobachtung dabei dem präventiven Gefahrenschutz dient, bezweckt das Event Data Recording die Aufrechterhaltung der Rechtssicherheit, sollte es dennoch zu einem Unfall kommen. Ausgehend von der Erkenntnis, dass Technik und Recht untrennbar miteinander verzahnt sind, versucht diese Arbeit, neue technische Ansätze für das Event Data Recording und die Produktbeobachtung in der „smartifizierten“ Welt von morgen auszuloten und rechtlich einzuordnen. Dabei soll insbesondere das derzeit geltende Recht betrachtet, ergänzend aber auch Anforderungen an zukünftige Rechtsreformen aufgezeigt werden. Zur Veranschaulichung dienen hierfür in erster Linie automatisierte und vernetzte Straßen- und Luftfahrzeuge. Gleichwohl wird der Blick auch stets auf „das große Ganze“, also auf automatisierte und vernetzte Systeme im übergeordneten Kontext, geweitet. Die Arbeit wurde im April 2018 fertiggestellt und von der Juristischen Fakultät der Universität Passau im August 2018 als Dissertation angenommen. Neuere Gesetzgebung und Literatur wurden im Wesentlichen bis Oktober 2018 berücksichtigt. Mein besonderer Dank gilt meinem Doktorvater Herrn Professor Dr. Dirk Heckmann für seine kontinuierliche Förderung und Unterstützung während meiner Zeit an seinem Lehrstuhl als studentische Hilfskraft, wissenschaftlicher Mitarbeiter und Doktorand sowie für seine wertvollen Ratschläge und inspirierenden Anregungen. Herrn Professor Dr. Michael Beurskens danke ich für die rekordverdächtig schnelle Erstellung des Zweitgutachtens sowie für die äußerst hilfreichen Anmerkungen und Hinweise. Ebenso danke ich meinen ehemaligen Arbeitskollegen des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht sowie allen Studienkollegen und Freunden, die meine Studienzeit in Passau unvergesslich gemacht haben.
8
Vorwort
Allen voran danke ich von Herzen aber meiner Familie sowie meiner lieben Freundin Mina und ihrer Familie, die mich in der Verwirklichung meiner Ziele in jeglicher Hinsicht uneingeschränkt unterstützt haben und unterstützen. Ohne deren stete Motivation wäre diese Arbeit sicherlich nicht in dieser Form möglich gewesen. München, Oktober 2018
Alexander Schmid
Inhaltsübersicht 1. Teil
Problemstellung und Gang der Untersuchung
25
2. Teil
Die Entwicklung und Klassifizierung der Automatisierung und Vernetzung von CPS
30
Kapitel 1
Entwicklung der Automatisierung und Vernetzung an den Beispielen Industrie, Straßenverkehr und unbemannter Luftverkehr 30 Kapitel 2
Klassifizierung der Automatisierung an den Beispielen Straßenverkehr und unbemannter Luftverkehr
45
3. Teil
Die Ambivalenz und Paradoxität der Automatisierung und Vernetzung von CPS
53
Kapitel 1
Technischer Fortschritt zwischen Technikeuphorie und Technikfrustration
53
Kapitel 2
Ambivalenz der Automatisierung und Vernetzung am Beispiel des unbemannten Luftverkehrs
56
Kapitel 3
Automatisierung und Vernetzung als Verhinderer und Förderer von IT- und Rechtssicherheit: ein Paradoxon?
95
10
Inhaltsübersicht
4. Teil
Rechtspflicht zum Event Data Recording und zur integrierten Produktbeobachtung bei CPS
105
Kapitel 1
Event Data Recording als Rechtspflicht
105
Kapitel 2
Integrierte Produktbeobachtung als Rechtspflicht
180
Kapitel 3
Anforderungen an eine Gesetzesreform
244
5. Teil
Zusammenfassung und Schlussbemerkung
250
Kapitel 1 Zusammenfassung
250
Kapitel 2 Schlussbemerkung
257
Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Inhaltsverzeichnis 1. Teil
Problemstellung und Gang der Untersuchung
25
2. Teil
Die Entwicklung und Klassifizierung der Automatisierung und Vernetzung von CPS
30
Kapitel 1
Entwicklung der Automatisierung und Vernetzung an den Beispielen Industrie, Straßenverkehr und unbemannter Luftverkehr 30
A. Exkurs: Vernetzung als Schlüssel- und Komplementärtechnologie; Schutz der M2MKommunikation nach dem Entwurf einer ePrivacyVO . . . . . . . . . . . . . . . . . . . . . . . . 30 B. Automatisierung und Vernetzung der Industrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 C. Automatisierung und Vernetzung des Straßenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . 36 I. Automatisierung von Straßenfahrzeugen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 II. Vernetzung und Integration in die Verkehrsinfrastruktur . . . . . . . . . . . . . . . . . . . 39 D. Automatisierung und Vernetzung des unbemannten Luftverkehrs . . . . . . . . . . . . . . . 42 I. Automatisierung von UAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 II. Vernetzung und Integration in den Luftraum . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Kapitel 2
Klassifizierung der Automatisierung an den Beispielen Straßenverkehr und unbemannter Luftverkehr
45
A. Klassifizierung der Automatisierung des Straßenverkehrs . . . . . . . . . . . . . . . . . . . . . 46 I. Assistenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 II. Teilautomatisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 III. Hochautomatisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 IV. Vollautomatisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 V. Autonomie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 VI. Souveränität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 B. Entwicklung einer Klassifizierungslehre für den unbemannten Luftverkehr . . . . . . . 50
12
Inhaltsverzeichnis
3. Teil
Die Ambivalenz und Paradoxität der Automatisierung und Vernetzung von CPS
53
Kapitel 1
Technischer Fortschritt zwischen Technikeuphorie und Technikfrustration
53
Kapitel 2
Ambivalenz der Automatisierung und Vernetzung am Beispiel des unbemannten Luftverkehrs
56
A. Chancen automatisierter und vernetzter UAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 I. Chancen im Transportwesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 1. Beispiel: DHL Paketkopter und UPS HorseFly . . . . . . . . . . . . . . . . . . . . . . . . 58 2. Beispiel: Amazon Prime Air . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 II. Chancen in der Industrie und Landwirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 1. Einsatz im Rahmen der Industrie 4.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 a) Beispiel: Ball-Drohne von Fraunhofer IML . . . . . . . . . . . . . . . . . . . . . . . . 61 b) Beispiel: InventAIRy von Fraunhofer IML . . . . . . . . . . . . . . . . . . . . . . . . 62 2. Einsatz im Rahmen von Inspektion und Wartung . . . . . . . . . . . . . . . . . . . . . . 62 3. Einsatz in der Land- und Forstwirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 a) Beispiel: Schutz und Rettung von Wildtieren . . . . . . . . . . . . . . . . . . . . . . 63 b) Beispiel: Überwachung der Ernte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 c) Beispiel: Weitere Anwendungsszenarien in der Forstwirtschaft . . . . . . . . 65 III. Chancen im Polizei- und Sicherheitswesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 1. Vorteile von UAS-Pol gegenüber stationärer Videoüberwachung . . . . . . . . . . 67 2. UAS-Pol als Bestandteil eines Sicherheitsgesamtkonzepts . . . . . . . . . . . . . . . 67 IV. Chancen durch Synergie- und Katalysatoreffekte . . . . . . . . . . . . . . . . . . . . . . . . . 69 B. Gefahren automatisierter und vernetzter UAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 I. Mehrfache Unterscheidung notwendig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 1. Unterscheidung: Gefahr und Risiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 2. Unterscheidung: Lufttransportsystem und Nutzlast . . . . . . . . . . . . . . . . . . . . 72 3. Unterscheidung: Inhärente und intendierte Gefahren . . . . . . . . . . . . . . . . . . . 73 II. Gefahrenarten bei automatisierten und vernetzten UAS . . . . . . . . . . . . . . . . . . . . 74 1. Gefahr der Kollision und des Absturzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 a) Gefahr der Kollision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 b) Gefahr des Absturzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 2. Gefahren für das Vertrauen in automatisierte Systeme . . . . . . . . . . . . . . . . . . 77
Inhaltsverzeichnis
13
3. Gefahren für die Rechtssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 a) Zahlreiche Haftungsadressaten und Anspruchsgrundlagen . . . . . . . . . . . . 78 b) Konsequenz: „Legal Causes of Trouble“ . . . . . . . . . . . . . . . . . . . . . . . . . . 80 c) Exkurs: Einführung einer „ePerson“ zur Wiederherstellung der Rechtssicherheit? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4. Gefahren für Datenschutz- und Persönlichkeitsrechte . . . . . . . . . . . . . . . . . . . 82 5. Gefahren für den Natur- und Lärmschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 6. Technikethische Gefahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 III. Gefahrenquellen bei automatisierten und vernetzten UAS . . . . . . . . . . . . . . . . . . 86 1. Automatisierungsspezifische Gefahrenquellen . . . . . . . . . . . . . . . . . . . . . . . . 87 a) Technische Eigenheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 b) Mehrfache Komplexität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 aa) Komplexität automatisierter und vernetzter CPS . . . . . . . . . . . . . . . . 88 bb) Komplexität der Operationsumgebungen . . . . . . . . . . . . . . . . . . . . . . 88 cc) Konsequenz: „Unknown Causes of Trouble“ . . . . . . . . . . . . . . . . . . . 89 c) Abhängigkeit (von) der Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 d) Nichtdeterminismus und Techniksouveränität . . . . . . . . . . . . . . . . . . . . . . 91 e) Menschliche Heuristiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 2. Vernetzungsspezifische Gefahrenquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Kapitel 3
Automatisierung und Vernetzung als Verhinderer und Förderer von IT- und Rechtssicherheit: ein Paradoxon?
95
A. Verhinderer von IT- und Rechtssicherheit: Legal Causes of Trouble und Unknown Causes of Trouble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 B. Förderer von IT- und Rechtssicherheit: Event Data Recording und integrierte Produktbeobachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 I. Event Data Recording als Gegenspieler zu Legal Causes of Trouble . . . . . . . . . . 97 1. Black Box als bisherige Form des Event Data Recordings . . . . . . . . . . . . . . . 97 2. Neue Möglichkeiten aufgrund von Automatisierung und Vernetzung . . . . . . . 98 a) Automatisiertes Event Data Recording . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 b) Vernetztes Event Data Recording . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 aa) Externe Speicherung bei dem Hersteller des Systems . . . . . . . . . . . . . 100 bb) Externe Speicherung bei einer öffentlichen Stelle . . . . . . . . . . . . . . . . 100 cc) Externe Speicherung bei einem Dienstleister („Tracing-as-a-Service“) 101 3. Zwischenergebnis: Automatisiertes und vernetztes Event Data Recording . . 101 II. Integrierte Produktbeobachtung als Gegenspieler zu Unknown Causes of Trouble 102 C. Auflösung des Paradoxons: Automatisierung und Vernetzung als Problem und Problemlösung zugleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
14
Inhaltsverzeichnis
4. Teil
Rechtspflicht zum Event Data Recording und zur integrierten Produktbeobachtung bei CPS
105
Kapitel 1
Event Data Recording als Rechtspflicht
105
A. Spezialgesetzliche Rechtspflicht zum Event Data Recording . . . . . . . . . . . . . . . . . . . 106 I. Verpflichtung zum Event Data Recording in der bemannten Luftfahrt . . . . . . . . 106 1. Flugdatenschreiber („Flight Data Recorder“ / „FDR“) . . . . . . . . . . . . . . . . . . 107 2. Tonaufzeichnungsanlage für das Cockpit („Cockpit Voice Recorder“ / „CVR“) 108 3. Flugwegverfolgungssystem (Aircraft Tracking System) . . . . . . . . . . . . . . . . . 110 4. Zwischenergebnis: Event Data Recording in der bemannten Luftfahrt . . . . . 111 II. Verpflichtung zum Event Data Recording im automatisierten Straßenverkehr . . 111 1. Aufzeichnungspflichten (§ 63a Abs. 1 StVG) . . . . . . . . . . . . . . . . . . . . . . . . . 111 2. Datenübermittlung an und Datenverarbeitung durch Behörden (§ 63a Abs. 2 StVG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 3. Datenübermittlung an Dritte (§ 63a Abs. 3 StVG) . . . . . . . . . . . . . . . . . . . . . . 115 4. Datenlöschung und Datenaufbewahrung (§ 63a Abs. 4 StVG) . . . . . . . . . . . . 116 5. Anonymisierte Datenübermittlung zur Unfallforschung (§ 63a Abs. 5 StVG) 117 6. Verordnungsermächtigungen (§ 63b StVG) . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 7. Zwischenergebnis: Event Data Recording im automatisierten Straßenverkehr 118 III. Verpflichtung zum Einsatz von Fahrtschreibern und Kontrollgeräten sowie der elektronischen Fahrtenregistrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 IV. Ergebnis: Begrenzte spezialgesetzliche Rechtspflicht zum Event Data Recording 119 B. „Event Data Recording Basisschutz“ als ein „Verbot der Datenlöschung“ . . . . . . . . . 119 I. Datenbeschaffung und Datensicherung als Bestandteile des Event Data Recordings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 1. Datenbeschaffung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 2. Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 II. Erforderlichkeit einer Rechtspflicht zur Datenbeschaffung und zur Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 1. Regelungsbedürftigkeit der Datenbeschaffungsphase . . . . . . . . . . . . . . . . . . . 122 2. Regelungsbedürftigkeit der Datensicherungsphase . . . . . . . . . . . . . . . . . . . . . 123 3. Zwischenergebnis: Rechtspflicht nur für Datensicherungsphase erforderlich 124 III. Rechtspflicht zur Datensicherung als ein „Verbot der Datenlöschung“ . . . . . . . . 124 1. Datenschutzrechtlicher und urheberrechtlicher Schutz vor unberechtigter Datenlöschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 a) Datenschutzrechtlicher Schutz vor unberechtigter Datenlöschung . . . . . . 125 aa) Rechtslage nach dem BDSG a. F. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Inhaltsverzeichnis
15
bb) Rechtslage nach der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 (1) Personenbezogene Daten als Anwendungsvoraussetzung . . . . . . 127 (2) Datenschutzrechtlich Verantwortlicher als Adressat der Vorschrift 128 (a) Hersteller als alleiniger datenschutzrechtlich Verantwortlicher 129 (b) Gemeinsame Verantwortlichkeit (Joint Controllership) des Herstellers und des Betreibers nach Art. 26 DSGVO . . . . . . . 130 cc) Zwischenergebnis: Beschränkter datenschutzrechtlicher Schutz vor unberechtigter Datenlöschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 b) Urheberrechtlicher Schutz vor unberechtigter Datenlöschung . . . . . . . . . . 131 2. Strafrechtlicher Schutz vor unberechtigter Datenlöschung . . . . . . . . . . . . . . . 132 a) Datenveränderung (§ 303a Abs. 1 StGB) . . . . . . . . . . . . . . . . . . . . . . . . . . 132 aa) Löschen, Unterdrücken, Unbrauchbarmachen, Verändern durch positives Tun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 bb) Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 cc) Fremdheit der Daten als notwendiges Korrektiv . . . . . . . . . . . . . . . . . 134 (1) Zuordnung nach dem Eigentum am verkörpernden Datenträger . 135 (2) Zuordnung nach bestehenden Datenschutzrechten oder Betriebsbzw. Geschäftsgeheimnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 (3) Zuordnung nach dem sog. „Skripturakt“ . . . . . . . . . . . . . . . . . . . 136 (a) Unmittelbarkeit der Datengenerierung als ausschließliches Zuordnungskriterium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 (b) Exkurs: Abgrenzung nach der Wesentlichkeit des Beeinflussungsmoments bei automatischer Skriptur und Vielzahl an Beteiligten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 (4) Zuordnung nach der wirtschaftlichen Berechtigung . . . . . . . . . . . 139 (5) Exkurs: Abgrenzung der Datenträger-, Daten- und Inhaltsebene . 140 (a) Übersicht über die Ebenen . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 (aa) Datenträgerebene (physical layer oder strukturelle Information) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 (bb) Datenebene (code layer oder syntaktische Information) 142 (cc) Inhaltsebene (content layer oder semantische Information) 143 (b) Grundsätze des Ebenenmodells . . . . . . . . . . . . . . . . . . . . . . . 145 (aa) Grundsatz der getrennten Ebenenzuordnung . . . . . . . . . 145 (bb) Grundsatz der kumulativen Verarbeitungsvoraussetzung 145 (cc) Grundsatz des Vorrangs gesetzlich angeordneter Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 (6) Zwischenergebnis: Keine (ausschließliche) eigentümerähnliche Verfügungsbefugnis des Herstellers . . . . . . . . . . . . . . . . . . . . . . . . . . 146 dd) Mindestqualität der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 ee) Tatbestandsausschließendes Einverständnis . . . . . . . . . . . . . . . . . . . . 147
16
Inhaltsverzeichnis (1) Dispositionsbefugnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 (2) Innere Zustimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 (3) Informiertheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 (4) Freiwilligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 (5) Zwischenergebnis: Tatbestandsausschließendes Einverständnis nur hinsichtlich nicht-beweiserheblicher Daten möglich . . . . . . . . . . 149 ff) Vorsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 (1) Zeitpunkt der Tat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 (2) Vorliegen von Vorsatz zum Zeitpunkt der Tat . . . . . . . . . . . . . . . . 150 (a) Absicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 (b) Direkter Vorsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 (c) Bedingter Vorsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 gg) Zwischenergebnis: Datenveränderung . . . . . . . . . . . . . . . . . . . . . . . . . 152 b) Urkundenunterdrückung (§ 274 Abs. 1 Nr. 1, Nr. 2 StGB) . . . . . . . . . . . . 152 c) Zwischenergebnis: Strafrechtlicher Schutz vor unberechtigter Datenlöschung 152 3. Deliktischer Schutz vor unberechtigter Datenlöschung . . . . . . . . . . . . . . . . . . 152 a) Dateneigentum (§§ 823 Abs. 1, 903 Satz 1 BGB) . . . . . . . . . . . . . . . . . . . 154 aa) Sinnliche Wahrnehmbarkeit von Daten . . . . . . . . . . . . . . . . . . . . . . . . 155 bb) Räumliche Abgrenzbarkeit von Daten . . . . . . . . . . . . . . . . . . . . . . . . . 155 cc) Zwischenergebnis: Keine Existenz eines Dateneigentums . . . . . . . . . 155 b) Dateneigentum in analoger Anwendung (§§ 823 Abs. 1, 903 Satz 1 BGB analog) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 aa) Vereinbarkeit mit dem numerus clausus des Sachenrechts . . . . . . . . . 156 bb) Planwidrige Regelungslücke und vergleichbare Interessenlage als Voraussetzungen der Analogie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 (1) Planwidrige Regelungslücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 (2) Vergleichbare Interessenlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 cc) Zwischenergebnis: Kein Dateneigentum in analoger Anwendung . . . 158 c) Recht am eigenen Datenbestand (§ 823 Abs. 1 BGB) . . . . . . . . . . . . . . . . 158 aa) Anerkennung eines Rechts am eigenen Datenbestand . . . . . . . . . . . . 158 (1) Zuordnungs- und Ausschlussfunktion . . . . . . . . . . . . . . . . . . . . . . 159 (2) Koexistenz des Rechts am eigenen Datenbestand und des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 (3) Regelungsbedürftigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 (4) Zwischenergebnis: Anerkennung eines Rechts am eigenen Datenbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 bb) Verfügungsbefugnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 cc) Verletzungshandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 dd) Rechtswidrigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Inhaltsverzeichnis
17
(1) Positive Feststellung nach der Lehre des Handlungsunrechts . . . 163 (a) Verfassungsrechtlicher Schutz der Interessen des Betreibers . 164 (b) Verfassungsrechtlicher Schutz der Interessen des Herstellers 165 (c) Ergebnis der Interessenabwägung . . . . . . . . . . . . . . . . . . . . . 166 (2) Rechtfertigende Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 ee) Verschulden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 (1) Erkennbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 (2) Vermeidbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 (a) Eigenständige Erkennung von Störungen und Systemfehlern 168 (b) Eigenständige Erkennung von Unfallereignissen . . . . . . . . . . 168 (3) Zwischenergebnis: Fahrlässigkeit des Herstellers . . . . . . . . . . . . 169 ff) Zwischenergebnis: Recht am eigenen Datenbestand . . . . . . . . . . . . . . 169 d) § 303a Abs. 1 StGB als Schutzgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 e) Anspruch auf Unterlassen (§ 1004 Abs. 1 BGB analog i. V. m. § 823 Abs. 1 BGB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 f) Mittelbarer Schutz durch den verkörpernden Datenträger (§ 823 Abs. 1 BGB) 170 aa) Verkörpernder Datenträger als Eigentum . . . . . . . . . . . . . . . . . . . . . . 170 bb) Eingriff in das Eigentumsrecht durch Schreibzugriff . . . . . . . . . . . . . 170 cc) Rechtswidrigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 dd) Verschulden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 ee) Zwischenergebnis: Mittelbarer Schutz durch den verkörpernden Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 g) Zwischenergebnis: Deliktischer Schutz vor unberechtigter Löschung . . . 172 4. Zwischenergebnis: Rechtspflicht zur Datensicherung als ein „Verbot der Datenlöschung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 IV. Rechtspflicht zur Herausgabe oder Vorlage der gespeicherten beweiserheblichen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 1. Datenschutzrechtliche Ansprüche auf Auskunft und Datenübertragbarkeit . . 173 2. Zivilrechtliche Herausgabeansprüche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 a) Vertragliche Herausgabeansprüche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 b) Außervertragliche Herausgabeansprüche . . . . . . . . . . . . . . . . . . . . . . . . . . 175 c) Zwischenergebnis: Zivilrechtliche Herausgabeansprüche . . . . . . . . . . . . . 176 3. Prozessuale Vorlage- und Herausgabepflichten . . . . . . . . . . . . . . . . . . . . . . . . 176 a) Zivilprozessuale Vorlagepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 b) Strafprozessuale Herausgabepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 c) Zwischenergebnis: Prozessuale Vorlage- und Herausgabepflichten . . . . . 179 4. Ergebnis: Rechtspflicht zur Herausgabe oder Vorlage der gespeicherten beweis erheblichen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 V. Ergebnis: „Event Data Recording Basisschutz“ als ein „Verbot der Datenlöschung“ 180
18
Inhaltsverzeichnis Kapitel 2
Integrierte Produktbeobachtung als Rechtspflicht
180
A. Mehrfache Unterscheidung notwendig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 I. Unterscheidung: Funktionssicherheit und Informationssicherheit . . . . . . . . . . . . 182 II. Unterscheidung: Produktentwicklungs- und Produktbeobachtungspflichten . . . . 184 III. Unterscheidung: Produktbeobachtungspflichten und Gefahrabwendungspflichten 184 IV. Ergebnis: Mehrfache Unterscheidung notwendig . . . . . . . . . . . . . . . . . . . . . . . . . 185 B. Herstellerseitige Produktbeobachtungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 I. Passive und aktive Produktbeobachtungspflichten . . . . . . . . . . . . . . . . . . . . . . . . 186 1. Bisherige Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 a) Passive Produktbeobachtungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 b) Aktive Produktbeobachtungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 2. Rechtsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 a) Produktbeobachtung als Verkehrssicherungspflicht des Haftungsrechts . . 189 aa) Verkehrssicherungspflichten zur Begründung von deliktischen Haftungsansprüchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 bb) Produktbeobachtungspflichten als Fallgruppe der Verkehrssicherungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 cc) Erstreckung auf Softwarefehler und auf Schutz der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 (1) Produktbeobachtung von Softwarefehlern . . . . . . . . . . . . . . . . . . 192 (2) Schutz der Informationssicherheit als Ziel der Produktbeobachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 (3) Zwischenergebnis: Erstreckung auf Softwarefehler und auf Schutz der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 b) Produktbeobachtungspflichten aus dem ProdHaftG . . . . . . . . . . . . . . . . . 195 aa) Exkurs: Cyber-physische Systeme als „Produkt“ . . . . . . . . . . . . . . . . 195 (1) Hardwarekomponente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 (2) Softwarekomponente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 (3) Vernetzungskomponente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 bb) Inverkehrgabe als ausschließlich relevanter Zeitpunkt . . . . . . . . . . . . 197 cc) Sonderfall: Produktserien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 dd) Zwischenergebnis: Begrenzte Produktbeobachtungspflichten aus dem ProdHaftG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 c) Produktbeobachtung als öffentlich-rechtliche Verpflichtung . . . . . . . . . . . 199 aa) Produktbeobachtungspflichten aus dem ProdSG . . . . . . . . . . . . . . . . 200 bb) Produktbeobachtungspflichten aus der DSGVO . . . . . . . . . . . . . . . . . 202 (1) Dauerhafte Sicherstellung von Informationssicherheit sowie regelmäßige Überprüfung, Bewertung und Evaluierung . . . . . . . . . . . 202
Inhaltsverzeichnis
19
(2) Datenschutzrechtlich Verantwortlicher als Adressat der Vorschrift 203 (3) Zwischenergebnis: Begrenzte Produktbeobachtungspflichten aus der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 cc) Produktbeobachtungspflichten aus dem IT-Sicherheitsrecht . . . . . . . 204 3. Zwischenergebnis: Passive und aktive Produktbeobachtungspflichten . . . . . . 205 II. Integrierte Produktbeobachtung bei automatisierten und vernetzten CPS . . . . . . 205 1. Defizite der passiven und aktiven Produktbeobachtung . . . . . . . . . . . . . . . . . 206 2. Kompensation der Defizite durch integrierte Produktbeobachtung . . . . . . . . . 207 3. Integrierte Produktbeobachtung als Verkehrssicherungspflicht des Haftungsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 a) Vereinbarkeit mit dem Charakter der Verkehrssicherungspflichten (Geeignetheit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 b) Vereinbarkeit mit dem rechtlich gebotenen Erfüllungsaufwand der Verkehrssicherungspflichten (Erforderlichkeit und Zumutbarkeit) . . . . . . . . . 209 aa) Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 (1) Bestimmung der Gefährlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 210 (a) Schadenshöhe und Eintrittswahrscheinlichkeit als Faktoren der Gefährlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 (b) Risikomatrizen als Hilfsmittel zur Bewertung der Gefährlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 (c) Nichtexistenz von Unfallstatistiken als Erschwernis der Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 (d) Beispielhafte Risikobewertung bei automatisierten und vernetzten UAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 (aa) Beurteilung der Schadenshöhe bei einer Kollision oder einem Absturz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 (bb) Beurteilung der Eintrittswahrscheinlichkeit einer Kollision oder eines Absturzes . . . . . . . . . . . . . . . . . . . . . . . . 215 (cc) Beispielhafte Durchführung der Bewertung mittels Risikomatrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 (2) Objektive Erkennbarkeit nach dem Stand der Wissenschaft und Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 (3) Erwartungshorizont der gefährdeten Verkehrsteilnehmer . . . . . . . 218 (a) Vision Zero als Sicherheitsvorgabe im Luft- und Straßenverkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 (b) Berücksichtigung des Erwartungshorizonts von unbeteiligten Passanten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 (c) Zwischenergebnis: Erwartungshorizont der gefährdeten Verkehrsteilnehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 (4) Zwischenergebnis: Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . 221 bb) Zumutbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
20
Inhaltsverzeichnis (1) Bestimmung der Gefährlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 222 (2) Bestimmung des Sicherheitsaufwands . . . . . . . . . . . . . . . . . . . . . 223 (a) Erforderlichkeit einer herstellerindividuellen Berücksichtigung von Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 (b) Beispielhafte und intuitive Bewertung des Sicherheitsaufwands bei automatisierten und vernetzten Luft- und Straßenfahrzeugen 223 (3) Zwischenergebnis: Zumutbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . 225 c) Zwischenergebnis: Integrierte Produktbeobachtung als Verkehrssicherungspflicht des Haftungsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 4. Verhältnis der integrierten Produktbeobachtung zur passiven und aktiven Produktbeobachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 5. Zwischenergebnis: Integrierte Produktbeobachtung bei automatisierten und vernetzten CPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 III. Ergebnis: Herstellerseitige Produktbeobachtungspflichten . . . . . . . . . . . . . . . . . 227
C. Herstellerseitige Gefahrabwendungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 I. Hinweis- und Warnpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 1. Rechtsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 a) Hinweis- und Warnung als Verkehrssicherungspflicht des Haftungsrechts 228 b) Öffentlich-rechtliche Hinweis- und Warnpflichten aus dem ProdSG . . . . 229 c) Speziell: Datenschutzrechtliche Hinweis- und Warnpflichten aus der DSGVO 229 2. Formen bisheriger und vernetzter Hinweis- und Warnpflichten . . . . . . . . . . . 230 3. Speziell: Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber 231 a) Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber aus dem ProdSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 b) Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber als Verkehrssicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 4. Zwischenergebnis: Hinweis- und Warnpflichten . . . . . . . . . . . . . . . . . . . . . . . 232 II. Produktrückruf und weitere Pflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 1. Öffentlich-rechtliche Rückrufpflichten aus dem ProdSG . . . . . . . . . . . . . . . . 233 2. Produktrückruf als Verkehrssicherungspflicht des Haftungsrechts . . . . . . . . . 234 a) Vorgelagerte Pflichtverletzung als Voraussetzung . . . . . . . . . . . . . . . . . . . 235 b) Geeignetheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 c) Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 d) Zumutbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 aa) Formen bisheriger und vernetzter Produktrückrufpflichten . . . . . . . . 238 bb) Speziell: Pflicht zur Bereitstellung von Sicherheitsupdates . . . . . . . . 240 cc) Speziell: Fernsperrung als Produktrückrufmaßnahme . . . . . . . . . . . . 242 3. Zwischenergebnis: Produktrückruf und weitere Pflichten . . . . . . . . . . . . . . . 244 III. Ergebnis: Herstellerseitige Gefahrabwendungspflichten . . . . . . . . . . . . . . . . . . . 244
Inhaltsverzeichnis
21
Kapitel 3
Anforderungen an eine Gesetzesreform
244
A. Anforderungen an ein automatisiertes und vernetztes Event Data Recording . . . . . . 245 I. Geeigneter Regelungsort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 II. Sicherstellung von Beweisverfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 III. Sicherstellung von Beweiskräftigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 IV. Sicherstellung von Beweisverwertbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 B. Anforderungen an eine automatisierte und vernetzte integrierte Produktbeobachtung 247 I. Zukünftige Pflicht zur Bereitstellung von Sicherheitsupdates . . . . . . . . . . . . . . . 247 II. Zukünftige Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber 248
5. Teil
Zusammenfassung und Schlussbemerkung
250
Kapitel 1 Zusammenfassung
250
A. Die Entwicklung und Klassifizierung der Automatisierung und Vernetzung von CPS 250 B. Die Ambivalenz und Paradoxität der Automatisierung und Vernetzung von CPS . . . 251 C. Rechtspflicht zum Event Data Recording und zur integrierten Produktbeobachtung bei CPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Kapitel 2 Schlussbemerkung
257
Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Abkürzungsverzeichnis ABS Antiblockiersystem Automatisiertes cyber-physisches System ACPS Artifizielle Intelligenz AI Air Traffic Service ATS Bundesanstalt für Straßenwesen BASt Bundesanstalt für Arbeitsschutz und Arbeitsmedizin BAuA Bundesministerium für Verkehr und digitale Infrastruktur BMVI Bayerische Motoren Werke (Kfz-Hersteller) BMW Bundesministerium für Wirtschaft und Energie BMWi Bundesamt für Sicherheit in der Informationstechnik BSI Bundesverband Copterpiloten BVCP Car-to-Car (Kommunikation) C2C C2I Car-to-Infrastructure (Kommunikation) Commercial Air Transport Operation CAT Compact Disc CD Conseil Européen de l’Industrie Chimique (Verband der Europäischen cheCEFIC mischen Industrie) Cyber-physisches System CPS CVR Cockpit Voice Recorder Deutsche Flugsicherung GmbH DFS Dà-Jiāng Innovations (UAS-Hersteller) DJI Deutsches Zentrum für Luft- und Raumfahrt DLR Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten DrohnenVO Digital Versatile Disc DVD Event Data Recorder EDR Elektronische Datenverarbeitung EDV Electrically Erasable Programmable Read-only Memory EEPROM Elektronisches Stabilitätsprogramm ESP Executable (Dateiformat) EXE Flight Data Recorder FDR Fire Urgency Estimator in Geosynchronous Orbit FUEGO Größter anzunehmender Unfall GAU General Requirements GEN Global Positioning System GPS Grenzschutzgruppe 9 GSG 9 Global System for Mobile Communications GSM Hypertext Markup Language HTML International Business Machines (EDV-Unternehmen) IBM International Civil Aviation Organization ICAO Instruments, Data, Equipment IDE Intrusion Detection System IDS
Abkürzungsverzeichnis
23
Instrument Landing System Intelligent information system supporting observation, searching and detection for security of citizens in urban environment Joint Authorities for Rulemaking on Unmanned Systems JARUS Künstliche Intelligenz KI LTE Long Term Evolution Machine-to-Infrastructure (Kommunikation) M2I Machine-to-Machine (Kommunikation) M2M Machine-to-Pedestrian (Kommunikation) M2P Machine-to-Vehicle (Kommunikation) M2V Media Access Control MAC Maximum Certified Take-off Mass MCTOM MDP Mobilitätsdiensteplattform Maximum Operational Passenger Seating Configuration MOPSC Motor Powered Aircraft MPA OBD On-Board-Diagnose-System Portable Document Format PDF PricewaterhouseCoopers International PWC Random-Access Memory RAM Radio-Frequency Identification RFID Robot Operating System ROS SAA Sense-and-Avoid Society of Automotive Engineers SAE Subscriber Identity Module SIM SLC Single-Level-Cell Specific Operations Risk Assessment SORA Solid State Drive SSD Small Unmanned Aircraft System sUAS Unmanned Aircraft System UAS UAS-Pol Unmanned Aircraft System-Police Unmanned Aerial Vehicles UAV United Parcel Service UPS Universal Serial Bus USB Vehicle-to-Infrastructure (Kommunikation) V2I Vehicle-to-Network (Kommunikation) V2N Vehicle-to-Pedestrians (Kommunikation) V2P Vehicle-to-Vehicle (Kommunikation) V2V Verband der deutschen Automobilindustrie VDA World Health Organization WHO Wireless Local Area Network WLAN ILS INDECT
Ansonsten werden die üblichen Abkürzungen gebraucht, vgl. Kirchner, Abkürzungsverzeichnis der Rechtssprache, 8. Aufl. 2015
1. Teil
Problemstellung und Gang der Untersuchung „Suche nicht nach Fehlern, suche nach Lösungen.“ Henry Ford, 1863–1947 Gründer der Ford Motor Company „Zum Greifen nah ist die Gemütlichkeit des griechischen Bürgers, die durch unsere mechanischen Diener ermöglicht wird, die seine zwölf bis fünfzehn pro freiem Mann bei Weitem übertreffen. Diese mechanischen Diener springen uns zu Hilfe. Beim Betreten eines Raumes erhellen uns auf Knopfdruck ein Dutzend Lichtquellen den Weg. Ein anderer Diener sitzt vierundzwanzig Stunden am Tag an unserem Thermostat und reguliert die Wärme in unserem Haus. Ein anderer sitzt Tag und Nacht an unserem automatischen Kühlschrank. Sie starten unser Auto, treiben unsere Motoren an, putzen unsere Schuhe und kultivieren unsere Haare.“1 (Nash, Jay B.: Spectatoritis, New York 1932, S. 265)
Nash hat Recht behalten: Automatisierung und Vernetzung halten heute zunehmend Einzug in alle Lebensbereiche, von der „Kaffeemaschine am Morgen und dem Funkwecker am Abend“2 („Smart Home“) über die intelligente Bekleidung („Smart Wearables“) und die vernetzte Verkehrsinfrastruktur („Smart Road Infrastructure“) bis hin zur vollständigen Automatisierung und Vernetzung der Industrie („Smart Factory“), unserer Stromversorgung („Smart Grids“) oder sogar ganzer Städte („Smart Cities“).3 Selbst die Art und Weise, wie wir zukünftig Verträge abschließen und durchführen („Smart Contracts“)4, wird von dieser allgegenwärtigen und alleserfassenden „Smartifizierung“5, die keinen Stein auf dem anderen zu lassen scheint, nicht verschont bleiben. Angeführt wird diese disruptive digitale Transformation insbesondere durch automatisierte und vernetzte „cyber-physische Systeme“ („CPS“). Unter einem 1
Frei übersetzt ins Deutsche von: „Within our grasp is the leisure of the Greek citizen, made possible by our mechanical slaves, which far outnumber his twelve to fifteen per free man. These mechanical slaves jump to our aid. As we step into a room, at the touch of a button a dozen light our way. Another slave sits twenty-four hours a day at our thermostat, regulating the heat of our home. Another sits night and day at our automatic refrigerator. They start our car; run our motors; shine our shoes, and cult our hair.“, Nash, Spectatoritis, S. 265. 2 VK Baden-Württemberg, Beschl. v. 16.08.2017 – 1 VK 24/17, ZfBR 2018, 102. 3 Vgl. zu dieser umfassenden Smartifizierung bereits Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 12. 4 Vgl. hierzu Heckmann, vbw Studie Blockchain und Smart Contracts, S. 13 ff. 5 Hierzu bereits Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 12; Heckmann / Schmid, Informatik-Spektrum 2017, 430, 431.
26
1. Teil: Problemstellung und Gang der Untersuchung
cyber-physischen System ist dabei eine digitalisierte Maschine zu verstehen, also eine informationstechnische Einheit, die sowohl aus einer mechanischen Komponente als auch aus Software zusammengesetzt und somit fähig ist, in physischer Form auf ihre Umwelt einzuwirken und mit dieser in Interaktion zu treten.6 Neben der Automatisierung stellt dabei auch die Vernetzung eine wesentliche Eigenschaft cyber-physischer Systeme dar, die zusammen mit anderen IT-Systemen das sog. „Internet der Dinge“ („Internet of Things“ / „IoT“) bilden.7 Aufgrund dieser Vernetzung kann das cyber-physische System mit anderen CPS, sonstigen IT-Syste men oder Menschen Informationen austauschen oder Befehle von diesen entgegennehmen. Neben den bereits aufgezählten Beispielen fallen unter den Begriff des CPS etwa Roboter aller Art, zudem aber bspw. auch Staudämme, Atom- oder Windkraftwerke, Herzschrittmacher oder vernetztes Spielzeug. Trotz dieser schier unendlichen Palette an denkbaren Arten und Formen cyber-physischer Systeme existiert derzeit aber wohl keine CPS-Gattung, über die in der Gesellschaft und Politik dermaßen leidenschaftlich diskutiert wird wie automatisierte und vernetzte Straßen- und Luftfahrzeuge. Während Straßenfahrzeuge dabei gefühlt seit jeher tief mit unserem Alltag verzahnt sind und die Automatisierung des Straßenverkehrs (nach der Einführung etwa des ABS, des ESP, des Tempomaten, des Abstandswarners und des Parklenkassistenten) den denklogisch nächsten Schritt darstellt, sind es vielmehr unbemannte Luftfahrzeuge („Unmanned Aircraft Systems“ / „UAS“), die als technische Newcomer in den letzten Jahren ganze Industrie- und Technikzweige beflügelt haben. Egal ob im Transportwesen, in der Industrie, im Rahmen von Inspektion und Wartung, in der Land- und Forstwirtschaft oder im Polizei- und Sicherheitswesen – für zahlreiche Einsatzgebiete werden UAS derzeit entwickelt und getestet oder befinden sich bereits im Praxiseinsatz. Laut einer Studie von PricewaterhouseCoopers International („pwc“) stellen UAS, neben dem Internet der Dinge, der Augmented und Virtual Reality, der Blockchain-Technologie, der artifiziellen Intelligenz, dem 3D-Druck und der Robotertechnik im Allgemeinen, gar eine der acht „[t]ech breakthroughs megatrends“ der kommenden Jahre dar,8 die „Geschäftsmodelle und Geschäfte rund um den Globus umwälzen“ werden, worauf „Unternehmen aller Größen und Branchen […] vorbereitet sein [sollten]“.9 Hält man sich vor Augen, dass bei automatisierten und vernetzten UAS sogar mehrere dieser Technologien gebündelt werden, wird die besondere Bedeutung und Brisanz dieser Technologie nochmals unterstrichen. Neben den zahlreichen Chancen und Potentialen können sich als Schattenseite der Automatisierung und Vernetzung hieraus jedoch auch gesteigerte oder neuartige 6
Vgl. Bendel, 300 Keywords Informationsethik, S. 208. Vgl. Bendel, 300 Keywords Informationsethik, S. 208. 8 Eckert / Curran / Bhardwaj: pwc-Studie, Tech breakthroughs megatrend: how to prepare for its impact, S. 5. 9 Sieger, pwc-Beitrag, Die gewaltigen Acht. 7
1. Teil: Problemstellung und Gang der Untersuchung
27
Risiken ergeben, da die Automatisierung stets mit Verselbstständigung und Kontrollverlust und die Vernetzung mit einer Öffnung des Systems für unberechtigte Dritte einhergeht. Insbesondere die letztgenannte Gefahr des Internets der Dinge wurde in den vergangenen Jahren bereits im Rahmen zahlreicher Sicherheitsvorfälle bei vernetzten Industrieanlagen (bspw. „Stuxnet“10), staatlichen Einrichtungen (bspw. „WannaCry“11) oder privaten „Smart Devices“ (bspw. „My Friend Cayla“12) anschaulich verdeutlicht.13 Besondere Brisanz haben vor diesem Hintergrund aber erneut cyber-physische Systeme, die aufgrund ihrer mechanischen Komponente nicht nur eine Gefahr für die Informationssicherheit, sondern auch für die Funktionssicherheit darstellen können. Der sog. „Jeep Cherokee Hack“ aus dem Jahr 2014, bei dem auch sicherheitskritische Fahrfunktionen von Angreifern aus der Ferne übernommen werden konnten,14 stellt nur eines von vielen Beispielen hierfür dar. Dabei ist zunächst zu befürchten, dass die Komplexität und der mehrschichtige Aufbau von automatisierten und vernetzten CPS (einerseits aufgrund des multilateralen Zusammenwirkens unterschiedlicher Hersteller von Teilkomponenten bei der Entwicklung, andererseits aufgrund der Einbettung von CPS in das Internet der Dinge) sowie die Komplexität der Operationsumgebungen, in denen CPS betrieben werden sollen, eine abgeschlossene und sichere Produktentwicklung in der Herstellersphäre, also sozusagen „am Reißbrett“15, immer weniger zulässt. Als Konsequenz könnte sich hieraus ergeben, dass automatisierte und vernetzte CPS künftig auch nach der Markteinführung und Inverkehrgabe noch unter zahlreichen, bislang unbekannten Produktfehlern leiden (im Rahmen dieser Arbeit daher als „Unknown Causes of Trouble“ bezeichnet), die nicht unter Laborbedingungen simulierbar sind, sondern erst im späteren Praxiseinsatz, also beim Kunden, zu Tage treten.16 Auch das Europäische Parlament betont aus diesem Grund mittlerweile, „dass die Prüfung von Robotern in lebensnahen Szenarien für die Ermittlung und Bewertung der Risiken, die mit ihnen verbunden sein können sowie für ihre technologische Entwicklung, die über eine reine Versuchsphase im Labor hinausgeht, von entscheidender Bedeutung ist“17.
10
Rieger, FAZ-Beitrag v. 22.09.2010, Der digitale Erstschlag ist erfolgt. Spiegel Online-Beitrag v. 13.05.2017, „WannaCry“-Attacke – Fakten zum globalen Cyberangriff. 12 Kühl, Zeit Online-Beitrag v. 17.02.2017, Vernichten Sie diese Puppe. 13 Vgl. hierzu auch Helmbrecht, Redebeitrag Security and Liability in the Internet of Things, S. 2 ff. 14 Siehe 3. Teil, Kapitel 2, B., III., 2. 15 Heckmann / Schmid, Informatik-Spektrum 2017, 430, 432 f.; Schmid / Wessels, NZV 2017, 357, 359. 16 Vgl. hierzu bereits Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359; Jänich / Schrader / Reck, NZV 2015, 313, 318; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 734. 17 2015/2103(INL), S. 9. 11
28
1. Teil: Problemstellung und Gang der Untersuchung
Weiterhin können sich aufgrund der mehrfachen Komplexitäten und der zahlreichen Akteure und Haftungsadressaten aber auch Gefahren für die Rechtssicherheit ergeben (im Rahmen dieser Arbeit als „Legal Causes of Trouble“ bezeichnet), wenn aufgrund eines Produktfehlers etwa eine Person verletzt oder eine Sache beschädigt wird, der Auslöser und die Ursache hierfür aber nicht rechtssicher festgestellt und einem Haftungsadressaten beweisbar zugeordnet werden können.18 Diesen spezifischen Gefahren automatisierter und vernetzter CPS sowie denkbaren Gegenmaßnahmen widmet sich die vorliegende Arbeit. Als Demonstratoren, also als Praxisbeispiele, anhand derer die aufgestellten Thesen nachvollzogen werden sollen, sollen dabei die derzeit besonders populären automatisierten und vernetzten Luft- und Straßenfahrzeuge dienen. Zu diesem Zweck sollen zunächst der derzeitige Entwicklungsstand der Automatisierung und Vernetzung anhand dieser Systeme erläutert, eine Klassifizierung der Automatisierung für UAS entwickelt sowie die Chancen und Gefahren dieser Systeme gegenübergestellt werden. Ausgehend von der These, dass die Automatisierung und die Vernetzung zwar einerseits Verhinderer, andererseits aber auch Förderer von IT- und Rechtssicherheit sind, sollen im anschließenden Hauptteil zwei konkrete Konzepte zur IT-Risikominimierung bei CPS entwickelt sowie rechtlich begründet werden. Ziel dieser Konzepte ist es dabei auch, ein konkretes Anwendungsbeispiel für das derzeit hitzig diskutierte „Recht am eigenen Datenbestand“ sowie einen konkreten Vorschlag für die von dem Europäischen Parlament geforderten Überwachungsmechanismen zur „Prüfung von Robotern in lebensnahen Szenarien“19 zu erbringen. Das sog. „Event Data Recording“ zur Begegnung der Legal Causes of Trouble stellt dabei zwar grundsätzlich keine neuartige Erscheinung dar. Vielmehr kommt dieses etwa in Form von Flugdatenschreibern („Flight Data Recorder“ / „FDR“ oder „Black Box“) bereits seit Jahrzehnten in der bemannten Luftfahrt zum Einsatz. Weiterhin hat der Gesetzgeber auch für den hoch- und vollautomatisierten Straßenverkehr jüngst bereits Verpflichtungen zur Unfalldatenspeicherung eingeführt. Während auf europäischer Ebene aber mittlerweile sogar über ein verpflichtendes Event Data Recording für alle an das Internet der Dinge angeschlossenen IT-Systeme diskutiert wird,20 soll die vorliegende Arbeit vielmehr den Versuch unternehmen, eine diesbezügliche Rechtspflicht für alle Arten cyber-physischer Systeme aus dem geltenden Recht, auch unter kritischer Würdigung der derzeitigen Diskussion über ein „Recht am eigenen Datenbestand“ und ähnlicher Überlegungen, abzuleiten. Auch die sog. „Produktbeobachtungspflichten“ zur Minimierung der Unknown Causes of Trouble werden in Form von passiven und aktiven Produktbeobachtungspflichten zwar bereits seit mehreren Jahrzehnten von Rechtsprechung und Schrifttum anerkannt. Die Geeignetheit und Effektivität dieser im Hinblick auf automatisierte und vernetzte CPS womöglich tradierten Unterformen der Ver 18
Vgl. Europäische Kommission, Draft Agenda for the Liability Workshop, S. 3. 2015/2103(INL), S. 9. 20 Vgl. Europäische Kommission, Draft Agenda for the Liability Workshop, S. 3. 19
1. Teil: Problemstellung und Gang der Untersuchung
29
kehrssicherungspflichten sollen im Rahmen dieser Arbeit jedoch einer Evaluation unterzogen werden. Ausgehend von deren Ergebnis versucht diese Arbeit im weiteren Fortgang, für bestimmte, potentiell gefährliche automatisierte und vernetzte CPS-Gattungen eine neue Generation an Produktbeobachtungspflichten zu konzipieren (im Rahmen dieser Arbeit als „integrierte Produktbeobachtungspflichten“ bezeichnet), deren Geeignetheit und Effektivität anhand der spezifischen Gefahren von CPS zu validieren sowie in den bestehenden Rechtsrahmen der Verkehrssicherungspflichten zu integrieren. Einen ersten offiziellen Vorstoß in eine solche neue Ära von Produktbeobachtungspflichten hat kürzlich auch die Ethik-Kommission zum automatisierten und vernetzten Fahren gewagt, die in ihrer elften ethischen Regel vorgibt, dass „Hersteller oder Betreiber verpflichtet sind, ihre Systeme fortlaufend zu optimieren und auch bereits ausgelieferte Systeme zu beobachten und zu verbessern, wo dies technisch möglich und zumutbar ist“21. Den Schwerpunkt der vorliegenden Arbeit bildet damit die Untersuchung, ob herstellerseitige Rechtspflichten zum Event Data Recording sowie zur integrierten Produktbeobachtung auch de lege lata bereits existieren. Auf Reformerfordernisse de lege ferenda sowie darauf, wie diese Sicherheitsmaßnahmen von den Herstellern rechtskonform umzusetzen sind, soll dagegen lediglich ergänzend eingegangen werden. Dies erfordert vielmehr eine eigenständige Untersuchung durch zukünftige Forschungsvorhaben, die auf diese Arbeit aufbauen können.
21 Ethische Regel Nr. 11 des BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 12.
2. Teil
Die Entwicklung und Klassifizierung der Automatisierung und Vernetzungvon CPS „In studying the principals, the first point is that a computer is quite dead. It can do nothing without someone to give instructions.“ IBM United Kingdom, 1967 Zitat aus Schulungsvideo „Man & Computer“
Kapitel 1
Entwicklung der Automatisierung und Vernetzungan den Beispielen Industrie, Straßenverkehr und unbemannter Luftverkehr Obgleich die Automatisierung der Industrie, des Straßenverkehrs und unseres gesamten Lebens gerne als Headline zur Beschreibung eines Aufbruchs in eine digitale Zukunft verwendet wird, ist diese gerade keine Erscheinung, die uns erst in den kommenden Jahren oder Jahrzehnten zu einem bestimmten Zeitpunkt ereilen würde, auf die wir heute also lediglich gespannt warten dürften. Vielmehr reichen die Anfänge der Automatisierung, insbesondere im Hinblick auf die industriellen Veränderungen, bereits lange Zeit in die Vergangenheit zurück.
A. Exkurs: Vernetzung als Schlüssel- und Komplementärtechnologie; Schutz der M2M-Kommunikation nach dem Entwurf einer ePrivacyVO Spätestens seit der vierten industriellen Revolution, insbesondere aber auch durch die derzeit stattfindende ubiquitäre Vernetzung sog. „Smart Devices“ im Kontext des Internets der Dinge, wird deutlich, dass die Automatisierung ab einer bestimmten Stufe nicht ohne die Vernetzung auskommt. Vielmehr stellt die Vernetzung (insbesondere die „Machine-to-Machine“-Kommunikation / „M2M“) (ebenso wie etwa auch der Einsatz von künstlicher Intelligenz) gerade eine technische Notwendigkeit einer höhergradigen Automatisierung und somit eine Schlüsseltechnologie dar.
Kap. 1: Entwicklung der Automatisierung und Vernetzung
31
Dieses komplementäre Zusammenspiel aus Automatisierung und Vernetzung kann dabei auch als „Smartifizierung“1 bezeichnet werden. Diese immer wichtiger werdende Verzahnung bislang isolierter Einzelsysteme hat der europäische Verordnungsgeber auch im Rahmen der ePrivacy-Verordnung (ePrivacyVO-E)2 erkannt, welche bei der Verarbeitung elektronischer Kommunikationsdaten die allgemeinen Bestimmungen der DSGVO ergänzen soll.3 Da sich die ePrivacyVO zum Zeitpunkt dieser Arbeit noch im Entwurfsstadium befindet, sollen im Folgenden der EU-Kommissionsentwurf v. 10.01.20174, die Fassung der legislativen Entschließung des Europäischen Parlaments v. 23.10.20175 und der Verordnungsvorschlag des Rates der Europäischen Union v. 05.12.20176 betrachtet werden. So war in Erwägungsgrund 12 des Kommissionsentwurfs v. 10.01.2017 der Passus vorgesehen, dass „vernetzte Geräte und Maschinen […] zunehmend über elektronische Kommunikationsnetze untereinander [kommunizieren] (Internet der Dinge). […] Um den vollständigen Schutz der Rechte auf Privatsphäre und Vertraulichkeit der Kommunikation […] und ein vertrauenswürdiges und sicheres Internet der Dinge im digitalen Binnenmarkt zu gewährleisten, ist es notwendig klarzustellen, dass diese Verordnung auch für die Übermittlung von Maschine-MaschineKommunikation gelten sollte […]“. Zwar wurde dieser Erwägungsgrund in der Fassung der legislativen Entschließung des Europäischen Parlaments v. 23.10.2017 zunächst gestrichen. Gleichwohl hat der Schutz von M2M-Kommunikationsdaten aber auch hierbei weiterhin einen hohen Rang, weswegen auch in den Begriffsbestimmungen zum „elektronischen Kommunikationsdienst“ in Art. 4. Abs. 3 ePrivacyVO-E nun ausdrücklich Bezug auf M2M-Dienste genommen wird. Im Rahmen des Verordnungsvorschlags des Rates der Europäischen Union v. 05.12.2017 wurde der Erwägungsgrund aber ohnehin in einer abgewandelten Fassung wieder aufgenommen. Weiterhin wird nunmehr auch in Art. 5 Abs. 2 der ePrivacyVO-E ausdrücklich klargestellt, dass der Grundsatz der Vertraulichkeit der elektronischen Kommunikation auch auf die M2M-Kommunikation Anwendung finden soll. 1
Hierzu bereits Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 12; Heckmann / Schmid, Informatik-Spektrum 2017, 430, 431. 2 Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation). Zur ePrivacyVO-E vgl. generell auch Heckmann, in: Heckmann, jurisPK-Internetrecht, Kap. 9 Rn. 6.1 ff. 3 Die DSGVO und die ePrivacyVO-E stehen in einem lex generalis / lex specialis-Verhältnis zueinander, sodass auf die DSGVO immer dann zurückzugreifen ist, wenn die ePrivacyVO-E einen spezifischen Sachverhalt nicht regelt (insofern auch: Datenschutzgrundverordnung). Vgl. hierzu auch Herbrich, jurisPR-ITR 18/2017 Anm. 2; Engeler / Felber, ZD 2017, 251, 253; DAV, Stellungnahme Nr. 29/2017 zur ePrivacyVO, S. 8. 4 COM(2017) 10 final. 5 A8-0324/2017. 6 15333/17.
32
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
Obgleich es generell begrüßenswert ist, dass die Relevanz der Vernetzung für automatisierte Systeme mittlerweile erkannt wird, ist dennoch zu beachten, dass eine exzessive Einschränkung der freien Verarbeitbarkeit von M2M-Kommunikationsdaten technische Innovationen unnötig ausbremsen kann. Fraglich ist daher, ein adäquates Mitob dem Europäischen Verordnungsgeber mit der ePrivacyVO-E telmaß zwischen Unter- und Überregulierung gelingen wird. Das aus datenschutzrechtlicher Perspektive auffälligste Wesensmerkmal der e PrivacyVO-E ist dabei, dass diese, anders als etwa die DSGVO (vgl. Art. 2 Abs. 1 DSGVO) und das BDSG7 (vgl. § 1 Abs. 1 BDSG), grundsätzlich keine Begrenzung des sachlichen Anwendungsbereichs auf personenbezogene Daten vorsieht, sondern vielmehr auf „elektronische Kommunikationsdaten“ (Art. 2 Abs. 1 ePrivacyVO-E) im Allgemeinen abstellt.8 Grund hierfür ist, dass die e PrivacyVO-E – anders als die DSGVO und das BDSG – nicht nur den Schutz personenbezogener Daten (Art. 8 EU-GRCh; entspricht dem Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG), sondern auch den Schutz des Telekommunikations- bzw. Fernmeldegeheimnisses (Art. 7 EU-GRCh; entspricht dem Telekommunikations- bzw. Fernmeldegeheimnis aus Art. 10 GG) bezweckt.9 Dieser äußerst weite Schutzbereich kann im Rahmen der M2M-Kommunikation zunächst zu Wertungswidersprüchen führen, wenn damit auch rein sach bezogene M2M-Kommunikationsdaten von dem Verbotsprinzip mit Erlaubnisvorbehalt10 der ePrivacyVO-E erfasst werden.11 Denn anders als die DSGVO (vgl. Art. 6 Abs. 1 lit. f DSGVO) sieht die e PrivacyVO-E in ihren äußerst restriktiven gesetzlichen Erlaubnistatbeständen bislang keine Rechtfertigungsmöglichkeit per
7 Ohne entsprechende Kennzeichnung wird im weiteren Fortgang mit „BDSG“ das neue nationale Datenschutzgesetz bezeichnet, das seit dem 25.05.2018 das vorher geltende BDSG (im Folgenden als „BDSG a. F.“ bezeichnet) ersetzt hat. 8 Vgl. Woger, PinG 2017, 80, 83; Engeler / Felber, ZD 2017, 251, 252 f. So enthielt Erwägungsgrund 4 des Kommissionsentwurfs v. 10.01.2017 die Formulierung, dass „[e]lektronische Kommunikationsdaten […] auch personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 enthalten [können]“, woraus sich als Umkehrschluss ergibt, dass dies aber gerade keine Anwendungsvoraussetzung der Verordnung ist. Auch Erwägungsgrund 4 des Entwurfs der legislativen Entschließung des Europäischen Parlaments v. 23.10.2017 regelt nunmehr, dass es sich „bei elektronischen Kommunikationsdaten […] im Allgemeinen um personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 [handelt]“, woraus sich wiederum als Umkehrschluss ergibt, dass „im Besonderen“ auch nicht-personenbezogene Daten unter den Begriff fallen können. 9 Vgl. COM(2017), 10 final, S. 4 f.; Herbrich, jurisPR-ITR 18/2017 Anm. 2; Herbrich, jurisPR-ITR 23/2017 Anm. 2. 10 Vgl. hierzu Erwägungsgrund 5 Satz 4 sowie die Formulierungen der Art. 6 und 8 ePrivacyVO-E („[…] dürfen […] nur dann verarbeiten […]“ bzw. „[…] ist untersagt, außer […]“) in der Fassung der legislativen Entschließung des Europäischen Parlaments v. 23.10.2017. 11 Vgl. hierzu DAV, Stellungnahme Nr. 29/2017 zur ePrivacyVO, S. 16; Pohle, ZD-Aktuell 2017, 05452.
Kap. 1: Entwicklung der Automatisierung und Vernetzung
33
genereller Interessensabwägung vor.12 Im Ergebnis wären rein sachbezogene und maschinengenerierte M2M-Kommunikationsdaten nach der e PrivacyVO-E damit stärker geschützt als sensitive personenbezogene Daten nach der DSGVO. Dies kann im Ergebnis auch zu erheblichen Hürden für neue Innovationen führen. Insbesondere im Rahmen zeitkritischer Anwendungen, bei denen durch den Einsatz automatisierter Entscheidungsprozesse gerade eine Mitwirkung des reaktionsträgen menschlichen Anwenders entfallen soll (bspw. automatische Meldung eines Unfallereignisses an in der Nähe befindliche Fahrzeuge, um Folgeunfälle zu vermeiden13), kommt ein Rückgriff auf eine einzelfallspezifische14 Einwilligung mehrheitlich nicht in Betracht (unabhängig davon, ob in solchen Gefahrensituationen überhaupt eine informierte, also reflektierte Einwilligung möglich ist), sodass in diesen und ähnlichen Fällen – ohne anderweitige Rechtfertigungsmöglichkeit – die Gefahr einer Konterkarierung von M2M-Innovationen droht.15 Zwar kann die grundsätzliche Frage, weshalb rein sachbezogene M2M-Kommunikationsdaten überhaupt geschützt und daher von dem sachlichen Anwendungsbereich der e PrivacyVO-E erfasst sein müssen, nicht von der Hand gewiesen werden. Diese Kritik kann auch nicht einfach mit Verweis auf den doppelten Schutzcharakter der ePrivacyVO-E abgetan werden, insofern auch das in Art. 7 EU-GRCh verankerte Telekommunikations- bzw. Fernmeldegeheimnis letztendlich nur den Schutz der Privatsphäre bezweckt. Mit der hier vertretenen Auffassung kann dies aber jedenfalls aus dem Grund dahingestellt bleiben, da anzunehmen ist, dass auch die Inhalte einer M2M-Kommunikation in den meisten Anwendungsfällen tatsächlich gar nicht rein sachbezogen sein werden und damit ohnehin unter den Anwendungsbereich der ePrivacyVO-E fallen würden. Selbst in dem oben dargestellten Szenario der automatischen Warnung vor einem Unfall dürfte die hierzu erfolgende M2M-Kommunikation insofern zumindest Angaben über Ort und Zeitpunkt des Unfalls sowie optimalerweise auch über dessen Schwere (etwa darüber, ob der Unfall zu einer Vollsperrung geführt hat, ob aufgrund des Unfalls mit abgelösten Fahrzeugteilen oder mit ausgelaufener Flüssigkeit (bspw. Ölspur) zu rechnen ist oder ob sich Personen auf der Fahrbahn befinden) enthalten. Jedenfalls dann, wenn hierbei auch eine globale oder herstellerseitige Car-ID (bzw. eine MAC-Adresse („Media Access
12
Hierzu auch Woger, PinG 2017, 80, 81. Hierüber hilft etwa auch der mit der legislativen Entschließung des Europäischen Parlaments v. 23.10.2017 eingefügte Art. 6 Abs. 3a ePrivacyVO-E nicht hinweg, insofern hierbei die Datenverarbeitung weiterhin für die Bereitstellung eines ausdrücklich angeforderten Dienstes erforderlich sein muss, hier also dennoch keine allgemeine Interessensabwägung vorgesehen ist. 13 Vgl. zu diesem Anwendungsfall Heuzeroth, Welt-Beitrag v. 02.12.2017, Überzieht Brüssel beim Datenschutz? 14 Denkbar wäre lediglich die Erteilung einer generellen vorgelagerten Einwilligung für sämtliche diesbezügliche Datenverarbeitungsvorgänge (bspw. bei der ersten Inbetriebnahme des Fahrzeugs), wobei insbesondere auf die Informiertheit der Einwilligung geachtet werden muss. 15 Hierzu auch Woger, PinG 2017, 80, 84.
34
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
Control“) oder ein sonstiger „Unique Device Identifier“16) übermittelt wird, dürfte eine ausschließliche Sachbezogenheit der M2M-Kommunikation bereits zu verneinen sein. Doch auch wenn tatsächlich ausschließlich Angaben zum Unfall, aber keine Identifier übermittelt werden, ist zu beachten, dass die M2M-Kommunikationsdaten spätestens dann als personenbezogen gelten müssen, wenn diese später mit weiteren Datensätzen fusioniert werden können, die dann eine entsprechende Identifizierung ermöglichen (bspw. dann, wenn das die M2M-Kommunikation empfangende Fahrzeug später den Unfallort passiert und dessen Sensorik weitere Daten über die Unfallbeteiligten, etwa Kfz-Kennzeichen, erhebt). Auch wenn nicht geleugnet werden soll, dass Anwendungsfälle mit rein sachbezogenen M2M-Kommunikationsdaten durchaus denkbar sind (bspw. im Rahmen der Industrie 4.0), so wird durch die vorstehenden Erwägungen dennoch deutlich, dass sich die M2M-Kommunikation als Gesamtherausforderung nicht alleine durch eine Beschränkung des sachlichen Anwendungsbereichs der e PrivacyVO-E auf personenbezogene Daten meistern lässt. Aufgrund der schier unendlichen Datenflut unserer heutigen vernetzten Welt und dem damit einhergehenden Risiko, dass auch zunächst sachbezogene Daten später einer Deanonymisierung zugeführt werden können (bewusst oder unbewusst), ist auf die Sachbezogenheit von Daten insofern kein Verlass mehr. Der Herausforderung der M2M-Kommunikation kann mit der hier vertretenen Auffassung daher nur auf der Ebene der Rechtfertigung hinreichend begegnet werden, indem für bestimmte erwünschte M2M-Datenverarbeitungen (unabhängig von einem Personenbezug der Daten) entsprechende Erlaubnistatbestände geschaffen werden. Diesen Lösungsweg scheint auch der Europäische Verordnungsgeber zu präferieren, der jedenfalls in der Fassung der legislativen Entschließung des Europäischen Parlaments v. 23.10.2017 daher den Katalog an gesetzlich erlaubten Datenverarbeitungssituationen erweitert hat.17 Insbesondere im Rahmen des für die M2M-Kommunikation besonders relevanten Art. 8 Abs. 2 ePrivacyVO-E („Verarbeitung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können“) kann eine Datenverarbeitung nach dieser Verordnungsfassung nunmehr auch dann zulässig sein, wenn schlichtweg die Risiken, die von der Datenverarbeitung ausgehen, in geeigneter Weise „eingedämmt“ werden, wobei hierfür nach dem Verordnungsentwurf verschiedenste Vorkehrungen in Betracht kommen sollen (u. a. Beschränkung der Verarbeitung auf das zeitlich und örtlich notwendige Maß, unverzügliche Löschung oder Anonymisierung der Daten nach Zweckerfüllung18 oder Einräumung von wirksamen 16 Hierzu bereits Herbrich, jurisPR-ITR 23/2017 Anm. 2 m.w.N; Weichert, SVR 2014, 201, 204. 17 Restriktiver dagegen der Verordnungsvorschlag des Rates der Europäischen Union v. 05.12.2017. 18 Der Umstand, dass auch die Anonymisierung der Daten als eine solche Vorkehrung gilt, führt mit der hier vertretenen Auffassung aber nicht dazu, dass die Vorschrift des Art. 8 ePrivacyVO-E im Umkehrschluss nur auf zunächst personenbezogene Daten Anwendung finden soll. Die
Kap. 1: Entwicklung der Automatisierung und Vernetzung
35
Widerspruchsmöglichkeiten). Ob sich dieser Erlaubnistatbestand im weiteren Verordnungsgebungsverfahren durchsetzen wird und ob hierdurch tatsächlich sämtlichen zukünftigen M2M-Innovationen ausreichend Rechnung getragen werden kann, wird noch abzuwarten sein.
B. Automatisierung und Vernetzung der Industrie Im Rahmen der Industrie werden die bedeutenden Umbrüche hinsichtlich der Automatisierung als industrielle Revolutionen bezeichnet. Die erste industrielle Revolution fand zur zweiten Hälfte des 18. Jahrhunderts in Großbritannien statt und wurde maßgeblich durch technologische Neuerungen wie etwa die Dampfmaschine von James Watt oder die Spinnmaschine von James Hargreaves in Gang gesetzt.19 Hierdurch konnten bislang vom Menschen durchgeführte Handlungen bereits stellen- und teilweise durch Maschinen ersetzt und somit eine erste Vorstufe an Automatisierung erreicht werden. Im Rahmen der zweiten industriellen Revolution zum Ende des 19. Jahrhunderts bzw. zu Beginn des 20. Jahrhunderts erfolgte dann eine Dezentralisierung der Antriebe durch den Einsatz der von Rudolf Diesel patentierten Verbrennungskraftmaschinen, was insbesondere den Einsatz von Fließbändern und Fertigungsstraßen ermöglichte und den Grad an Automatisierung weiter steigerte.20 Hierdurch waren Betriebe, wie etwa das Automobilwerk von Henry Ford in Detroit, in der Lage, gleichzeitig ihre Produktivität zu erhöhen sowie ihre Kosten zu senken.21 Eine Dezentralisierung der Steuerungsintelligenz erfolgte im Rahmen der dritten industriellen Revolution zu Beginn der 70er Jahre des 20. Jahrhunderts mit der Erfindung und Entwicklung von Mikroprozessoren.22 Hierdurch konnten erstmalig Arbeitsabläufe mit Hilfe von Informations- und Kommunikationstechnik automatisiert werden, was den Arbeitnehmer vielerorts in die Rolle einer Überwachungsperson gedrängt hat. Mit dem Einsatz von Computertechnik wurde schließlich auch der Einsatz von Industrierobotik ermöglicht. Diese wird seitdem stetig fortentwickelt und existiert mittlerweile in einer beachtlichen Artenvielfalt. Industrieroboter können heute bereits eine unüberschaubare Anzahl an Arbeitsschritten eigenständig
Anonymisierung stellt vielmehr lediglich eine von mehreren Vorkehrungen dar, die kumulativ zu erfüllen sind („und“). Während die Anonymisierung bei personenbezogenen Daten dann tatsächlich zur Risikoeindämmung beiträgt, ist diese bei bereits sachbezogenen Daten dagegen gegenstandslos. 19 Hahn, Die industrielle Revolution in Deutschland, S. 3. 20 Warnecke, Revolution der Unternehmenskultur, S. 31; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 5. 21 Warnecke, Revolution der Unternehmenskultur, S. 31. 22 Warnecke, Revolution der Unternehmenskultur, S. 33; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 5.
36
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
ausführen. Diese dritte industrielle Revolution prägt demnach die in der Industrie vorzufindende Automatisierungstechnik bis heute.23 Die derzeit stattfindende vierte industrielle Revolution hin zur Industrie 4.024 steht dagegen unter dem Zeichen der Vernetzung der automatisierten Industrieanlagen hin zu einem automatisierten Gesamtsystem (als Teil des „Internets der Dinge“). Im Rahmen der Industrie 4.0 werden die einzelnen bislang mehrheitlich voneinander isoliert betriebenen Industrieroboter nun zentral oder dezentral zu einer Smart Factory zusammengeschaltet. In einer solchen stehen die verschiedenen Einzelsysteme künftig in einem permanenten Informationsaustausch zueinander und sind daher imstande, Informationen über den laufenden Arbeitsprozess und über den jeweiligen Systemzustand untereinander auszutauschen und sich insofern auch selbstständig zu koordinieren.25 Auf diesem Wege können etwa Bauteile zielgerechter sowie ohne menschliche Hilfe und demnach schneller und insgesamt effizienter an die verschiedenen Arbeitsstationen verteilt werden. Denn sobald die Einzel systeme ihre jeweilige Eigenauslastung und den Arbeitsfortschritt an das Gesamtsystem melden, ist für dieses kalkulierbar, welche Arbeitsstation als nächstes wieder zur Verfügung steht. Infolgedessen können Leerlaufzeiten minimiert werden, sodass insgesamt mit einer Steigerung der Produktionsauslastung zu rechnen ist.26 Im Rahmen dieser Industrie 4.0 werden insbesondere auch weitere automatisierte und vernetzte IT-Systeme eingebunden werden, die bislang noch keinen Einsatz in der Industrie fanden. Dies betrifft gerade auch automatisierte und vernetzte Luftund Straßenfahrzeuge, etwa zum automatisierten Transport kleinerer Bauteile zwischen den verschiedenen Werkshallen oder zu einer Arbeitsstation oder aber zur Erledigung von Inventuraufgaben.27
C. Automatisierung und Vernetzung des Straßenverkehrs Außerhalb der dargestellten industriellen Transformationen wird derzeit auch die Smartifizierung des Straßenverkehrs („Smart Road Traffic“) leidenschaftlich diskutiert. Auch hier setzt sich die Smartifizierung maßgeblich aus den beiden Komponenten der Automatisierung der einzelnen Straßenfahrzeuge („Smart Cars“) sowie 23 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 5. 24 Die Bezeichnung als Industrie „4.0“ ist aus der Informatik abgeleitet, bei der größere inhaltliche Änderungen an einer Software (i. d. R. „Upgrades“) durch eine Erhöhung der Hauptversionsnummer (Zahl vor dem Punkt) gekennzeichnet werden und kleinere „Updates“ durch eine Erhöhung der Unterversionsnummer (Zahl nach dem Punkt). 25 Hierzu Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 5 f. 26 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 6. 27 Siehe 3. Teil, Kapitel 2, A., II., 1.
Kap. 1: Entwicklung der Automatisierung und Vernetzung
37
aus der Vernetzung und Integration dieser in eine intelligente Verkehrsinfrastruktur („Smart Road Infrastructure“) zusammen. I. Automatisierung von Straßenfahrzeugen28 Bereits 1958 beschrieb Frank Rowsome im Magazin Popular Science den „Auto Pilot“, der heute gemeinhin als „Tempomat“ oder „Cruise Control“ bekannt ist.29 1962 folgte schließlich die Markteinführung in Europa durch Mercedes-Benz.30 Bereits der Tempomat stellte als Assistenzsystem eine Vorstufe zum heutigen automatisierten Fahren dar. Dem Tempomaten folgte 1978 das von Bosch entwickelte „Antiblockiersystem“ („ABS“), das bei Vollbremsungen das Blockieren der Räder verhindert.31 Das Patent für diese „Vorrichtung zum Verhüten des Festbremsens der Räder eines Kraftfahrzeugs“ wurde bereits 1936 von Bosch angemeldet, nachdem 1928 der deutsche Erfinder Karl Wessen bereits ein ähnliches Patent erlangt hatte.32 Auch das ABS stellt insofern bereits ein Assistenzsystem dar, da es die Bremskraft selbstständig auf die vier Räder verteilt und durch Emulation der früher bekannten und bis dahin manuell durchzuführenden „Stotterbremse“ ein Lenken während des Bremsvorgangs weiterhin erlaubt.33 Dem ABS folgte in den 80er-Jahren die „Antriebsschlupfregelung“ und in den 90er-Jahren das „Elektronische Stabilitätsprogramm“ („ESP“), der „Bremsassistent“ sowie die „Adaptive Cruise Control“ („adaptive Abstands- und Geschwindigkeitsregelung“), die als Erweiterung zum ursprünglichen Tempomaten die Geschwindigkeit des Fahrzeugs nun auch hinsichtlich vorausfahrender Fahrzeuge regulieren kann.34 Als weitere Assistenzsysteme kamen in den Folgejahren der „Parklenkassistent“ und der „Spurhalteassistent“ hinzu,35 die beim Parken oder beim Fahren auf der Autobahn selbstständig Lenkbewegungen ausführen können, während der Fahrer weiterhin selbst beschleunigt oder bremst.36 Auf umgekehrtem Wege kann der 2010 eingeführte „automatische Notbremsassistent“ das Kraftfahrzeug bei erkannten Hindernissen selbstständig abbremsen, während der Fahrer weiterhin die Kontrolle
28 Vgl. hierzu VDA, Automatisierung, S. 10; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9 ff. 29 Viehmann, Stern-Beitrag v. 13.02.2008, Happy Birthday, Cruise Control; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9. 30 Viehmann, Stern-Beitrag v. 13.02.2008, Happy Birthday, Cruise Control; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9. 31 auto.de, ABS: Wer hat’s erfunden? 32 auto.de, ABS: Wer hat’s erfunden? 33 Spiegel Online-Beitrag v. 05.08.2003, Stottern für die Sicherheit. 34 Vgl. VDA, Automatisierung, S. 10 f. 35 Vgl. VDA, Automatisierung, S. 10. 36 Vgl. VDA, Automatisierung, S. 25; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9.
38
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
über die Querbewegung des PKWs behält.37 Durch Kombination des Spurhalte assistenten und des Notbremsassistenten ist es hierdurch erstmalig auch möglich, dass das Fahrzeug sowohl die Kontrolle über die Längs-(Bremsmanöver) als auch über die Querbewegung (Lenkung) übernimmt, soweit die gleichzeitige Aktivierung dieser Systeme von der Fahrzeugelektronik zugelassen wird. Als Erweiterung zum Parklenkassistenten werden seit den 2010er-Jahren „Parkmanöverassistenten“ verbaut, die in der Lage sind, beide Achsen automatisiert zu steuern.38 Der Fahrer überwacht diesen automatischen Einparkvorgang lediglich und kann notfalls durch eigene Lenkbewegungen oder Bremsvorgänge eingreifen.39 Bei dem derzeit in der Entwicklung befindlichen „Schlüsselparken“ kann sich der Fahrer dabei gar außerhalb des Fahrzeugs befinden und per Schlüssel dem Fahrzeug eine Parklücke aufzeigen, in welche das Fahrzeug automatisiert einparken soll.40 Auch beim Schlüsselparken überwacht der Fahrer die Manöver des Fahrzeugs und greift notfalls durch Not-Stopp des Fahrzeugs (etwa durch Betätigung eines Schalters auf der Fernbedienung) ein.41 Zukünftig wird auch ein automatisiertes „Valet Parking“, also ein fahrerloses Parken, ermöglicht werden, bei dem der Fahrer das Fahrzeug etwa im Eingangsbereich eines Parkhauses oder Parkplatzes abstellt und dieses daraufhin selbstständig zu einem freien Parkplatz fährt und einparkt.42 Möchte der Fahrer sein Fahrzeug zurückerhalten, fordert er dieses per Smartphone, Tablet oder Fernbedienung an, woraufhin dieses automatisiert wieder ausparkt und in den Abholbereich fährt.43 Auch bei dem „Stauassistenten“ übernimmt das Fahrzeug mittlerweile die Kontrolle über sowohl die Längs- als auch die Querachse, sodass hierbei im Rahmen eines Staus keinerlei manuelle Steuerung durch den Fahrer mehr notwendig ist.44 Dieser hat gleichwohl das Fahrzeug zu überwachen und notfalls unverzüglich einzugreifen (etwa durch Gegenlenken oder Bremsen).45 Zukünftig sind als Fortentwicklung hierzu Systeme zum „Staufolgefahren“ / „Fahren im Stau“ geplant, die 37
Vgl. VDA, Automatisierung, S. 10 und 13. Vgl. VDA, Automatisierung, S. 10; Heckmann / Schmid, vbw Studie Datenschutz, ITSicherheit und Haftung bei automatisierten Systemen, S. 9. 39 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9. 40 Vgl. VDA, Automatisierung, S. 25; Heckmann / Schmid, vbw Studie Datenschutz, ITSicherheit und Haftung bei automatisierten Systemen, S. 9. 41 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9. 42 Vgl. VDA, Automatisierung, S. 25; Heckmann / Schmid, vbw Studie Datenschutz, ITSicherheit und Haftung bei automatisierten Systemen, S. 9. 43 Vgl. VDA, Automatisierung, S. 25; Heckmann / Schmid, vbw Studie Datenschutz, ITSicherheit und Haftung bei automatisierten Systemen, S. 9. 44 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 9 f. 45 Vgl. VDA, Automatisierung, S. 25; Heckmann / Schmid, vbw Studie Datenschutz, ITSicherheit und Haftung bei automatisierten Systemen, S. 9 f. 38
Kap. 1: Entwicklung der Automatisierung und Vernetzung
39
eine permanente Überwachung durch den Fahrer nicht mehr erfordern, der sich während der Staufahrt dann auch anderen Dingen widmen kann.46 Erkennt das Fahrzeug, dass ein Eingreifen des Fahrers notwendig wird (etwa beim Verlassen / bei der Auflösung des Staus), fordert dieses den Fahrer mit einer gewissen Vorlaufzeit dazu auf, die Steuerung über das Fahrzeug wieder zu übernehmen.47 Zukünftig soll auch das gewöhnliche Fahren auf der Autobahn oder in der Stadt vollständig automatisiert werden, obgleich der Fahrer auch hierbei bei Bedarf noch jederzeit eingreifen kann – dies aber für gewöhnlich nicht mehr muss. Das Google Self Driving Car48 ist nur eines von vielen fortschrittlichen Projekten in diesem Kontext. Auch die deutschen Automobilhersteller erforschen derzeit mit größtem Elan das vollautomatisierte Fahren auf der Autobahn und in der Stadt. Einen bedeutenden Beitrag hierzu leistet auch die Teststrecke für hoch- und vollautomatisiertes Fahren auf der Bundesautobahn A9.49 BMW etwa betreibt seit 2017 gar ein eigenes Entwicklungszentrum für automatisiertes Fahren in Unterschleißheim.50 Als höchste Form der Automatisierung soll in fernerer Zukunft auch ein fahrerloses, also autonomes51 Fahren möglich sein. Beim fahrerlosen Fahren wird jeder Insasse des Fahrzeugs zum Passagier, ein dedizierter Fahrer wird dann nicht mehr auszumachen sein.52 Wann ein solches autonom fahrendes Fahrzeug tatsächlich auf den deutschen Straßen anzutreffen sein wird, ist aufgrund der derzeit noch bestehenden sicherheitstechnischen, rechtlichen und ethischen Herausforderungen jedoch noch rein spekulativ. II. Vernetzung und Integration in die Verkehrsinfrastruktur Eine sukzessive Vernetzung des Automobils ist bereits seit den 1980er Jahren und damit auch außerhalb der Automatisierung des Straßenverkehrs zu beobachten, als On-Board-Diagnose-Systeme („OBD“) Einzug in das Kfz gefunden haben. Diese zeichnen zahlreiche Diagnosedaten über das Fahrzeug auf, die bislang aber noch vor Ort vom Fahrzeug mit einem speziellen Auslesegerät erhoben werden müssen.53 46
Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 10. 47 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 10. 48 Dessen Entwicklung mittlerweile in ein eigenständiges Alphabet-Tochterunternehmen namens „Waymo“ ausgelagert wurde, vgl. https://waymo.com/journey/ (alle Internetquellen zuletzt abgerufen am 27.04.2018). 49 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 10. 50 BMW, Pressemitteilung v. 20.12.2016, Neues Entwicklungszentrum für autonomes Fahren. 51 Zu den Automatisierungsstufen siehe 2. Teil, Kapitel 2, A. 52 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 50. 53 Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 13.
40
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
Hierauf folgte das integrierte Autotelefon (meist mit eigener SIM-Karte) sowie der funkbasierte Fahrzeugschlüssel, der nicht nur das Kfz elektronisch entsperren, sondern auch weitere elektronische Komponenten des Kfz (etwa die Wegfahrsperre oder die Alarmanlage) über Funk aktivieren oder deaktivieren kann.54 Etwa seit 2008 werden in Kfz schließlich zunehmend auch Mobilfunkmodems integriert, die über mobile Datenkanäle dem Fahrzeugnutzer zahlreiche Dienste bereitstellen.55 Hierzu gehören unter anderem Informations- und Unterhaltungsdienste sowie Mobilitätsdiensteplattformen („MDP“) zur Realisierung von Car-Sharing-Angeboten, wie etwa DriveNow56 von BMW.57 Die fortschreitende Automatisierung von Straßenfahrzeugen erfordert für zukünftige Fahrzeugmodelle jedoch eine noch stärkere Vernetzung durch ständig verfügbare und schnelle mobile Datenverbindungen. Hochgradig automatisierte Straßenfahrzeuge werden insofern keine in sich geschlossenen und voneinander und ihrer Umwelt isolierten Einzelsysteme mehr sein. Vielmehr werden diese in einem ständigen Informationsaustausch untereinander („Machine-to-Machine“ / „M2M“ bzw. „Vehicle-to-Vehicle“ / „V2V“ oder „Car-to-Car“ / „C2C“), zu Internetdienstleistungen („Vehicle-to-Network“ / „V2N“) oder gar zu Passanten („Vehicle-toPedestrians“ / „V2P“) stehen.58 Insbesondere werden automatisierte Straßenfahrzeuge aber auch mit einer intelligenten Verkehrsinfrastruktur („Smart Road Infrastructure“), also etwa mit intelligenten Ampelanlagen oder Bahnübergängen, vernetzt sein („Vehicle-to-Infrastructure“ / „V2I“ oder „Car-to-Infrastructure“ / „C2I“). Diese vielförmige Vernetzung (auch als „V2X“- oder „C2X“-Kommunikation bezeichnet, wobei das „X“ als Platzhalter für den jeweils adressierten Kommunikationspartner dient) wird im Ergebnis zu einem umfassenden automatisierten Straßenverkehr („Smart Road Traffic“) führen. Hierbei können intelligente Ampelanlagen etwa den derzeitigen Ampelstatus an die vernetzten Kraftfahrzeuge übermitteln, sodass künftig auf die (fehleranfällige) optisch-visuelle Ampelerkennung mittels in das Fahrzeug integrierter Kameras weitestgehend verzichtet werden kann. Werden Hindernisse oder andere Gefahrenquellen erkannt, können die hierzu relevanten Informationen an andere vernetzte Fahrzeuge in der Umgebung übermittelt und diese somit vor der Gefahrenquelle gewarnt werden. Bei Unfällen oder Notsituationen können automatisiert Rettungskräfte sowie die Polizei benachrichtigt werden. Werden von dem Fahrzeug Fehler in der Fahrzeugsoftware oder -elektro-
54
Vgl. Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 13. Vgl. Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 12 Abbildung 1. 56 https://www.drive-now.com/de. 57 Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 13 und 29. 58 Wobei es abhängig von der Distanz zwischen beiden Fahrzeugen ist, ob diese direkt miteinander kommunizieren (V2V) oder indirekt über das Internet (V2N). Vgl. hierzu die Präsentation von Qualcomm, Leading the world to 5G: Cellular Vehicle-to-Everything(C-V2X) technologies, Folie 15. 55
Kap. 1: Entwicklung der Automatisierung und Vernetzung
41
nik erkannt, reagiert dieses auf eine Umgebungssituation falsch oder gerät dieses in eine unbekannte Situation, kann automatisiert der Fahrzeughersteller benachrichtigt werden, der daraufhin unverzüglich entsprechende Sicherheitsupdates herausgeben kann, die wiederum ohne Werkstattbesuch auf das Fahrzeug aufgespielt werden können.59 Deutlich wird mit dieser kurzen Aufzählung jedenfalls, dass den Anwendungsmöglichkeiten technisch gesehen kaum Grenzen gesetzt sind. Als Drahtlosnetzwerktechnologie kommt hierfür Funk, WLAN, Satellitenkommunikation oder aber Mobilfunk in Betracht, wobei aufgrund der bereits größtenteils vorhandenen Netzabdeckung des derzeitigen LTE-Standards in Deutschland und der bereits hohen hiermit erreichbaren Bandbreite eine Realisierung per Mobilfunk zu bevorzugen sein wird.60 Hierzu wurde im Sommer 2017 bereits der LTEV2V-Standard verabschiedet,61 der künftig eine Kommunikation zwischen zwei mit LTE-V2V kompatiblen automatisierten Fahrzeugen ermöglichen soll. Zukünftig62 wird das derzeitige LTE-Netz durch ein flächendeckendes 5G-Netz ersetzt werden, das eine noch schnellere Kommunikation zulässt, was insbesondere für das vollautomatisierte und das autonome Fahren erforderlich ist.63 Die Relevanz und Aktualität solch intelligenter und vernetzter Verkehrssysteme haben auch der europäische und deutsche Gesetzgeber erkannt und mit der Europäischen Richtlinie zum Rahmen für die Einführung intelligenter Verkehrssysteme im Straßenverkehr und für deren Schnittstellen zu anderen Verkehrsträgern (RL 2010/40/EU)64 sowie mit dem die Richtlinie umsetzenden Gesetz über Intelligente Verkehrssysteme im Straßenverkehr und deren Schnittstellen zu anderen Verkehrsträgern (Intelligente Verkehrssysteme Gesetz – IVSG)65 einen diesbezüglichen Rechtsrahmen geschaffen. Ziel des IVSG und der zugrundliegenden EU-Richtlinie ist die Einführung europaweit einheitlicher intelligenter Verkehrssysteme unter Zugrundelegung von Standards und Spezifikationen und damit generell die Schaffung einer interoperablen intelligenten Verkehrsinfrastruktur.
59
Hierzu auch Gomille, JZ 2016, 76, 80. Siehe 3. Teil, Kapitel 3, B., II. Zu den Vor- und Nachteilen der verschiedenen Drahtlostechnologien vgl. Gajek, Golem-Beitrag v. 19.12.2016, Vernetztes Fahren – Da funkt sich was zusammen. 61 Hierzu Gajek, Golem-Beitrag v. 19.12.2016, Vernetztes Fahren – Da funkt sich was zusammen. 62 Erste kommerzielle 5G-Lösungen mit maximalen Datenraten von bis zu 10 GBit / s sollen ab dem Jahr 2020 verfügbar sein, vgl. vbw, vbw Position Automatisiertes Fahren – Infrastruktur, S. 5. 63 Vgl. vbw, vbw Position Automatisiertes Fahren – Infrastruktur, S. 4. 64 Richtlinie v. 07.07.2010, ABl. 2010 L 207, 1. 65 Gesetz v. 11.06.2013, BGBl. 2013 I, 1553. 60
42
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
D. Automatisierung und Vernetzung des unbemannten Luftverkehrs Auch die Smartifizierung des Luftverkehrs („Smart Air Traffic“) besteht aus den zwei Komponenten der Automatisierung der einzelnen UAS und der Vernetzung und Integration dieser in den Luftraum („Smart Air Space“). I. Automatisierung von UAS Bestrebungen zur Automatisierung von Luftfahrzeugen bestanden selbstverständlich bereits im Rahmen der bemannten Luftfahrt, seitdem durch Hermann Anschütz-Kaempfe (1904) und Elmer Sperry (1908) der sog. „Kreiselkompasses“ erfunden wurde.66 Bereits 1914 kam dieser Vorfahre des heutigen elektronischen Autopiloten in Form eines mechanischen, gyroskopischen Autopiloten in einem bemannten Luftfahrzeug in Frankreich zum Einsatz.67 Im Rahmen von UAS erlebt die Automatisierung nun aber einen unerwartet starken Vorwärtsschub, der alle bislang in der bemannten Luftfahrt etablierten Automatisierungsstufen innerhalb kürzester Zeit überholt hat. Denn auch wenn moderne bemannte Verkehrsflugzeuge bereits heute problemlos ihren Steuerkurs („Heading“), ihre Flughöhe („Altitude“) oder Steigrate („Vertical Speed“) sowie ihre Fluggeschwindigkeit („Airspeed“) automatisiert regulieren können und mittels des Instrumentenlandesystems („ILS“) auch automatisierte Landevorgänge, etwa bei schlechtem Wetter, möglich sind,68 so ist die Anwendung dieser Autopiloten in der bemannten Luftfahrt doch noch auf diese spezifischen Szenarien beschränkt.69 Auch moderne Verkehrsflugzeuge sind daher bislang nicht imstande, automatisch zu starten oder Hindernissen wie anderen Luftfahrzeugen automatisiert auszuweichen.70 Ein autonomer und damit pilotenloser Flug ist insofern bislang nicht möglich. Dagegen verfügen beinahe alle auch für Privatpersonen auf dem Markt befind lichen UAS über eine hochsensible Sensorik sowie über Positionsbestimmungssysteme. Moderne UAS sind daher auch heute bereits imstande, mehr oder weniger automatisiert selbstständig Flugmanöver durchzuführen. Zur Standardausstattung handelsüblicher moderner UAS gehören etwa ein elektronischer Kompass zur Ermittlung der derzeitigen Fluglage hinsichtlich der Hochachse („Yaw“) sowie ein 66
Vgl. Reed, Der Autopilot – eine kurze Einführung, S. 8. Vgl. für eine umfassende geschichtliche Erörterung Schuivens, Die historische Entwicklung der Cockpit-Instrumentierungen von Verkehrsflugzeugen. 67 Vgl. Reed, Der Autopilot – eine kurze Einführung, S. 8; Schuivens, Die historische Entwicklung der Cockpit-Instrumentierungen von Verkehrsflugzeugen, S. 71 f. 68 Vgl. Reed, Der Autopilot – eine kurze Einführung, S. 5. 69 Braun, airliners.de-Beitrag v. 03.11.2015, Kann ein Flugzeug automatisch landen?; Braun, airliners.de-Beitrag v. 06.04.2017, Was kann eigentlich der Autopilot? 70 Braun, airliners.de-Beitrag v. 06.04.2017, Was kann eigentlich der Autopilot?
Kap. 1: Entwicklung der Automatisierung und Vernetzung
43
elektronisches Gyroskop zur Ermittlung der Fluglage hinsichtlich Längs- („Roll“) und Querachse („Pitch“).71 Zur Bestimmung der Position kommt zudem meist ein GPS-Modul, zur Bestimmung der Flughöhe ein elektronisches Barometer und zur Erfassung der Fluggeschwindigkeit ein Beschleunigungssensor zum Einsatz. Einige neuere Modelle verfügen weiterhin auch über optische Positionsbestimmungssysteme, die die Position und Fluglage des Luftfahrzeugs auch mittels Kameras anhand von Umgebungsdetails bestimmen können. Alleine durch diese elementaren Avioniksysteme sind moderne UAS bereits heute selbstständig in der Lage, einen stabilen Schwebezustand oder einen kontrollierten Richtungsflug bzw. ein kontrolliertes Auf- oder Absteigen durchzuführen. Zudem können die meisten handelsüblichen UAS aufgrund der verbauten Sensorik auch einen Zielpunkt („Waypoint“) bereits automatisiert anfliegen oder eine Zielperson automatisiert verfolgen („Follow Me“).72 Neben dieser Standardausstattung verfügen moderne UAS, insbesondere im professionellen Bereich, meist aber auch über zusätzliche Sensorik und weitere optisch-elektronische Einrichtungen, die auch erweiterte automatisierte Flugmanöver erlauben. Dies betrifft etwa sog. „Sense-and-Avoid-Systeme“ zur Hinderniserkennung und -vermeidung. Hält man sich vor Augen, dass ein Luftfahrzeug stets nur ein Lufttransportsystem für eine beliebige Nutzlast darstellt,73 wird deutlich, dass dieses mit beliebiger Sensorik bestückt und daher für beinahe jeglichen Einsatzzweck ausgerüstet werden kann.74 Zusammenfassend sind heute verfügbare UAS bereits imstande, bestimmte Aufgaben automatisiert auszuführen. Während sich die Automatisierung auch hierbei bislang noch auf vereinzelte Flugszenarien, etwa außerhalb von Städten, also in Situationen mit nur unkomplizierten Umgebungsfaktoren, beschränkt, befinden sich hochpräzise Hinderniserkennungs- und Kollisionsvermeidungssysteme sowie intelligente Ausweichalgorithmen derzeit bereits in der Entwicklung. Diese werden einen automatisierten Flug in naher Zukunft auch bei komplizierteren Umgebungsfaktoren und damit etwa auch innerstädtisch ermöglichen.
71 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 10 f. 72 Vgl. Westphal, drohnen.de-Beitrag v. 05.08.2015, Waypoints, Follow Me, POI (Point of Interest) und IOC: Neue Sonderfunktionen für DJI Inspire 1 und DJI Phantom 3; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 11. 73 Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 162. 74 Siehe 3. Teil, Kapitel 2, B., I., 2.
44
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
II. Vernetzung und Integration in den Luftraum Auch automatisierte UAS werden vielfach mit ihrer Umwelt vernetzt sein. So etwa mit der Steuerungseinheit am Boden, die Aufträge oder Befehle übermittelt, oder mit anderen bemannten oder unbemannten Luftfahrzeugen. Wie auch im Rahmen der Vernetzung des automatisierten Straßenverkehrs kommt als Drahtlosnetzwerktechnologie hierfür insbesondere Mobilfunk in Betracht.75 Obgleich heutige Mobilfunk-Sendestationen auf die horizontale Ebene ausgerichtet sind, also den Luftraum nicht bewusst abdecken, dürfte der Empfang von mobilen Daten für die in wenigen hundert Metern operierenden UAS unproblematisch sein. Während im automatisierten Straßenverkehr eine unmittelbare Kommunikation („V2I“) zu den Verkehrssystemen (etwa Ampeln oder Straßenschilder) vielfach in Betracht kommt, existieren im Luftraum naturgemäß keine physischen Verkehrssysteme, die mit dem UAS vernetzt werden könnten. Eine V2I-Kommunikation scheidet bei der Integration automatisierter UAS insofern bereits aus. Zwar könnten die Funktionen von regulatorischen Verkehrssystemen im Luftraum durch andere Kontrollinstanzen am Boden wahrgenommen werden (etwa durch die Deutsche Flugsicherung oder den Tower eines Flughafens). Aufgrund der Distanz zu diesen Kontrollorganen käme hierbei jedoch nur eine mittelbare Kommunikation mittels V2N in Betracht.76 Dagegen kann eine direkte V2V-Kommunikation zwischen (unbemannten) Luftfahrzeugen sinnvoll eingesetzt werden,77 wenn dies etwa zur Entwicklung bilateraler Sense-and-Avoid-Systeme genutzt wird. Nähern sich bspw. zwei Luftfahrzeuge, könnten diese untereinander ihre Routen oder Ausweichmanöver aufeinander abgleichen und so Kollisionen vermeiden. Als höchste Form der Vernetzung von UAS sind schließlich sog. „Drohnenschwärme“78 zu nennen, die einen Verbund aus einer Vielzahl automatisierter UAS darstellen, welche allesamt miteinander kommunizieren und so eine Aufgabe gemeinsam erledigen können. Die denkbaren Einsatzszenarien solcher Drohnenschwärme sind äußerst vielfältig und reichen etwa von der Überwachung großräu-
75 Zu den Vor- und Nachteilen der verschiedenen Drahtlostechnologien vgl. Gajek, Golem-Beitrag v. 19.12.2016, Vernetztes Fahren – Da funkt sich was zusammen. 76 Die Anbindung eines unbemannten Luftfahrzeugs an etwaige Kontrollinstanzen am Boden ist daher zwar denkbar. Eine Verbindung zu dem unbemannten Luftfahrzeug würde aber nicht direkt zwischen den Akteuren mittels eines mobilen Ad-Hoc-Netzwerks (V2V), sondern mittelbar über das Internet (V2N) hergestellt werden. 77 Ist die Entfernung zwischen den Luftfahrzeugen dagegen zu groß, würde auch hierbei auf eine mittelbare V2N-Kommunikation zurückgegriffen werden. 78 Solche wurden etwa vom U. S. Department of Defense (Pentagon) bereits erfolgreich getestet, vgl. U. S. Department of Defense, Department of Defense Announces Successful MicroDrone Demonstration.
Kap. 2: Klassifizierung der Automatisierung
45
miger Industrieanlagen über die Brandprävention bei großen Waldgebieten über die gezielte und intelligente Personenfahndung in Ballungsgebieten. Kapitel 2
Klassifizierung der Automatisierung an den Beispielen Straßenverkehr und unbemannter Luftverkehr Wurde bereits angesprochen, dass verschiedene Stufen der Automatisierung existieren, so blieb bislang doch unerwähnt, welche Grade hierbei im Konkreten unterschieden werden. Diese Klassifizierung ist für den weiteren Fortgang dieser Arbeit aber evident, da die noch zu diskutierenden technischen und rechtlichen Probleme der Automatisierung nur oder besonders bei Systemen ab einem bestimmten Automatisierungsgrad, nämlich bei solchen, die eine menschliche Steuerperson generell oder in spezifischen Anwendungsszenarien außer Erscheinung treten lassen, relevant werden. Was unter dem Begriff der Automatisierung zu verstehen ist, hat auch die Vergabekammer Baden-Württemberg bereits beschäftigt, die darüber zu entscheiden hatte, ob das von der Antragstellerin angebotene Fahrradverleihsystem als automatisiert anzusehen war und demnach die ausgeschriebenen Vergabevoraussetzungen erfüllte.79 Der Begriff der Automatisierung, so die Vergabekammer, sei bislang nicht legal definiert, es handle sich dabei also nicht um einen bestimmten Rechtsbegriff, dem Rechtsprechung und Literatur einen abgrenzbaren Inhalt zuordnen würden. Vielmehr sei der Begriff sehr abstrakt und daher wenig anschaulich. Gleichwohl begegne man aber auch heute im Alltag bereits einer „unüberschaubaren Vielzahl an Automatisierungen“, die jeden Lebensbereich durchdringen: „[D]as beginnt im Alltag bei der Kaffeemaschine am Morgen und dem Funkwecker am Abend“, so die Vergabekammer.80 Eine Abgrenzung automatisierter von nicht-automatisierten Vorgängen sei nach der Vergabekammer dabei stets danach vorzunehmen, ob der Vorgang selbsttätig, also ohne weiteres menschliches Zutun ablaufe, wobei der unmittelbare Impuls hierzu durchaus von einem Menschen ausgehen könne. Selbstfahrende Pkw außer Betracht gelassen sei auch das Autofahren laut der Vergabekammer bislang noch als nicht-automatisiert anzusehen, „weil der Mensch unmittelbar steuert, er fährt Auto“.81
79
VK Baden-Württemberg, Beschl. v. 16.08.2017 – 1 VK 24/17, ZfBR 2018, 102. VK Baden-Württemberg, Beschl. v. 16.08.2017 – 1 VK 24/17, ZfBR 2018, 102. 81 VK Baden-Württemberg, Beschl. v. 16.08.2017 – 1 VK 24/17, ZfBR 2018, 102. 80
46
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
A. Klassifizierung der Automatisierung des Straßenverkehrs Richtig erkannt hat die Vergabekammer Baden-Württemberg dabei zunächst, dass die Automatisierung tatsächlich auch heute bereits jeden unserer Lebensbereiche durchdringt und diese daher eine hohe Tragweite für unseren Alltag hat. Auch ist die Abgrenzung zwischen automatisierten und nicht-automatisierten Systemen richtigerweise anhand deren Selbsttätigkeit vorzunehmen. Nicht zuzustimmen ist der Vergabekammer gleichwohl in dem Aspekt, dass, unter Ausnahme tatsächlich selbstfahrender Pkw, das klassische Autofahren heute noch als nicht-automatisiert einzuordnen sei. Denn richtigerweise stellt der Begriff der Automatisierung vielmehr einen Oberbegriff für verschiedene Stufen der Automatisierung dar, die sich ihrerseits nur auf bestimmte Fahrzeugkomponenten oder aber auf das gesamte Fahrzeug beziehen können. Hinsichtlich dieser Abstufung der Automatisierung im Straßenverkehr veröffentlichte die Bundesanstalt für Straßenwesen (BASt) im Jahr 2012 eine Benennung und Klassifizierung automatisierter Fahrfunktionen, die in dieser Form auch von dem Runden Tisch Automatisiertes Fahren des BMVI beschlossen wurde.82 Diese Benennung und Klassifizierung besteht aus insgesamt 5 Automatisierungsstufen („Driver Only“ (Stufe 0), „Assistenz“ (Stufe 1), „Teilautomatisierung“ (Stufe 2), „Hochautomatisierung“ (Stufe 3) und „Vollautomatisierung“ (Stufe 4)),83 wobei die Stufe 0 lediglich eine Vorstufe zur Automatisierung darstellt, der Fahrer hierbei also jegliche Steuerung noch selbst innehat. Die Stufe 0 betrifft daher lediglich Warnsysteme wie etwa den Spurverlassenswarner oder die Totwinkelüber wachung,84 die den Fahrer lediglich auf spezifische Situationen hinweisen, aber noch keine eigenständige Steuerungsfunktion übernehmen.85 I. Assistenz Bei der Stufe 1 (Assistenz) muss der Fahrer zwar ebenfalls noch dauerhaft entweder die Quer- (links / rechts) oder die Längsbewegung (vorwärts / rückwärts) ausführen, die jeweils andere Bewegungsrichtung wird aber bereits von dem automatisierten System übernommen. Beispiele für ein solches Assistenzsystem stellen etwa der einfache Tempomat oder aber die adaptive Abstands- und Geschwindigkeitsregelung (Übernahme der Längsbewegung) sowie der Parklenkassistent oder
82 BASt, Berichte der BASt, Heft F83 2012; BMVI, Runder Tisch automatisiertes Fahren – Bericht zum Forschungsbedarf, S. 116; Kleen, Beherrschbarkeit von teilautomatisierten Eingriffen in die Fahrzeugführung, S. 15 ff. 83 BASt, Berichte der BASt, Heft F83 2012; BMVI, Runder Tisch automatisiertes Fahren – Bericht zum Forschungsbedarf, S. 116; VDA, Automatisierung, S. 15. 84 Vgl. VDA, Automatisierung, S. 15. 85 Schmid / Wessels, NZV 2017, 357, 358.
Kap. 2: Klassifizierung der Automatisierung
47
der Spurhalteassistent (Übernahme der Querbewegung) dar.86 Auch das ABS, das ESP, die Antriebsschlupfregelung oder der Bremsassistent sind Assistenzsysteme auf der Stufe 1. II. Teilautomatisierung Dem Assistenzsystem folgt das teilautomatisierte System auf Stufe 2, bei dem das Fahrzeug sowohl die Steuerung über die Quer- als auch über die Längsführung übernimmt, also bereits imstande ist, sowohl Gas zu geben und zu bremsen als auch zu lenken. Gleichwohl hat der Fahrer das System weiterhin dauerhaft zu überwachen und notfalls unverzüglich einzugreifen.87 Im Rahmen des teilautomatisierten Systems darf der Fahrer sich also nicht anderweitig beschäftigen. Weiterhin ist der Einsatz der Teilautomatisierung stets auf spezifische Anwendungsfälle (bspw. Einparken oder Fahrt im Stau auf der Autobahn) beschränkt. Beispiele für solche teilautomatisierten Systeme sind daher etwa der Parkmanöverassistent oder der Stauassistent.88 III. Hochautomatisierung Eine Übernahme sowohl der Quer- als auch der Längsachse durch das automatisierte System findet zwar auch bei dem hochautomatisierten System auf Stufe 3 statt und auch hierbei ist der Einsatz der Automatisierung noch auf spezifische Einsatzzwecke (bspw. Fahrt im Stau auf der Autobahn) begrenzt. Anders als bei Stufe 2 erkennt das System hier aber frühzeitig, wenn die technischen Grenzen des Systems erreicht werden und der sonst nicht überwachungspflichtige Fahrer zur Übernahme der Fahrzeugsteuerung mit zeitlichem Vorlauf aufgefordert werden muss.89 Als solche technischen Grenzen gelten im Rahmen der Hochautomatisierung dabei entweder das Ende eines spezifischen Anwendungsszenarios (etwa Auflösung des Staus oder Abfahrt von der Autobahn) oder aber sonstige unerwartete Ereignisse (bspw. Sperrung einer Fahrbahn). Gerade im Hinblick auf letztere Einschränkung wird dabei deutlich, dass das hochautomatisierte System auch innerhalb eines spezifischen Anwendungsszenarios noch nicht in der Lage ist, alle Umgebungssituationen hinreichend zu bewältigen. Ein Anwendungsbeispiel für eine Automatisierung auf Stufe 3 ist etwa das Staufolgefahren / Fahren im Stau.90
86 Vgl. VDA, Automatisierung, S. 15; Lange, NZV 2017, 345, 346; Singler, NZV 2017, 353, 353; Schmid / Wessels, NZV 2017, 357, 358. 87 Vgl. etwa Jänich / Schrader / Reck, NZV 2015, 313, 314; Balke, SVR 2018, 5, 5. 88 Vgl. VDA, Automatisierung, S. 15; Lange, NZV 2017, 345, 346; Singler, NZV 2017, 353, 353; Schmid / Wessels, NZV 2017, 357, 358. 89 Vgl. Jänich / Schrader / Reck, NZV 2015, 313, 314; Balke, SVR 2018, 5, 5. 90 Vgl. VDA, Automatisierung, S. 15.
48
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
IV. Vollautomatisierung Das vollautomatisierte Fahren auf Stufe 4 hebt dagegen auch diese Beschränkung auf und erlaubt damit die vollständige Steuerungsübernahme durch die Fahrzeugautomatisierung innerhalb eines spezifischen Anwendungsszenarios.91 Das vollautomatisierte System ist insofern in der Lage, im spezifischen Anwendungsfall alle Situationen selbst zu bewältigen.92 Eine Steuerungsübernahme durch den Fahrzeugführer wird hier erst dann notwendig, wenn das Ende des spezifischen Anwendungsfalls erreicht wird. Übernimmt der Fahrzeugführer die Steuerung nicht, kann das vollautomatisierte Fahrzeug automatisiert in einen risikominimalen Zustand übergehen und etwa verkehrssicher anhalten.93 Beispiele einer Vollautomatisierung sind das Fahren in der Stadt oder aber das Valet Parking.94 V. Autonomie Mit der Vollautomatisierung auf Stufe 4 endet die Benennung und Klassifizierung der automatisierten Fahrfunktionen durch das BASt.95 Gerade die Stufe des fahrerlosen, also autonomen Fahrens,96 also diejenige 5. Stufe, die in der Presse gerne als Auftakttechnologie für den Aufbruch in eine automatisierte Zukunft herangezogen wird (dann auch gerne etwa als „Roboterauto“97 bezeichnet),98 wurde hierbei noch nicht berücksichtigt und auch in dem am 21.06.2017 verkündeten Achten Gesetz zur Änderung des Straßenverkehrsgesetzes99 zur Regelung automatisierter Fahrfunktionen blieb die Stufe des autonomen Fahrens weitestgehend100 unberücksichtigt.101 Während letzteres mangels ausreichender technischer Reife dieser Automatisierungsstufe nicht nur nachvollziehbar, sondern derzeit sogar noch begrüßenswert ist,102 sollten im Rahmen der Automatisierungslehren auch heute schon alle für die Zukunft denkbaren Automatisierungsstufen berücksichtigt 91
Balke, SVR 2018, 5, 5. Vgl. VDA, Automatisierung, S. 15; Lange, NZV 2017, 345, 346; Schmid / Wessels, NZV 2017, 357, 358. 93 Singler, NZV 2017, 353, 354. 94 Vgl. VDA, Automatisierung, S. 15. 95 So auch Balke, SVR 2018, 5, 6. 96 Vgl. Lange, NZV 2017, 345, 346; Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 5. A. A. aber wohl Singler, NZV 2017, 353, 353, der die Autonomie nicht als konkrete Automatisierungsstufe, sondern vielmehr als Überbegriff für jede Form von Automatisierung verwendet und somit mit dem Begriff der Automatisierung gleichsetzt; die Stufe des fahrerlosen Fahrens bezeichnet Singler dann als vollautonomes Fahren, vgl. Singler, NZV 2017, 353, 354. 97 Vgl. Lipiec, Geolino-Beitrag, Roboterauto. 98 Schmid / Wessels, NZV 2017, 357, 358. 99 Gesetz v. 16.06.2017, BGBl. 2017 I, 1648. 100 Mit Ausnahme der Bestimmungen zu fahrerlosen Parksystemen in § 6 Abs. 1 Nr. 14a StVG. 101 Schmid / Wessels, NZV 2017, 357, 358. 102 Schmid / Wessels, NZV 2017, 357, 358. 92
Kap. 2: Klassifizierung der Automatisierung
49
werden. Diesem Defizit wurde mittlerweile durch ergänzende nationale und internationale Stufendefinitionen abgeholfen. So sieht etwa der Verband der deutschen Automobilindustrie (VDA) in seinen Automatisierungsgraden des automatisierten Fahrens das fahrerlose Fahren auf Stufe 5 vor, bei dem das System die Fahraufgabe „vollumfänglich bei allen Straßentypen, Geschwindigkeitsbereichen und Umfeldbedingungen“ übernimmt.103 Und auch die Society of Automotive Engineers (SAE) sieht in ihrem Standard J3016 eine solche fünfte Stufe vor, benennt diese aber als „Full Automation“, was jedoch in Konflikt zu der in Deutschland bereits auf Stufe 4 vorhandenen „Vollautomatisierung“ steht. Inhaltlich entspricht diese Stufe des SAE-Standards aber dem autonomen oder fahrerlosen Fahren des VDA-Standards. VI. Souveränität Von den dargestellten Automatisierungslehren noch vollständig unbeachtet geblieben ist, dass mit der hier vertretenen Auffassung auch mit dem fahrerlosen oder autonomen Fahren auf Stufe 5 noch nicht die letzte Automatisierungsstufe erreicht ist. Vielmehr sollten die existenten Abstufungslehren noch um eine weitere Stufe 6 ergänzt werden, die auch als Souveränität bezeichnet werden könnte. Ein souveränes System ist hiernach in der Lage, jegliche Funktionen selbst zu übernehmen und sich dabei aber auch Befehlen und Nutzereingaben zu widersetzen. Bspw. könnte in einem automatisierten Fahrzeug eine Funktion eingebaut werden, die unbeabsichtigte Lenkbewegungen (etwa nach dem schreckhaften Aufwachen aus einem Sekundenschlaf) ignoriert. Solche souveränen Systeme sind jedoch aus Gründen der Technikethik und der IT-Sicherheit äußerst bedenklich und können sowohl zu einer Einschränkung der menschlichen Autonomie104 als auch zu erheblichen IT-Sicherheitsgefährdungen (etwa durch unkontrollierbare Systeme) führen.105 Souveräne Systeme oder aber automatisierte Systeme mit souveränen Teilkomponenten dürfen mit der hier vertretenen Auffassung daher nur äußerst restriktiv, nur unter Durchführung einer besonders strengen Technikfolgenabschätzung und nur zur Abwendung konkreter Gefahren für überragend wichtige Rechte und Rechts güter entwickelt und eingesetzt werden. Technisch gesehen sind solche Systeme aber unbestreitbar möglich und demnach in die bestehenden Automatisierungs lehren aufzunehmen, auch wenn dies nur der Besinnung und der Warnung vor einer dementsprechenden Technologie dient.
103
VDA, Automatisierung, S. 15. Vgl. BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 20. 105 Siehe 3. Teil, Kapitel 2, B., III., 1., d). 104
50
2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
B. Entwicklung einer Klassifizierungslehre für den unbemannten Luftverkehr Im Kontext automatisierter UAS ist die Existenz einer solchen Klassifizierungslehre derzeit noch nicht ersichtlich. Gleichwohl ist die präzise Einordnung der verschiedenen Stufen der Automatisierung für den weiteren Fortgang dieser Arbeit aber evident. Aufgrund dessen soll im Folgenden der Versuch unternommen werden, die bereits dargestellte Automatisierungslehre für automatisierte Straßenfahrzeuge auf automatisierte UAS zu übertragen. Bejaht werden kann dabei bereits eine Übertragbarkeit der Stufe 0 (Pilot Only), wenn es sich um ein vollständig ferngesteuertes Luftfahrzeug handelt. Ähnlich wie bei Straßenfahrzeugen, die heute zumindest Assistenzsysteme wie etwa ein ABS oder ein ESP beinhalten, existieren heute aber quasi keine UAS mehr, deren Steuerung nicht durch ein Assistenzsystem optimiert oder vereinfacht wird. Technisch ist ein piloted only-System aber jedenfalls auch bei UAS möglich. Etwas schwieriger zu beantworten ist dagegen, wann bei UAS von einem Assistenzsystem auf Stufe 1 gesprochen werden kann. Merkmal der Assistenz bei Straßenfahrzeugen ist, dass der Fahrer entweder die Längs- oder die Querachse und das Fahrzeug die jeweils andere Achse übernimmt. Bei UAS existiert neben der Längs- und Querachse aber eine zusätzliche Hochachse. Fraglich ist daher, ob man für das Vorliegen von Assistenz bei UAS nun darauf abstellt, dass das System zumindest eine Achse automatisiert steuern kann, oder ob das System hierfür nicht vielmehr alle bis auf eine Achse übernehmen muss. Mit der hier vertretenen Auffassung ist der ersten Alternative zu folgen, da mit dem Begriff zum Ausdruck gebracht werden soll, dass das System zwar assistiert, aber nicht automatisiert operieren kann. Hierfür ist letztendlich aber irrelevant, ob das System eine oder zwei Achsen automatisiert steuert. Als Anwendungsbeispiele solcher Assistenzsysteme bei UAS können die diversen Fluglagekorrekturmechanismen dieser Systeme angeführt werden, die etwa ein Abdriften des Luftfahrzeugs aufgrund von Wind und Wetter vermeiden oder aber eine stabile Fluglage sicherstellen sollen. Auf Stufe 2 (Teilautomatisierung) übernimmt das UAS dann die Steuerung über alle drei Achsen (Quer-, Längs und Hochachse), die Steuerperson muss das System aber weiterhin dauerhaft überwachen und ggf. unverzüglich eingreifen. Neben der Fluglagekorrektur auf allen Achsen kann auch das automatisierte Anfliegen von Waypoints, das automatisierte kreisförmige Umfliegen eines „Point of Interest“ oder die „Follow Me“-Funktion als Anwendungsbeispiel einer solchen Teilautomatisierung angeführt werden, solange diese Systeme nicht durch Kombination mit anderen technischen Maßnahmen eine dauerhafte Überwachung durch die Steuerperson zukünftig obsolet machen. Durch eine ebensolche Kombination dieser teilweise bereits auf der Stufe 2 verfügbaren automatisierten Flugmanöver mit fortschrittlichen Hinderniserkennungsmechanismen kann dann auch bei UAS auf Stufe 3 eine Hochautomatisierung er-
Kap. 2: Klassifizierung der Automatisierung
51
reicht werden, wenn das System bei Hindernissen automatisiert gestoppt und in einen risikominimalen Schwebezustand geführt werden kann, die Steuerperson über den Vorfall automatisiert informiert wird und diese sodann die Kontrolle über das Luftfahrzeug übernehmen kann. Wird das UAS dagegen nicht nur mit Hinderniserkennungs-, sondern auch mit entsprechenden Hindernisvermeidungsmechanismen ausgestattet, verfügt dieses also auch über die Fähigkeit, erkannte Hindernisse automatisiert zu umfliegen, ist letztendlich auch eine Vollautomatisierung auf Stufe 4 problemlos denkbar. Ein solches Kollisionsvermeidungssystem muss neben statischen Hindernissen (bspw. Bäume oder Gebäude) auch andere (Luft)verkehrsteilnehmer sowie Passanten und Tiere sicher erkennen und bei der Auswahl einer geeigneten Ausweichroute auch alternative Gefährdungen (alternative Kollisionen) berücksichtigen können. Solche Systeme sind längst keine Zukunftsvision mehr. Vielmehr stehen erste vollautomatisierte UAS auch für den Privatgebrauch bereits zur Verfügung.106 Gleichwohl ist der sichere Einsatz dieser Systeme derzeit noch auf spezifische Anwendungsszenarien (etwa auf offenem Feld) beschränkt. Zwar wäre im Rahmen der Stufe 5 eine begriffliche Übertragung („fahrerlos“) verfehlt, insofern hier ohnehin nur unbemannte Luftfahrzeuge erörtert werden. Im Übrigen kann diese, daher besser als Autonomie zu bezeichnende Stufe, aber unproblematisch auch auf automatisierte UAS übertragen werden. Die Stufe der Autonomie ist hiernach dann erreicht, wenn durch eine stetige technische Weiterentwicklung oben genannte Beschränkung auf spezifische Anwendungsszenarien zukünftig entfallen und das Luftfahrzeug dann auch in komplizierteren Umgebungssituationen (etwa innerstädtisch oder in der Nähe von Flughäfen) ohne menschliche Steuerperson automatisiert operieren kann. Letztendlich ist auch die im Rahmen der automatisierten Straßenfahrzeuge hier vorgeschlagene Souveränität als Stufe 6 der Automatisierung auf UAS übertragbar, wenn diese technisch befähigt werden, sich Befehlen und Nutzereingaben der Steuerperson zu widersetzen. Zwar sind auch hier einige begrüßenswerte Anwendungsszenarien vorstellbar, etwa wenn das UAS hierdurch unbewusst oder bewusst herbeigeführte Abstürze und Kollisionen verhindern kann. Aufgrund der oben bereits ausgeführten technikethischen und sicherheitstechnischen Herausforderungen ist eine souveräne Technikgestaltung aber nur äußerst restriktiv, nur nach Vornahme einer besonders strengen Technikfolgenabschätzung und nur zur Abwendung von Gefahren für überragend wichtige Rechte und Rechtsgüter zulässig.107 Zusammenfassend können die Automatisierungsstufen des Straßenverkehrs unproblematisch auch auf UAS Anwendung finden (siehe Abbildung 1). 106
Vgl. etwa das Modell Phantom 4 der Firma DJI, das bereits über ein „Obstacle Sensing“ System verfügt, welches Hindernisse nicht nur erkennen, sondern auf diese auch reagieren kann, DJI, Phantom 4 Specs, https://www.dji.com/phantom-4/info#specs. 107 Siehe 3. Teil, Kapitel 2, B., III., 1., d).
Stufe 1
assistiert
Der Pilot steuert das Luftfahrzeug auf einer oder zwei Achsen, das Luftfahrzeug steuert die verbleibende(n) Achse(n) selbstständig.
Drohne mit Sensorik zur Stabilisierung der Hoch-, Längsoder Querachse (Automatisierung auf maximal zwei der Achsen).
Stufe 0
heteronom
Der Pilot steuert das Luftfahrzeug in allen Achsen selbstständig.
Drohne ohne oder mit deaktivierter Sensorik. Automatisiertes Anfliegen eines Ziels auf freiem Gelände mit Hinderniserkennung.
Das Luftfahrzeug steuert alle Achsen selbstständig in einem spezifischen Anwendungsfall. Der Pilot muss das System nicht überwachen und wird zur Übernahme der Steuerung aufgefordert, wenn ein Hindernis oder eine drohende Kollision erkannt oder der Anwendungsfall verlassen wird. Die Übernahme muss nicht unverzüglich erfolgen.
hochautomatisiert
Stufe 3
Automatisiertes Anfliegen eines Ziels auf freiem Gelände mit Hinderniserkennung und automatisierter Hindernisvermeidung.
Das Luftfahrzeug steuert alle Achsen selbstständig in einem spezifischen Anwendungsfall. Der Pilot muss das System nicht überwachen. Das System kann Hindernisse selbstständig erkennen und umfliegen und ist im Rahmen des spezifischen Anwendungsfalls auf keinerlei Eingaben der Steuerperson angewiesen.
vollautomatisiert
Stufe 4
Abbildung 1: Automatisierungsstufenlehre für UAS
Automatisiertes Anfliegen eines Ziels ohne Hinderniserkennung.
Das Luftfahrzeug steuert alle Achsen selbstständig in einem spezifischen Anwendungsfall. Der Pilot muss das System dauerhaft überwachen und unverzüglich eingreifen.
teilautomatisiert
Stufe 2
Automatisiertes situations- und umgebungsunabhängiges Anfliegen eines Ziels mit Hinderniserkennung und automatisierter Hindernisvermeidung.
Das Luftfahrzeug steuert in jeglichem Anwendungsfall alle Achsen selbstständig. Der Pilot muss das System nicht überwachen. Das System kann Hindernisse selbstständig erkennen und in allen Szenarien selbstständig umfliegen, sodass Eingaben der Steuerperson in keinem Fall notwendig werden, aber stets möglich sind.
autonom
Stufe 5
Vermeidung von durch die Steuerperson bewusst oder unbewusst herbeigeführten Kollisionen und Abstürzen.
Eine manuelle Eingabe durch die Steuerperson ist nicht oder nicht durchgehend möglich. Das System kann sich über menschliche Entscheidungen hinwegsetzen und eigene Abläufe verfolgen.
souverän
Stufe 6
52 2. Teil: Entwicklung und Klassifizierung der Automatisierung und Vernetzung
3. Teil
Die Ambivalenz und Paradoxität der Automatisierung und Vernetzungvon CPS „Die Entwicklung der Technik ist bei der Wehrlosigkeit vor der Technik angelangt.“ Karl Kraus, 1874–1936 Österreichischer Schriftsteller
Kapitel 1
Technischer Fortschritt zwischen Technikeuphorie und Technikfrustration Zwischen Technikeuphorie und Technikfrustration
Der technische Fortschritt ist ein essentieller Bestandteil und Überlebensgrundlage des menschlichen Daseins. Laut Renn gibt es „keine Gesellschaft, selbst die sogenannten primitiven Völker in Australien oder Südamerika nicht, die keine Technologien als Instrumente zur Befriedigung ihrer physischen und psychischen Bedürfnisse entwickelt [hätten]“.1 „Die Ausstattung des Menschen als Mangelwesen“, so Renn weiter, „macht es unabdingbar, die Defizite bei den sensorischen Fähigkeiten und bei krafterfordernden Tätigkeiten durch Maschinen zu ersetzen bzw. zu überbrücken.“2 Den neuartigen und vielfältigen Chancen und Möglichkeiten jeder technologischen Neuentwicklung wohnen beinahe spiegelbildlich aber stets und seit jeher auch neuartige und vielfältige Gefahren inne. Diese können sowohl intendierter, etwa bei dem bewussten und gewollten missbräuchlichen Einsatz von Technologie, als auch inhärenter Natur sein. Inhärente Gefahren können insbesondere in Form von Unfällen, langfristigen und schleichenden Folgen für Mensch und Natur (etwa zunehmender Elektro-Smog oder Umweltverschmutzung) sowie in Form von sozialen und kulturellen Folgen (etwa gesteigerte Arbeitslosigkeit oder ethische Brüche) bestehen.3 Diese Technikambivalenz ist dabei keine Erscheinung der zunehmenden Digitalisierung und Automatisierung und noch nicht einmal beschränkt auf die technischen 1
Renn, in: Lübbe, Fortschritt der Technik, S. 88. Renn, in: Lübbe, Fortschritt der Technik, S. 88. 3 Grunwald, in: Heesen, Handbuch Medien- und Informationsethik, S. 26. 2
54
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Entwicklungen des 21. Jahrhunderts. Vielmehr war diese bspw. schon zu Zeiten der ersten industriellen Revolution4 zu beobachten, die einerseits mit einer bis dahin ungesehenen Steigerung der Produktivität und der Wirtschaftlichkeit, andererseits aber auch mit einer drastischen Verschmutzung der Natur und der Luftqualität einherging: „Dunkel und vom Kohlendampfe eingeräuchert, sieht sie einer ungeheuren Schmiede oder sonst einer Werkstatt ähnlich“5, beschreibt etwa die Schriftstellerin Johanna Schopenhauer die Stadt Manchester im Jahre 1803. Und auch der Schriftsteller Charles Dickens umschrieb die damaligen urbanen Verhältnisse mit den Worten „Schmutz, Finsternis und Elend“6. Im 20. Jahrhundert zeigte diese Janusköpfigkeit ihre Gesichter erneut. So etwa im Rahmen der Erforschung der Kernspaltung zur friedlichen Energiegewinnung, die mit Sicherheitsgefahren, Umweltfolgen oder missbräuchlichen Verwendungsmöglichkeiten einherging. Außerdem im Rahmen der neuartigen Möglichkeiten durch die Erforschung der Gentechnik oder der Pränataldiagnostik, die wiederum psychische und ethische Auswirkungen auf die Betroffenen und die Gesellschaft hat. Doch sogar außerhalb des technischen Fortschritts gibt es laut Renn „so gut wie keine menschliche Maßnahme, die unter der Voraussetzung, daß mehr als eine Person betroffen ist, nur positive oder nur negative Auswirkungen hat. Das Paradies auf Erden ist unerreichbar, da jeder Eingriff zum besseren auch Nebenwirkungen zum Schlechteren einschließt“7. Dieses paarweise Auftreten von Chancen und Gefahren neuer menschlicher Entwicklungen schlägt sich dabei auch im gesellschaftlichen Diskurs und in der Technologiehaltung der Bevölkerung nieder. Denn während der Einsatz von Technologien in den 1960er Jahren noch als Wunderheilmittel für alle Weltprobleme8 angesehen und in naiver Weise erwartet wurde, dass hierdurch bis zu den 1980er Jahren das Welthungerleiden oder Krankheiten wie Krebs vollständig geheilt werden würden, ist seit den 1970er Jahren und den damals veröffentlichten Publikationen des Club of Rome eine differenziertere Technikhaltung zu beobachten.9 Ab den 1980er Jahren war die Mehrheit der Bundesbevölkerung zwar weiterhin der Auffassung, dass „die Lösung künftiger gesellschaftlicher und umweltbezogener
4 Siehe 2. Teil, Kapitel 1, B. Zu der Technikambivalenz des Einsatzes von Robotern in Arbeitsumgebungen dagegen auch May, Robotik und Arbeitsschutzrecht, in: Hilgendorf, Robotik im Kontext von Recht und Moral, S. 117. 5 Schopenhauer, Reise durch England und Schottland, S. 51; Paeger, Die Folgen der Industriellen Revolution, http://www.oekosystem-erde.de/html/folgen_industrielle_revolution.html. 6 Zitat entnommen von Paeger, Die Folgen der Industriellen Revolution, http://www.oeko system-erde.de/html/folgen_industrielle_revolution.html. 7 Renn, in: Lübbe, Fortschritt der Technik, S. 87. 8 Und auch der Wirtschaftsnobelpreisträger Wassily Leontief beschreibt in seinem Paradies-Paradoxon die Erwartungshaltung des technischen Fortschritts als: „Die Geschichte des technologischen Fortschritts der letzten 200 Jahre ist im Grunde die Geschichte der mensch lichen Rasse, wie sie langsam, aber sicher versucht, den Weg zum Paradies wiederzufinden.“, vgl. Jaume-Palasí / Matzat / Spielkamp / Zweig, Algorithm Watch-Beitrag, Lieber Rechte als Verbote. Eine Antwort auf Steven Hill. 9 Renn, in: Lübbe, Fortschritt der Technik, S. 78 f.
Kap. 1: Zwischen Technikeuphorie und Technikfrustration
55
Probleme den Einsatz fortgeschrittener Technologien erfordere“.10 Bereits zum damaligen Zeitpunkt waren aber über 70 % der Bundesbürger ebenfalls davon überzeugt, dass „die negativen Folgewirkungen der Technik die positiven Errungenschaften durch eben diese Technik zum Teil überdecken“ würden.11 Diese zunehmend kritische Technikhaltung wurde im weiteren Verlauf der Geschichte durch zahlreiche technikbedingte Katastrophenfälle (etwa die Reaktorkatastrophe von Tschernobyl) weiter verstärkt.12 Und auch heute wird das öffentliche Meinungsbild zu den Chancen und Gefahren neuer Technologien durch die beinahe täglich eintretenden technischen Pannen oder Katastrophen (etwa Flugzeugabstürze, Chemieunfälle, Zwischenfälle in kerntechnischen Anlagen, Unfälle im Straßenverkehr sowie Datenschutz- und IT-Sicherheits-GAUs) mitgeprägt. Die gesellschaftliche Bewertung neuer technologischer Erfindungen bewegt sich insofern auch heute in einem ständigen Wechsel zwischen Technikeuphorie auf der einen und Technikfrustration oder gar Technikphobie auf der anderen Seite.13 Wie neue technologische Entwicklungen diese verschiedenen Phasen der Technikeuphorie und -frustration durchleben, zeigt auch der jährliche Gartner Hype Cycle Report for Emerging Technologies, der neue technologische Entwicklungen auf deren gesellschaftliche Akzeptanz hin untersucht und darstellt, wie sich die gesellschaftliche Erwartungshaltung gegenüber neuen Technologien über einen bestimmten Zeitraum verändert und entwickelt.14 Mit wenigen Ausnahmen durchschreitet nach dem Hype Cycle Report dabei jede technologische Neuentwicklung verschiedene Euphorie- und Ernüchterungsphasen, die (in dieser zeitlichen Reihenfolge der Phasen) als „Innovation Trigger“ (Phase der Steigerung der Erwartungshaltung), „Peak of Inflated Expectations“ (Phase des Höchststandes der aufgeblasenen Erwartungen), „Trough of Disillusionment“ (Phase der Ernüchterung), „Slope of Enlightenment“ (Phase der Erkenntnis / Einsicht) und „Plateau of Productivity“ (Produktivitätsphase) bezeichnet werden.15 Dies kann auch bei UAS (in den Hype Cycle Reports als „Commercial UAVs (Drones)“ bezeichnet) beobachtet werden: Denn während sich UAS im Hype Cycle Report des Jahres 201616 noch im „Innovation Trigger“ (Phase der Steigerung der Erwartungshaltung) befanden, erlebten diese dem Hype Cycle Report des Jahres 201717 nach bereits eine deutliche Rezession und befanden sich zu diesem Zeit 10
Renn, in: Lübbe, Fortschritt der Technik, S. 78. Renn, in: Lübbe, Fortschritt der Technik, S. 78. 12 Renn, in: Lübbe, Fortschritt der Technik, S. 79 f. 13 Hierzu auch Renn, in: Lübbe, Fortschritt der Technik, S. 94. Zu diesen Begriffen bereits Glaser, in: Salewski / Stölken-Fitschen, Moderne Zeiten, S. 25 ff. 14 Gartner, Gartner Hype Cycle, http://www.gartner.com/technology/research/methodologies/ hype-cycle.jsp. 15 Gartner, Gartner Hype Cycle, http://www.gartner.com/technology/research/methodologies/ hype-cycle.jsp. Freie Übersetzung der Phasen ins Deutsche. 16 Gartner, Gartner Hype Cycle 2016, https://www.gartner.com/newsroom/id/3412017. 17 Gartner, Gartner Hype Cycle 2017, https://www.gartner.com/newsroom/id/3784363. 11
56
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
punkt am Übergang zum „Trough of Disillusionment“ (Phase der Ernüchterung). Bemerkenswert ist dabei, dass UAS, anders als etwa automatisierte Straßenfahrzeuge, demnach innerhalb nur eines Jahres den „Peak of Inflated Expectations“ (den Höchststand der aufgeblasenen Erwartungen) bereits überschritten hatten, was auch die besonders schnelllebige Entwicklung dieser Technologie aufzeigt. Abzuwarten bleibt, wann UAS letztendlich aber das „Plateau of Productivity“ (Produktivitätsphase) erreichen, also am Markt (bspw. in der Industrie, in der Landwirtschaft, im Sicherheits- und Polizeiwesen, etc.) fest etabliert sein werden. Im Rahmen automatisierter Straßenfahrzeuge (in den Hype Cycles Reports als „Autonomous Vehicles“ bezeichnet) ist auffällig, dass diese bereits im Hype Cycle Report des Jahres 201618 eine sehr hohe Erwartungshaltung ausgelöst haben, die sich auch im Hype Cycle Report 201719 nicht verringert hatte (in beiden Jahren befanden sich automatisierte Straßenfahrzeuge auf dem „Peak of Inflated Expectations“ (Phase des Höchststandes der aufgeblasenen Erwartungen)). Zahlreiche frühere Technologien wie etwa Augmented Reality, 3D-Druck oder Cloud-Computing zeigen jedoch, dass der Durchlauf der verschiedenen Phasen – und damit das paarweise Auftreten von Technikeuphorie und Technikfrustration – dem technischen Fortschritt aber inhärent ist. Schenkt man dem Hype Cycle Report glauben, so dürften demnach auch automatisierte Straßenfahrzeuge in Kürze die „Trough of Disillusionment“ (Phase der Ernüchterung) zu durchleben haben. Als Auslöser hierfür könnten mitunter auch sich häufende Unfälle mit Personenverletzungen oder Sachbeschädigungen in Betracht kommen. Kapitel 2
Ambivalenz der Automatisierung und Vernetzung am Beispiel des unbemannten Luftverkehrs Diese Technikambivalenz, also das bereits dargestellte paarweise Auftreten von Chancen und Gefahren bei neuen technischen Entwicklungen, zeigt sich in unserem 21. Jahrhundert nun erneut und besonders deutlich im Rahmen der Entwicklung und Erforschung automatisierter und vernetzter cyber-physischer Systeme, wie im Folgenden anhand von UAS exemplarisch aufgezeigt werden soll. Anders als frühere Technologien enthalten die Automatisierung und die Vernetzung, wie im weiteren Verlauf noch gezeigt werden wird, aber selbst den Schlüssel zur Reduzierung der von diesen Technologien ausgehenden Gefahren. Diesen Schlüssel gilt es jedoch zu erkennen und sinnvoll zu nutzen.
18
Gartner, Gartner Hype Cycle 2016, https://www.gartner.com/newsroom/id/3412017. Gartner, Gartner Hype Cycle 2017, https://www.gartner.com/newsroom/id/3784363.
19
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
57
A. Chancen automatisierter und vernetzter UAS Beinahe euphorisch hat der Gesetzgeber im Rahmen seines Vierzehnten Gesetzes zur Änderung des Luftverkehrsgesetzes20 im Jahr 2012 festgestellt, dass sich durch die Nutzung (heteronomer und automatisierter) UAS vermehrt zivile Einsatzmöglichkeiten ergeben werden.21 Dies betreffe einerseits etwa die Umwelt- und Verkehrsüberwachung, den Schutz von Pipelines22 sowie den Einsatz zur Feuerbekämpfung und zur Verbesserung der polizeilichen Gefahrenabwehr.23 Andererseits sei aber auch ein unbemannter kommerzieller Frachtverkehr und darüber hinaus sogar ein Personenverkehr mittels UAS langfristig denkbar.24 Aufgrund des weitreichenden technischen Fortschritts von UAS erscheine insofern auch ein genereller und gleichberechtigter Betrieb neben der bemannten Luftfahrt zukünftig als realistisch.25 Diese Haltung hat auch der Verordnungsgeber mit der im Jahr 2017 in Kraft getretenen Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten26 (fortan als DrohnenVO bezeichnet) grundsätzlich beibehalten und bestätigt, dass UAS bei der Umwelt- und Verkehrsüberwachung oder beim Schutz von Pipelines und Bahnanlagen mittlerweile bedeutsam geworden sind und diese Technologie für die deutsche Wirtschaft viel Potential sowie Wachstumschancen bietet.27 Tatsächlich sind die denkbaren Einsatzszenarien von UAS technisch jedenfalls unbegrenzt,28 was nicht zuletzt daran liegt, dass Luftfahrzeuge als bloße Lufttransportplattformen stets nutzlastunabhängig sind, diese also – je nach Verwendungszweck – eine Vielzahl unterschiedlicher Gegenstände (bspw. Transportgüter) und Instrumente (bspw. Video- oder Wärmebildkameras) transportieren und betreiben können.29 Diese von dem Gesetz- und Verordnungsgeber aufgegriffenen Chancen von UAS ergeben sich dabei zwar auch bereits bei heteronomen, also menschlich ferngesteuerten, unbemannten Luftfahrzeugen. Nur durch die Automatisierung dieser Aufgaben kann das Potential dieser Technologie aber letztendlich gänzlich aus geschöpft werden.
20
Gesetz v. 12.05.2012, BGBl. 2012 I, 1032. BT-Drs. 17/8098, S. 1. 22 BT-Drs. 17/8098, S. 1. 23 BT-Drs. 17/8098, S. 14. 24 BT-Drs. 17/8098, S. 14. 25 BT-Drs. 17/8098, S. 14. 26 Verordnung v. 30.03.2017, BGBl. 2017 I, 683. Vgl. hierzu Schmid, jurisPR-ITR 8/2018 Anm. 2. 27 BR-Drs. 39/17, S. 2. 28 Hierzu auch Abadie / Babicz / Boguszewska u. a., pwc-Studie, Clarity from Above. 29 Hierzu Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 162. 21
58
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
I. Chancen im Transportwesen Dies wird insbesondere im Transportwesen bei der Zustellung von Paketen und Briefen mittels automatisierter UAS deutlich. Die Lieferung per Transportdrohne wird zukünftig minutenschnell erfolgen und für den Kunden stets transparent und nachverfolgbar sein, sodass bspw. auch leicht verderbliche Lebensmittel zukünftig per UAS schnell und kostengünstig zugestellt werden können. Dies stellt gleichermaßen eine große Herausforderung wie auch eine Chance für die etablierten Transportunternehmen sowie für die Anbieter von Waren dar. Nach einer Studie von PricewaterhouseCoopers International liegt das Marktvolumen der Nutzung von UAS im Transportsektor derzeit bei schätzungsweise 13 Milliarden US-Dollar weltweit.30 1. Beispiel: DHL Paketkopter und UPS HorseFly Als einer der Vorreiter in der automatisierten Paketzustellung per UAS ist in Deutschland die DHL Paket GmbH (Deutsche Post DHL Group) zu nennen, die die Paketzustellung per UAS bereits seit 2013 erforscht.31 Unternehmensangaben zufolge sei es der DHL Paket GmbH gar als erster Paketdienst weltweit gelungen, ein UAS direkt in die logistischen Abläufe der Zustellung einzubinden.32 So konnte eine erste Version des DHL-Paketkopters noch im Jahr 2013 in Bonn getestet werden, welche aber noch manuell gesteuert werden musste.33 Der DHL-Paketkopter 2.0 aus dem Jahr 2014 war dagegen bereits imstande, eilige Güter und Arzneimittel auch automatisiert, also ohne menschliche Steuerung, vom deutschen Festland (Norddeich) über das offene Meer auf die Insel Juist zu transportieren.34 Mit dem DHL-Paketkopter 3.0 wurden Anfang 2016 dann auch Pakete von der Talstation bei Reit im Winkl auf die Winklmoosalm (Oberbayern) geliefert, wobei neben der Flugentfernung von 8,3 km auch eine Höhendistanz von 500 m zurückgelegt werden musste.35 Der DHL-Paketkopter bezweckt dabei bislang keine direkte Paketzustellung an den Endkunden, sondern lediglich von Packstation zu Packstation. Hierzu wurde ein spezieller DHL Parcelcopter Skyport, eine Mischform aus uppel sich gewöhnlicher DHL-Packstation und Paketkopter-Landeplatz, dessen K
30
Abadie / Babicz / Boguszewska u. a., pwc-Studie, Clarity from Above, S. 8. Vgl. zu der Entwicklung des DHL-Paketkopters: Deutsche Post DHL Group, DHL Paketkopter 3.0. Doch auch andere Transportunternehmen erforschen bereits die Paketzustellung per UAS, vgl. etwa DPDgroup, DPDgroup startet den weltweit ersten Drohnenverkehr im Linienbetrieb. 32 Deutsche Post DHL Group, Pressemitteilung v. 09.05.2016, Einbindung des DHL-Paketkopters in die Logistikkette erfolgreich getestet. 33 Deutsche Post DHL Group, DHL Paketkopter 3.0. 34 Deutsche Post DHL Group, DHL Paketkopter 3.0. 35 Deutsche Post DHL Group, DHL Paketkopter 3.0. 31
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
59
beim Anflug des Luftfahrzeugs automatisch öffnet und die Landefläche freigibt, konzipiert.36 Auch der United Parcel Service (UPS) testet derzeit eine Zustellung von Paketen per UAS.37 Der HorseFly38 genannte Multikopter der Firma Workhorse soll dabei direkt von dem UPS-Zustellfahrzeug aus gestartet werden. Hierzu wurde das Fahrzeug mit einem elektrischen Schiebedach ausgerüstet, das als Start- und Landeplatz für das UAS dient. Anders als der DHL Paketkopter soll das UPS-UAS einzelne Pakete auch direkt an die Endkunden zustellen, während der UPS-Fahrer zwischenzeitlich selbst weitere Pakete ausliefert. Hierdurch rechnet UPS mit einer Zeit- und Kostenersparnis. Laut Unternehmensangaben könne UPS bereits bis zu 50 Millionen US-Dollar jährlich einsparen, wenn hierdurch jeder Fahrer täglich nur eine Meile (etwa 1,6 km) weniger fahren müsste.39 2. Beispiel: Amazon Prime Air Um dem Bedürfnis nach immer schnelleren Warenlieferungen gerecht zu werden, werden die größeren Versandhäuser und Anbieter von Waren zukünftig in bestimmten Anwendungsszenarien und je nach Entfernung des Kunden zu dem nächsten Unternehmensstandort auf den Einsatz von externen Transportunternehmen als Intermediäre verzichten und vielmehr eigene UAS zur unmittelbaren Belieferung der Kunden einsetzen. Neben Pizzalieferdiensten40, Supermärkten41 oder Kaffeehausketten42 erforscht insbesondere auch das Online-Warenhaus Amazon seit 2013 die Zustellung per UAS als Möglichkeit zur Direktbelieferung ihrer Kunden. Mit dem Amazon Prime Air-Dienst sollen nach Unternehmensangaben Bestellungen künftig innerhalb von 30 Minuten an den Kunden ausgeliefert werden, auch bei Entfernungen von über 10 Meilen (etwa 16 km) zu dem nächsten Unternehmensstandort.43 Der Empfänger muss zu diesem Zweck eine kleine Rasenfläche in seinem Garten als Landezone ausweisen, indem er dort ein spezielles Identifikationsschild auslegt, das das UAS aus der Luft erkennen und anfliegen kann. Amazon testet zu diesem Zweck derzeit mehrere UAS-Modelle, die aus Quattrokoptern (Modell mit vier senkrecht 36
Deutsche Post DHL Group, DHL Paketkopter 3.0. Siehe hierzu UPS, Pressemitteilung v. 21.02.2017, UPS Tests Residential Delivery Via Drone Launched From Atop Package Car. 38 http://workhorse.com/aerospace. 39 Donath, Golem-Beitrag v. 22.02.2017, UPS-Lieferwagen liefert mit Drohne Pakete aus. 40 Rondinella, Horizont-Beitrag v. 26.08.2016, Diese Drohne soll euch zukünftig die Pizza liefern. 41 Die Presse-Beitrag v. 21.12.2016, 7-Eleven hebt ab: Lieferungen per Drohne. 42 Humphries, Geek.com-Beitrag v. 29.04.2016, Would you pay $3 to be lazy and have a drone deliver your cup of coffee? 43 Pogue, Yahoo Finance-Beitrag v. 18.01.2016, Exclusive: Amazon Reveals Details About Its Crazy Drone Delivery Program. 37
60
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
gestellten Motoren), Oktokoptern (Modell mit acht senkrecht gestellten Motoren) und aus flugzeugähnlichen Bauarten (Modell mit sowohl senkrecht als auch horizontal gestellten Motoren) bestehen. Mit dem jüngsten Amazon-UAS sollen bereits Nutzlasten mit bis zu 5 Pfund (etwa 2,3 kg) transportiert werden können, wobei das UAS selbst bereits 55 Pfund (etwa 25 kg) schwer ist.44 Aufgrund der strengeren Luftfahrtgesetze der Federal Aviation Administration in den USA,45 nach denen der automatisierte UAS-Betrieb zwar nicht grundsätzlich verboten ist, aber nur unter Sichtflugbedingungen erfolgen darf und daher dauerhaft überwacht werden muss, unterhält Amazon derzeit Testzentren in Großbritannien, Österreich und Israel.46 Mitte Dezember 2016 hat Amazon schließlich seine erste Zustellung per UAS in Cambridge absolviert.47 Amazon gibt an, dass bei der Zustellung per UAS die Sicherheit höchste Priorität habe. Aus diesem Grund seien die Amazon-Prime Air-Drohnen mit redundanten Systemen und zudem mit intelligenten Sense-and-Avoid-Technologien (SAA), also mit Hinderniserkennungs- und Hindernisvermeidungssystemen, ausgestattet.48 Hierzu ist bislang lediglich bekannt, dass diese Systeme maßgeblich in dem Amazon Prime Air Development Center in Graz, Österreich, entwickelt werden und auf einer „computer vision“, also auf einem maschinellen Sehvermögen, etwa durch den Einsatz von Kameras und anderen Sensoren, basieren.49 Neben diesen technischen Lösungen zur Steigerung der Sicherheit bei dem Einsatz von unbemannten Zustelldrohnen ist die Amazon Corporation auch an der Entwicklung organisatorischer Maßnahmen und Handlungsempfehlungen zur sicheren Integration von UAS in den Luftraum beteiligt. Nach dem von Amazon entwickelten sog. „Best-Equipped, Best-Served Model“ für kleine unbemannte Luftfahrtsysteme („Small Unmanned Aircraft Systems“, „sUAS“) soll der Luftraum zukünftig in vier Höhenzonen unterteilt werden und für jede dieser Höhenzonen die spezifischen Anforderungen an die Funktionsfähigkeit und Funktionssicherheit des jeweils einzusetzenden sUAS vorgegeben werden.50 Es ist abzusehen, dass Amazon nach den erfolgreichen Praxistests auch zukünftig auf den Transport mittels UAS setzen und die unternehmenseigene UAS-Flotte daher ständig erweitern und fortentwickeln wird. Insbesondere wird Amazon auch 44 Pogue, Yahoo Finance-Beitrag v. 18.01.2016, Exclusive: Amazon Reveals Details About Its Crazy Drone Delivery Program. 45 Vgl. FAA, RIN 2120–AJ60. 46 Amazon, Amazon Prime Air. Wenngleich das Unternehmen in den USA zumindest ein „Prime Air Development Center“ unterhält. 47 Donath, Golem-Beitrag v. 15.12.2016, Amazon liefert Pakete mit Drohnen aus. 48 Amazon, Amazon Prime Air. 49 Lardinois, Techcrunch-Beitrag v. 10.05.2016, Amazon Prime Air opens Austrian outpost with focus on sense-and-avoid tech. 50 Amazon, Determining Safe Access with a Best-Equipped, Best-Served Model for Small Unmanned Aircraft Systems sowie Amazon, Revising the Airspace Model for the Safe Integration of Small Unmanned Aircraft Systems.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
61
weitere Unternehmensstandorte ausloten und versuchen, den Amazon Prime AirDienst einem noch größeren Publikum anzubieten: „We’re starting with two customers now. And in the coming months we offer participation to dozens of customers living within several miles of our UK facility. And then growing to hundreds more. After that? Well, it be easy to say: The sky is the limit! But that’s not exactly true anymore. Is it?“51 II. Chancen in der Industrie und Landwirtschaft Doch insbesondere auch in der Industrie, die sich derzeit in einer digitalen Transformation befindet, sowie in der Landwirtschaft ergeben sich zahlreiche Einsatzszenarien für automatisierte und vernetzte UAS. Dies ist erneut auf deren Nutzlastunabhängigkeit und freie Bestückbarkeit mit Transportgütern und Instrumenten zurückzuführen. 1. Einsatz im Rahmen der Industrie 4.0 Die derzeit stattfindende vierte industrielle Revolution hin zur Industrie 4.0 steht unter dem Zeichen der Vernetzung der bislang voneinander isolierten automatisierten Einzelsysteme zu einer Gesamtautomatisierung („Smart Factory“).52 Im Rahmen dieser Industrieautomatisierung werden insbesondere auch automatisierte und vernetzte UAS zum Einsatz kommen und etwa Bauteile zwischen den Werkshallen oder zu einer Arbeitsstation transportieren, wenn diese von einer Arbeitsstation angefordert wurden. Insbesondere bei großflächigen Werksgeländen, die mitunter auch von öffentlichen Straßen durchkreuzt sein können, wird sich dabei das enorme Potential von UAS zeigen. Weiterhin können UAS aber auch für automatisierte Inventuraufgaben eingesetzt werden. a) Beispiel: Ball-Drohne von Fraunhofer IML Als Beispiel für ein solches automatisiertes Transportsystem kann etwa die BallDrohne des Fraunhofer-Instituts für Materialfluss und Logistik (Fraunhofer IML) angeführt werden, die imstande ist, kleine und leichte Güter mit bis zu 700g innerbetrieblich an eine bestimmte Arbeitsstation automatisiert zu transportieren.53 Zur Optimierung des Energiebedarfs kann die Drohne dabei sowohl fliegen als auch fahren und ist zur Erhöhung der Sicherheit für Arbeitnehmer und Passanten von
51
Amazon, Video-Beitrag, First Prime Air Delivery. Siehe 2. Teil, Kapitel 1, B. 53 Fraunhofer IML, Pressemitteilung v. 08.03.2016, Ein „R2D2“ für die Logistik. 52
62
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
einem runden (ballförmigen) Gittergehäuse umgeben, sodass keine Berührung mit den Rotoren möglich ist.54 b) Beispiel: InventAIRy von Fraunhofer IML Auch Inventuren von Lagerbeständen in Hochregallagern lassen sich mittels UAS effizienter und kostengünstiger erledigen. Denn diese sind, ausgestattet mit entsprechenden Kamerasystemen und Scannern, in der Lage, den Warenbestand schneller zu erfassen als menschliche Inventurkräfte. Aus diesem Grund beteiligt sich auch das Bundesministerium für Wirtschaft und Energie (BMWi) im Rahmen des Förderprojekts „AUTONOMIK für Industrie 4.0“ an der Entwicklung eines automatisierten Inventur-UAS mit dem Namen InventAIRy. Dieses ist in der Lage, sich in einem Warenlager – auch ohne eigens dafür installierte Infrastrukturen – selbstständig zu koordinieren und die Lagerbestände automatisiert zu erfassen.55 Zur Koordinierung im Raum sowie zur Erkennung von Hindernissen und Personen greift das UAS dabei auf eine Vielzahl von Sensoren (bspw. Ultraschall- oder Lasersysteme) aber auch auf intelligente Kameratechnik zurück.56 Die Erfassung der Lagerbestände erfolgt dann über Barcodes und RFID-Tags.57 2. Einsatz im Rahmen von Inspektion und Wartung Der Anwendungsbereich von UAS in der Industrie ist aber keineswegs auf die Verwendung in der Industrie 4.0 beschränkt. Vielmehr werden sich auch außerhalb von Smart Factories zahlreiche Einsatzszenarien für automatisierte und vernetzte UAS ergeben. So möchte etwa die Siemens AG künftig Gas- und Ölpipelines per UAS überwachen und inspizieren lassen. Hierzu sollen automatisierte UAS mit Infrarot- und Echtbildkameras bestückt werden und die Erdoberfläche oberhalb unterirdisch verlegter Pipelines vermessen.58 Die dabei erhobenen Daten sollen anschließend auf Unregelmäßigkeiten untersucht werden. Ein weiteres Anwendungsszenario solcher Inspektions-UAS soll zudem die Überprüfung elektrischer Zugoberleitungen sein.59 Doch auch zur Inspektion von Strommasten, Talsperren, Staudämmen, Brücken und Schornsteinen, zur Überwachung und Kontrolle von Windparks, Windrädern 54
Fraunhofer IML, Pressemitteilung v. 08.03.2016, Ein „R2D2“ für die Logistik. BMWi, Autonomik für Industrie 4.0, S. 26 ff. 56 BMWi, Autonomik für Industrie 4.0, S. 26 f. 57 BMWi, Autonomik für Industrie 4.0, S. 26. 58 Saarbrücker Zeitung-Beitrag v. 03.01.2017, Siemens-Konzern will Pipelines künftig per Drohne überwachen. 59 Saarbrücker Zeitung-Beitrag v. 03.01.2017, Siemens-Konzern will Pipelines künftig per Drohne überwachen. 55
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
63
und Rotorblättern sowie zur Bauwerk- und Gebäudeuntersuchung kommen UAS bereits zum Einsatz. Der Automatisierungsgrad solcher Inspektions- und Wartungs-UAS ist derzeit aber noch darauf beschränkt, dass dem UAS lediglich bestimmte Wegpunkte vorgegeben werden, die dieses automatisiert abfliegt und unterwegs Luftaufnahmen anfertigt. Diese müssen anschließend noch manuell ausgewertet werden. Zukünftig ist jedoch auch eine automatisierte Auswertung der erhobenen Daten denkbar (bspw. die automatisierte Suche nach Rissen im Beton von Schornsteinen, Kühltürmen oder Staudämmen). Hierdurch wird für besonders gefährdete Infrastrukturen künftig auch eine permanente Objektüberwachung mittels UAS realisierbar werden. 3. Einsatz in der Land- und Forstwirtschaft Hinsichtlich der Nutzung von UAS in der Land- und Forstwirtschaft existieren derzeit verschiedenste Forschungsprojekte und Praxistests. Der von dem Leibnitz-Institut für Agrartechnik Potsdam-Bornim e. V. und der Hochschule Harz veranstaltete 22. Workshop Computer-Bildanalyse und Unbemannte autonom fliegende Systeme in der Landwirtschaft widmete sich am 21.04.2016 bereits zum 4. Mal diesem Thema.60 Auch der Gesetzgeber hat das Potential dieses Anwendungsszenarios erkannt und sieht in § 21b Abs. 2 LuftVO vor, dass bei land- und forstwirtschaftlich genutzten UAS auch Ausnahmen von dem generellen Verbot von UAS mit einer Startmasse von mehr als 25 kg gemacht werden können. Nach einer Studie von PricewaterhouseCoopers International liegt das Marktvolumen der Nutzung von UAS in der Landwirtschaft bei schätzungsweise 32,4 Milliarden US-Dollar weltweit.61 a) Beispiel: Schutz und Rettung von Wildtieren In einer Erhebung von 1979 wurde bekannt, dass in der damaligen BRD mehr als 84.000 Wildtiere pro Jahr während der Wiesenmahd durch landwirtschaftliche Maschinen getötet wurden.62 Bereits seit dem Jahr 1999 ist aus diesem Grund ein vom Deutschen Zentrum für Luft- und Raumfahrt (DLR) entwickelter „tragbarer Infrarotwildretter“ verfügbar, der vor einer Wiesenmahd mithilfe von Infrarot sensoren Wildtiere aufspürt und vor ihnen warnt.63 Seit 2010 ist nun auch ein spe 60
Programm abrufbar unter http://www2.atb-potsdam.de/cba-workshop/CBA2016_Programm.
pdf.
61
Abadie / Babicz / Boguszewska u. a., pwc-Studie, Clarity from Above, S. 16. Wimmer / Israel / Haschberger / Weimann, in: Bornimer Agrartechnische Berichte, Heft 81, S. 86. 63 Wimmer / Israel / Haschberger / Weimann, in: Bornimer Agrartechnische Berichte, Heft 81, S. 87. 62
64
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
zielles UAS des DLR verfügbar, das als „fliegender Wildtierretter“ die Suche nach Wildtieren während der Wiesenmahd noch weiter optimieren konnte.64 Ein solcher Wildtierschutz wird von einigen professionellen Anbietern mittlerweile gar als eine Art „drone-as-a-service“ angeboten.65 Das dabei zum Einsatz kommende UAS ist in der Lage, vorgegebene Wegpunkte automatisiert abzufliegen und Wärmebilddaten zu erheben. Der Start- und Landevorgang des UAS erfolgt zwar noch ebenso manuell wie die darauffolgende Bildauswertung.66 Dennoch konnte auch durch diese stellenweise Automatisierung die Suchzeit nach Wildtieren von durchschnittlich 166 Minuten bereits auf durchschnittlich 4 Minuten reduziert werden.67 Zukünftig soll gleichwohl auch die Bildauswertung per Mustererkennungsalgorithmen automatisiert und damit die Effizienz noch weiter gesteigert werden.68 b) Beispiel: Überwachung der Ernte Durch die Möglichkeit des Einsatzes verschiedenster Kameratechnik, wie etwa Echtbildkameras, Infrarotkameras oder Multispektralkameras, können UAS unter anderem auch zur Überwachung der Ernte eingesetzt werden und hierbei etwa einen möglichen Schädlings- oder Unkrautbefall feststellen oder aber trockene und unterversorgte Ackergebiete identifizieren.69 Ein weiteres Anwendungsbeispiel ist das Bestandsmonitoring70, bei dem die vorhandene Bewachsung eines Feldes festgestellt und damit die verfügbare Biomasse und der Ertrag geschätzt werden können. Neben der bloßen optischen Identifikation eines Schädlingsbefalls oder eines unterversorgten Ackergebiets, ist auch die Bestäubung von Pflanzen mit Düngeoder Pflanzenschutzmitteln sowie die Ausbringung von Saatgut mittels UAS möglich und auch bereits technisch umgesetzt. So bietet etwa die Yamaha Corporation ein speziell für diesen Zweck entwickeltes UAS mit dem Produktnamen RMAX in Form eines Drehflüglers an.71 Und auch der chinesische UAS-Hersteller Dà-Jiāng Innovations Science and Technology Co., hierzulande besser bekannt als DJI Innovations Co. Ltd., hat mit der Agras MG-1 einen speziell zur Bestäubung und 64
Vgl. Wimmer / Israel / Haschberger / Weimann, in: Bornimer Agrartechnische Berichte, Heft 81, S. 85. 65 Spectair, Wildtierschutz mit Drohnenaufnahmen. 66 Vgl. zu den 4 Schritten der Wildtiererkennung mit dem UAS Wimmer / Israel / Hasch berger / Weimann, in: Bornimer Agrartechnische Berichte, Heft 81, S. 90. 67 Wimmer / Israel / Haschberger / Weimann, in: Bornimer Agrartechnische Berichte, Heft 81, S. 93 f. 68 Wimmer / Israel / Haschberger / Weimann, in: Bornimer Agrartechnische Berichte, Heft 81, S. 94. 69 Hierzu auch Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme, S. 31. 70 Lexikon der Fernerkundung, Phänologie. 71 Yamaha, RMAX, https://www.yamahamotorsports.com/motorsports/pages/precision-agri culture-rmax.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
65
Ausbringung von Pestiziden, Dünger und Herbiziden entwickelten Oktokopter auf den Markt gebracht.72 Die Agras MG-1 ist dabei in der Lage, bis zu 10 kg an flüssiger Nutzlast aufzunehmen und auf einer Fläche von 4000–6000 m² innerhalb eines Zeitraums von 10 Minuten auszubringen, was gegenüber der herkömmlichen manuellen Methode eine Effizienzsteigerung um den Faktor 40–60 bedeutet.73 Das UAS kann dabei manuell gesteuert werden oder vorgegebene Wegpunkte automatisiert abfliegen und die Nutzlast verteilen.74 Das UAS scannt dabei während des Flugs kontinuierlich das Bodenterrain und ist auf diesem Wege automatisiert in der Lage, eine konstante Höhe zu halten, Hindernissen auszuweichen sowie die, vom Abstand zum Boden und der Fluggeschwindigkeit abhängige, optimale Düngemittelmenge zu berechnen.75 Neben der unmittelbaren Ausbringung von Dünge- oder Pflanzenschutzmitteln sowie von Saatgut durch UAS selbst kommen hierbei vermehrt auch sog. „Boden-Luft-Robotersysteme“ zur Anwendung.76 Diese bestehen aus einer Flugdrohne, die die jeweilige Agrarfläche auf Schädlingsbefall oder sonstige Auffälligkeiten hin automatisiert optisch untersucht und gegebenenfalls Meldung an einen automatisierten Bodenroboter gibt, der sodann auf dem problematischen Gebiet etwa Dünger oder Pflanzenschutzmittel ausbringt oder Unkraut entfernt. c) Beispiel: Weitere Anwendungsszenarien in der Forstwirtschaft Auch in der Forstwirtschaft bedient man sich bereits der speziellen Fähigkeit von Luftfahrzeugen, flächendeckend Luftbildaufnahmen von Landgebieten zu erstellen und hieraus fotogrammetrisch verwertbare Daten zu generieren. Auch in der Forstwirtschaft werden diese Daten unter anderem zur Berechnung der vorhandenen Biomasse, zur Zählung der Bepflanzung sowie zur Erkennung von Schädlingsbefall verwendet.77 Im Rahmen der Forstwirtschaft kommt ein Einsatz von UAS aber etwa auch zur Gewährleistung der Wald-, Jagd- und Naturschutzgesetze, zum Auffinden verletzter Tiere oder Personen sowie zum Schutz des Waldes und der Tiere vor Wilderern in Betracht.78 Letztendlich können UAS in der Forstwirtschaft auch zur Erkennung und Prävention sowie zur Bekämpfung von Waldbränden eingesetzt werden.79 Mit FUEGO, 72
DJI, Agras MG-1, https://www.dji.com/de/mg-1. DJI, Agras MG-1, https://www.dji.com/de/mg-1. 74 DJI, Agras MG-1, https://www.dji.com/de/mg-1. 75 DJI, Agras MG-1, https://www.dji.com/de/mg-1. 76 Vgl. hierzu etwa Müller, Objektlokalisierung auf landwirtschaftlichen Flächen unter Verwendung autonomer Roboter in Luft-Boden-Kooperation. 77 Grenzdörffer / Engel / Jütte, in: DGPF (Hrsg.), Tagungsband 17 / 2008, S. 27. 78 Hierzu Grenzdörffer / Engel / Jütte, in: DGPF (Hrsg.), Tagungsband 17 / 2008, S. 29; Goodrich / Morse / Humphrey, Journal of Field Robotics 25(1), 89. 79 Hierzu auch Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme, S. 33 f. 73
66
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
dem „Fire Urgency Estimator in Geosynchronous Orbit“ der University of California80 soll eine präventive kontinuierliche Überwachung von Waldgebieten möglich sein. FUEGO ist dabei ein Algorithmus, der aus Luftbildaufnahmen potentielle Waldfeuer automatisiert und präzise erkennen kann. FUEGO könnte dabei auch im Rahmen eines UAS zum Einsatz kommen, das gefährdete Waldgebiete in regelmäßigen Intervallen überfliegt, dabei Luftbildaufnahmen anfertigt, diese daraufhin oder währenddessen automatisiert auswertet und im Falle eines Waldbrandes der örtlichen Feuerwehr und / oder dem Katastrophenschutz unverzüglich Meldung gibt. III. Chancen im Polizei- und Sicherheitswesen Im Polizei- und Sicherheitswesen existieren (neben der bereits dargestellten Möglichkeit der automatisierten Erkennung von Waldbränden) zahlreiche Anwendungsszenarien für automatisierte und vernetzte und mit diverser Kameratechnik bestückte UAS („UAS-Pol“81).82 Insbesondere die Grenzschutzgruppe 9 („GSG 9“) der deutschen Bundespolizei unterhält bereits seit 200683 mehrere UAS unter anderem der Typen EMT Aladin84 und EMT Fancopter85.86 Typische Einsatzfelder dieser UAS sind dabei etwa die polizeiliche Aufklärung nach einem Bahnbetriebsunfall,87 die Überwachung der Bundesgrenzen,88 die Überwachung und der Schutz von Gebäuden und Objekten, die Fahndung nach Personen sowie die Beweissicherung im Rahmen der repressiven Polizeiarbeit.89 Doch auch zur Erstellung von Übersichtsaufnahmen während Versammlungen unter freiem Himmel sind UAS-Pol geeignet. Dies zeigte sich bereits 2010 im Rahmen der Demonstrationen gegen den Castor-Transport nach Gorleben.90 Nach einer Studie von PricewaterhouseCoopers
80
Hierzu Maggi, Remote Sensing 2013, 5173. Vgl. zu dieser Begrifflichkeit etwa LT Niedersachsen Drs. 16/2930, S. 2. 82 Zu den verschiedenen polizeilichen Einsatzfeldern vgl. Neuwald, DPolBl 03/2016, 20, 21; Weiner, in: Möstl / Weiner, BeckOK Polizei- und Ordnungsrecht Niedersachsen, § 31 Nds. SOG Rn. 20; Zöller / Ihwas, NVwZ 2014, 408. Hierzu auch Biermann / Wiegold, Drohnen, S. 100 ff.; Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme, S. 33 ff. Zu der Rechtmäßigkeit eines Einsatzes von Videodrohnen bei der Polizei vgl. generell Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme und Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 155 ff. 83 Haid, IMI-Standpunkt 2015/026, Überblick: Drohnen im Polizeieinsatz in Deutschland. 84 EMT Penzberg, Aladin. 85 EMT Penzberg, Fancopter. 86 Hierzu auch Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 156 f. 87 Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 156. Siehe zu diesem Einsatzfeld Borsdorff / Kastner, Modulwissen Einsatzrecht 1, S. 49. 88 Neuwald, DPolBl 03/2016, 20, 21; Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 156. 89 Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 156. Vgl. zu den Einsatzmöglichkeiten im Rahmen der Gewinnung und Sicherung von Beweismitteln auch Neuwald, DPolBl 03/2016, 20, 21; Zöller / Ihwas, NVwZ 2014, 408. 90 Roggan, NVwZ 2011, 590, 590. 81
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
67
International liegt das Marktvolumen der Nutzung von UAS im Sicherheitswesen bei schätzungsweise 10,5 Milliarden US-Dollar weltweit.91 1. Vorteile von UAS-Pol gegenüber stationärer Videoüberwachung Der Vorteil von UAS-Pol gegenüber anderen technischen Einsatzmitteln wie etwa stationären Videokameras besteht zum einen in ihrer Mobilität. UAS können standort- sowie terrainunabhängig operieren und daher auch Gebiete observieren, die gar keiner stationären Kameraüberwachung zugänglich sind (bspw. Wasserstraßen oder Küsten). Der Standort fest installierter Videokameras ist von Kriminellen außerdem schnell ausgemacht, sodass diese die überwachten Plätze leicht meiden und sich der Videoerfassung entziehen können (Flucht in den nicht-überwachten Raum). Dieser Mobilitätsaspekt wird bei dem Einsatz automatisierter UAS-Pol noch weiter verstärkt, wenn diese etwa nach Verdächtigen selbstständig fahnden und diese auch verfolgen können. Dies mag sich zwar bislang noch nach Science-Fiction anhören, dürfte technisch aber bereits in naher Zukunft unproblematisch umsetzbar sein. Ein weiterer für die Polizeiarbeit förderlicher Aspekt ist zudem die Möglichkeit des unbemerkten Einsatzes von UAS-Pol. UAS-Pol können insofern auch in größeren Operations- und Observationshöhen betrieben werden. Weiterhin werden UAS auch generell immer kleiner, leiser und somit unauffälliger.92 Dies ermöglicht mittlerweile sogar den Einsatz von UAS-Pol innerhalb von Gebäuden, etwa bei Geiselnahmen o.ä.93 Durch die Möglichkeit des Betriebs von UAS-Pol in größeren Flughöhen wird weiterhin auch eine flächendeckende Observation und Überwachung ermöglicht. Dies wird insbesondere in solchen Situationen, in denen die Gefahrenlage am Boden, etwa aufgrund einer großen Anzahl von Personen oder der Größe des zu überwachenden Areals, unübersichtlich ist, eine bedeutende Rolle spielen. Zu denken ist hier etwa an die Überwachung öffentlicher Massenereignisse wie etwa OpenAir-Konzerte, Sportaustragungen, Volksfeste u. a.94 2. UAS-Pol als Bestandteil eines Sicherheitsgesamtkonzepts Neben dem eigenständigen Einsatz von UAS-Pol werden diese aber auch Bestandteil eines neuen Sicherheitsgesamtkonzepts sein. Das Aufkommen neuartiger technischer Vorgehensweisen zur Begehung von Straftaten erfordert auch eine Re-
91
Abadie / Babicz / Boguszewska u. a., pwc-Studie, Clarity from Above, S. 16. Vgl. Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 157. 93 Vgl. Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 157. 94 Vgl. auch Zöller / Ihwas, NVwZ 2014, 408, 409. 92
68
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
formierung und Modernisierung der Polizeiarbeit durch fortschrittliche technische Fahndungsmethoden. Dieser Aufgabe widmete sich unter anderem bereits das von 2009 bis 2013 im Rahmen des 7. EU-Forschungsrahmenprogramm („intelligente Sicherheitssysteme“)95 betriebene Forschungsprojekt INDECT („Intelligent information system supporting observation, searching and detection for security of citizens in urban environment“).96 Durch INDECT sollten neue urbane Überwachungsmethoden im öffentlichen Raum zur automatisierten Gefahrenerkennung und Personensuche erforscht werden. Zielsetzungen des Forschungsprojekts waren die Steigerung und Gewährleistung der Sicherheit der Bürger, der Gesellschaft, der Infrastrukturen und der Versorgung, die intelligente Überwachung sowie die Grenzsicherheit, die Wiederherstellung der Sicherheit im Krisenfall, die Integration, Zusammenschaltung und Interoperabilität von Sicherheitssystemen sowie die Koordinierung und Strukturierung der Sicherheitsforschung.97 Zu diesem Zweck untergliederte sich das INDECT-Projekt in mehrere Teilforschungsprojekte. Zu nennen sind hierbei insbesondere die automatisierte und intelligente Erkennung von Bedrohungsszenarien im öffentlichen Raum („Intelligent Monitoring für Threat Detection“) sowie die Erkennung von Bedrohungsszenarien in Computernetzwerken („Threat Detection in Computer Networks“).98 Im Rahmen des Teilprojekts zur automatisierten und intelligenten Erkennung von Bedrohungsszenarien im öffentlichen Raum sollte unter anderem ein weitreichendes Netzwerk aus intelligenten und vernetzten Überwachungskameras eingesetzt werden, um auffällig agierende Personen anhand deren Bewegungsmuster (etwa Panikbewegungen) zu erkennen,99 Waffen und gefährliche Werkzeuge sowie sonstige verdächtige Objekte (etwa einen herrenlosen Koffer) aufzuspüren sowie hilfesuchende Personen zu finden und zu lokalisieren.100 Neben einer stationären intelligenten Videoüberwachung sollten im Rahmen eines mobilen städtischen Überwachungssystems („Mobile Urban Observation System“) auch UAS-Pol zum Einsatz kommen, die mit hochauflösenden und intelligenten Kameras („Smart Cameras“) sowie mit weiteren Sensoren bestückt werden und fähig sind, intelligent und automatisiert eine verdächtige Person zu identifizieren, gesuchte Kriminelle zu lokalisieren und diese auch „durch die Straßen“101 zu 95
BMBF, 7. EU-Forschungsrahmenprogramm, http://www.forschungsrahmenprogramm.de/ sicherheit.htm. 96 Europäische Kommission, INDECT. 97 BMBF, 7. EU-Forschungsrahmenprogramm, http://www.forschungsrahmenprogramm.de/ sicherheit.htm. 98 Europäische Kommission, INDECT Report Summary. 99 Vgl. zu dieser Thematik generell Hornung / Desoi, K&R 2011, 153. 100 INDECT, Specification of Requirements for Security and Confidentiality of the System (D8.1), S. 11; Marques, Seminararbeit INDECT-Forschungsergebnisse der Europäischen Union, S. 9; Zeit Online-Beitrag v. 28.05.2014, Sie wissen, wer du bist, Seite 2. 101 Monroy, Telepolis-Beitrag v. 13.01.2010, Fliegende Kameras für Europas Polizeien.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
69
verfolgen.102 Diese „Aerial Patrols“103 sollten insbesondere in dicht bewohnten Gebieten den Polizeibeamten Unterstützung leisten. Während des Einsatzes sollte die Kommandozentrale eine Liveübertragung von der Kamera der UAS-Pol erhalten. Zudem sollten während des Einsatzes erhobenen Daten auch für spätere Beweiszwecke gespeichert werden. Zukünftig sollten zudem auch Polizeibeamte mit „wireless connections“104 ausgestattet werden, sodass diese jederzeit Kontakt zu den verfügbaren UAS-Pol aufnehmen und etwa Unterstützung oder Verstärkung anfordern können. Das zu diesem Zweck bereits entwickelte System mit dem Namen Burzyk (polnisch für Sturmvogel)105 besteht aus dem unbemannten Luftfahrzeug selbst, einer Bodenkontrollstation, dem Autopiloten, dem automatisierten „Mission Subsystem“ und einer Kamera.106 Das verwendete UAS ähnelt dabei einem Flugzeug und kann eine Höchstgeschwindigkeit von 150 km / h, eine maximale Flughöhe von 1000 m und eine maximale Einsatzdauer von 90 Minuten erreichen.107 Das Mission Subsystem von Burzyk ist bereits hochgradig automatisiert und fähig, übergebene komplexe Aufgaben, etwa die optische Erfassung eines bestimmten Gebiets oder das Verfolgen von Objekten, eigenständig auszuführen.108 Das dabei zum Einsatz kommende optisch-elektronische Erfassungssystem ist zudem imstande, auch außer Sichtkontakt geratene Objekte erneut zu identifizieren und die Verfolgung wieder aufzunehmen.109 Neben dieser optischen Erfassung sollte Burzyk weiterhin auch GSM- und GPS-Signale orten können, um so Personen ausfindig zu machen oder zu identifizieren.110 IV. Chancen durch Synergie- und Katalysatoreffekte Nicht unberücksichtigt bleiben dürfen schließlich die Synergieeffekte, die sich durch die Entwicklung und Erforschung von UAS-Technologien auch zugunsten anderer Technikbereiche ergeben. Denn Forschungsgegenstand sind hierbei mehr 102
„Such a surveillance system is expected to assist police officers in their daily patrol of streets, especially in highly populated urban areas, where identifying and tracking known criminals is a challenging task“, INDECT, Specification of Requirements for Security and Confidentiality of the System (D8.1), S. 44; Marques, Seminararbeit INDECT-Forschungsergebnisse der Europäischen Union, S. 11; Monroy, Telepolis-Beitrag v. 13.01.2010, Fliegende Kameras für Europas Polizeien. 103 INDECT, Specification of Requirements for Security and Confidentiality of the System (D8.1), S. 44. 104 INDECT, Specification of Requirements for Security and Confidentiality of the System (D8.1), S. 44. 105 IMI, Drohnenforschungsatlas, S. 5. 106 IMI, Drohnenforschungsatlas, S. 6. 107 IMI, Drohnenforschungsatlas, S. 6. 108 IMI, Drohnenforschungsatlas, S. 6. 109 IMI, Drohnenforschungsatlas, S. 6. 110 IMI, Drohnenforschungsatlas, S. 6.
70
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
heitlich technische, rechtliche und organisatorische Fragestellungen, die auch für eine Vielzahl anderer automatisierter und vernetzter CPS und gar außerhalb der Automatisierung und Vernetzung von Relevanz sind. Zugleich profitieren aber auch UAS von den bereits vorliegenden Erkenntnissen anderer technischer Entwicklungen. Nur beispielhaft genannt sei hier die Optimierung und Weiterentwicklung der in einer Vielzahl von IT-Systemen zum Einsatz kommenden Lithium-Polymer-Akkus oder aber der generelle Breitband- und Netzausbau sowie die Umsetzung des 5G-Standards.
B. Gefahren automatisierter und vernetzter UAS Aufgrund des Umstands, dass UAS universell einsetzbare Lufttransportsysteme für eine Vielzahl von unterschiedlichen Nutzlasten darstellen,111 die technische Artenvielfalt bereits heute schon hoch ausgeprägt ist und die denkbaren Einsatzszenarien und -orte daher grenzenlos sind, sind neben den zahlreichen Chancen und Möglichkeiten aber auch die sich hieraus potentiell ergebenden Gefährdungsszenarien besonders vielförmig. Die Darstellung der Gefährlichkeit automatisierter und vernetzter UAS ist dabei aber mit erheblichen Schwierigkeiten verbunden. Denn anders als im Rahmen der bemannten Luftfahrt fallen Störungen und Unfälle von UAS dem geltenden Recht nach nicht unter die Meldepflicht der §§ 7, 9 LuftVO. Präzise, auf Zahlen basierende Aussagen über die tatsächliche Gefährlichkeit von UAS sind daher derzeit noch nicht möglich. Dies gilt insbesondere für automatisierte und vernetzte UAS, die sich mehrheitlich noch in der Erprobungsphase befinden und daher entweder noch im freien Gelände ohne Personenverkehr oder in eigens dafür eingerichteten Testzentren betrieben werden. Die folgende Darstellung muss sich demnach auf eine grobe Abschätzung der Gefährlichkeit von automatisierten und vernetzten UAS beschränken. Als Anhaltspunkte sollen dabei einerseits das Meinungsbild der Bevölkerung (als quantitativer Faktor) sowie andererseits die Einschätzung durch den Gesetz- und Verordnungsgeber (als qualitativer Faktor) herangezogen werden. Die Ergebnisse dieses Abschnitts sind, wenn zukünftig gesicherte Erkenntnisse vorliegen, erneut zu evaluieren.112 Als quantitativer Faktor soll dabei eine unter 2021 Teilnehmern im Juli 2016 durchgeführte repräsentative113 Umfrage des Bundesverbands der Deutschen Luft 111
Vgl. Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 162. Auch der Gesetzgeber hatte im Rahmen des Vierzehnten Gesetzes zur Änderung des Luftverkehrsgesetzes erkannt, dass zum Zeitpunkt des Gesetzesentwurfs noch keine ausreichenden Erkenntnisse für einen sicheren Betrieb von UAS vorgelegen haben und die Zulassung in Deutschland daher zunächst durch ein gestuftes Vorgehen erfolgen sollte, vgl. BT-Drs. 17/8098, S. 11. 113 Die Umfrage gilt laut BDL als repräsentativ für die deutsche Bevölkerung ab 18 Jahren, vgl. BDL, Chancen und Risiken ziviler Drohnen, Folie 11. 112
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
71
verkehrswirtschaft e. V.114 zu den Chancen und Risiken ziviler Drohnen zugrunde gelegt werden.115 Als qualitativer Faktor sollen die Erwägungen des Gesetz- und des Verordnungsgebers im Rahmen des Vierzehnten Gesetzes zur Änderung des Luftverkehrsgesetzes116 aus dem Jahr 2012 sowie aus der Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten117 („DrohnenVO“) aus dem Jahr 2017 aufgegriffen werden. Diese haben sich in der Gesetzes- und Verordnungsbegründung vertieft mit den Risiken von UAS auseinandergesetzt. Während der Gesetzgeber bereits im Jahr 2012 erkannt hat, dass es sich bei UAS um komplexe Systeme handelt, die vielfältige Sicherheitsfragen aufwerfen,118 wurden diese Sicherheitsbedenken (insbesondere auch für das Datenschutzrecht119) von dem Verordnungsgeber im Jahr 2017 nochmals unterstrichen. Diese nochmalige Hervorhebung der Sicherheitsbedenken dürfte mitunter auch daran gelegen haben, dass sich zahlreiche der 2012 prognostizierten Gefahren zwischenzeitlich in Form von Rechtsverletzungen120 sowie in Form von Beinaheunfällen und Beinahekollisionen121 bereits bewahrheitet haben. I. Mehrfache Unterscheidung notwendig 1. Unterscheidung: Gefahr und Risiko Im Rahmen der Darstellung von IT-Sicherheitsbedrohungen kommen verschiedene Begrifflichkeiten zum Einsatz, die im umgangssprachlichen Wortgebrauch oftmals gleichbedeutend verwendet werden. Dies betrifft insbesondere die Begriffe der Gefahr und des Risikos. Zu der Frage, wie diese beiden Begriffe voneinander abzugrenzen sind, existieren zahlreiche unterschiedliche Auffassungen, die zudem in den verschiedenen Kontexten, insbesondere ob man nach einer wissenschaftlichen oder wirtschaftlichen (bspw. im Kontext von Versicherungs- oder Unternehmensrisiken) 114 Die Umfrage wurde von dem Bundesverband der Deutschen Luftverkehrswirtschaft e. V. (BDL) in Auftrag gegeben und von der YouGov Deutschland GmbH durchgeführt, vgl. BDL, Chancen und Risiken ziviler Drohnen, Folie 11. 115 BDL, Chancen und Risiken ziviler Drohnen, Folie 11. 116 BT-Drs. 17/8098. 117 Verordnung v. 30.03.2017, BGBl. 2017 I, 683. 118 BT-Drs. 17/8098, S. 14. 119 Vgl. BR-Drs. 39/17, S. 2. Im Rahmen des Vierzehnten Gesetz zur Änderung des Luftverkehrsgesetzes wurde der Datenschutz dagegen lediglich am Rande behandelt, vgl. BT-Drs. 17/8098, S. 14. 120 Etwa in Form von Sachbeschädigungen, vgl. Süddeutsche-Beitrag v. 30.01.2017, A99: Auto kollidiert mit Drohne oder Eingriffen in das Allgemeine Persönlichkeitsrecht, vgl. AG Potsdam, Urt. v. 16.04.2015 – 37 C 454/13, ZD 2016, 236. Zu letzterem auch Schmid, jurisPR-ITR 9/2016, Anm. 2. 121 Vgl. etwa Ziegler, Drohnen Journal-Beitrag v. 16.11.2016, Drohne stürzt aus 181 Metern neben Familie zu Boden; FAZ-Beitrag v. 06.08.2016, Airbus entgeht nur knapp Kollision mit Drohne.
72
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Begriffsdefinition sucht, variieren.122 Da der naturwissenschaftliche Risikobegriff auch derjenige ist, der im Rahmen des Produktsicherheits- und Haftungsrechts zur Anwendung kommt (vgl. etwa § 2 Nr. 23 ProdSG), soll im Folgenden lediglich dieser Risikobegriff näher erläutert werden. Nach dem Verband der Europäischen Chemischen Industrie („CEFIC“) besteht eine Gefahr hiernach dann, „wenn ein Gegenstand […] oder eine Situation wesentlich so beschaffen ist, dass er bzw. sie eine schädliche Wirkung haben kann“123. Der Begriff des Risikos beinhaltet dagegen zwar den Begriff der Gefahr, geht jedoch darüber hinaus und umfasst zusätzlich die Wahrscheinlichkeit, dass sich die Gefahr auch tatsächlich realisiert (Risikowahrscheinlichkeit oder Exposition).124 Risiko ist hiernach also das Bestehen einer objektiven Gefahr mit der Wahrscheinlichkeit, dass sich diese in einem konkreten Schaden realisieren wird, oder als logischer Term (mittels des „und“-Operators (Symbol „∧“)) ausgedrückt: Risiko = Gefahr ∧ Eintrittswahrscheinlichkeit
Ähnliche Begriffsauffassungen vertreten etwa auch die World Health Organization („WHO“) und die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin („BAuA“).125 Wird hierdurch jedoch lediglich zum Ausdruck gebracht, aus welchen Komponenten sich der Risikobegriff zusammensetzt, kann das Risiko aber auch quantitativ ausgedrückt werden (Risikohöhe oder Gefährlichkeit). Die Risikohöhe bzw. Gefährlichkeit besteht dabei aus den Faktoren Schadenshöhe (bzw. Auswirkungen) sowie Eintrittswahrscheinlichkeit (bzw. Exposition),126 oder als logischer Term: Risikohöhe = Schadenshöhe × Eintrittswahrscheinlichkeit Dieser Begriff der Risikohöhe wird an späterer Stelle noch zur beispielhaften Risikobewertung automatisierter und vernetzter Luftfahrzeuge relevant werden.127 2. Unterscheidung: Lufttransportsystem und Nutzlast Die Vielschichtigkeit der denkbaren Einsatzszenarien von UAS ist unter anderem dadurch bedingt, dass UAS zunächst nur Lufttransportsysteme für eine Vielzahl unterschiedlicher und austauschbarer Nutzlasten darstellen.128 Diese Nutzlasten können dabei verschiedenster Gestalt und sowohl technischer (bspw. Smart 122
Vgl. hierzu generell Jung, Bundesgesundheitsbl 2003, 542. CEFIC, Risiko und Gefahr – Was der Unterschied ist?, S. 3; Hammer / Büttner, Rechts medizin 2011, 441, 441. 124 CEFIC, Risiko und Gefahr – Was der Unterschied ist?, S. 3. 125 Vgl. hierzu Hammer / Büttner, Rechtsmedizin 2011, 441, 441. 126 Vgl. Jung, Bundesgesundheitsbl 2003, 542, 545. Ähnlich auch Kranig / Sachs / Giersch mann, Datenschutz-Compliance nach der DS-GVO, S. 96. 127 Siehe 4. Teil, Kapitel 2, B., II., 3., b), aa), (1), (d). 128 So auch Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 162. 123
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
73
Cameras bzw. Wärmebild- oder Infrarotkameras) als auch nicht-technischer (bspw. Dünge- oder Brandlöschmittel) Art sein. Soll eine spezifische Nutzlast per UAS transportiert werden, führt dies im Ergebnis dazu, dass zu den Gefahren, die bereits der bloßen UAS-Nutzung innewohnen, noch weitere, nutzlastspezifische Gefahren hinzutreten. Selbstverständlich kann die vorliegende Darstellung aber nicht den Anspruch erheben, all diese bereits heute schon unerschöpflichen und aufgrund neuer Nutzungskonzepte von UAS ständig wachsenden Sondergefahren zu beherzigen. Vielmehr soll eine thematische Beschränkung auf die Gefahren des Lufttransportsystems an sich, also auf das eigentliche UAS, vorgenommen werden. Die Abgrenzung, ob eine bestimmte technische Komponente Bestandteil des Lufttransportsystems oder aber Nutzlast ist, soll dabei danach erfolgen, ob diese Komponente für den Flugbetrieb und die Flugsicherheit technisch notwendig ist oder lediglich sekundären Zwecken dient. 3. Unterscheidung: Inhärente und intendierte Gefahren Weiterhin sind auch inhärente von intendierten Gefahren zu unterscheiden. Während inhärente Gefahren der verwendeten Technologie selbst innewohnen, geht es bei intendierten Gefahren um solche, die bewusst und absichtlich (etwa von dem Steuerer) herbeigeführt werden. Als solche intendierten Gefahren gelten insbesondere solche, die dadurch entstehen, dass das UAS bewusst als Waffe missbraucht und zu diesem Zweck bspw. mit Sprengsätzen129 oder Chemiewaffen130 bestückt wird. Auch an einer deutschen Schule gab es bereits einen diesbezüglichen „Drohnen-Alarm“, als ein Unbekannter per E-Mail angedroht hat, mittels eines unbemannten Luftfahrzeugs gesundheitsgefährdende Stoffe über einer Schule abzuwerfen.131 Auch im Rahmen der von dem Bundesverband der Deutschen Luftverkehrswirtschaft e. V. in Auftrag gegebenen repräsentativen Umfrage wurden solche intendierten Gefahren schließlich als äußerst relevant angesehen.132 Neben einer intendierten Personenverletzung könnten UAS aber auch zur Auskundschaftung zukünftiger Tatorte für noch in Vorbereitung befindliche Verbrechen anderer Art sowie zur Ausforschung und Spionage missbraucht werden. Diese Gefahren hat auch der Verordnungsgeber erkannt und verbietet aus diesem Grund etwa den Transport von Explosivstoffen, von radioaktiven Stoffen, 129 Vgl. hierzu etwa Söldner, PC Welt-Beitrag v. 17.01.2017, IS wirft Bomben im Irak per Drohne ab. 130 derStandard.at-Beitrag v. 18.02.2017, Experten warnen vor Einsatz von Chemiewaffen per Drohne. 131 Ostthüringer Zeitung-Beitrag v. 02.03.2017, Drohnen-Alarm an Schule: Unbekannter droht mit gefährlichen Stoffen. 132 BDL, Chancen und Risiken ziviler Drohnen, Folie 11.
74
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
von gefährlichen Stoffen, von bestimmten sonstigen chemischen und biologischen Stoffen sowie von pyrotechnischen Gegenständen (§ 21b Abs. 1 Nr. 10 LuftVO).133 Weiterhin wurde mit derselben Vorschrift auch der Transport von „Gegenständen, Flüssigkeiten oder gasförmigen Substanzen, die geeignet sind, bei Abwurf oder Freisetzung Panik, Furcht oder Schrecken bei Menschen hervorzurufen“, verboten. Neben dem Verbot der in der Nr. 10 genannten Substanzen dient auch bereits das Überflugverbot von Menschenansammlungen (vgl. § 21b Abs. 1 Nr. 2 LuftVO) dem Schutz des Missbrauchs eines unbemannten Fluggeräts als Waffe.134 Zum Schutz vor Ausforschung und Spionage wurde zudem auch der Betrieb von UAS über und in einem seitlichen Abstand von 100 m von besonders gefährdeten Gebieten und Gebäuden wie Industrieanlagen, Justizvollzugsanstalten und militärische Anlagen (§ 21b Abs. 1 Nr. 3 LuftVO), Verfassungsorganen, obersten und oberen Bundesoder Landesbehörden sowie Liegenschaften der Polizei und anderen Sicherheitsbehörden (§ 21b Abs. 1 Nr. 4 LuftVO) verboten.135 Obgleich solche intendierten Gefahren für die Sicherheitsbewertung von UAS von äußerster Relevanz sind, so spielen diese (ohnehin mehrheitlich von der Nutzlast und nicht von dem Lufttransportsystem ausgehenden) Gefahren im Rahmen der vorliegenden Arbeit, die gerade die Gefahren der Automatisierung und Vernetzung aufdecken und minimieren will, mehrheitlich keine Rolle. Die weitere Darstellung der Gefahrenlage bei UAS soll sich daher auf technologieinhärente Gefahren beschränken. II. Gefahrenarten bei automatisierten und vernetzten UAS Selbst wenn eine Eingrenzung auf Gefahren des Lufttransportsystems vorgenommen werden soll und demnach nutzlastspezifische Gefahren ausgeblendet werden, so existieren dennoch verschiedene Arten von Gefahren, die sich bei dem Einsatz von UAS realisieren können. Diese sind dabei zunächst mehrheitlich (mit Ausnahme der Gefahren der automatisierten Entscheidungsfindung) nicht automatisierungs- oder vernetzungsspezifisch, sondern bestehen generell auch bei heteronomen, also ferngesteuerten UAS. 1. Gefahr der Kollision und des Absturzes In der von dem Bundesverband der Deutschen Luftverkehrswirtschaft e. V. in Auftrag gegebenen repräsentativen Umfrage wurde die Gefahr von Unfällen mit UAS aufgrund von Kollisionen und Abstürzen mit 76 % Eintrittswahrscheinlichkeit
133
Hierzu BR-Drs. 39/17, S. 27. BR-Drs. 39/17, S. 23. 135 Hierzu BR-Drs. 39/17, S. 24. 134
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
75
als eher hoch eingeschätzt.136 Und auch für den Gesetz- und Verordnungsgeber stellt die Gefahr von Kollisionen und Abstürzen ein elementares Risiko von UAS dar. a) Gefahr der Kollision Die Gefahr der Kollision eines UAS mit einem anderen bemannten oder unbemannten Luftfahrzeug oder mit einem sonstigen Objekt sowie unmittelbar mit einer Person rührt von der kinetischen Flugenergie des UAS her.137 Getreu der physikalischen Formel E (Kin) = ¹² mv², wobei E(Kin) die kinetische Energie (ausgedrückt in Joule), m die Masse des UAS und v dessen Geschwindigkeit bezeichnet, steigt das Schadensausmaß eines UAS im Falle einer Kollision linear mit seiner Masse und quadratisch mit seiner Geschwindigkeit an.138 Als Richtwert zur Unterscheidung harmloser von potentiell gefährlichen Kollisionen mit Personen wird dabei die 79-Joule-Grenze, die auf europäischer Ebene als Maximum für eine „Harmless“-Kategorie gilt, herangezogen.139 Setzt man in die obige Formel etwa exemplarisch die technischen Daten einer Transportdrohne ein, deren Abflugmasse heute bereits bis zu 14 kg betragen und die auch heute im Streckenflug bereits eine Fluggeschwindigkeit von 70 km / h erreichen kann,140 so ergibt sich hiernach im Falle einer ungebremsten Kollision im Flug bereits eine kinetische Aufprallenergie von circa 2645 Joule und damit ein etwa 33-Faches der 79-Joule-Grenze. Freilich stellt dies zwar lediglich eine stark vereinfachte Berechnung unter Außerachtlassung anderer Faktoren dar. Gleichwohl dürfte hierdurch das besondere Gefahrenpotential solcher UAS bei Kollisionen mit Menschen aber bereits deutlich werden. Zu beachten gilt hierbei, dass neben der kinetischen Energie des UAS im Zeitpunkt des Aufpralls noch weitere gefahrerhöhende Umstände wie etwa die Gefährlichkeit der scharfen, sich drehenden Propeller oder aber nutzlastspezifische Gefahren hinzutreten können. Doch auch bei Kollisionen mit Objekten ist das Schadenspotential von UAS nicht zu vernachlässigen. Dies gilt insbesondere bei Zusammenstößen mit bemannten Luftfahrzeugen. Selbst kleinere und handelsübliche UAS könnten, wenn diese bspw. in ein Flugzeugtriebwerk geraten, das Gefahrenpotential eines, bereits als gefährlich geltenden, Vogelschlags überschreiten. Grund hierfür ist, dass diese, anders als Vögel, nicht aus weichem Gewebe, sondern aus Metall und Hartplastik bestehen.141
136
BDL, Chancen und Risiken ziviler Drohnen, Folie 11. Ggf. in Addition mit der kinetischen Energie des kollidierenden Objekts. 138 BR-Drs. 39/17, S. 19. 139 BR-Drs. 39/17, S. 27 f. 140 Vgl. etwa Deutsche Post DHL Group, Factsheet DHL Paketkopter, S. 1. 141 BR-Drs. 39/17, S. 19. Hierzu auch Levin, Bloomberg-Beitrag v. 19.11.2015, Toy drones pose more risk to planes than birds, study says. 137
76
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Bereits Gegenstand der vorherigen Verordnungslage142 war aus diesem Grund das Verbot des Betriebs von UAS in einer Entfernung von weniger als 1,5 km von der Begrenzung von Flugplätzen (heute § 21a Abs. 1 Nr. 4 LuftVO). Zur weiteren Minimierung der Kollisionsgefahren hat der Verordnungsgeber nun die Einführung des sog. „Drohnenführerscheins“ (verpflichtender Kenntnisnachweis) für UAS ab 2 kg Startmasse (§ 21a Abs. 4 LuftVO) beschlossen, der seit dem 01.10.2017 verpflichtend ist. Hierdurch haben sich die Steuerpersonen betroffener UAS künftig vertieft mit deren Gefahren auseinanderzusetzen, was zu einer generellen Sensibilisierung und Schärfung des Verantwortungsbewusstseins führen soll.143 Die Notwendigkeit der Einführung des verbindlichen Kenntnisnachweises ergibt sich dabei gerade auch dadurch, dass geeignete technische Antikollisionsmaßnahmen wie Sense-and-Avoid-Systeme oder Geo Fencing bislang noch nicht standardisiert und nicht für alle Modelltypen verfügbar sind.144 Als weitere Konsequenz wurde der Flug in einer Höhe von mehr als 100 m generell verboten (§ 21b Abs. 1 Nr. 8 LuftVO), was der besseren Abgrenzung zur bemannten Luftfahrt in Höhen ab 150 m bei Sichtflug dienen soll.145 Schließlich wurde auch der Betrieb von UAS bei Nacht unter ein Verbot mit Erlaubnisvorbehalt gestellt (§ 21a Abs. 1 Nr. 5 LuftVO). Neben der Kollision mit Personen oder mit bemannten Luftfahrzeugen besteht eine Gefahr durch UAS aber etwa auch bei der Kollision mit Funk- oder Signalmasten, die mit einem Anlagenausfall einhergehen könnte, oder aber mit einem Schiff, was zu gefährlichen Situationen im Bereich der Gefahrgutschifffahrt führen kann.146 b) Gefahr des Absturzes Neben der Kollision eines UAS mit einer Sache oder einer Person stellt nach dem Verordnungsgeber auch die Möglichkeit eines Absturzes ein beachtliches Risiko dar.147 Während bei einer Kollision die kinetische Flugenergie des UAS von Relevanz ist, ist bei einem senkrechten Absturz ohne Eigenbeschleunigung dessen potentielle Höhenenergie beachtlich. Diese potentielle Energie wird physikalisch als E (Pot) = mgh ausgedrückt, wobei m erneut die Startmasse des UAS, h dessen Flughöhe ab dem freien Fall und g den Ortsfaktor (beinahe konstant 9,81 kgN) bezeichnet. Im Rahmen der Berechnung ist dabei aber auch die konkrete Bauart des UAS zu beachten, da etwa flugzeugähnliche UAS mit Tragflächen, anders als etwa Drehflügler oder Multikopter, nicht in einem freien Fall abstürzen, sondern bis zum Aufprall vielmehr unkontrolliert gen Boden gleiten würden. Schließlich bestimmt 142 Damals aber geregelt in § 20 Abs. 1 Nr. 1 lit. d LuftVO und aufgrund des damaligen generellen Erlaubnisvorbehalts für unbemannte Luftfahrtsysteme nur auf Flugmodelle anwendbar. 143 BR-Drs. 39/17, S. 22. 144 Vgl. BR-Drs. 39/17, S. 21 f. 145 BR-Drs. 39/17, S. 26. 146 BR-Drs. 39/17, S. 24 f. 147 Vgl. BR-Drs. 39/17, S. 27 f.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
77
die konkrete technische Ausgestaltung des UAS auch über den zu erwartenden Luftwiderstand, der von der obigen Formel nicht berücksichtigt wird.148 Legt man dennoch diese vereinfachte Berechnungsformel zugrunde, so wird die bereits dargestellte 79-Joule-Grenze zur Unterscheidung von harmlosen zu gefährlichen Zusammenstößen mit Personen laut Verordnungsgeber regelmäßig bereits dann überschritten, wenn die Startmasse des UAS 0,25 kg oder dessen Flughöhe 30m überschreitet.149 Bereits ab 0,25 kg Startmasse sei laut Verordnungsgeber also ein Gefährdungspotential für unbeteiligte Dritte am Boden vorhanden.150 Als Konsequenz wurde mit der Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten151 eine Kennzeichnungspflicht für UAS ab 0,25 kg Startmasse eingeführt (§ 19 Abs. 3 LuftVZO).152 Und auch der bereits dargestellte „Drohnenführerschein“ dient ebenfalls der Prävention von Abstürzen aufgrund unqualifizierter Steuerpersonen.153 Über Gebieten und in Szenarien, die besonders gefahrgeneigt sind, wurde gem. § 21b Abs. 1 LuftVO der Betrieb von UAS gar völlig verboten. Dies betrifft etwa den Flug über Menschenansammlungen (§ 21b Abs. 1 Nr. 2 LuftVO),154 über Bundesfernstraßen, Bundeswasserstraßen und Bahnanlagen (§ 21b Abs. 1 Nr. 5 LuftVO),155 über Wohngrundstücken, wenn die Startmasse mehr als 0,25 kg beträgt (§ 21b Abs. 1 Nr. 7 LuftVO)156 sowie generell in Flughöhen über 100 m über Grund. 2. Gefahren für das Vertrauen in automatisierte Systeme Zu beachten gilt, dass Abstürze und Kollisionen, gleichermaßen aber auch Datenschutzverstöße nicht nur geeignet sind, die jeweils individuell betroffenen Interessen und Rechte zu verletzten. Vielmehr können derartige Ereignisse auch zu einem nachhaltigen und umfassenden Vertrauensverlust der Bevölkerung in solche Systeme führen. Auch die Ethik-Kommission zum automatisierten und vernetzten Fahren hat vor diesem Hintergrund festgestellt, dass automatisiertes Fahren „nur in dem Maße vertretbar [ist], in dem denkbare Angriffe, insbesondere Manipulationen des IT-Systems oder auch immanente Systemschwächen nicht zu solchen Schäden 148
Aus diesen Gründen verbietet sich hier die Vornahme einer Beispielrechnung. BR-Drs. 39/17, S. 27 f. 150 BR-Drs. 39/17, S. 16. 151 Verordnung v. 30.03.2017, BGBl. 2017 I, 683. 152 Hierzu BR-Drs. 39/17, S. 16. 153 Hierzu BR-Drs. 39/17, S. 12. 154 Hierzu BR-Drs. 39/17, S. 23; eine Menschenansammlung i. S. d. DrohnenVO ist nach der Verordnungsbegründung dabei eine „räumlich vereinigte Vielzahl von Menschen“, die so groß ist, „dass ihre Zahl nicht sofort überschaubar ist und es auf das Hinzukommen oder Weggehen eines Einzelnen nicht mehr ankommt“. Dies sei laut Verordnungsbegründung i. d. R. ab einer Ansammlung von zwölf Personen der Fall. 155 Hierzu BR-Drs. 39/17, S. 24 f. 156 Hierzu BR-Drs. 39/17, S. 26. 149
78
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
führen, die das Vertrauen in den Straßenverkehr nachhaltig erschüttern“157. Neben Abstürzen und Kollisionen sowie Datenschutzverstößen ist mit der hier vertretenen Auffassung insbesondere die Entwicklung souveräner Systeme, also von automatisierten Systemen, die sich etwa über Befehle des Menschen hinwegsetzen können, besonders anfällig, das Vertrauen der Bevölkerung in die Automatisierung nachhaltig und systemübergreifend zu zerstören.158 3. Gefahren für die Rechtssicherheit Werden bei einem solchen Absturz oder einer solchen Kollision Rechte oder Rechtsgüter verletzt und damit womöglich zivilrechtliche Haftungsansprüche begründet oder aber strafrechtliche Vorschriften verwirklicht, so stellt sich anschließend stets (auch bereits im Rahmen heteronom gesteuerter Systeme) die Frage der Verantwortlichkeit.159 a) Zahlreiche Haftungsadressaten und Anspruchsgrundlagen Als Verantwortlicher kommt dabei zunächst der jeweilige Betreiber des Systems, im Fall von UAS also der Luftfahrzeughalter, oder aber der konkrete Nutzer des Systems zum Unfallzeitpunkt, im Fall von UAS also der Luftfahrzeugführer, in Betracht. Verantwortlicher kann weiterhin aber auch der Hersteller oder Importeur des Systems (mitsamt dessen Arbeitnehmern, Zulieferern oder Gehilfen) sein. Doch auch externe Dritte wie etwa Hacker, Passanten oder der Netzbetreiber kommen als Haftungsadressaten generell in Betracht.160 Im Falle einer Kollision mit einem anderen Luftfahrzeug (etwa mid-air Kollision) ist schließlich zu beachten, dass all diese bereits bei einem Einzelsystem existenten Akteure spiegelbildlich auch auf der Seite des anderen kollidierenden Systems vorhanden sind. Die Anzahl der bereits bei einem einzelnen UAS in Frage kommenden Akteure ist also stets mit der Anzahl der involvierten UAS zu multiplizieren. Ein rational entscheidender Geschädigter wird bei der Geltendmachung seines Anspruchs dabei stets den Weg des minimalsten Aufwands und des geringsten Widerstands wählen und sich daher auf diejenige Haftungsnorm stützen, die von ihm den geringsten Beweisaufwand verlangt. Da nicht alle Haftungsnormen aber auf alle oben dargestellten Akteure anwendbar sind, bestimmt die Wahl der zugrunde zu legenden Haftungsnorm mehrheitlich auch die Person des Haftungsgegners. Als Haftungsgrundlage mit dem geringsten Beweisaufwand für den Geschädigten 157 Ethische Regel Nr. 14 des BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 12. 158 Siehe 3. Teil, Kapitel 2, B., III., 1., d). 159 Hierzu umfassend auch Horner / Kaulartz, CR 2016, 7. 160 Vgl. auch Helmbrecht, Redebeitrag: Security and Liability in the Internet of Things, S. 5 f.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
79
kommt dabei im Rahmen von UAS zunächst eine Gefährdungshaftung des Fahrzeughalters in Betracht, vgl. § 33 Abs. 1 LuftVG (bzw. die Parallelnorm im Straßenverkehrsrecht, § 7 Abs. 1 StVG161). Ein vergleichbar geringer Beweisaufwand besteht im Rahmen des Straßenverkehrsrechts zwar auch gegenüber dem Fahrzeugführer (vgl. § 18 Abs. 1 StVG). Aufgrund der hierbei möglichen Exkulpation ist dies aber, im Vergleich zu der Gefährdungshaftung, bereits mit erweiterten Rechtsunsicherheiten bzw. einem erweiterten Beweisaufwand für den Geschädigten verbunden. Im Rahmen des Luftverkehrsrechts existiert eine solche spezialgesetzliche Haftung des Luftfahrzeugführers dagegen gar nicht.162 Eine Haftung gegenüber dem Hersteller oder Importeur aus dem Produkthaftungsrecht kann gem. §§ 1 Abs. 1, 3 ProdHaftG dagegen nur dann geltend gemacht werden, wenn die Rechtsgutverletzung durch einen Produktfehler ausgelöst wurde, für den (sowie für den Schaden und den ursächlichen Zusammenhang zwischen Fehler und Schaden) der Geschädigte gem. § 1 Abs. 4 ProdHaftG die Beweislast trägt. Obgleich hierfür ein Anscheinsbeweis des Geschädigten ausreichend sein soll, nach dessen Erbringung vielmehr der Hersteller den Gegenbeweis zu erbringen hat,163 hat auch die Europäische Kommission bereits festgestellt, dass die Praxis in Deutschland meist anders aussieht und der Geschädigte vor Gericht i. d. R. die genaue Art des Fehlers des Produkts präzise nachweisen muss.164 Dieser Nachweis sei jedoch nur schwer zu erbringen und zudem mit Kosten, etwa für Gutachten, verbunden.165 Diese Beweislast sorgt insbesondere im Kontext komplexer und nur schwer zu durchdringender automatisierter CPS demnach für erhebliche Hürden für den Geschädigten,166 sodass dieser nur subsidiär aus dem ProdHaftG Schadensersatz fordern wird. Hier führt auch die sog. „deliktische Produzentenhaftung“, die richterrechtlich im Rahmen des § 823 BGB entwickelt wurde und eine Beweislastumkehr zugunsten des Geschädigten bezweckt, nicht weiter. Denn von dieser Beweislastumkehr ist lediglich der Nachweis über das Verschulden des Herstellers umfasst.167 Alle anderen Tatbestandsmerkmale sind dagegen weiterhin von dem Geschädigten selbst nachzuweisen, sodass sich in dieser Hinsicht hier kein Vorteil gegenüber der generell verschuldensunabhängigen Haftung aus dem ProdHaftG ergibt. 161
Vgl. hierzu etwa König, JR 2017, 323, 325 f. Im Rahmen des Luftverkehrsrechts existiert neben der Haftung des Luftfahrzeughalters im Wesentlichen lediglich eine Haftung des Luftfrachtführers für Personen und Gepäck, die in dem Luftfahrzeug befördert werden (vgl. §§ 44 ff. LuftVG). 163 Vgl. hierzu etwa Gomille, JZ 2016, 76, 78; Jänich / Schrader / Reck, NZV 2015, 313, 316. 164 KOM(2011) 547 endgültig, S. 8; vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 10. 165 KOM(2011) 547 endgültig, S. 8. 166 So auch Borges, CR 2016, 272, 274 f.; vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 10. 167 Vgl. Spindler, in: Hilgendorf, Robotik im Kontext von Recht und Moral, S. 76; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 777. 162
80
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Gegenüber anderen Akteuren, wie im Falle von UAS etwa auch gegenüber dem konkreten Luftfahrzeugführer zum Zeitpunkt des Unfalls, verbleibt im Wesent lichen nur noch ein Rückgriff auf § 823 BGB. Hier hat der Geschädigte aber (neben dem Bestehen einer rechtswidrigen Handlung, einer Rechtsgutverletzung, eines Schadens sowie eines Kausalzusammenhangs zwischen Handlung, Rechtsgutverletzung und Schaden) auch das Verschulden des Haftungsgegners in vollem Umfang zu beweisen. b) Konsequenz: „Legal Causes of Trouble“ Als Zwischenergebnis lässt sich bereits festhalten, dass, obwohl verschiedenste Akteuren für einen Unfall mit einem UAS verantwortlich sein können, der Geschädigte aus Gründen der Einfachheit und Rechtssicherheit zunächst stets gegen den Fahrzeughalter vorgehen wird.168 Dieser muss aufgrund der Gefährdungshaftung auch dann in erster Linie für den Schaden einstehen, wenn er tatsächlich nicht für den Unfall verantwortlich war. Möchte man an dieser Stelle einwenden, dass dies nun einmal der Rechtsnatur der Gefährdungshaftung entspricht und aus Gründen des Opferschutzes auch billig und begrüßenswert ist, so muss dem zwar grundsätzlich zugestimmt werden. Immer dann, wenn ein Akteur ohne Möglichkeit zur Exkulpation haftbar gemacht werden kann, muss diesem im Gegenzug aber zumindest eine realisierbare Möglichkeit zum Regress zugestanden werden, wenn tatsächlich keine seiner Handlungen ursächlich für die eingetretene Rechts- oder Rechtsgutverletzung war, sondern der kausale Ursprung bei einem Dritten zu suchen ist. Während die Zuordnung der Haftbarkeit zu dem Fahrzeughalter demnach zunächst nur temporär und zu Zwecken der Rechtssicherheit für den Geschädigten erfolgt, soll im Rahmen des anschließenden Regresses eine endgültige Haftungszuordnung zu dem wahren Verantwortlichen vorgenommen werden. Zur Geltendmachung eines solchen Regressanspruchs gegen einen Dritten hat der Regresssuchende, hier also der Luftfahrzeughalter, aber dann selbst die bereits dargestellte Beweislast zu tragen.169 Insbesondere bei automatisierten und vernetzten 168 So im Kontext des automatisierten Fahrens wohl auch König, JR 2017, 323, 325 ff.; Armbrüster, ZRP 2017, 83, 84 f. 169 Bspw. dann, wenn der Regresssuchende die Schadensersatzforderung des Geschädigten unter Abtretung dessen Schadensersatzanspruchs gegen den Dritten beglichen hat, der Dritte dem Regresssuchenden aber gem. § 404 BGB dieselben Einwendungen (und damit Beweislastregelungen) entgegensetzen kann, die zur Zeit der Abtretung auch gegenüber dem Geschädigten bestanden haben, vgl. Schmid / Wessels, NZV 2017, 357 in Fn. 26. Weiterhin kommt auch in Betracht, dass zwischen dem Regresssuchenden und dem Dritten ein Gesamtschuldverhältnis vorliegt (insbesondere in der Konstellation Fahrzeughalter – Hersteller), sodass die Forderung des Geschädigten gegen den Dritten gem. § 426 Abs. 2 BGB auch automatisch auf den Regresssuchenden übergehen kann. Siehe hierzu noch 4. Teil, Kapitel 1, A., II., 1.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
81
CPS wird ein solcher Nachweis aufgrund der Komplexität der Systeme (und damit der Vielzahl am Entstehungsprozess des Systems beteiligter Akteure) sowie aufgrund der Komplexität der Operationsumgebungen (und damit der Vielzahl denkbarer externer Akteure) für den Regresssuchenden aber zunehmend versperrt sein.170 Insbesondere dann, wenn ab der Stufe der Hochautomatisierung automatisierte Systeme nicht mehr dauerhaft überwacht werden brauchen, wird zudem die Anzahl an Unfallzeugen mehr und mehr abnehmen, was die rechtliche Stellung des Regresssuchenden weiter verschlechtern wird. Dies wird bei zumindest hochautomatisierten und vernetzten CPS im Ergebnis zu einer faktischen Haftung ohne Regressmöglichkeit zu Lasten des primär Haftenden171 führen, welche letztendlich auch mit dem Grundgedanken der Gefährdungshaftung nur noch schwerlich vereinbar ist. Dort, wo dagegen keine Gefährdungshaftung existiert, führt dieses Defizit zwar nicht zu einer Haftung ohne Regressmöglichkeit zu Lasten des primär Haftenden, jedoch zu Haftungslücken zu Lasten des Geschädigten. Einer adäquaten und fairen Haftung desjenigen Akteurs, der tatsächlich ursächlich für eine Rechtsoder Rechtsgutverletzung war, kann hierdurch jedenfalls zukünftig nicht mehr ausreichend Rechnung getragen werden. Diese insbesondere bei automatisierten und vernetzten CPS verstärkt bestehenden172 Gefahren für die Rechtssicherheit sollen im weiteren Fortgang auch als Legal Causes of Trouble bezeichnet werden. Während aus diesem Grund derzeit sogar eine Reformierung der hinter dem ProdHaftG stehenden Europäischen Produkthaftungsrichtlinie RL 85/374/EWG im Raum steht, um so dem Geschädigten gegenüber etwa Beweiserleichterungen zuzugestehen,173 kann dieses Defizit mit der hier vertretenen Auffassung (ggf. ergänzend) auch durch den Einsatz geeigneter „technischer Zeugen“ (sog. „Event Data Recording“) ausgeglichen werden, wie an späterer Stelle noch dargestellt werden wird.174
170
So auch Europäische Kommission, Draft Agenda for the Liability Workshop, S. 3; vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 3 f. 171 Bzw. zu Lasten der gem. § 43 Abs. 2 LuftVG obligatorischen Haftpflichtversicherung. 172 Siehe 3. Teil, Kapitel 2, B., III. 173 Etwa dadurch, dass der Nachweis eines Produkt-„fehlers“ zukünftig nicht mehr erforderlich ist, sondern es ausreicht, den eingetretenen Schaden sowie den bestimmungsgemäßen Gebrauch des Produkts nachzuweisen, vgl. vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 13 oder mittels einer Beweislastumkehr bezüglich des Vorliegens eines Produktfehlers, vgl. BEUC, Diskussionspapier: Review of Product Liability Rules, S. 7. 174 Siehe 3. Teil, Kapitel 3, B., I. So auch das Ergebnis von Horner / Kaulartz, CR 2016, 7, 10.
82
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
c) Exkurs: Einführung einer „ePerson“ zur Wiederherstellung der Rechtssicherheit? Aufgrund dieser Beweisschwierigkeiten sind bereits seit längerem Stimmen zu vernehmen, die für Roboter eine sog. „ePerson“ einführen und diesen damit zukünftig als eigenes Haftungssubjekt anerkennen möchten.175 Da eine solche ePerson lediglich fingiert wird und Roboter über kein eigenes Vermögen, also auch über keine Haftungsmasse, verfügen, soll mit der Einführung der ePerson zeitgleich auch eine Versicherungspflicht für diese eingeführt werden, über welche die etwaigen Haftungsansprüche letztendlich abgewickelt werden können.176 Die Einführung einer solchen ePerson stellt jedoch nur eine unbefriedigende Antwort auf die dargestellte Beweisproblematik dar. Denn während durch das Rechtssubjekt der ePerson zwar die Außenhaftung eines Roboters geklärt werden könnte, bleibt die Problematik hinsichtlich der Feststellbarkeit der Fehlerursache und damit der Identifizierbarkeit des tatsächlich Verantwortlichen weiterhin ungelöst. Die ePerson schafft damit nur einen weiteren Haftungsgegner im Außenverhältnis, erleichtert aber nicht die Durchsetzung etwaiger Regressansprüche des in erster Linie Haftenden (hier der Pflichtversicherung). Im Rahmen des Luft- und Straßenverkehrsrechts existiert mit der Gefährdungshaftung des Fahrzeughalters aber bereits ein ausreichender Rechtsschutz des Geschädigten. Im Rahmen anderer automatisierter und vernetzter CPS existiert eine solche Gefährdungshaftung zwar nicht. Gleichwohl bemisst sich die Notwendigkeit zur Einführung einer Gefährdungshaftung aber stets anhand der Gefährlichkeit des konkreten Systems. Eine pauschale Gefährdungshaftung für alle automatisierten und vernetzten CPS – gleich welcher Bauform und Gefährlichkeit – i. S. e. umfassenden und unterschiedslosen Roboterhaftung würde mit der hier vertretenen Auffassung damit über den Sinn und Zweck der Gefährdungshaftung und damit über das Ziel hinausschießen. 4. Gefahren für Datenschutz- und Persönlichkeitsrechte Richtig erkannt hat der Verordnungsgeber ebenfalls, dass auch handelsübliche UAS für den Privatgebrauch bereits über hochauflösende Kameratechnik verfügen, die imstande ist, detaillierte Umgebungsaufnahmen anzufertigen und insofern auch die Privatsphäre Dritter zu beeinträchtigen.177 Dies hat in der Vergangenheit bereits zu zahlreichen Beschwerden und auch zu erfolgreichen Unterlassungsklagen geführt.178 175 Vgl. etwa Pieper, in: Taeger, Smart World – Smart Law?, S. 977 f.; Pieper, InTeR 2016, 188, 191 f. Richtigerweise aber ablehnend Heckmann, NJW-aktuell 20/2016, 3. Vgl. zu diesem und ähnlichen Haftungsansätzen auch Borges, NJW 2018, 977; Kluge / Müller, in: Taeger, Smart World – Smart Law?, S. 989 ff. 176 Vgl. hierzu Häuser, Deutscher AnwaltSpiegel 5/2017, 4. 177 BR-Drs. 39/17, S. 2. 178 Und auch bereits zu Gerichtsverfahren, vgl. AG Potsdam, Urt. v. 16.04.2015 – 37 C 454/13, ZD 2016, 236; hierzu Schmid, jurisPR-ITR 9/2016, Anm. 2.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
83
Im Rahmen der von dem Bundesverband der Deutschen Luftverkehrswirtschaft e. V. in Auftrag gegebenen repräsentativen Umfrage wurde die Störung der Privatsphäre sogar als wahrscheinlichste Gefahr eingeordnet (84 % Wahrscheinlichkeit).179 Obgleich solche Eingriffe in die Datenschutz- und Persönlichkeitsrechte oftmals von einer intendierten missbräuchlichen Nutzung von UAS ausgehen, so existieren diesbezügliche Bedenken aber auch technologieinhärent, wenn bestimmte Daten schlichtweg aufgrund technologischer Notwendigkeit erhoben und verarbeitet werden und personenbezogene Merkmale enthalten. Mit der DrohnenVO wurde versucht, dieser Gefahr dadurch zu begegnen, dass nun für besonders sensible Gebiete Überflugverbote ausgesprochen wurden. Dies betrifft insbesondere den Betrieb eines UAS über Wohngrundstücken, wenn das UAS oder seine Ausrüstung dabei in der Lage ist, optische, akustische oder Funksignale zu empfangen, zu übertragen oder aufzuzeichnen (§ 21b Abs. 1 Nr. 7 LuftVO) und der in seinen Rechten betroffene Eigentümer oder sonstige Nutzungsberechtigte dem Überflug auch nicht ausdrücklich zugestimmt hat.180 Neben der tatsächlichen Erhebung oder Verarbeitung personenbezogener oder -beziehbarer Daten ist dabei auch eine psychologische Komponente zu beachten. Denn auch die bereits heute handelsüblichen UAS, die beinahe immer mit Kameras ausgestattet sind, werden von den Passanten am Boden mittlerweile zwingend mit einer Beobachtung assoziiert. Dieses ständige Gefühl des Beobachtetwerdens kann bei den Betroffenen dabei einen Überwachungsdruck sowie einen Einschüchterungseffekt auslösen.181 Dies gilt grundsätzlich unabhängig davon, ob eine optisch-elektronische Erfassung durch das Luftfahrzeug tatsächlich stattfindet oder ob dieses überhaupt über eine solche optisch-elektronische Einrichtung verfügt. Die konkrete technische Ausgestaltung des UAS ist für den Betroffenen am Boden bereits aufgrund der Distanz nicht feststellbar.182 Ein UAS mit inaktiver oder keiner Kamera ist damit vergleichbar mit sog. „Dummy-Kameras“, also mit Kameraattrappen, für die das Vorliegen eines solchen Überwachungsdrucks und Einschüchterungseffekts bereits durch den BGH bestätigt wurde.183 Da in diesen Situationen keine tatsächliche Datenerhebung oder -verarbeitung stattfindet, ist hierbei dann nicht das Datenschutzrecht, sondern als Auffanggrundrecht das Allgemeine Persönlichkeitsrecht einschlägig.184 Dass von einem UAS auch außerhalb einer tat 179
BDL, Chancen und Risiken ziviler Drohnen, Folie 11. Hierzu BR-Drs. 39/17, S. 25. 181 So auch Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 158; Starnecker, Videoüberwachung zur Risikovorsorge, S. 26. Zu der sozialwissenschaftlichen Perspektive von Kameradrohnen vgl. auch Euler / Cobus / Koelle, DuD 2017, 147. 182 Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 159. 183 Vgl. etwa BGH, Urt. v. 16.11.2004 – 8 S 139/04, NJW-RR 2005, 1067, 1067 ff.; Scholz, in: Simitis, BDSG, § 6b BDSG Rn. 28. 184 Vgl. BGH, Urt. v. 16.11.2004 – 8 S 139/04, NJW-RR 2005, 1067, 1067; VG Oldenburg, Urt. v. 12.03.2013 – 1 A 3850/1, ZD 2013, 296, 298; Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 159. 180
84
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
sächlichen Datenerhebung eine persönlichkeitsrechtsbeeinträchtigende Belästigung ausgehen kann, wurde ebenfalls bereits von der Rechtsprechung bestätigt.185 5. Gefahren für den Natur- und Lärmschutz Die Belästigung durch Lärm (53 % Wahrscheinlichkeit) sowie die Verschandelung der Landschaft (36 % Wahrscheinlichkeit) wurden im Rahmen der Umfrage des Bundesverbandes der Deutschen Luftverkehrswirtschaft e. V. zwar als eher subsidiäre Gefahren aufgefasst. Gleichwohl können UAS unter anderem aufgrund des von diesen emittierten Fluglärms mit der hier vertretenen Auffassung die Tier- und Pflanzenwelt beeinträchtigen. Aus diesem Grund hat auch der Verordnungsgeber nunmehr ein Überflugverbot von UAS über Naturschutzgebiete i. S. d. § 23 Abs. 1 BNatSchG, über Nationalparks i. S. d. § 24 BNatSchG sowie über weitere schützenswerte Gebiete festgelegt (§ 21b Abs. 1 Nr. 6 LuftVO).186 Doch auch außerhalb des Tier- und Naturschutzes gelten Lärmemissionen von UAS als genereller Störfaktor. Getreu dem Grundsatz „je größer, desto lauter“ wurde aus diesem Grund nunmehr der Betrieb von UAS mit mehr als 0,25 kg Startmasse über Wohngebieten (also über Gebieten, die dem Rückzug von Menschen dienen und daher besonders schützenswert sind) verboten (§ 21b Abs. 1 Nr. 7 LuftVO).187 6. Technikethische Gefahren Bei der Übertragung von Steuerungshoheit von dem Menschen auf die Maschine ist diese imstande, Entscheidungen zu treffen, die zwar objektiv nachvollziehbar sein mögen, sich aber dennoch in ethischer Hinsicht als problematisch erweisen. Zu befürchten ist in diesem Kontext, dass bei der Entscheidungsüberlassung an ein automatisiertes System dieses den Menschen verdinglicht und zum bloßen Objekt von Entscheidungen des Computers degradiert.188 Dies steht jedoch im Widerspruch zu dem bereits festgelegten Grundsatz, dass der Mensch nicht einfach einer ihn belastenden Entscheidung eines Computers „unterworfen“ werden darf.189 Letzteres hat auch der europäische Verordnungsgeber in Art. 22 DSGVO anerkannt, wobei eine ähnliche Regelung bereits in § 6a BDSG a. F.190 enthalten 185 Vgl. AG Potsdam, Urt. v. 16.04.2015 – 37 C 454/13, ZD 2016, 236; hierzu Schmid, jurisPR-ITR 9/2016, Anm. 2. 186 Hierzu BR-Drs. 39/17, S. 25. 187 Hierzu BR-Drs. 39/17, S. 26. 188 v. Lewinski, in: telemedicus, Überwachung und Recht, S. 16; v. Lewinski, in: Wolff / Brink, BeckOK Datenschutzrecht, § 6a BDSG a. F. Rn. 1. 189 Gola / Klug / Körffer, in: Gola / Schomerus, BDSG, § 6a BDSG a. F. Rn. 3. So auch BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 22. 190 Hierzu Gola / Klug / Körffer, in: Gola / Schomerus, BDSG, § 6a BDSG a. F. Rn. 3; v. Lewin ski, in: Wolff / Brink, BeckOK Datenschutzrecht, § 6a BDSG a. F. Rn. 3.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
85
war.191 Art. 22 Abs. 1 DSGVO sieht insofern vor, dass betroffene Personen „nicht einer ausschließlich auf einer automatisierten Verarbeitung […] beruhenden Entscheidung unterworfen [werden dürfen], die [diesen] gegenüber rechtliche Wirkung entfaltet oder [diese] in ähnlicher Weise erheblich beeinträchtigt“. Besonders hervorzuheben ist dabei der Wortlaut der Norm, der von einer „Unterwerfung“ unter maschinelle Entscheidungen spricht. Ausnahmen hiervon enthält zwar Art. 22 Abs. 2 DSGVO, diese sind jedoch äußerst restriktiv gefasst. Zudem sieht Art. 35 Abs. 3 lit. a DSGVO in diesen Fällen die zwingende Durchführung einer Datenschutz-Folgenabschätzung vor. Die Gefahr der Objektivierung des Menschen zeigt sich insbesondere in Dilemma-Situationen, in denen das UAS mangels schadloser Alternativen zwingend eine Einzelentscheidung mit negativen Auswirkungen für einen Betroffenen fällen muss. Dies kann etwa dann der Fall sein, wenn dem UAS im drohenden Kollisionsfalle nur begrenzte Ausweichmöglichkeiten zur Verfügung stehen und jede einzelne mit der Verletzung von Rechten oder Rechtsgütern einer Person einhergehen würde, eine Schädigung also unausweichlich ist (bspw. wenn sich das UAS auf Kollisionskurs mit einem Luftfahrzeug befindet und das einzig durchführbare Ausweichmanöver ein Abdriften zu einer Seite ist, dies aber mit der Kollision mit einem anderen Luftfahrzeug verbunden wäre). Jedenfalls in den Fällen, in denen zwei nicht-gleichrangige Rechte oder Rechtsgüter betroffen sind, muss auf eine Schadensminimierung hingewirkt werden. Hierbei kommt es auf eine technikethische Ausgestaltung des UAS an. Diese muss die unserer Gesellschaft zugrundeliegende Werteordnung (etwa der Grundsatz des Vorrangs von Sachschäden zur Vermeidung von Personenschäden192) verinnerlichen. Dies erfordert aber mehr als nur die Anwendung von bereits bekannten ethischen Grundsätzen auf die zu gestaltende Technik und insofern mehr als nur die schlichte Programmierung etwa einer bereits vorliegenden Priorisierungstabelle von Rechten und Rechtsgütern. Vielmehr müssen diese ethischen Grundsätze von der Gesellschaft und dem Gesetzgeber mehrheitlich überhaupt erst gefunden und eruiert werden. Im Kontext des automatisierten Fahrens kann dabei bereits auf die Ergebnisse der Ethik-Kommission zum automatisierten und vernetzten Fahren zurückgegriffen werden.193 Auch für andere Kategorien automatisierter und vernetzter CPS können die Ergebnisse der Ethik-Kommission aufgegriffen und zugrunde gelegt werden.
191
Vgl. hierzu im Kontext des automatisierten Fahrens bereits Weichert, SVR 2014, 241, 241 f. Auch bei den Neuregelungen zum vollständig automatisierten Erlass eines Verwaltungsakts hat der Gesetzgeber aus diesem Grund in § 35a VwVfG vorgesehen, dass automatische Einrichtungen zu diesem Zweck nur dann zum Einsatz kommen dürfen, wenn für den Erlass des Verwaltungsakts weder ein Ermessen noch ein Beurteilungsspielraum besteht, es sich also um gar keine „Entscheidung“ i. e. S. handelt. Zu den Neuregelungen Schmid, jurisPR-ITR 3/2017, Anm. 2; Schmid / Heudecker, jurisPR-ITR 8/2017, Anm. 2. 192 BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 17. 193 BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren.
86
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Spätestens aber dann, wenn in solchen Dilemma-Situationen auf beiden Seiten gleichrangige Rechte betroffen und insbesondere dann, wenn auf beiden Seiten Menschenleben gefährdet sind (vgl. hierzu das sog. „Trolley-Problem“194), darf aufgrund des absoluten Lebensschutzes eine solche Priorisierung nicht erfolgen. Eine emotionslose und nach ausschließlich objektiven Kriterien erfolgende Abwägung der konfligierenden Interessen (etwa Opferung weniger Menschenleben, um viele zu schützen oder Opferung alter Menschen, um junge zu schützen) ist dann schon wegen der Menschenwürdegarantie aus Art. 1 Abs. 1 GG abzulehnen.195 Im Vergleich zu dem automatisierten Straßenverkehr stellt sich die Brisanz dieser Problematik in der Luftfahrt aber etwas entschärfter dar. Denn Luftfahrzeuge sind an keine vorgegebene Straßenführung gebunden, diese können sich vielmehr auf allen drei Ebenen frei bewegen. Aufgrund dieser erweiterten Ausweichmöglichkeiten sollten derartige Dilemma-Situationen nur äußerst selten vorkommen und daher eher vernachlässigbar sein. III. Gefahrenquellen bei automatisierten und vernetzten UAS Während bei heteronomen, also menschlich ferngesteuerten UAS die Ursachen dieser Gefahren zuvorderst bei der menschlichen Steuerperson (bspw. aufgrund einer fehlerhaften Bedienung, einer unzureichenden Wartung oder eines Einsatzes bei ungeeigneten Bedingungen) und nur ergänzend in der technischen Ausgestaltung des UAS zu suchen sind, nimmt der menschliche Einflussfaktor und damit auch die menschliche Ursächlichkeit für diese Gefahren mit steigendem Automatisierungsgrad stetig ab. Dies gilt insbesondere ab der Stufe der Hochautomatisierung, also ab dem Automatisierungsgrad, bei dem die Steuerperson das System nicht mehr dauerhaft überwachen und nur noch nach Aufforderung kontrollierend eingreifen muss.196 Zu unterscheiden sind dabei einerseits Gefahrenquellen, die auf die Automatisierung zurückzuführen sind und andererseits Gefahrenquellen, die vernetzungsspezifisch sind.197
194
Vgl. hinsichtlich der parallelen Problematik bei automatisierten Straßenfahrzeugen Lin, in: Maurer / Gerdes / Lenz / Winner, Autonomes Fahren, S. 78 f. Während es sich bei dem Trolley-Problem um eine Dilemma-Situation handelt, bei der die Abwägung zwischen zwei fremden Menschenleben im Raum steht, ist von dem sog. „Brett des Karneades“ die Rede, wenn das eigene Leben in Konflikt mit einem fremden Menschenleben steht, vgl. hierzu Weber, NZV 2016, 249, 249. 195 Vgl. auch BVerfG, Urt. v. 15.02.2006 – 1 BvR 357/05, NJW 2006, 751, 758. 196 Siehe 2. Teil, Kapitel 2, A., III. 197 Vgl. hierzu etwa auch enisa, Baseline Security Recommendations for IoT, S. 34 f.
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
87
1. Automatisierungsspezifische Gefahrenquellen Als automatisierungsspezifische Gefahrenquellen kommen insbesondere technische Eigenheiten, technisches Versagen, souveräne Technikgestaltung und menschliche Heuristiken in Betracht. a) Technische Eigenheiten Nicht jedes mit dem Einsatz von automatisierten und vernetzten UAS einher gehende Risiko muss zwingend Folge eines technischen Defekts oder eines sonstigen Fehlers sein. Vielmehr existieren auch Gefahren, die zwingend mit der Technisierung im Allgemeinen oder der Automatisierung im Besonderen einhergehen, die also selbst dann nicht hinweggedacht werden könnten, wenn ein IT-System absolut fehlerfrei ausgestaltet wäre. Bspw. bedarf es zur technischen Realisierung automatisierter CPS zwingend des Einsatzes zahlreicher Sensorik sowie optisch-elektronischer Instrumente. Die damit einhergehende Datenerhebung und Umgebungsüberwachung stellen demnach technische Notwendigkeiten und damit technische Eigenheiten dieser Systeme dar, die automatisch zu den aufgezeigten datenschutz- und persönlichkeitsrechtlichen Bedenken oder aber zu dem dargelegten Überwachungsdruck und Einschüchterungseffekt führen können. Dies stellt jedoch kein technisches Versagen dar. Vielmehr ist festzustellen, dass mit steigendem Automatisierungsgrad naturgemäß auch die erforderliche quantitative und qualitative Intensität der Umgebungsdatenerfassung steigt.198 Anders ausgedrückt: die Menge und Qualität der Datenerfassung steigt (mindestens) linear mit dem zu realisierenden Automatisierungsgrad. Stellt man sich eine Zukunft vor, in der eine unüberschaubare Anzahl an UAS unseren Himmel bevölkert und dort zahlreichen Aufgaben für Staat und Wirtschaft nachgeht, wird weiterhin deutlich, dass die Schwere dieses Eingriffs in die Datenschutz- und Persönlichkeitsrechte letztendlich nochmals mit der Gesamtanzahl der zukünftig im Luftraum betriebenen UAS zu multiplizieren ist. Im Ergebnis wird der zunehmende Grad an Automatisierung sowie die zunehmende Anzahl automatisierter Systeme daher zu einer ubiquitären Datenerfassung führen. Dieser Entwicklung ist zukünftig durch eine entsprechend datensparsame und datenvermeidende Technikgestaltung entgegenzuwirken.199
198 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 16 f. 199 Etwa durch die unverzügliche Filterung und Anonymisierung / Pseudonymisierung der Daten nach der Datenerhebung oder durch eine unverzügliche Datenlöschung nach dem Ende der Erforderlichkeit. Vgl. zu einem solch abgestuften Datensparsamkeitskonzept auch Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 24.
88
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
b) Mehrfache Komplexität Die zunehmende Automatisierung von UAS geht stets auch mit einer zunehmenden Übertragung der Steuerungsgewalt von dem Menschen auf die Maschine einher. Dies kann, insbesondere ab der Stufe der Hochautomatisierung, bei der das UAS von einem Menschen nicht mehr dauerhaft überwacht werden braucht,200 zu den dargestellten Gefahren in Form von Abstürzen und Kollisionen führen, die ihrerseits stets mit Gefahren für die Rechtssicherheit einhergehen. aa) Komplexität automatisierter und vernetzter CPS Denn erstens stellen automatisierte und vernetzte UAS äußerst komplexe IT-Systeme dar,201 die sich aus einer Vielzahl verschiedener Hard- und Softwarekomponenten zusammensetzen, deren Zusammenspiel im Praxiseinsatz noch weitestgehend unerprobt ist. Diese Einzelkomponenten stammen zudem von unterschiedlichsten Entwicklern und Anbietern.202 Generell lässt sich sagen, dass mit steigendem Automatisierungsgrad auch der Komplexitätsgrad sowie die Anzahl an Akteuren und mit steigendem Grad an Komplexität und steigender Anzahl an Akteuren stets auch die Wahrscheinlichkeit zunimmt, dass das IT-System auch nach Markteinführung noch unter einem latent vorhandenen Produktfehler leidet.203 Die denkbaren Fehlerarten sind bei solch komplexen Systemen dabei unbegrenzt. Nur exemplarisch sei etwa an den Ausfall oder die Fehlinterpretation eines Sensors zu denken, der bzw. die dazu führt, dass ein Hindernis entweder nicht oder fehlerhaft erkannt wird, oder aber an den Ausfall eines zu schwachen Motors, den vorzeitigen Kapazitätsverlust eines unzureichenden Akkus oder aber generell an Softwareabstürze und -ausfälle. Bereits diese Komplexität des automatisierten und vernetzten CPS selbst sowie die Anzahl der an der Entwicklung eines solchen Systems beteiligten Akteure führen zu den dargestellten Gefahren. bb) Komplexität der Operationsumgebungen Zweitens werden UAS zukünftig aber auch in äußerst komplexen Umgebungsszenarien betrieben werden, die nicht nur eine präzise Erkennung und Vermeidung 200
Siehe 2. Teil, Kapitel 2, A., III. Hierzu auch Schulz, Verantwortlichkeit bei autonom agierenden Systemen, S. 77; Schulz, NZV 2017, 548, 550. 202 So auch Europäische Kommission, Draft Agenda for the Liability Workshop, S. 3. 203 So auch Schmid / Wessels, NZV 2017, 357, 359. 201
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
89
von beweglichen oder unbeweglichen, in der Luft oder auf der Erde befindlichen Hindernissen erfordern, sondern in denen UAS etwa auch auf Umweltbedingungen wie Wind und Wetter adäquat reagieren müssen. UAS auch in diesen komplexen Situationen funktionssicher auszugestalten, stellt eine gewaltige technische Herausforderung dar. Neben der Gefahr von Kollisionen wird hierdurch auch das Risiko von Rechtsunsicherheiten nochmals gesteigert, da sich mit steigendem Komplexitätsgrad der Operationsumgebung und mit zunehmender Anzahl an involvierten Akteuren auch die Anzahl der in Betracht kommenden Haftungsgegner erhöht und die tatsächliche Ursache einer Kollision nochmals schwieriger festzustellen ist. cc) Konsequenz: „Unknown Causes of Trouble“ Die Eigenkomplexität automatisierter und vernetzter CPS sowie die Komplexität der verschiedensten Operationsumgebungen werden im Ergebnis dazu führen, dass diese Systeme zunehmend nicht mehr unter Laborbedingungen hinreichend getestet und mithin nicht mehr bereits „am Reißbrett“204, also während der Produktentwicklungsphase, sicher ausgestaltet werden können.205 Vielmehr werden zahlreiche Produktfehler bei automatisierten und vernetzten CPS erst im Praxiseinsatz feststellbar sein,206 was insbesondere in der anfänglichen Phase nach Markteinführung zu zahlreichen kritischen Situationen (Beinaheunfälle) oder aber zu tatsächlichen Unfällen führen wird. Diese automatisierten und vernetzten CPS nach der Markteinführung noch anhaftenden unbekannten Produktfehler sollen im weiteren Fortgang auch als Unknown Causes of Trouble bezeichnet werden. c) Abhängigkeit (von) der Technik Eine weitere Gefahrenquelle bei automatisierten und vernetzten CPS stellt aber auch die Abhängigkeit von der Technik dar, der sich der Mensch aussetzt, wenn er seine Steuerungsgewalt umfassend an eine Maschine abgibt und auf deren ordnungsgemäßes Funktionieren blind vertraut.207 Zudem kann aber auch die Technik von dem Vorhandensein bestimmter Ressourcen (bspw. Netzabdeckung) abhängig sein, um überhaupt ordnungsgemäß funktionieren zu können. 204 Heckmann / Schmid, Informatik-Spektrum 2017, 430, 432 f.; Schmid / Wessels, NZV 2017, 357, 359. 205 So auch Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 734; Schmid / Wessels, NZV 2017, 357, 359. 206 So auch das Europäische Parlement, 2015/2103(INL), S. 9. 207 Vgl. hierzu auch BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 23.
90
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Insbesondere ab der Stufe der Hochautomatisierung, bei der die Steuerperson das System nicht mehr dauerhaft zu überwachen braucht, sondern nur noch notfalls und nach Aufforderung eingreifen muss, besteht die Gefahr, dass die Steuerperson in Situationen, die eine Übernahme der Steuerung erforderlich machen, nicht mehr adäquat eingreifen kann. Dies wird insbesondere dann der Fall sein, wenn die Zeitspanne, die der Steuerperson zum Eingriff zugestanden wird, zu kurz bemessen ist (bspw. dann, wenn die Technik eine Gefahr zu spät registriert und aufgrund der technischen Grenzen der jeweiligen Automatisierungsstufe auf diese Gefahr auch nicht selbst risikominimierend reagieren kann).208 Die einer Steuerperson zur Ermöglichung einer adäquaten Reaktion einzuräumende notwendige Übernahmezeit ist dabei einerseits abhängig von der Komplexität der Gefahrensituation und andererseits von der Art der Nebentätigkeit, deren Erledigung der Steuerperson während des automatisierten Fluges / der automatisierten Fahrt zugestanden wird.209 Bereits im Rahmen des automatisierten Fahrens können bis zur Erkennung und adäquaten Reaktion auf eine Gefahr bis zu 12–15 Sekunden vergehen.210 Geht man davon aus, dass zukünftige automatisierte Systeme noch intelligenter und eigenständiger werden und damit auch auf kom pliziertere Situationen noch selbst reagieren können, dürfte die Notwendigkeit einer Steuerungsübernahme durch den Menschen auf äußerst komplexe Situationen beschränkt sein. Gerade diese Situationen werden aber nochmals eine erhöhte Übernahmezeit erfordern. Im Rahmen von UAS, bei denen sich die Steuerperson anders als beim automatisierten Straßenfahrzeug nicht „an Bord“ des Systems befindet, sondern dieses aus der Ferne teleoperiert wird, wird sich die notwendige Zeitspanne bis zur vollständigen Übernahme durch die Steuerperson aufgrund der hier zusätzlich hinzuzurechnenden Signalübertragungsdauer (sowohl hinsichtlich der Übertragung der Warnhinweise an die Steuerperson im Downstream als auch hinsichtlich der Übertragung der regulierenden Steuerungsbefehle an das UAS im Upstream) nochmals deutlich erhöhen. Insbesondere aber dann, wenn das UAS zum Übernahmezeitpunkt ein Gebiet mit schlechter oder nicht vorhandener Netzabdeckung passiert, wird ein manuelles Eingreifen der Steuerperson gar nicht mehr möglich sein. In solchen Situationen ist das UAS letztendlich sich selbst überlassen und der Gefahr schutzlos ausgeliefert.211 Diese Abhängigkeit von der Technik wird daher ebenfalls zu den dargestellten Gefahren beitragen. Vor allem die Rechtssicherheit wird dadurch, dass sich die menschliche Steuerperson ab der Stufe der Hochautomatisierung mehr und mehr von dem Verkehrsgeschehen abwenden darf (und eine solche bei automatisierten UAS gar nicht vor Ort anwesend ist), weiter leiden. Denn dies wird dazu führen, 208
Vgl. hierzu etwa Lin, in: Maurer / Gerdes / Lenz / Winner, Autonomes Fahren, S. 72. Vgl. GDV, Unfallforschung kompakt 57, S. 5. 210 GDV, Unfallforschung kompakt 57, S. 16. 211 So auch Schaefer, VersR 2017, 849, 851. 209
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
91
dass im Rahmen einer späteren Sachverhaltsaufklärung oftmals Augenzeugen fehlen werden, was den zur Exkulpation oder zur Durchsetzung eines Regressanspruchs erforderlichen Beweis weiter erschweren wird.212 Neben Rechtsunsicherheiten führt das Fehlen von Augenzeugen aber auch dazu, dass die Anzahl und insbesondere die Qualität der dem Hersteller zugehenden aussagekräftigen Kundenbeschwerden zukünftig rückläufig sein werden, dass dieser also auf eines seiner Hauptinstrumente der Produktbeobachtung, dem Beschwerdemanagement, immer weniger zurückgreifen können wird.213 Dieser Mangel ist durch ein technisches Substitut, also durch eine Art elektronischen Zeugen auszugleichen.214 d) Nichtdeterminismus und Techniksouveränität Die zunehmende Automatisierung geht stets auch mit dem zunehmenden Einsatz von künstlicher Intelligenz einher. Hierdurch werden vermehrt auch nichtdeterministische Systeme ermöglicht, die an einen starren Programmablauf nicht gebunden sind und die insofern auch Zustände annehmen und Aktionen ausführen können, die im Rahmen der Systementwicklung nicht vorgesehen waren. Gerade dieses unkalkulierbare Verhalten nichtdeterministischer Systeme kann zu den dargestellten Gefahren führen. Generell gilt dabei: Je autonomer und intelligenter ein CPS wird, umso schwieriger sind dessen Entscheidungen und Handlungen vorhersehbar.215 Der Begriff der Souveränität kommt zunächst aus dem Staatsorganisationsrecht und bezeichnet dort einen unabhängigen Staat mit eigenem Bestimmungsrecht.216 Im technischen Kontext stellt die Souveränität nach der hier vertretenen Auffassung die höchste derzeit denkbare Stufe der Automatisierung217 dar, bei der das System nicht nur ohne menschliche Steuerung autonom agieren, sondern sich menschlichen Steuerungsbefehlen sogar widersetzen und diese ignorieren kann oder aber die vorgegebenen Programmabläufe verlassen und eigene Abläufe selbst konstituieren kann. Letzteres wird insbesondere durch den Einsatz von künstlicher Intelligenz, genauer durch Machine Learning, begünstigt, wodurch automatisierte Systeme zunehmend imstande sind, neue Aktionen und Programmabläufe auch selbstständig zu erlernen. Obgleich die Souveränität, soweit ersichtlich, in den verschiedenen Automatisierungslehren bislang noch keine Erwähnung gefunden hat, wird vorgeschlagen, diese zukünftig als sechste Automatisierungsstufe anzuerkennen.
212
Siehe 3. Teil, Kapitel 2, B., II., 3., b). Die Auswertung eingehender Kundenbeschwerden wird dabei den sog. „passiven Produktbeobachtungspflichten“ zugeordnet, siehe 4. Teil, Kapitel 2, B., I., 1., a). 214 Siehe 3. Teil, Kapitel 3, B., I. 215 Vgl. Europäische Kommission, Draft Agenda for the Liability Workshop, S. 1. 216 Zandonella, Pocket Europa. EU-Begriffe und Länderdaten, S. 80; bpb, Souveränität. 217 Siehe 2. Teil, Kapitel 2, A., VI. 213
92
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Nicht geleugnet werden kann dabei zwar zunächst, dass auch für souveräne Applikationen generell sinnvolle Anwendungsszenarien existieren, etwa um im automatisierten Straßenverkehr unbeabsichtigte oder hektische Lenkbewegungen auszugleichen und damit Unfälle zu vermeiden oder aber um im automatisierten Luftverkehr unbewusst oder bewusst herbeigeführte Abstürze oder Kollisionen zu verhindern218. Gleichwohl gehen von souveränen Technologien aber auch zahlreiche äußerst kritische Gefährdungen, insbesondere für die IT-Sicherheit und die grundsätzliche Aufrechterhaltung der menschlichen Autonomie, aus. Mit der hier vertretenen Auffassung ist derzeit gar keine Technologie ersichtlich, die geeignet ist, das Vertrauen der Bürger in die Automatisierung gleich gravierend und nachhaltig zu zerstören wie die Techniksouveränität. Nicht verwunderlich ist daher, dass auch bereits in den im Jahr 1950 von dem russisch-amerikanischen Schriftsteller Isaac Asimov aufgestellten Robotergesetzen geschrieben stand: „A robot must obey the orders given it by human beings […]“219. e) Menschliche Heuristiken Wird von dem Gesetzgeber aufgrund des weitreichenden technischen Fortschritts von UAS auch ein gleichberechtigter Betrieb neben der bemannten Luftfahrt als denkbar betrachtet,220 so ist es gerade dieser menschlich-technische-Mischbetrieb, der eine weitere Gefahrenquelle für die oben aufgezeigten Gefahrenarten darstellt. Denn während Maschinen ihre Entscheidungen stets anhand von objektiven Kriterien treffen, spielen beim Menschen auch Erfahrungswerte sowie subjektive Empfindungen (sein „Gespür“ bzw. „Heuristiken“221) mit, die erstens für das technische Gegenüber nur schwer determinierbar sind und zweitens mitunter auch zu unbegründeten und daher irrationalen sowie impulsiven Entscheidungen führen können. Aus diesen Gründen wird bei der zukünftigen Entwicklung automatisierter Systeme stets auch eine psychologische Komponente relevant werden. Dem automatisierten System werden auch die denkbaren menschlichen Verhaltensweisen nähergebracht werden müssen. Dieses wird demnach lernen müssen, in bestimmten Situationen auch von objektiven Berechnungen abzuweichen. Hier wird insbesondere auch der Einsatz von Machine Learning relevant werden, sodass die automatisierten Systeme während ihres Betriebs Praxiserfahrungen sammeln und ihre Verhaltensweise gegenüber menschlichen Betreibern somit mehr und mehr optimieren können.
218
Siehe 2. Teil, Kapitel 2, A., VI. Asimov, I, Robot, vor Introduction. 220 BT-Drs. 17/8098, S. 14. 221 Vgl. hinsichtlich der parallelen Problematik bei automatisierten Straßenfahrzeugen Krieger-Lamina, Vernetzte Automobile, S. 57. 219
Kap. 2: Ambivalenz der Automatisierung und Vernetzung
93
2. Vernetzungsspezifische Gefahrenquellen Neben der Automatisierung kann aber auch die Vernetzung von UAS Gefahrenquelle für die oben dargestellten Gefahrenarten sein. Das Bereithalten einer Kommunikationsschnittstelle begünstigt insofern die Entstehung von informations sicherheitstechnischen Gefahren222, die wiederum durch unberechtigte Dritte zur Übernahme der Steuerung des UAS („Hijacking“) oder aber zur Auslesung und Manipulation von auf dem UAS gespeicherten Informationen ausgenutzt werden können.223 Neben dem klassischen Hacking kann hierfür etwa auch Malware (bspw. Viren, Trojaner, Ransomware) zum Einsatz kommen.224 Ebensolche vernetzungsspezifischen Sicherheitslücken wurden im Rahmen eines via WLAN gesteuerten unbemannten Luftfahrzeugs bereits nachgewiesen.225 Doch auch professionelle und mehrere zehntausend Euro teure Polizeidrohnen wurden schon erfolgreich „gekapert“,226 was auch in Anbetracht der Tatsache, dass derzeit über den Einsatz bewaffneter UAS-Pol diskutiert wird,227 das besondere Gefährdungspotential der Vernetzung verdeutlicht. Angriffe auf UAS können dabei sowohl vom Boden aus als auch durch andere, in der Nähe befindliche UAS erfolgen. Zur Demonstration eines solchen letztgenannten „Luft-zu-Luft-Angriffs“ hat etwa der amerikanische Sicherheitsexperte Samy Kamkar bereits eine eigene „Hacking-Drohne“ namens SkyJack vorgestellt, die imstande ist, während des Flugs andere UAS mit einem JavaScript-Code zu infizieren und auf diesem Weg die vollständige Steuerung über das somit gekaperte UAS zu übernehmen.228 Nach der Aussage Kamkars verfolge SkyJack dabei die Aufgabe, „automatisiert andere Drohnen innerhalb der WLAN-Distanz aufzuspüren, zu hacken und drahtlos zu übernehmen, wodurch eine Armee von Zombie-Drohnen unter der Kontrolle [des Angreifers] entsteht“229. 222
Siehe zu dem Begriff der Informationssicherheit 4. Teil, Kapitel 2, A., I. Das immanente IT-Sicherheitsrisiko, das mit der Vernetzung von IT-Systemen einhergeht, ist aber auch bei anderen Smart Devices zu beobachten und betrifft sogar derart kritische Produkte wie etwa vernetzte Herzschrittmacher, vgl. FDA-Safety Communication v. 09.01.2017, Cybersecurity Vulnerabilities Identified in St. Jude Medical’s Implantable Cardiac Devices and Merlin@ home Transmitter. Vgl. zu den verschiedenen Angriffsszenarien vernetzter Systeme auch Krauß / Waidner, DuD 2015, 383, 385 ff.; Biermann / Wiegold, Drohnen, S. 63 ff.; Bischof, in: Taeger, Chancen und Risiken von Smart Cams im öffentlichen Raum, S. 81; Schulz, Verantwortlichkeit bei autonom agierenden Systemen, S. 75 f.; v. Bodungen / Hoffmann, NZV 2016, 503, 505. 224 Vgl. enisa, Baseline Security Recommendations for IoT, S. 34. 225 Vgl. Donath, Übergizmo-Beitrag v. 04.04.2016, Schwups, die Drohne wurde im Flug vom Hacker entführt. 226 Vgl. Spiegel Online-Beitrag v. 03.03.2016, Dritte können Steuerung von Polizei-Drohne übernehmen. 227 Vgl. FAZ-Beitrag v. 27.08.2015, Polizei in North Dakota darf bewaffnete Drohnen einsetzen. 228 Hierzu Cenciotti, The Aviationist-Beitrag v. 16.12.2013, Hacker releases kit to make aerial drone capable to hijack other flying drones. 229 Frei übersetzt ins Deutsche von: „to autonomously seek out, hack, and wirelessly take over other drones within wifi distance, creating an army of zombie drones under your control“, Kamkar, SkyJack, http://samy.pl/skyjack/. 223
94
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Diese Gefahren könnten insbesondere dann, wenn UAS zukünftig nicht mehr nur über WLAN mit begrenzter Reichweite, sondern etwa über Mobilfunk mit weltweiten Zugriffsmöglichkeiten vernetzt werden, weiter eskalieren. Damit stellt sich bei vernetzten UAS letztendlich dieselbe Problematik wie auch bei anderen Gegenständen des Internets der Dinge: Die Vernetzung schafft enorme unmittelbare Angriffsflächen230 auf Smart Devices, die sich „in freier Wildbahn“ befinden und damit weder durch ausgefeilte Unternehmens-Firewalls oder Intrusion Detection Systeme abgeschirmt, noch im Notfall einfach ausgeschaltet oder vom Netzwerk getrennt werden können. Insbesondere letzterer Aspekt wird automatisierte und vernetzte Luft- und Straßenfahrzeuge auch zum Ziel sog. „Ransomware“, also von Erpressungs-Trojanern, werden lassen, bei der die Fahrzeugführer die Steuerungsgewalt über das Fahrzeug erst nach Bezahlung eines bestimmten Lösegelds (meist mit Bitcoins zu bezahlen) zurückerhalten.231 Diese Gefahr wurde im Rahmen des sog. „Jeep Cherokee Hacks“ bereits anschaulich unter Beweis gestellt, als die Sicherheitsforscher Charlie Miller und Chris Valasek 2014 erfolgreich das Kfz eines Journalisten von der Ferne aus übernommen hatten, der zu diesem Zeitpunkt mit über 100 km / h auf einer amerikanischen Autobahn unterwegs war.232 Durch sog. „Suchmaschinen für das Internet der Dinge“, wie diese derzeit am Entstehen oder bereits verfügbar sind (vgl. etwa die Suchmaschine „Shodan“233), können unsichere Smart Devices dabei zukünftig in Sekundenschnelle von überall auf der Welt ausfindig gemacht sowie angegriffen werden. Neben einem gezielten Angriff eines vernetzten CPS durch einen Hacker oder eine Schadsoftware kann die Vernetzung aber auch zu nicht-intendierten Gefahren führen, wenn etwa unterschiedliche Geräte des Internets der Dinge miteinander vernetzt werden, diese aufgrund mangelnder Interoperabilität und fehlender Standards234 aber nicht hinreichend kompatibel zueinander sind und daher fehlerhafte Ergebnisse, Entscheidungen oder Reaktionen hervorbringen. Neben einer Risikoerhöhung der Gefahren des Absturzes und der Kollision aufgrund einer feindlichen Steuerungsübernahme führt die Vernetzung aber auch zu einer Risikoerhöhung hinsichtlich der Gefahr von Rechtsunsicherheiten. Denn wird ein UAS aufgrund eines unberechtigten Zugriffs durch einen Dritten in einen Unfall verwickelt, so ist dieser Umstand und insbesondere die Identität des unberechtigten Dritten nur schwer feststellbar und nachweisbar. Die Durchsetzbarkeit eines Regressanspruchs des in erster Linie haftenden Luftfahrzeughalters gegen diesen Dritten ist damit äußerst unwahrscheinlich.
230
Vgl. enisa, Baseline Security Recommendations for IoT, S. 22 f. Vgl. hierzu enisa, Baseline Security Recommendations for IoT, S. 38. 232 Greenberg, wired-Beitrag v. 21.07.2015, Hackers remotely kill a jeep on the highway – with me in it. 233 https://www.shodan.io/. 234 Vgl. enisa, Baseline Security Recommendations for IoT, S. 55. 231
Kap. 3: Paradoxität der Automatisierung und Vernetzung
95
Kapitel 3
Automatisierung und Vernetzung als Verhinderer und Förderer von IT- und Rechtssicherheit: ein Paradoxon? Paradoxität der Automatisierung und Vernetzung
Als Ergebnis des vorangehenden Abschnitts lässt sich feststellen, dass die Automatisierung und die Vernetzung stets mit zahlreichen Risiken für die IT- und Rechtssicherheit einhergehen. Zwar ist, wie gezeigt wurde, stets jeder technische Fortschritt auch mit zahlreichen Risiken verbunden, denen zwar generell entgegenzuwirken ist, die aber bis zu einem gewissen Grad in Anbetracht der Vorteile technischer Entwicklungen auch hinzunehmen sind. Die Automatisierung und die Vernetzung erscheinen erstmalig aber gar Gegenspieler bzw. Verhinderer der IT- und Rechtssicherheit zu sein, da insbesondere aufgrund der Komplexität der Systeme und der Operationsumgebungen ein Entgegenwirken gegen bestimmte Gefahren beinahe aussichtslos erscheint. Gleichwohl ergeben sich gerade aufgrund der Automatisierung und der Vernetzung auch zahlreiche Chancen, nicht nur für die Wirtschaft, den Staat und für Private, sondern auch hinsichtlich einer Steigerung der IT- und Rechtssicherheit – vorausgesetzt diese werden ausreichend erkannt und umgesetzt. Hierdurch erscheinen die Automatisierung und die Vernetzung gar ein Förderer von IT- und Rechtssicherheit zu sein, was im Kontext zu der obigen Aussage paradox klingen mag.
A. Verhinderer von IT- und Rechtssicherheit: Legal Causes of Trouble und Unknown Causes of Trouble Werden aus den bereits dargestellten zahlreichen Gefahrenarten nur diejenigen herausgefiltert, die aufgrund der Automatisierung und Vernetzung erstmalig entstehen oder im Vergleich zu heteronomen Systemen eine deutliche Risikoerhöhung erleben, so lassen sich diese automatisierungs- und vernetzungsspezifischen Gefahren als Legal Causes of Trouble und Unknown Causes of Trouble zusammenfassen. Mit Legal Causes of Trouble werden dabei die dargestellten Gefahren für die Rechtssicherheit, also insbesondere die Gefahr der inadäquaten faktischen Haftung235 ohne Regressmöglichkeit zu Lasten des primär Haftenden, bezeichnet. Mit Unknown Causes of Trouble werden dagegen diejenigen (bislang unbekannten) Produktfehler und Produktgefahren bezeichnet, die sich bei automatisierten
235 Hierzu auch vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 4.
96
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
und vernetzten CPS nicht „am Reißbrett“236 eliminieren lassen und daher auch nach der Inverkehrgabe des Systems noch vorhanden sind. Als gemeinsame Ursachen dieser beiden Gefahrengruppen kommen insbesondere die bereits dargestellte Eigenkomplexität der automatisierten und vernetzten CPS,237 die Komplexität der verschiedensten Operationsumgebungen238 und die damit verbundene Unmöglichkeit der sicheren Systemausgestaltung „am Reißbrett“239 sowie die Vielzahl der in Betracht kommenden Haftungsanspruchsgegner240 in Betracht. Weiterhin spielen aber auch der mit künstlich intelligenten Systemen einhergehende Nichtdeterminismus,241 die Gefahren der Techniksouveränität242 sowie die Nichtverfügbarkeit von Geschehensbeobachtern ab der Stufe der Hochautomatisierung und der damit einhergehende Mangel an Augenzeugen zur Beweisaufklärung bzw. Mangel an Kundenbeschwerden zur Produktverbesserung243 eine gewichtige Rolle. Vor diesem Hintergrund stellen sich die Automatisierung und die Vernetzung zunächst in der Tat als Verhinderer von IT- und Rechtssicherheit dar.
B. Förderer von IT- und Rechtssicherheit: Event Data Recording und integrierte Produktbeobachtung Indes ergeben sich aufgrund der Automatisierung und Vernetzung umgekehrt aber auch neuartige Möglichkeiten zur Gewährleistung und Steigerung von IT- und Rechtssicherheit, die den Legal Causes of Trouble sowie den Unknown Causes of Trouble entgegenwirken können. Diese Gegenmaßnahmen werden im weiteren Fortgang auch als Event Data Recording sowie als integrierte Produktbeobachtung bezeichnet. Zu berücksichtigen gilt, dass das folgende Sicherheitsmodell lediglich einen Vorschlag für eine künftige Umsetzung darstellt. Ein standardisiertes Modell zur kontinuierlichen IT-Sicherheitsüberwachung ist zum Stand dieser Arbeit dagegen noch nicht ersichtlich.244
236 Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359. 237 Siehe 3. Teil, Kapitel 2, B., III., 1., b), aa). 238 Siehe 3. Teil, Kapitel 2, B., III., 1., b), bb). 239 Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359. 240 Siehe 3. Teil, Kapitel 2, B., II., 3., a). 241 Siehe 3. Teil, Kapitel 2, B., III., 1., d). 242 Siehe 3. Teil, Kapitel 2, B., III., 1., d). 243 Siehe 3. Teil, Kapitel 2, B., II., 3., b). 244 So auch BMWi, IT-Sicherheit für die Industrie 4.0, S. 13.
Kap. 3: Paradoxität der Automatisierung und Vernetzung
97
I. Event Data Recording als Gegenspieler zu Legal Causes of Trouble Zunächst kann den dargestellten Beweis- und Nachweisschwierigkeiten bei einem Unfall mit einem automatisierten und vernetzten System dadurch begegnet werden, dass das System im Rahmen eines sog. „Event Data Recording“ alle beweiserheblichen Daten protokolliert sowie in geeigneter Weise aufbewahrt.245 Diese Daten können zur späteren Aufklärung eines Sachverhalts und damit zur Entlastung des Haftungsgegners oder aber zur Geltendmachung von Regressansprüchen herangezogen werden. Mit Event Data Recording wird im Sinne dieser Arbeit demnach eine Ablaufverfolgung bzw. ein sog. „Tracing“ der in dem System stattfindenden Prozesse, also eine Systemprotokollierung bzw. ein Logging bei Eintritt eines bestimmten Ereignisses (bspw. Unfall, technische Störung, etc.) bezeichnet. In den Fällen, in denen ab der Stufe der Hochautomatisierung ein menschlicher Zeuge immer seltener werden wird,246 kann das Event Data Recording, quasi als „elektronischer Zeuge“, somit ein geeignetes Substitut darstellen. 1. Black Box als bisherige Form des Event Data Recordings Der Einsatz solcher Protokollierungsmaßnahmen, die auch als Unfalldaten speicher, Unfalldatenrekorder247 oder als Black Box bezeichnet werden, ist dabei nicht neu. Als prominenteste Beispiele gelten hierfür wohl der Flugdatenschreiber („Flight Data Recorder“), die Tonaufzeichnungsanlage für das Cockpit („Cockpit Voice Recorder“) sowie das Flugwegverfolgungssystem („Aircraft Tracking System“) in Verkehrsflugzeugen, deren Aufzeichnungen zur Aufklärung von Störungen und Unfällen in der bemannten Luftfahrt bereits seit Jahrzehnten maßgeblich und erfolgreich beitragen.248 Die Speicherung der Flug-, Ton- oder Positionsdaten erfolgt hierbei nach einem Ringspeichermodell249, wonach ältere Daten stets durch neuere Daten überschrieben werden. Da die Datenspeicherung auch bei aktuellen Modellen bislang nur lokal auf der Black Box stattfindet, muss diese vor Beschädigung und Zerstörung besonders geschützt werden und ist daher meist mit gepanzertem Stahl umgeben. Aus diesem Grund wiegen auch moderne Flugdatenschreiber noch über 10 kg,250 245
So auch Horner / Kaulartz, CR 2016, 7, 10. Hierzu auch Schmidt-Cotta, in: Hilgendorf / Hötitzsch / Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, S. 67 ff. 246 Siehe 2. Teil, Kapitel 2, A., III. 247 Vgl. Weber, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 84. 248 Eine Untersuchung der diesbezüglichen Rechtsgrundlagen erfolgt an späterer Stelle, siehe 4. Teil, Kapitel 1, A., I. 249 Vgl. hierzu Starnecker, Videoüberwachung zur Risikovorsorge, S. 260. 250 Vgl. etwa das Modell F1000/S603-1000-00 von L3 Technologies, das mit 24,3 lbs (= 11,02 kg) angegeben wird, SEA, F1000, https://www.seaerospace.com/sales/product/L3%20Technologies/ F1000.
98
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
wozu das Gewicht eines separaten Cockpit Voice Recorders und Aircraft Tracking Systems noch zu addieren ist. 2. Neue Möglichkeiten aufgrund von Automatisierung und Vernetzung Vor dem Hintergrund, dass auf europäischer Ebene derzeit über eine Rechtspflicht zum Event Data Recording für Roboter jeglicher Art sowie für alle Systeme des Internets der Dinge diskutiert wird251 und sich hierfür auch in einer öffentlichen Umfrage der Europäischen Kommission252 immerhin bereits 60 % der Befragten ausgesprochen haben,253 dürfte jedoch klar werden, dass es für diese Systeme einer neuen Generation an Event Data Recordern bedarf. Besonders deutlich wird dies etwa bei UAS oder Smart Wearables, bei denen die Miniaturisierung und Gewichtsoptimierung oberste Rolle spielen. Jedenfalls bei UAS, die bspw. in ein Flugzeugtriebwerk geraten und hierdurch vollständig zerstört werden können, stellt sich die Gefahrenlage einer Beschädigung oder Zerstörung aber nicht geringer dar als bei Verkehrsflugzeugen, sodass für diese Systeme auch keine lokale Speicherung auf herkömmlichen, ungeschützten Datenträgern in Betracht kommt. Für diese Technologien ergeben sich aufgrund der Automatisierung und der Vernetzung zukünftig aber neuartige Möglichkeiten des Event Data Recordings, wie im Folgenden modellhaft veranschaulicht werden soll. Wie zukünftige Event Data Recorder (im Straßenverkehr) ausgestaltet werden können, hatte sich auch das sog. Veronica-Projekt der Europäischen Kommission bereits gewidmet,254 wobei der Schwerpunkt der Forschung hierbei noch bei der Automatisierung (automatische Aufzeichnung bei Unfallereignissen), nicht aber bei der Vernetzung (entfernte Datenspeicherung auf externem Server) lag. Ein Event Data Recording für Geräte des Internets der Dinge hatte das Veronica-Projekt dagegen noch nicht zum Gegenstand. a) Automatisiertes Event Data Recording So ermöglicht zunächst die Automatisierung, dass zukünftig das System selbstständig protokollierungsbedürftige Ereignisse erkennen und nur in diesem Fall 251
Europäische Kommission, Draft Agenda for the Liability Workshop, S. 3. Europäische Kommission, Public consultation on Building a European Data Economy. 253 Europäische Kommission, Summary report of the public consultation on Building a European Data Economy. Vgl. Graux, Emerging issues of data ownership, interoperability, (re)usability and access to data, and liability, Folie 12. 254 Abschlussbericht abrufbar unter https://ec.europa.eu/transport/road_safety/sites/roadsafety/ files/pdf/projects_sources/veronica2_final_report.pdf. Hierzu auch Brenner / Schmidt-Cotta, SVR 2008, 41, 44; Weber, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 84; Schmidt-Cotta, in: Hilgendorf / Hötitzsch / Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, S. 72ff. 252
Kap. 3: Paradoxität der Automatisierung und Vernetzung
99
eine entsprechende punktuelle Datenspeicherung (daher auch Event Data Recording) vornehmen kann, was letztendlich auch eine Abkehr von der alleserfassenden Ringspeicherung ermöglicht. Diese automatisierte Form des Event Data Recordings führt damit einerseits zu einem geringeren Speicherbedarf und ermöglicht dadurch leichtere und kleinere Speicherlösungen. Andererseits kann hierdurch aber auch den datenschutzrechtlichen Prinzipien der Erforderlichkeit sowie der Datenvermeidung und Datensparsamkeit besser entsprochen werden. Das automatisierte System erhebt im Rahmen des Event Data Recordings dabei in einem ersten Schritt zunächst eine Vielzahl von Informationen, die sowohl das System selbst (etwa GPS-Koordinaten und Flughöhe bei UAS, Betriebszeit, Systemtemperatur, Motordrehzahlen, Systemfehlermeldungen, Akkustand, Akkuzustand) als auch die Umgebung des Systems (etwa Kommunikation mit der Bodensteuerungseinheit wie bspw. empfangene Steuerbefehle, Kommunikation mit anderen Maschinen („M2M“), mit der Infrastruktur („M2I“) oder mit Passanten („M2P“), erhobene Daten der Infrarot-, Ultraschall-, Sonar- und Lidar-Sensoren oder aber erhobene Daten der Kamerasysteme des CPS, Windrichtung, Umgebungstemperatur) betreffen. Diese erhobenen CPS- und Umgebungsdaten werden anschließend von dem System automatisiert ausgewertet und im Falle von Abweichungen des tatsächlichen Ist- vom vorgegebenen Soll-Zustand (bspw. bei internen Systemfehlermeldungen bzw. bei tatsächlichen Unfällen oder Beinahe-Unfällen) mitsamt den zur späteren Nachvollziehbarkeit relevanten Begleitdaten in einer sog. „Trace“ protokolliert („Tracing“). Enthalten die erhobenen Daten dagegen keinen Hinweis auf eine Störung, einen Fehler oder ein sonstiges beweiserhebliches Ereignis, werden diese ohne Speicherung verworfen. Einen ersten Vorstoß in diese automatisierte Form des Event Data Recordings stellen dabei bereits die Bestimmungen der §§ 63a f. StVG für hoch- und vollautomatisierte Straßenfahrzeuge dar, welche gem. § 63a Abs. 1 StVG nur bei bestimmten Ereignissen (Wechsel der Fahrzeugsteuerung, Aufforderung zum Wechsel der Fahrzeugsteuerung, Auftreten technischer Störungen) eine Datenaufzeichnung vorsehen. Ob diese Bestimmungen zur Reduzierung der Legal Causes of Trouble geeignet sind und ob hierdurch bereits das volle Potential der Automatisierung und Vernetzung ausgeschöpft wird, soll an späterer Stelle noch evaluiert werden.255 b) Vernetztes Event Data Recording Weiterhin entstehen aber auch aufgrund der ubiquitären Vernetzung neuartige Möglichkeiten der Systemprotokollierung, wenn zukünftige CPS-Generationen etwa über Mobilfunk verfügen. Insbesondere für UAS, aber auch für andere CPS in Leichtbauweise, wird hierdurch auch eine externe Speicherung der beweiserheb lichen Daten ermöglicht, sodass diese Systeme nicht mit schweren gepanzerten 255
Siehe 4. Teil, Kapitel 1, A., II.
100
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Black Boxes bestückt werden müssen. Eine ausreichend schnelle und flächen deckende Internetanbindung (4G oder zukünftig 5G) ist hierfür elementar. Zudem ist fraglich, ob es für solche Dienste nicht auch eine Ausnahme von dem sog. „Best-Effort-Prinzip“ der Netzneutralität, also eine Priorisierung der Übertragung von beweiserheblichen Daten, bedarf.256 aa) Externe Speicherung bei dem Hersteller des Systems Als Übermittlungsempfänger der beweiserheblichen Daten bietet sich dabei zunächst der Systemhersteller an, der die Daten empfangen und auf seinen Servern für einen gewissen Zeitraum speichern könnte. Jedenfalls ist anzunehmen, dass dieser über die erforderlichen Ressourcen verfügt, um zumindest seine eigenen Kunden mit einer solchen Dienstleistung zu versorgen. Da eine herstellerseitige Rechtspflicht hierzu derzeit nicht existiert, die Bereitstellung also auf freiwilliger Basis erfolgen würde, könnte der Hersteller dies auch als kostenpflichtigen Zusatzdienst anbieten. Als problematisch erscheint hierbei gleichwohl, dass die an den Hersteller übermittelten beweiserheblichen Daten von den Nutzern gerade auch zur Geltendmachung von Ansprüchen gegen den Hersteller herangezogen werden können sollen. Um eine besonders hohe Beweiskräftigkeit sicherzustellen, ist bei der Auswahl eines geeigneten Übermittlungsempfängers insbesondere auf die IT-Schutzziele der Verfügbarkeit und Integrität, darüber hinaus aber auch auf die Nichtabstreitbarkeit und Zurechenbarkeit der beweiserheblichen Daten zu achten.257 Dies kann mit der hier vertretenen Auffassung bei einer Datenspeicherung bei dem Hersteller aber nicht vollends gewährleistet werden. bb) Externe Speicherung bei einer öffentlichen Stelle Weiterhin kommt hierfür zwar auch eine zentrale Stelle wie die Deutsche Flugsicherung GmbH („DFS“) oder gar das Bundesamt für Sicherheit in der Informationstechnik („BSI“), das gem. § 8b Abs. 1 BSIG bereits die zentrale Meldestelle für die Betreiber kritischer Infrastrukturen ist, in Betracht. Gerade aber dann, wenn die Daten verschiedenster CPS und Systeme des Internets der Dinge erfasst werden sollen, ist fraglich, ob diese Datenflut noch von einer zentralen Stelle verarbeitet werden kann.
256
Siehe 4. Teil, Kapitel 3, A., II. Siehe 4. Teil, Kapitel 3, A., III.
257
Kap. 3: Paradoxität der Automatisierung und Vernetzung
101
cc) Externe Speicherung bei einem Dienstleister („Tracing-as-a-Service“) Mit der hier vertretenen Auffassung ist aus diesen Gründen die externe System protokollierung bei einem externen Dienstleister als eine Art „Tracing-as-a-Service“ oder „Tracing-Cloud“ vorzugswürdig.258 Der Problematik der zu verarbeitenden Datenflut sowie dem IT-Schutzziel der Verfügbarkeit könnte hierbei durch den Einsatz eines sog. „verteilten Systems“ („Distributed Computing“) begegnet werden, wonach eine Vielzahl von Einzelsystemen zu einem Gesamtsystem zusammengeschlossen wird. Zur zusätzlichen Sicherstellung der IT-Schutzziele der Integrität, Nichtabstreitbarkeit und Zurechen barkeit könnte zur Realisierung eines solchen verteilten Systems auf die sog. „Blockchain“-Technologie259 zurückgegriffen werden, wobei jedes an diese Blockchain angeschlossene CPS und IT-System einen Knotenpunkt („Node“260) darstellen würde.261 Als sog. „Miner“262 kommen dagegen der Diensteanbieter selbst sowie externe Dritte (Institute, Forschungseinrichtungen, Private) oder aber auch die an die Blockchain angeschlossenen Systemhersteller in Betracht. Soll dagegen auch die Vertraulichkeit der von den CPS und IT-Systemen übertragenen beweis erheblichen Daten geschützt werden, so könnte zumindest auf eine geschlossene (private) Blockchain unter Ausschluss Dritter zurückgegriffen werden.263 3. Zwischenergebnis: Automatisiertes und vernetztes Event Data Recording Während in der bemannten Luftfahrt bislang schwere und gepanzerte Black oxes zum Einsatz kommen, welche nach dem Modell der Ringspeicherung unterB schiedslos alle anfallenden Daten speichern, bis diese nach einem bestimmten Zeitraum durch neue Daten überschrieben werden, ermöglichen die Automatisierung und die Vernetzung zukünftig eine neue Generation des Event Data Recordings. Zwar werden auch hierbei kontinuierlich interne und externe Daten erhoben. Eine langfristige Datenspeicherung findet dabei jedoch nur dann, ereignisabhängig und punktuell, statt, wenn der automatisierte Auswertungsalgorithmus in den erhobenen Daten eine Störung bzw. einen Fehler, einen Unfall oder ein sonstiges beweiserhebliches Ereignis erkennt. Durch die Vernetzung dieser Systeme kann die Speicherung dabei auch extern, bspw. bei dem Systemhersteller, einer öffentlichen Stelle oder einem Dienstleister erfolgen. Insbesondere letzterem „Tracing-as-a-Service“ wird dabei zukünftig besondere Aufmerksamkeit zu schenken sein. 258
Zu einem solchen Modell bereits Piltz / Reusch, BB 2017, 841, 845. Vgl. hierzu Heckmann, vbw Studie Blockchain und Smart Contracts. 260 Vgl. Heckmann, vbw Studie Blockchain und Smart Contracts, S. 2. 261 Siehe 4. Teil, Kapitel 3, A., III. Zum Einsatz der Blockchain zur Erhöhung der Beweiskraft vgl. bereits Mienert / Gipp, ZD 2017, 514, 517 f. 262 Vgl. Heckmann, vbw Studie Blockchain und Smart Contracts, S. 3. 263 Heckmann, vbw Studie Blockchain und Smart Contracts, S. 5 f. 259
102
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
Resultat dieses Event Data Recordings ist eine sog. „Trace“, die alle beweiserheblichen Daten eines CPS beinhaltet (siehe Abbildung 2). Diese kann im Haftungsfalle gerichtlich sowie außergerichtlich zur Aufklärung des Kausalverlaufs herangezogen werden. Den dargestellten Legal Causes of Trouble kann hierdurch bereits in geeigneter Weise entgegengewirkt werden.
Abbildung 2: Event Data Recording als erste Komponente des IT-Sicherheitsmodells
II. Integrierte Produktbeobachtung als Gegenspieler zu Unknown Causes of Trouble Das Event Data Recording dient neben der Gewährleistung von Beweisbarkeit aber auch als Grundlage einer hieran anschließenden integrierten Produktbeobachtung als Gegenspieler zu den aufgezeigten Unknown Causes of Trouble. Wird das automatisierte und vernetzte System im Rahmen des Event Data Recordings befähigt, Abweichungen des Ist- vom definierten Soll-Zustand automatisiert zu erkennen, so betrifft dies insbesondere auch bislang unbekannte oder unerwartete interne Systemfehlermeldungen und Systemzustände und damit die Erkennung bislang unbekannter Produktfehler, die aufgrund der vorhandenen Vernetzung des Systems unverzüglich an den Hersteller zur Fehleridentifizierung („Debugging“) übermittelt werden können.264 Dieser wiederum kann sodann unmittelbar (bei reinen 264 Vgl. v. Bodungen, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 381.
Kap. 3: Paradoxität der Automatisierung und Vernetzung
103
Softwarefehlern auch ohne Notwendigkeit eines Werkstattbesuchs) Warnungen und Hinweise sowie Patches und Updates zur Behebung des Fehlers für das betroffene System oder die betroffene Produktserie bereitstellen („Patching“) (siehe Abbildung 3).265 Handelt es sich bei dem Fehler nicht um einen reinen Softwarefehler und kann dieser daher nur im Rahmen eines Werkstattbesuchs beseitigt werden, kann der Hersteller den jeweiligen Nutzer jedenfalls über die anstehenden Wartungsarbeiten informieren und diesen zur Vornahme auffordern. Jedenfalls in technischer Hinsicht wäre auch eine Fernsperrung des Systems bei Zuwiderhandlung des Nutzers bis zur Vornahme der Reparatur unproblematisch realisierbar. Durch diese Möglichkeit zur integrierten Produktbeobachtung sowie durch die an die Produktbeobachtung anschließenden Gefahrabwendungspflichten kann den dargestellten Schwierigkeiten, automatisierte und vernetzte CPS bereits in der Produktentwicklungsphase und damit „am Reißbrett“266 sicher auszugestalten, effektiv begegnet werden.267
Abbildung 3: Zusammenwirken aller Komponenten des IT-Sicherheitsmodells 265
So bereits Gomille, JZ 2016, 76, 80. Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359. 267 Siehe 4. Teil, Kapitel 2, B., II., 2. Vgl. hierzu auch Schmid / Wessels, NZV 2017, 357, 359. 266
104
3. Teil: Ambivalenz und Paradoxität der Automatisierung und Vernetzung
C. Auflösung des Paradoxons: Automatisierung und Vernetzung als Problem und Problemlösung zugleich Festzustellen ist daher, dass sich Automatisierung und Vernetzung einerseits als Verhinderer, andererseits aber zugleich auch als Förderer von IT- und Rechts sicherheit darstellen. Hierin ist jedoch weniger ein Paradoxon als vielmehr der Fakt zu sehen, dass Automatisierung und Vernetzung zwar unbestritten neuartige und gesteigerte Risiken mit sich bringen, gleichzeitig aber auch den Schlüssel zur Eliminierung dieser Risiken bereithalten. Von äußerster Wichtigkeit ist daher ein konstruktiver Umgang mit neuartigen Technologien. Neuartige Risiken sind nicht als K. O.-Kriterium, sondern vielmehr als Herausforderung zu sehen, diese Risiken mit neuartigen Lösungsansätzen zu reduzieren und zu minimieren, oder anders ausgedrückt: Das Minus an IT- und Rechtssicherheit, das mit neuen Technologien einhergeht, ist spiegelbildlich stets mit dem möglichen, erforderlichen und zumutbaren Plus an IT- und Rechtssicherheit durch den Einsatz innovativer Maßnahmen zur IT-Risikominimierung auszugleichen. Je gefährlicher eine neue Technologie dabei ist, desto mehr und intensivere Maßnahmen der IT-Risikominimierung müssen dabei als erforderlich und zumutbar gelten. Wie noch gezeigt werden wird, ist diese Spiegelbildtheorie ohnehin Bestandteil der im Rahmen der Produktbeobachtungs- und Gefahrabwendungspflichten (als Verkehrssicherungspflichten) vorzunehmenden Abwägung zwischen der Gefährlichkeit des Systems und dem zu betreibenden Sicherheitsaufwand.268 Eine einhundertprozentige Sicherheit kann es bei dem Einsatz von Technik zwar nicht geben. Das Vorhandensein von Restrisiken stellt vielmehr gerade den Wesensgehalt der Technikambivalenz dar, die nie gänzlich eliminierbar sind. Nach dem Rechtsgrundsatz ultra posse nemo obligatur darf daher auch kein Akteur zu überhöhten und überzogenen IT-Sicherheitsanforderungen verpflichtet werden. Das Gesetz darf aus diesem Grund auch nicht als Verhinderer technischen Fortschritts missverstanden werden.269 Doch darf dieser Umstand umgekehrt auch nicht zu einer Resignation vor der technischen Ambivalenz führen. Vielmehr muss unser unersättliches Streben nach neuen Technologien stets auch mit einem unersättlichen Streben nach neuen Maßnahmen zur IT-Risikominimierung einhergehen. Verpflichtungen zum Event Data Recording sowie Produktbeobachtungs- und Gefahrabwendungspflichten können als ebensolche Maßnahmen angesehen werden.
268
Siehe 4. Teil, Kapitel 2, B., II., 3., b), bb). Hierzu Heckmann, in: Heckmann / Schenke / Sydow, FS Würtenberger, 2013, S. 17 ff.
269
4. Teil
Rechtspflicht zum Event Data Recording und zur integrierten Produktbeobachtung bei CPS Event Data Recording und integrierte Produktbeobachtung
„Hersteller oder Betreiber [sind] verpflichtet, ihre Systeme fortlaufend zu optimieren und auch bereits ausgelieferte Systeme zu beobachten und zu verbessern, wo dies technisch möglich und zumutbar ist.“ Bundesministerium für Verkehr und digitale Infrastruktur Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, Regel Nr. 11
Kapitel 1
Event Data Recording als Rechtspflicht Das Ziel der Vermeidung oder zumindest Reduzierung von Legal Causes of Trouble, also von Beweis- und Exkulpationsschwierigkeiten und damit einer inadäquaten faktischen Haftung ohne Regressmöglichkeit, kann durch den innovativen und fortschrittlichen Einsatz von Event Data Recordern erreicht werden. Fraglich ist, ob nach dem geltenden Recht eine Rechtspflicht zum Einsatz solcher Event Data Recorder in automatisierten und vernetzten CPS, insbesondere in automatisierten und vernetzten Luft- und Straßenfahrzeugen, spezialgesetzlich oder per Herleitung aus den allgemeinen Gesetzen bereits existiert. Die Frage der rechtskonformen Ausgestaltung inkl. datenschutzrechtlicher Herausforderungen soll, wie eingangs bereits erläutert, dagegen nur am Rande Gegenstand dieser Arbeit sein. Vielmehr erfordert dies eigenständige Untersuchungen in zukünftigen, auf diese Arbeit aufbauenden Forschungsvorhaben.1
1 Vgl. zu den datenschutzrechtlichen Herausforderungen des Einsatzes von Event Data Recordern aber etwa bereits Brenner / Schmidt-Cotta, SVR 2008, 41, 47 f.; Dietrich / Nugel, ZfS 2017, 664, 664 f.; Kinast / Kühnl, NJW 2015, 3057; Nugel, DS 2018, 231.
106
4. Teil: Event Data Recording und integrierte Produktbeobachtung
A. Spezialgesetzliche Rechtspflicht zum Event Data Recording Spezialgesetzliche Regelungen zum Event Data Recording existieren heute insbesondere in der gewerblichen Luftfahrt (hier als sog. „Black Boxes“ bekannt), neuerdings aber auch für hoch- und vollautomatisierte Straßenfahrzeuge. Zudem sind für spezifische Straßenfahrzeuge auch Fahrtschreiber und Kontrollgeräte sowie elektronische Fahrtenregistrierungen vorgesehen, die jedenfalls dem Zweck nach Event Data Recordern entsprechen. I. Verpflichtung zum Event Data Recording in der bemannten Luftfahrt Auch wenn im Rahmen der Luftfahrt häufig von „der Black Box“ die Rede ist, so existieren im Rahmen des gewerblichen Luftverkehrsbetriebs richtigerweise mehrere verschiedene Aufzeichnungssysteme. Zu unterscheiden sind hier Flugdatenschreiber („Flight Data Recorder“ / „FDR“) zur Aufzeichnung von Flugzeugdaten und Flugzeugparametern, Tonaufzeichnungsanlagen („Cockpit Voice Recorder“ / „CVR“) zur Aufzeichnung der akustischen Umgebung des Cockpits (insbesondere Gespräche zwischen Pilot, Co-Pilot und der Crew) sowie Flugwegverfolgungssysteme („Aircraft Tracking System“) zur Aufzeichnung der vierdimensionalen Koordinaten (X-, Y-, Z-Achse plus Uhrzeit) des Luftfahrzeugs während des Fluges. Eine Verpflichtung und Vorschriften zum Einsatz von Flugdatenschreibern, Tonaufzeichnungsanlagen für das Cockpit und Flugwegverfolgungssystemen ergeben sich für bestimmte Arten von Luftfahrzeugen aus der Verordnung (EU) Nr. 965/2012 der Kommission vom 05.10.20122 unter Abänderung durch die Verordnung (EU) 2015/2338 der Kommission vom 11.12.20153 und durch die Verordnung (EU) Nr. 800/2013 der Kommission vom 14.08.20134, die allesamt auf der Verordnung (EG) Nr. 216/2008 des Europäischen Parlaments und des Rates zur Festlegung technischer Vorschriften und von Verwaltungsverfahren in Bezug auf den Flugbetrieb vom 20.02.20085 basieren.6 Die für die vorliegende Thematik relevanten Vorschriften finden sich dabei in Anhang IV („Commercial Air Transport Operation“ / „CAT“) Teilabschnitt A („General Requirements“ / „GEN“) Abschnitt 1 („Motor-powered Aircraft“ / „MPA“) sowie Teilabschnitt D („Instruments, Data, Equipment“ / „IDE“) Abschnitt 1 („Aero 2
Verordnung v. 05.10.2012, ABl. 2012 L 296, 1. Verordnung v. 11.12.2015, ABl. 2015 L 330, 1. 4 Verordnung v. 14.08.2013, ABl. 2013 L 227, 1. 5 Verordnung v. 20.02.2008, ABl. 2008 L 79, 1. 6 Eine konsolidierte Fassung der Verordnung (EU) Nr. 965/2012 ist abrufbar unter http://eur lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:02012R0965-20160825&from=DE. 3
Kap. 1: Event Data Recording als Rechtspflicht
107
planes“ / „A“). Die Benennung der Vorschriften erfolgt im Rahmen der Verordnung (EU) Nr. 965/2012 nicht wie gewöhnlich nach Artikeln oder Paragraphen, sondern als Kombination des jeweiligen Anhangs der Vorschrift (hier „CAT“), des jewei ligen Teilabschnitts (bspw. „IDE“) und Abschnitts (bspw. „A“) sowie einer fortlaufenden Nummerierung. 1. Flugdatenschreiber („Flight Data Recorder“ / „FDR“) Nach der Vorschrift CAT.IDE. A.190 der Verordnung (EU) Nr. 965/2012 in der Fassung der Verordnung (EU) 2015/2338 sind Flugzeuge mit einem Flugdatenschreiber auszustatten. Welche Daten von dem Flugdatenschreiber konkret aufgezeichnet werden müssen, bestimmt dabei CAT.IDE. A.190 b). Aufzuzeichnen sind hiernach unter anderem die Uhrzeit, Höhe, Fluggeschwindigkeit, Normalbeschleunigung und der Steuerkurs sowie weitere Parameter und Konfigurationen des Flugzeugs. Die aufzuzeichnenden Daten sind nach CAT.IDE. A.190 c) dabei aus bordeigenen Quellen zu gewinnen. Nach CAT.IDE. A.190 a) ist für die Aufzeichnung ein digitales Verfahren zu verwenden und eine leichte Auslesbarkeit der Daten zu gewährleisten. Zu speichern sind nach CAT.IDE. A. 190 b), je nach höchstzulässiger Startmasse („Maximum Certified Take-off Mass“ / „MCTOM“) und je nach Alter des Flugzeugs, die Daten der letzten 10 bis 25 Stunden. Das Datenspeichermodell des Flugdatenschreibers entspricht insofern einem Ringspeichermodell7, wonach innerhalb dieser Aufbewahrungsfristen die ältesten Daten kontinuierlich durch neue Daten überschrieben werden. Kommt es zu einem Unfall, einer schweren Störung oder einem anderen von der Untersuchungsbehörde festgestellten Ereignis, so sind die Originalaufzeichnungen des Flugschreibers nach CAT.GEN.MPA.195 a) für einen Zeitraum von 60 Tagen aufzubewahren, wenn die Untersuchungsbehörde nicht eine davon abweichende Aufbewahrungsdauer angeordnet hat. Verpflichteter hierbei ist der Betreiber des Luftfahrzeugs. Dieser hat nach CAT.GEN.MPA.195 e) die gespeicherten Flugdatenschreiberaufzeichnungen auf Verlangen der zuständigen Behörde zur Verfügung zu stellen. In die Verantwortung des Kommandanten des Flugzeugs fällt nach CAT.GEN.MPA.105 a) Nr. 10, dass die Flugschreiber nicht während des Flugs deaktiviert oder ausgeschaltet und die Daten unter anderem im Falle eines Unfalls oder einer schweren Störung nicht vorzeitig gelöscht werden. Dieser hat zudem die Flugschreiber unmittelbar nach Abschluss des Flugs zu deaktivieren und Vorsichtsmaßnahmen zur Sicherstellung der Aufzeichnungen vor dem Verlassen des Cockpits zu ergreifen. Nach CAT.IDE. A.190 d) muss die Aufzeichnung des Flugdatenschreibers beginnen, bevor sich das Flugzeug mit eigener Motorleistung fortbewegen kann und enden, wenn sich das Flugzeug nicht mehr mit eigener Motorleistung fortbewegen 7
Vgl. hierzu Starnecker, Videoüberwachung zur Risikovorsorge, S. 260.
108
4. Teil: Event Data Recording und integrierte Produktbeobachtung
kann. Bei „neueren“ Flugzeugen (Erhalt des Lufttüchtigkeitszeugnisses am oder nach dem 01.04.1998) muss die Aufzeichnung automatisch durch das Flugzeug gestartet und beendet werden. Nach CAT.IDE. A.190 e) muss der Flugdatenschreiber zudem über eine Einrichtung verfügen, die sein Auffinden im Wasser erleichtert (Wasserortungssystem). Seit dem 16.06.2018 müssen diese Wasserortungssysteme für eine Zeitdauer von mindestens 90 Tagen unter Wasser Signale aussenden können, was letztendlich auch Konsequenz der Tragödie um Flug MH370 ist.8 Neben der Ortung der Flugdatenschreiber und weiteren Aufzeichnungsgeräten muss auch das Flugzeug selbst ortbar sein. Diesbezügliche Bestimmungen enthält CAT. IDE. A.280 sowie CAT.IDE. A.285. Nach CAT.GEN.MPA.195 f) Nr. 2 dürfen die Aufzeichnungen nur dann für andere Zwecke als zur Untersuchung des Unfalls oder einer meldepflichtigen Störung verwendet werden, wenn dies dem Betreiber zu Zwecken der Lufttüchtigkeit oder der Instandhaltung dient oder wenn die Daten anonymisiert werden oder nach einem Verfahren offengelegt werden, das einen ausreichenden Schutz gewährt. Die Verwendung der Daten zur Untersuchung und Verhütung von Unfällen und Störungen in der Zivilluftfahrt folgt dabei den eigenständigen Bestimmungen der Verordnung (EU) Nr. 996/2010 des Europäischen Parlaments und des Rates vom 20.10.2010.9 Auch wenn die vorgenannten Bestimmungen damit grundsätzlich eine Verpflichtung zum Event Data Recording vorsehen, finden diese gem. CAT.IDE. A.190 a) Nr. 1 im Wesentlichen gleichwohl nur auf Flugzeuge mit einer MCTOM ab 5700 kg oder auf mehrmotorige Flugzeuge mit Turbinenantrieb Anwendung. Im Bereich der nicht-kommerziellen Luftfahrt existieren zwar ähnliche Bestimmungen (vgl. NCC. IDE. A.165, NCC.GEN.106 und NCC.GEN.145). Auch diese gelten jedoch nur für Flugzeuge mit einer MCTOM ab 5700 kg. CAT.IDE. H.190 enthält entsprechende Bestimmungen schließlich auch für Hubschrauber. 2. Tonaufzeichnungsanlage für das Cockpit („Cockpit Voice Recorder“ / „CVR“) Neben der Datenaufzeichnung durch den Flugdatenschreiber, die Flugdaten und Flugparameter betrifft, müssen nach CAT.IDE. A.185 a) Flugzeuge mit einer MCTOM über 5700 kg sowie mehrmotorige Flugzeuge mit Turbinenantrieb zudem mit einer Tonaufzeichnungsanlage für das Cockpit ausgestattet sein. Nach CAT.IDE. A.185 e) müssen hierbei unter anderem der Sprechfunkverkehr mit dem Cockpit, die Sprachkommunikation der Flugbesatzungsmitglieder über die Gegensprechanlage, die Kabinen-Lautsprecheranlage und die Hintergrundgeräusche im Cockpit erfasst werden. Diese Tonaufzeichnungsverpflichtung wird 8 Vgl. Nowack, Aero Telegraph-Beitrag v. 20.11.2017, Alles, was Sie zur Black Box wissen müssen. 9 Verordnung v. 20.10.2010, ABl. 2010 L 295, 35.
Kap. 1: Event Data Recording als Rechtspflicht
109
durch die Bestimmungen in CAT.IDE. A.195 erweitert, wonach Flugzeuge, die erstmals am oder nach dem 08.04.2014 ein Lufttüchtigkeitszeugnis erhalten haben und Datenverbindungen unterhalten können, ebenfalls Datenverbindungsmitteilungen aufzeichnen müssen, die in Zusammenhang mit einer Kommunikation mit dem Flugverkehrsdienst („Air Traffic Service“ / „ATS“ ) stehen. Gespeichert werden sollen hiernach unter anderem der Aufbau der Datenverbindung, die Kommunikation zwischen Lotse und Pilot, die übermittelten Fluginformationen, Betriebsüberwachungsdaten sowie übertragene Grafiken. Auch CAT.IDE. A.185 b) und CAT.IDE. A.195 c) sehen für den CVR ein Ringspeichermodell10 vor, wonach je nach Alter und MCTOM des Flugzeugs stets nur die aufgezeichneten Daten der letzten 30 Minuten oder 2 Stunden gespeichert werden müssen, sodass diese Daten bereits nach kurzer Zeit kontinuierlich durch neue Daten überschrieben werden. Ab dem 01.01.2019 sieht die Verordnung (EU) 2015/2338 in dem neuen CAT.IDE. A.185 c) zukünftig zumindest eine Verlängerung der Speicherfristen vor. Für Flugzeuge mit einer MCTOM über 27000 kg, die erstmals am oder nach dem 01.01.2021 ein Lufttüchtigkeitszeugnis erhalten werden, soll die Speicherfrist zukünftig 25 Stunden und für andere Flugzeuge i. S. d. CAT. IDE. A.185 b) 2 Stunden betragen. Ab dem 01.01.2019 sind nach CAT.IDE. A.185 d) für den CVR aus Gründen der Datenverfügbarkeit zukünftig andere Aufzeichnungsmethoden als die bislang geläufigen Formen des Magnetbands oder Magnet drahts zu verwenden. Insbesondere kommen hierfür dann die im Rahmen des Flugdatenschreibers längst vorgesehenen digitalen Verfahren (vgl. CAT.IDE. A.190 a)) in Betracht. Nach CAT.IDE. A.200 können die Anforderungen des CVR und des FDR unter bestimmten Voraussetzungen auch durch kombinierte Geräte erfüllt werden. Nach CAT.IDE. A.185 h) sowie CAT.IDE. A.195 d) muss auch die Tonaufzeich nungsanlage über eine Einrichtung verfügen, die ihr Auffinden im Wasser erleichtert (Wasserortungssystem). Doch auch das Flugzeug selbst muss mit entsprechenden Notsendern und Unterwasserortungssystemen ausgestattet sein, vgl. CAT. IDE. A.280 sowie CAT.IDE. A.285. Außer zur Untersuchung und zur Verhütung von Unfällen und Störungen in der Zivilluftfahrt gem. den Bestimmungen der Verordnung (EU) Nr. 996/2010 des Europäischen Parlaments und des Rates vom 20.10.201011 dürfen gem. CAT.GEN. MPA.195 f) Nr. 1, CAT.GEN.MPA.195 f) Nr. 1a die Aufzeichnungen des CVR nur zur Gewährleistung der Funktionsfähigkeit der Tonaufzeichnungsanlage des Cockpits offengelegt werden. Dies soll unter anderem dem Datenschutz der im Cockpit tätigen Personen dienen. Eine Ausnahme hiervon ist lediglich dann vorgesehen, wenn gem. Nr. 1 der Vorschrift ein Verfahren bezüglich der Handhabung von CVR-Aufzeichnungen und deren Niederschrift existiert, alle betroffenen Mit 10
Vgl. hierzu Starnecker, Videoüberwachung zur Risikovorsorge, S. 260. Verordnung v. 20.10.2010, ABl. 2010 L 295, 35.
11
110
4. Teil: Event Data Recording und integrierte Produktbeobachtung
glieder der Besatzung und des Wartungspersonals ihre vorherige Zustimmung gegeben haben und das Verfahren ausschließlich der Aufrechterhaltung oder Verbesserung der Sicherheit dient. CAT.IDE. H.185 enthält entsprechende Bestimmungen für Tonaufzeichnungsanlagen für das Cockpit in Hubschraubern. Im Bereich der nicht-kommerziellen Luftfahrt enthalten NCC.IDE. A.160, NCC.IDE. A.170 sowie NCC.IDE. A.175 entsprechende Bestimmungen für Flugzeuge mit einer MCTOM über 2250 kg, die für den Betrieb mit einer Flugbesatzung von mindestens zwei Piloten zugelassen und mit einer oder mehreren Stahlturbinen oder mit mehr als einem Turboprop-Triebwerk ausgerüstet sind und für die die Musterzulassung erstmals am oder nach dem 01.01.2016 ausgestellt wurde. Unbeachtlich von der Motorisierung und der Flugbesatzung gilt diese Pflicht weiterhin für nichtkommerzielle Flugzeuge ab einer MCTOM von über 27000 kg, die erstmals am oder nach dem 1. Januar 2016 ein Lufttüchtigkeitszeugnis erhalten haben. 3. Flugwegverfolgungssystem (Aircraft Tracking System) Erst mit der Verordnung (EU) 2015/2338 der Kommission vom 11.12.2015 zur Änderung der Verordnung (EU) Nr. 965/2012 hinsichtlich der Vorschriften für Flugschreiber, Unterwasserortungseinrichtungen und Flugwegverfolgungssysteme vom 11.12.201512 wurden neben Flugdatenschreibern und Tonaufzeichnungsanlagen für das Cockpit auch Systeme zur Flugwegverfolgung verpflichtend eingeführt. Der Begriff der Flugwegverfolgung („Aircraft Tracking“) wird nach Anhang I Nr. 8a dabei als ein „bodengestütztes Verfahren zur Aufrechterhaltung und in festgelegten Zeitabständen erfolgenden Aktualisierung einer Aufzeichnung der vierdimensionalen Position einzelner Luftfahrzeuge im Flug“ definiert. Von der Aufzeichnung erfasst sind hierbei also sowohl die X-, Y- und Z-Koordinaten des Flugzeugs als auch der Zeitpunkt des jeweiligen Standorts. Ein Flugwegverfolgungssystem („Aircraft Tracking System“) wird nach Anhang I Nr. 8b weiterhin definiert als „ein System zur Erkennung eines anormalen Flugverhaltens und zur Alarmauslösung, das auf der Flugwegverfolgung beruht“. Neben der Positionsermittlung erfolgt durch das Flugwegverfolgungssystem somit auch eine automatisierte Überwachung des Flugverhaltens. Nach CAT.GEN.MPA.205 b) müssen hiernach Flüge vom Start bis zur Landung vom Betreiber verfolgt werden können. Ausgenommen sind nur diejenigen Gebiete, die bereits von einem generellen ATS ausreichend kontrolliert werden. Nach CAT.GEN.MPA.205 a) hat der Betreiber hierzu bis spätestens zum 16.12.2018 ein Flugwegverfolgungssystem einzurichten und zu unterhalten. Diese Verpflichtung betrifft nach CAT.GEN.MPA.205 a) ausschließlich Flugzeuge mit einer MCTOM über 27000 kg und einer höchstzulässigen betrieblichen Fluggastsitzanzahl („Maxi 12
Verordnung v. 11.12.2015, ABl. 2015 L 330/1.
Kap. 1: Event Data Recording als Rechtspflicht
111
mum Operational Passenger Seating Configuration“ / „MOPSC“) über 19 bzw. einer MCTOM über 45500 kg unabhängig von der höchstzulässigen betrieblichen Fluggastsitzanzahl. 4. Zwischenergebnis: Event Data Recording in der bemannten Luftfahrt Als Zwischenergebnis lässt sich festhalten, dass im Rahmen der Luftfahrt bereits verschiedene Verpflichtungen zum Event Data Recording existieren. Gleichwohl erstrecken sich die diesbezüglichen Regelungen bislang nur auf große und bemannte Luftfahrzeuge und nicht auf die hier relevanten UAS. II. Verpflichtung zum Event Data Recording im automatisierten Straßenverkehr Mit der am 21.06.2017 in Kraft getretenen Reform des Straßenverkehrsrechts wurden in das StVG spezifische Regelungen hinsichtlich hoch- und vollautomatisierter Fahrfunktionen aufgenommen.13 Gegenstand dieses Achten Gesetzes zur Änderung des Straßenverkehrsgesetzes14 waren insbesondere erstmalig auch Regelungen zum Event Data Recording für automatisierte Straßenfahrzeuge. Generell begrüßenswert im Rahmen dieser §§ 63a f. StVG ist dabei zunächst, dass der Gesetzgeber die vorgenannten Kernproblematiken automatisierter und vernetzter CPS (Legal Causes of Trouble und Unknown Causes of Trouble) erkannt hat und versucht, diesen durch technische Maßnahmen und rechtliche Pflichten entgegenzuwirken. Gleichwohl weisen die neuen Regelungen in den §§ 63a f. StVG mehrere Defizite auf, sodass eine Erreichung dieses Ziels mit der hier vertretenen Auf fassung fraglich ist.15 1. Aufzeichnungspflichten (§ 63a Abs. 1 StVG) Nach § 63a Abs. 1 StVG sind bei hoch- und vollautomatisierten Kraftfahrzeugen i. S. d. § 1a StVG zukünftig die „durch ein Satellitennavigationssystem ermittelten Positions- und Zeitangaben [zu speichern], wenn ein Wechsel der Fahrzeugsteuerung zwischen Fahrzeugführer und dem hoch- und vollautomatisierten System er 13
Vgl. hierzu Schmid / Wessels, NZV 2017, 357; Hoeren, NZV 2018, 153; v. Kaler / Wieser, NVwZ 2018, 369, 371; Wagner / Goeble, ZD 2017, 263, 267 f.; Schirmer, NZV 2017, 253, 256 f.; Brockmeyer, ZD 2018, 258; Wendt, ZD-Aktuell 2018, 06034; Schmid, jurisPR-ITR 12/2017 Anm. 2. 14 Gesetz v. 16.06.2017, BGBl. 2017 I, 1648. Zu einer früheren Entwurfsfassung auch König, NZV 2017, 123, 126. 15 Zu den Kritikpunkten umfassend Schmid / Wessels, NZV 2017, 357; Hoeren, NZV 2018, 153; Wagner / Goeble, ZD 2017, 263, 267 f.; Schmid, jurisPR-ITR 12/2017 Anm. 2.
112
4. Teil: Event Data Recording und integrierte Produktbeobachtung
folgt“.16 Weiterhin soll eine solche Speicherung auch dann stattfinden, wenn der Fahrzeugführer nur zur Übernahme der Steuerung von dem System aufgefordert wird oder wenn eine technische Störung des Systems auftritt. Durch diese Aufzeichnungen soll sichergestellt werden, dass sich einerseits der Fahrzeugführer bei einem Unfall nicht pauschal auf ein Versagen der automatisierten Fahrfunktion berufen kann, obwohl dieser das Kfz zum fraglichen Zeitpunkt selbst gesteuert hat.17 Andererseits soll die Aufzeichnung dem Fahrzeugführer umgekehrt aber auch zur Selbstentlastung dienen, wenn zu dem Unfallzeitpunkt das automatisierte System die Steuerung über das Kfz innehatte und der Fahrzeugführer auch seine Steuerungsübernahmepflichten nach § 1b Abs. 2 StVG nicht verletzt hat.18 Obgleich der Wortlaut des § 63a Abs. 1 StVG zunächst danach klingt, dass eine Verpflichtung zur Datenspeicherung nur dann besteht, wenn die aufzuzeichnenden Daten aufgrund eines (aus anderen Gründen) ohnehin vorhandenen Satelliten navigationssystems sowieso erhoben werden, so sind in der Vorschrift implizit vielmehr auch eine Rechtspflicht zur Erhebung dieser Daten und mithin Mindestanforderungen an die technische Ausgestaltung hoch- und vollautomatisierter Kfz zu sehen, um den Anforderungen dieser Vorschrift Folge leisten zu können.19 Durch die zusätzlich von § 63a Abs. 1 Satz 2 StVG vorgesehene Pflicht zur Datenaufzeichnung bei technischen Störungen soll einerseits die Nachvollziehbarkeit bei technikbedingten Unfällen weiter gesteigert werden. Zudem dient die Aufzeichnung aber auch dem Zweck der Unfallforschung und damit der generellen Steigerung der Verkehrssicherheit.20 Für die Übermittlung der aufgezeichneten Daten an Dritte zu ebendiesen Zwecken der Unfallforschung enthält § 63a Abs. 5 StVG eine eigenständige (im Ergebnis aber inhaltsleere21) datenschutzrechtliche Ermächtigungsgrundlage. Bereits die Regelung des § 63a Abs. 1 StVG weist mit der hier vertretenen Auffassung jedoch zahlreiche Defizite auf. Hinzuweisen ist dabei zunächst auf den Wortlaut der Vorschrift, der lediglich eine Aufzeichnung von Positions- und Zeitangaben zu einem bestimmten Ereigniszeitpunkt vorsieht. Bei strenger Anwendung des Wortlauts („[…], wenn ein Wechsel der Fahrzeugsteuerung […] erfolgt […]“, anstatt bspw. „[…], dass ein Wechsel der Fahrzeugsteuerung […] erfolgt […]“) 16
Hierzu auch Wagner / Goeble, ZD 2017, 263, 267. BT-Drs. 18/11300, S. 24; Schmid / Wessels, NZV 2017, 357, 358 f. 18 BT-Drs. 18/11300, S. 24; Schmid / Wessels, NZV 2017, 357, 358 f.; Putzki, MMR-Aktuell 2017, 388288. 19 Vgl. hierzu auch BT-Drs. 18/11300, S. 15, wonach „dieses Gesetz die Aufzeichnung und Speicherung, ob das automatisierte System oder der Fahrzeugführer aktiv war (Systemaktiviät) bzw. ob das automatisierte System den Fahrzeugführer zur Übernahme der Fahrzeugsteuerung aufgefordert hat, [voraussetzt]“. 20 Schmid / Wessels, NZV 2017, 357, 359. 21 Siehe 4. Teil, Kapitel 1, A., II., 5. 17
Kap. 1: Event Data Recording als Rechtspflicht
113
könnte somit der konkrete Umstand der Aufzeichnung, also das die Aufzeichnung auslösende Ereignis selbst (Steuerungsübernahme, Übernahmeaufforderung, technische Störung), bereits nicht unter die Aufzeichnungspflicht fallen. Doch selbst dann, wenn man den Wortlaut der Vorschrift weiter auslegt und vertritt, dass das die Aufzeichnung auslösende Ereignis, also der Umstand der Aufzeichnung selbst, ebenfalls von der Aufzeichnungspflicht erfasst ist, so sind die aufgezeichneten Informationen mit der hier vertretenen Auffassung dennoch nicht geeignet, den erörterten Gefahren für die Rechtssicherheit (Haftung ohne Regressmöglichkeit zu Lasten des primär Haftenden22) entgegenzuwirken. Ermöglicht wird hierdurch zwar eine Exkulpation des Fahrzeugführers, der mittels der aufgezeichneten Daten beweisen kann, dass er keine Steuerung innehatte und auch nicht zur Steuerungsübernahme aufgefordert wurde.23 Möchte dagegen der Halter des in einen Unfall verwickelten Straßenfahrzeugs und damit der für gewöhnlich in erster Linie zur Haftung Herangezogene Regressansprüche gegen den Fahrzeughersteller geltend machen, so trägt dieser i. d. R. selbst die Beweislast des § 1 Abs. 4 ProdHaftG. § 1 Abs. 4 ProdHaftG beinhaltet in erster Linie zwar zunächst nur eine Beweislastregelung gegenüber dem Geschädigten. Denkbar ist aber einerseits, dass der Fahrzeughalter Schadensersatz an den Geschädigten unter der Voraussetzung der Abtretung der Schadensersatzforderung geleistet hat, sodass der Anspruch des Geschädigten zwischenzeitlich auf den Fahrzeughalter übergegangen ist.24 Gegen einen solchen Anspruch kann der Hersteller gem. § 404 BGB dem Fahrzeughalter dieselben Einwendungen entgegensetzen, die zur Zeit der Abtretung auch gegen den Geschädigten bestanden haben, was mitunter auch die ihn begünstigende Beweislastregelung des § 1 Abs. 4 ProdHaftG betreffen dürfte. Andererseits stehen Hersteller und Fahrzeughalter regelmäßig auch in einem Gesamtschuldsverhältnis zueinander, sodass ein Forderungsübergang auf den Fahrzeughalter nach dessen Leistung an den Geschädigten auch bereits per Gesetz gem. (§§ 6 Abs. 2 Satz 2, 5 Satz 2 HS. 2 ProdHaftG i. V. m.) § 426 Abs. 2 BGB erfolgt. Für den Fall, dass nicht der Fahrzeughalter selbst, sondern dessen Haftpflichtversiche rung an den Geschädigten geleistet hat, die daraufhin Regress von dem Hersteller sucht, ergibt sich ein solcher gesetzlicher Übergang von Ersatzansprüchen weiterhin aus § 86 Abs. 1 VVG. Die dem Fahrzeughalter oder der Haftpflichtversicherung dann obliegende Beweislast aus § 1 Abs. 4 ProdHaftG kann mit den nach § 63a Abs. 1 StVG aufgezeichneten Informationen aber nicht entsprochen werden.25 Denn auch bei einer weiten Wortlautinterpretation ist i. R. d. § 63a Abs. 1 StVG lediglich aufzuzeichnen, „ob“ bei einer bestimmten Position und zu einem bestimmten Zeitpunkt etwa 22 Siehe 3. Teil, Kapitel 2, B., II., 3., b). Hierzu auch vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 4. 23 Vgl. Schmid / Wessels, NZV 2017, 357, 359 f. 24 Vgl. Rempe, in: Taeger, Internet der Dinge, S. 829. 25 So auch Schmid / Wessels, NZV 2017, 357, 360.
114
4. Teil: Event Data Recording und integrierte Produktbeobachtung
eine technische Störung aufgetreten ist.26 Nicht unter die Aufzeichnungspflicht des § 63a Abs. 1 StVG fallen damit jedenfalls erweiterte Informationen über das Zustandekommen, die Ursache, den Auslöser oder den Verlauf eines Unfalls oder einer technischen Störung sowie qualifizierte Systemprotokolle mit Meta- und Begleitinformationen.27 Gerade solche detaillierten Informationen wären aber zwingend notwendig, um die von § 1 Abs. 4 ProdHaftG geforderten Nachweispflichten, insbesondere darüber, ob das Fahrzeug an einem Fehler leidet und dieser Fehler für den eingetretenen Schaden ursächlich war, erfüllen zu können. 2. Datenübermittlung an und Datenverarbeitung durch Behörden (§ 63a Abs. 2 StVG) Nach § 63a Abs. 2 Satz 1 StVG dürfen diese erhobenen Daten an die „nach Landesrecht für die Ahndung von Verkehrsverstößen zuständigen Behörden auf deren Verlangen übermittelt werden“.28 Dieser datenschutzrechtlichen Übermittlungsbefugnis muss insofern eine Übermittlungsverpflichtung, etwa aus der StPO oder dem OWiG,29 gegenüberstehen („Doppeltürprinzip“30).31 Auch wenn mit „übermitteln“ zunächst der Anschein erweckt wird, dass dies unmittelbar durch eine Datenübertragung von dem automatisierten Fahrzeug zur Behörde realisiert werden könnte (etwa indem der Fahrzeughalter die betreffenden Daten an die Behörde übermittelt oder aber i. S. d. § 3 Abs. 4 Nr. 3 lit. b BDSG a. F. für diese zum Datenabruf bereitstellt), scheint der Gesetzgeber vielmehr noch von dem Szenario auszugehen, dass die Daten von dem Kfz vor Ort (offline) ausgelesen werden.32 Trotz der mehrheitlich serienmäßig vorhandenen Vernetzung hoch- und vollautomatisierter Fahrzeuge wird hier demnach weiterhin die bereits seit dem Jahr 1988 in Kraftfahrzeugen verbaute OBD-Schnittstelle zum Einsatz kommen.33 „Übermitteln“ i. S. d. § 63a Abs. 2 StVG wird demnach in der Praxis als eine Herausgabe und Überlassung des Kfz mitsamt seinen Datenspeichern zum Zwecke der Auslesung zu verstehen sein.34 Normadressat ist dabei stets derjenige, der gemäß den zugrundeliegenden Ermächtigungsgrundlagen der StPO oder des OWiG verpflichtet werden kann.35
26 So auch der Gesetzgeber, der mit der Vorschrift lediglich die Aufzeichnung „ob“ eine technische Störung vorlag, vorgesehen hat, vgl. BT-Drs. 18/11776, S. 11; Schmid / Wessels, NZV 2017, 357, 360. 27 Schmid / Wessels, NZV 2017, 357, 360 f. 28 Hierzu Wagner / Goeble, ZD 2017, 263, 267 f. 29 Vgl. BT-Drs. 18/11776, S. 11. 30 Vgl. hierzu BVerfG, Beschl. v. 24.01.2012 – 1 BvR 1299/05, MMR 2012, 410, 412. 31 Hierzu auch Schmid / Wessels, NZV 2017, 357, 360. 32 So wird im Rahmen des Erfüllungsaufwands der Gesetzesänderung etwa noch die Beschaffung von Datenauslesegeräten diskutiert, vgl. BT-Drs. 18/11300, S. 16 f. 33 Vgl. Schlanstein, NZV 2016, 201, 205. 34 Schmid / Wessels, NZV 2017, 357, 361. 35 Schmid / Wessels, NZV 2017, 357, 361.
Kap. 1: Event Data Recording als Rechtspflicht
115
Nach § 63 Abs. 2 Satz 3 StVG ist der Umfang der Datenübermittlung dabei auf das Maß zu beschränken, das für das von den Behörden durchgeführte Verfahren erforderlich ist. Da, wie bereits dargestellt, die in § 63a Abs. 2 Satz 1 StVG normierte Übermittlungsverpflichtung der nach § 63a Abs. 1 StVG gespeicherten Daten in der Praxis aber mehrheitlich darin bestehen wird, dass der Fahrzeughalter sein Fahrzeug zur Datenauslesung bereitstellt, ist fraglich, wie dieser faktisch in der Lage sein könnte, den Umfang der Datenübermittlung gem. § 63 Abs. 2 Satz 3 StVG zu beschränken. Mit der Überlassung des Kfz zur Datenauslesung gibt der Fahrzeughalter vielmehr alle darauf gespeicherten Daten frei und muss darauf vertrauen, dass von der Gegenseite nur die erforderlichen Daten ausgelesen werden. Eine begrenzte Freigabe, etwa auf bestimmte Ereignisse oder Datumsbereiche, wird die Fahrzeugsoftware i. d. R. nicht vorsehen. Der in § 63 Abs. 2 Satz 3 StVG vorgesehene Erforderlichkeitsgrundsatz wäre demnach vielmehr an die auslesenden Behörden zu adressieren gewesen. Damit hätte richtigerweise nicht die Datenübermittlung, sondern die Datenspeicherung durch die Behörde auf das erforderliche Maß begrenzt werden müssen.36 3. Datenübermittlung an Dritte (§ 63a Abs. 3 StVG) Dritten sind die Daten gem. Abs. 3 der Vorschrift dagegen dann zu übermitteln, wenn diese zur „Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis“, also einem Unfall, bei dem ein Mensch getötet, der Körper oder die Gesundheit eines Menschen verletzt oder eine Sache beschädigt wurde, „erforderlich sind und […] das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war“. Während es in einer vorherigen Gesetzesfassung dabei noch ausreichte, dass der Auskunftsanspruchsteller diese Übermittlungsvoraussetzungen glaubhaft machte, erfordert der finale § 63a Abs. 3 StVG nun einen dahingehenden Vollbeweis.37 Aufgrund des Verweises auf § 63a Abs. 2 Satz 3 StVG ist auch hier die Datenübermittlung auf das erforderliche Maß zu reduzieren. Anders als § 63a Abs. 2 Satz 1 StVG, der den Adressaten der Norm lediglich zur Datenübermittlung legitimiert, enthält § 63a Abs. 3 StVG selbst eine dahingehende Verpflichtung zu Lasten des Fahrzeughalters.38 Da die Datenübermittlung in der Praxis noch in einer unvernetzten Auslesung unmittelbar vom betreffenden Kfz durch die Benutzung von Datenauslesegeräten stattfinden wird, bei der ausschließlichen Beteiligung Privater wie vorliegend aber keine der Parteien über dementsprechende Geräte verfügen wird, wird hier mehrheitlich auf einen Dienstleister als Intermediär zurückzugreifen sein. Da § 63a Abs. 3 StVG
36
So auch Schmid / Wessels, NZV 2017, 357, 361. Putzki, MMR-Aktuell 2017, 388288. 38 So auch Schmid / Wessels, NZV 2017, 357, 361. 37
116
4. Teil: Event Data Recording und integrierte Produktbeobachtung
explizit den Fahrzeughalter adressiert, wird dieser in der Verpflichtung stehen, einen solchen Dienstleister zu beauftragen. Der Dienstleister dürfte im Verhältnis zu dem Fahrzeughalter damit Auftragsdatenverarbeiter sein. Noch relevanter als die Datenschutzfrage ist hierbei aber die Frage nach der Kostentragungspflicht einer solchen Datenauslesung und -übermittlung. Diese Frage stellt sich insbesondere dann, wenn nachträglich festgestellt wird, dass der Auskunftsanspruch des Anfragenden doch unbegründet war oder aber wenn das Kfz zwar tatsächlich an einem Unfall beteiligt war und die Datenauslesung auch zur Geltendmachung, Befriedigung oder Abwehr eines Rechtsanspruchs des Anfragenden erforderlich ist, für den Unfall aber ein Dritter haftbar zu machen ist.39 4. Datenlöschung und Datenaufbewahrung (§ 63a Abs. 4 StVG) Die gespeicherten Daten sind gem. Abs. 4 der Vorschrift nach sechs Monaten zu löschen, es sei denn, das Kraftfahrzeug war an einem Ereignis gem. § 7 Abs. 1 StVG beteiligt, bei dem ein Mensch getötet, der Körper oder die Gesundheit eines Menschen verletzt oder eine Sache beschädigt wurde. In diesem Falle dürfen die Daten erst nach drei Jahren gelöscht werden. Legt man zugrunde, dass (wie auch hinsichtlich der Aufzeichnungspflicht nach § 63a Abs. 1 StVG) eine solche Löschpflicht nicht in der Verantwortungssphäre des Fahrzeughalters liegen kann (dieser müsste täglich, streng genommen sogar durchgängig veraltete Datenbestände manuell löschen), kommt vorliegend nur in Betracht, dass das automatisierte Kfz derartige Löschvorgänge selbsttätig nach Ende der Speicherfristen vornimmt. Dies erfordert, dass entsprechende Löschroutinen bereits im Rahmen der technischen Ausgestaltung von den Fahrzeugherstellern implementiert werden. Hierzu ist notwendig, dass das automatisierte Kfz auch speicherverlängernde Ereignisse i. S. d. §§ 63a Abs. 4, 7 Abs. 1 StVG eigenständig identifizieren kann und die diesbezüglichen Daten dann von der regelmäßigen sechsmonatigen Löschroutine ausschließt (die betroffenen Daten also sperrt). Dafür muss das automatisierte Fahrzeug technisch imstande sein, eigenständig zu erkennen, ob ein Mensch getötet, der Körper oder die Gesundheit eines Menschen verletzt oder eine Sache beschädigt wurde.
39 § 63a Abs. 3 Nr. 2 StVG verlangt insofern nur, dass das entsprechende Kraftfahrzeug an dem Unfallereignis beteiligt war, nicht aber, dass dieses auch ursächlich für den Unfall war oder der jeweilige Halter / Fahrer hierfür haftbar gemacht werden kann.
Kap. 1: Event Data Recording als Rechtspflicht
117
5. Anonymisierte Datenübermittlung zur Unfallforschung (§ 63a Abs. 5 StVG) § 63a Abs. 5 StVG sieht darüber hinaus vor, dass die in Zusammenhang mit einem Unfallereignis nach § 7 Abs. 1 StVG stehenden Daten in anonymisierter Form zu Zwecken der Unfallforschung auch an Dritte übermittelt werden dürfen.40 Was auf den ersten Blick aus Gründen der Gewährleistung und Steigerung der Verkehrssicherheit als sinnvoll erscheinen mag, entpuppt sich bei genauerem Hinsehen als datenschutzrechtlich inhaltsleere, wenn nicht gar verfassungswidrige Regelung. Denn immer dann, wenn einst personenbezogene Daten tatsächlich anonymisiert (und nicht nur pseudonymisiert) werden, liegt bei deren Verarbeitung gar kein Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) bzw. in das Recht auf Schutz personenbezogener Daten (Art. 8 EU-GRCh) mehr vor. Die Grundsätze des Datenschutzes sind damit auch nach Erwägungsgrund 26 zur DSGVO nicht auf anonyme oder anonymisierte Daten anwendbar. Dieser Grundsatz gilt nach dem eindeutigen Wortlaut dieses Erwägungsgrunds insbesondere auch in Bezug auf anonyme Daten für statistische oder für Forschungszwecke.41 Die Regelung des § 63a Abs. 5 StVG ist damit einerseits inhaltsleer42, da sie einen nicht regelungsbedürften Bereich regelt. Anonymisierte Daten dürfen aufgrund des oben Gesagten auch bereits ohne Ermächtigungsgrundlage an Dritte übermittelt und von diesen zu jedwedem Zweck verarbeitet werden. Darüber hinaus ist die Regelung des § 63a Abs. 5 StVG mit der hier vertretenen Auffassung aber sogar verfassungsrechtlichen Bedenken ausgesetzt, wenn man diese Vorschrift so interpretiert, dass außerhalb von Ereignissen nach § 7 Abs. 1 StVG und außerhalb der Unfallforschung die anonymisierten Daten als Gegenschluss gerade nicht an Dritte übermittelt werden dürfen, wenn die Vorschrift also einen über den Datenschutz und das Recht auf informationelle Selbstbestimmung hinausgehenden Schutz der nach § 63a Abs. 1 StVG erhobenen und gespeicherten Daten anvisiert.43 Denn werden hierdurch bestimmte Geschäftskonzepte oder Forschungsvorhaben kriminalisiert, so kann dies jeweils einen Eingriff in Art. 5 Abs. 3 Satz 1 GG bzw. in Art. 12 GG darstellen, der nicht in verhältnismäßiger Weise zu rechtfertigen ist, da das Recht auf informationelle Selbstbestimmung (als einzig denkbare Rechtfertigung des Eingriffs) gerade nicht einschlägig ist. Letztendlich sind die nach § 63a Abs. 1 StVG aufzuzeichnenden Daten aber ohnehin ungeeignet, zu einer etwaigen Unfallforschung beizutragen, wenn diese schon untauglich sind, dem Fahrzeughalter die gem. § 1 Abs. 4 ProdHaftG für einen Regressanspruch erforderlichen Nachweise zu ermöglichen.44 40
Vgl. zu der gesetzgeberischen Intention auch BT-Drs. 18/11776, S. 12. Hierzu auch Schmid / Wessels, NZV 2017, 357, 362 f. 42 Schmid / Wessels, NZV 2017, 357, 362 f. 43 Kritisch Schmid / Wessels, NZV 2017, 357, 362 f. 44 Siehe 4. Teil, Kapitel 1, A., II., 1. 41
118
4. Teil: Event Data Recording und integrierte Produktbeobachtung
6. Verordnungsermächtigungen (§ 63b StVG) § 63b StVG enthält schließlich mehrere Verordnungsermächtigungen zur Durchführung des § 63a StVG, die die technische Ausgestaltung und den Ort des Speichermediums sowie die Art und Weise der Speicherung (Nr. 1), den Adressaten der Speicherpflicht (Nr. 2) sowie Maßnahmen zur Sicherung der gespeicherten Daten gegen unbefugten Zugriff bei Verkauf des Kraftfahrzeugs (Nr. 3) betreffen. Gerade hinsichtlich der Nummern 1 und 3 wurde mit der Rechtsverordnung ein geeignetes Regelungsmedium gewählt, um die sich ergebenden technischen Anforderungen im Detail und mit der zukünftigen technischen Entwicklung dynamisch anpassbar auszugestalten. Hinsichtlich der Nummer 2 erscheint die Auslagerung in eine Rechtsverordnung aber mehr dem Zweck gedient zu haben, sich dieser Fragestellung zum Zeitpunkt des Gesetzesentwurfs temporär noch entziehen zu können. Denn diesbezüglich sind keine nachvollziehbaren Gründe ersichtlich, die einer unmittelbaren gesetzlichen Regelung entgegenstehen würden. Insbesondere ist völlig fraglich, wer neben dem Fahrzeughersteller, der ausschließlich die technische Ausgestaltung des Kfz vornimmt, hierfür noch in Betracht kommen könnte.45 Sinnvollerweise hätte in einer Rechtsverordnung vielmehr geregelt werden sollen, welche Daten von der Aufzeichnungspflicht i. S. d. § 63a Abs. 1 StVG konkret erfasst sind. Hier hätten zunächst einige Basisdaten als zwingend erforderliche Informationen festgelegt werden können, die während des Praxiseinsatzes von hochund vollautomatisierten Fahrzeugen hätten evaluiert und dementsprechend (bspw. um sich ergebende Beweislücken zu schließen) angepasst werden können. 7. Zwischenergebnis: Event Data Recording im automatisierten Straßenverkehr Wie aufgezeigt wurde, weisen die §§ 63a f. StVG zahlreiche Defizite auf, sodass diese Vorschriften als ungeeignet angesehen werden müssen, den hier als Legal Causes of Trouble und als Unknown Causes of Trouble bezeichneten Risiken umfassend entgegenwirken zu können. III. Verpflichtung zum Einsatz von Fahrtschreibern und Kontrollgeräten sowie der elektronischen Fahrtenregistrierung Unabhängig von dem Automatisierungsgrad des Fahrzeugs enthält auch § 57a StVZO (unter zahlreichen Ausnahmevorbehalten) eine entsprechende Protokollierungspflicht für Kfz ab 7,5 t zulässigem Gesamtgewicht, für Zugmaschinen mit einer Motorleistung ab 40 kW, die nicht ausschließlich für land- oder forstwirt 45
Schmid / Wessels, NZV 2017, 357, 359.
Kap. 1: Event Data Recording als Rechtspflicht
119
schaftliche Zwecke eingesetzt werden sowie für zur Beförderung von Personen bestimmte Kraftfahrzeuge mit mehr als acht Fahrgastplätzen. Zum Einsatz kommt dabei nach § 57a Abs. 1a, Abs. 2 StVZO entweder ein manueller Fahrtschreiber, der die erhobenen Daten auf einem Schaublatt aufzeichnet oder aber ein Kontrollgerät gem. § 57a Abs. 3 StVZO, VO (EWG) Nr. 3821/8546. Der Fahrtschreiber und das Kontrollgerät müssen nach §§ 57a Abs. 3 Satz 2 HS 1, Abs. 2 Satz 1 StVZO von Beginn bis Ende einer Fahrt ununterbrochen in Betrieb und der Fahrtschreiber gem. § 57a Abs. 1a StVZO zur Sicherstellung der Integrität der Aufzeichnungen zusätzlich auch plombiert sein. Aufgezeichnet werden dabei unter anderem die Lenk- und Ruhezeiten sowie die gefahrene Geschwindigkeit.47 Im Eisenbahnwesen ist dagegen die elektronische Fahrtenregistrierung vorgeschrieben. Hierbei werden auf einem Speichermedium verschiedene Zustandsdaten des Zuges aufgezeichnet. IV. Ergebnis: Begrenzte spezialgesetzliche Rechtspflicht zum Event Data Recording Spezialgesetzlich sind derzeit im Wesentlichen nur für Verkehrsflugzeuge sowie für hoch- und vollautomatisierte Straßenfahrzeuge Pflichten zum Event Data Recording vorgesehen, wobei die §§ 63a f. StVG mit der hier vertretenen Auffassung zudem auch einige Defizite aufweisen. Für sonstige cyber-physische Systeme wie etwa für UAS existieren derzeit dagegen gar keine dementsprechenden spezial gesetzlichen Beweissicherungspflichten.
B. „Event Data Recording Basisschutz“ als ein „Verbot der Datenlöschung“ Ungeachtet einer spezialgesetzlichen Rechtspflicht zum Event Data Recording für (spezifische) CPS könnte ein „Event Data Recording Basisschutz“ hilfsweise aber auch aus einem „Verbot der Datenlöschung“ konstruiert werden. I. Datenbeschaffung und Datensicherung als Bestandteile des Event Data Recordings Zu überlegen ist hierfür, aus welchen Teilkomponenten sich das Event Data Recording zusammensetzt, um anschließend diese Einzelbestandteile einer rechtlichen Prüfung unterziehen zu können. 46 Verordnung v. 20.12.1985, ABl. 1985 L 370, 8, geändert durch Art. 26 der Verordnung v. 15.03.2006, ABl. 2006 L 102, 1. 47 Vgl. Gola, NZA 2007, 1139, 1142.
120
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Mit der hier vertretenen Auffassung ist das Event Data Recording – vereinfacht ausgedrückt – dabei nichts anderes als das gezielte Beschaffen von Daten mit einer anschließenden (langfristigen und sicheren) Datensicherung: Event Data Recording = Datenbeschaffung ∧ Datensicherung 1. Datenbeschaffung Im Rahmen der Datenbeschaffung werden die von dem Event Data Recorder zu erfassenden Daten erstmalig erhoben und zumindest kurzfristig zwischen gespeichert. Im Rahmen der Datenbeschaffung werden dabei die zu erfassenden Datenkategorien (quantitative Komponente) sowie die Erhebungsdichte (qualitative Komponente) festgelegt. Von der Aufzeichnung können sowohl systemeigene Daten (bspw. bei UAS: Systemfehlermeldungen, Betriebstemperatur und Stromverbrauch einzelner Komponenten, Uhrzeit, Akkustatus, Daten des GPS-Moduls, Daten des elektronischen Kompasses, Daten des elektronischen Gyroskops, Daten des elektronischen Barometers, Daten des Beschleunigungssensors, Daten der optischen Positionsbestimmungssysteme (u. a. Ultraschall, Radar, Sonar, Lidar), Daten der On-Board-Kameras, nutzlastspezifische Daten, übermittelte V2X- bzw. M2M-Kommunikationsdaten, übermittelte ATC-Daten, Daten der Kollisionserkennungssysteme) als auch externe Daten (bspw. bei UAS: empfangene V2X- bzw. M2M-Kommunikatiosdaten, empfangene ATC-Daten, abgerufene Wetterdaten sowie Flugkarten) umfasst sein. Im Kontext der spezialgesetzlichen Regelungen der §§ 63a f. StVG zum hochund vollautomatisierten Fahren stellt die Verpflichtung zur Datenaufzeichnung in § 63a Abs. 1 StVG etwa eine solche Datenbeschaffung dar. Für die bemannte Luftfahrt enthält dagegen CAT.IDE. A.190 b) der Verordnung (EU) Nr. 965/2012 Bestimmungen darüber, welche Daten von dem Flugdatenschreiber aufgezeichnet werden müssen.
2. Datensicherung In einer auf diese Datenbeschaffung folgenden Datensicherungsphase sollen die Daten zu Zwecken des späteren Zugriffs aufbewahrt und archiviert werden. Dies kann zunächst dergestalt erfolgen, dass die nach der Datenerhebung im Zwischenspeicher des Systems (bspw. RAM) vorhandenen Daten in den Massendatenspeicher (bspw. Festplatte) kopiert oder verschoben werden. Die Datensicherung kann des Weiteren aber auch schlichtweg dadurch erfolgen, dass sichergestellt wird, dass die im Rahmen der Datenbeschaffung zwischengespeicherten Daten (bspw. auf der Festplatte gespeicherte Logfiles) nicht automatisiert durch das System wieder gelöscht werden. Im letzteren Kontext kann die Datensicherungskomponente daher
Kap. 1: Event Data Recording als Rechtspflicht
121
auch als ein „Verbot der Datenlöschung“ verstanden werden. Wie dies technisch umgesetzt wird, ist dabei irrelevant. Im einfachsten Falle werden die entsprechenden Daten zumindest von etwaigen Löschroutinen ausgenommen. Diese Datensicherungskomponente spiegelt sich im Rahmen der spezialgesetzlichen Regelungen der §§ 63a f. StVG zum hoch- und vollautomatisierten Fahren auch in § 63a Abs. 4 StVG wieder. § 63a Abs. 4 StVG regelt dabei, dass die nach § 63a Abs. 1 StVG gespeicherten Daten zwar nach sechs Monaten bzw. drei Jahren zu löschen sind (Erfüllung des datenschutzrechtlichen Prinzips der Datensparsamkeit und Datenvermeidung, wenn die aufgezeichneten Daten zur Aufklärung eines Unfalls im Straßenverkehr nicht erforderlich sind). Vor dieser Frist dürfen die Daten aber auch freiwillig gar nicht gelöscht werden (Aspekt der Datensicherung). § 63a Abs. 4 StVG regelt insofern Maximal-, zugleich aber auch Mindestspeicherfristen48 und setzt diese Mindestspeicherfristen durch ein solches implizites „Verbot der Datenlöschung“ um.49 Für die bemannte Luftfahrt bestimmt dagegen CAT.IDE. A. 190 b) der Verordnung (EU) Nr. 965/2012, dass die im Rahmen der Datenbeschaffung aufgezeichneten Daten, je nach Flugzeugtyp, 10 bis 25 Stunden gespeichert werden müssen, wozu gem. CAT.IDE. A.190 a) ein digitales Verfahren zu verwenden ist, das eine leichte Auslesbarkeit gewährleistet. Kommt es tatsächlich zu einem Unfall, einer schweren Störung oder einem anderen in der Bestimmung genauer definierten Ereignis, so sind die Daten gem. CAT.GEN.MPA.195 a) sogar für einen Zeitraum von 60 Tagen aufzubewahren. II. Erforderlichkeit einer Rechtspflicht zur Datenbeschaffung und zur Datensicherung Wurde vorliegend festgestellt, dass sich das Event Data Recording als ein Zusammenspiel von Datenbeschaffung und Datensicherung beschreiben lässt, so ist im Folgenden zu untersuchen, ob aus dem geltenden allgemeinen Recht jeweils Rechtspflichten für jede dieser Einzelkomponenten hergeleitet werden können. Eine Rechtspflicht, also ein rechtliches Gebot, etwas Bestimmtes zu tun, braucht es nur dann, wenn diese Verarbeitungsschritte ansonsten unerledigt bleiben würden, oder anders gesagt: Für Verarbeitungsschritte, die jedem automatisierten und vernetzten CPS bereits aufgrund technischer Notwendigkeit immanent sind, bedarf es keiner speziellen Rechtspflicht.
48
Schmid / Wessels, NZV 2017, 357, 362. So auch der Gesetzgeber, der die Aufbewahrungsfristen des § 63a Abs. 4 StVG mit einem Nichtlöschendürfen der Daten gleichsetzt, BT-Drs. 18/11776, S. 12. 49
122
4. Teil: Event Data Recording und integrierte Produktbeobachtung
1. Regelungsbedürftigkeit der Datenbeschaffungsphase Hinsichtlich der Datenbeschaffung als erste Phase des Event Data Recordings lässt sich bereits feststellen, dass heute auch ohne spezifische Rechtspflicht jedes automatisierte und vernetzte System bereits aufgrund technischer Notwendigkeit zahlreiche Daten erhebt und auswertet.50 Die oben exemplarisch für UAS aufgezählten Datenkategorien der Daten beschaffungsphase (Systemfehlermeldungen, Temperaturen, Sensorwerte, ATCund M2M-Kommunikationsdaten etc.) werden von dem automatisierten UAS also bereits deswegen erhoben, damit dieses überhaupt funktionieren und automatisiert agieren kann. Diese auch von handelsüblichen UAS bereits aus technischer Notwendigkeit heraus erhobenen und gespeicherten Daten decken bereits die nach CAT.IDE. A.190 b) der Verordnung (EU) Nr. 965/2012 für Verkehrsflugzeuge zu speichernden Informationen (hier u. a. Uhrzeit, Flughöhe, Fluggeschwindigkeit, Beschleunigung, Steuerkurs sowie weitere Parameter und Konfigurationen des Flugzeugs) umfassend ab, auch ohne dass es für UAS hierzu einer rechtlichen Verpflichtung bedürfte. Selbst in weitestgehend noch nicht automatisierten Straßenfahrzeugen befinden sich heute bereits zwischen 50 und 80 verschiedene elektronische Einheiten,51 die kontinuierlich Daten erheben und zwischenspeichern und hierdurch stündlich bis zu 25 GB an Daten produzieren sollen.52 Dieser Anteil an elektronischen datenerhebenden Komponenten soll mit der fortschreitenden Automatisierung in den nächsten vier Jahren nochmals um 300 % auf bis zu 240 Komponenten steigen.53 Diese von automatisierten und vernetzten CPS also ohnehin erhobenen und verarbeiteten Daten reichen i. d. R. aber zur Ermöglichung einer späteren Nachvollziehbarkeit und Beweisbarkeit eines Sachverhalts sowohl quantitativ als auch qualitativ aus.54 Dass es hierzu noch anderer oder erweiterter Daten bedürfte, kann vorliegend nicht festgestellt werden. Die von dem automatisierten und vernetzten CPS erhobenen und verarbeiteten Daten dienen insofern gerade dem Zweck, die menschlichen Sinne durch technische Substitute zu ersetzen und es dem System hierdurch zu ermöglichen, die komplexen Abläufe innerhalb des Systems sowie die komplexe Umgebungsszenerie auch eigenständig erfassen, überwachen, auswerten sowie auf etwaige Ereignisse selbsttätig adäquat reagieren zu können. Hieraus ergibt sich im Ergebnis, dass für automatisierte und vernetzte CPS mit der hier ver-
50
So auch Brenner / Schmidt-Cotta, SVR 2008, 41, 41 f. Neckenbürger, SVR 2009, 373, 373; Wiebe, GRUR Int. 2016, 877, 878 f. 52 3sat-Beitrag v. 20.06.2017, Der Datenschutz kommt unter die Räder; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 14. Vgl. auch Wendt, ZD-Aktuell 2018, 06034 sowie generell Weber, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 83 ff. 53 Neckenbürger, SVR 2009, 373, 373. 54 So auch Schlanstein, NZV 2016, 201, 205 f. 51
Kap. 1: Event Data Recording als Rechtspflicht
123
tretenen Auffassung eine dedizierte Rechtspflicht zur Datenbeschaffung gar nicht notwendig ist.55 2. Regelungsbedürftigkeit der Datensicherungsphase56 Diese also ohnehin aufgrund technischer Erforderlichkeit erhobenen Daten stehen zu Zwecken der späteren Nachvollziehbarkeit und Beweisbarkeit eines Sachverhalts aber meist deswegen nicht mehr zur Verfügung, da diese einerseits oftmals lediglich in flüchtigen Speichern (bspw. RAM) abgelegt werden, die sich nicht zur Langzeitspeicherung eignen. Dies wird insbesondere bei dem Abruf von Sensorwerten der Fall sein, wenn deren Rückgabewerte lediglich in Variablen oder Arrays (Speicherung i. d. R. im Arbeitsspeicher, nicht auf dem Datenträger des Systems) erfasst werden, die bei Beendigung des konkreten Programmteils oder beim Herunterfahren / beim Neustart des Systems verfallen und dann nicht mehr zur Verfügung stehen. Doch selbst dann, wenn die entsprechenden Informationen in Dateien oder Datenbanken abgelegt werden, die sich für eine Langzeitspeicherung generell eignen würden (bspw. Logfiles), so werden diese andererseits i. d. R. regelmäßig (entweder ereignisbasiert, bspw. beim Abstellen des Fahrzeugs, oder nach Zeitintervallen, bspw. durch sog. „Cronjobs“) automatisiert gelöscht, wenn diese technisch nicht mehr erforderlich sind.57 Auch wenn es an dieser Stelle irrelevant erscheinen mag, ob zum Zeitpunkt einer späteren Beweisführung die hierfür relevanten Daten niemals im Langzeitspeicher des Systems verfügbar waren oder diese nur zwischenzeitlich bereits wieder gelöscht wurden, so wird dies dann noch eine Rolle spielen, wenn im Rahmen der tatbestandsmäßigen Handlung zwischen einem aktiven Tun und einem pflichtwidrigen Unterlassen zu unterscheiden ist.58 In dem hier zugrundegelegten Szenario wird jedenfalls angenommen,59 dass eine zur Langzeitaufbewahrung geeignete Speicherung in Dateien oder Datenbanken zumindest für die erfolgte V2X-Kommunikation, für Systemfehlermeldungen sowie für alle kritischen Ereignisse (bspw. 55
So wohl auch Brenner / Schmidt-Cotta, SVR 2008, 41, 41 f. und Schlanstein, NZV 2016, 201, 204 f., die unter einem Event Data Recorder die Fusionierung ohnehin vom Kfz erhobener Daten verstehen. Ob sich eine solche Pflicht gleichwohl aus Aspekten der Beweisvereitelung oder aus produkthaftungsrechtlichen Ansprüchen ergeben kann, vgl. Regenfus, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 264 ff. sowie Salje, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 231 ff. Weiterhin ist fraglich, ob sich ein solcher Anspruch nicht auch aus vertraglichen Nebenpflichten, aus § 242 BGB oder aus der zivilrechtlichen Sachmangelhaftung ergeben könnte, siehe 4. Teil, Kapitel 1, B., III., 2., a), aa). 56 Die folgenden Ausführungen basieren auf Annahmen des Verfassers unter Zugrundelegung der Logging-Mechanismen des „Robot Operating Systems“ („ROS“), vgl. ROS, Logging, http:// wiki.ros.org/roscpp/Overview/Logging. 57 Hierzu am Beispiel von Fehlerdatenspeichern, die bestimmte Daten nach Behebung eines Fehlers unmittelbar wieder löschen, auch Rieß / Greß, DuD 2015, 391, 395. 58 Siehe 4. Teil, Kapitel 1, B., III., 2., a), aa). 59 Basierend auf Annahmen des Verfassers.
124
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Aktivierung des „Sense-and-Avoid“-Mechanismus bei Erkennung einer drohenden Kollision) und für sonstige Abweichungen des Ist-Zustands vom Soll-Zustand erfolgt. Im Falle des „Robot Operating Systems“ („ROS“) erfolgt diese Speicherung dann etwa in einem sog. „Node log file“.60 Die hierdurch realisierte Datenminimierung und Datensparsamkeit stellt nicht nur einen datenschutzrechtlichen Grundsatz dar, sondern entspricht auch den Best Practices bei der Softwareentwicklung, um die vorhandenen Systemressourcen (etwa Festplattenspeicherplatz, Arbeitsspeicher, CPU) nicht unnötig auszulasten. Legt man mit obiger Quelle zugrunde, dass auch heutige weitestgehend nicht-automatisierte Straßenfahrzeuge bereits zwischen 50 und 80 verschiedene elektronische Einheiten beherbergen,61 die stündlich bis zu 25 GB an Daten produzieren62 und dass dieser Anteil sich in den nächsten Jahren nochmals um bis zu 300 % steigern soll,63 dürfte die nur flüchtige Erfassung von Informationen in Variablen oder Arrays bzw. die regelmäßige Löschung von „Altlasten“ grundsätzlich auch sehr gut nachvollziehbar und interessensgerecht sein. Gleichwohl ergibt sich aufgrund dieser technikimmanenten oder bewussten Datenlöschung eine Regelungsbedürftigkeit hinsichtlich der Datensicherungsphase, um etwa die automatisierte Löschung beweiserheblicher Daten durch diese Systeme für einen bestimmten Zeitraum zu verhindern. 3. Zwischenergebnis: Rechtspflicht nur für Datensicherungsphase erforderlich Festgestellt werden kann damit, dass ausschließlich für die Datensicherungs phase eine gesetzliche Regelung erforderlich ist, i. d. R. aber nicht für die Datenbeschaffungsphase. III. Rechtspflicht zur Datensicherung als ein „Verbot der Datenlöschung“ Rechtspflichten zur Aufbewahrung von Informationen existieren im deutschen Recht insbesondere im Rahmen der steuerlichen und handelsrechtlichen Buchführungs- und Aufzeichnungspflichten. Dies betrifft etwa nach § 147 Abs. 1 AO neben Büchern und Aufzeichnungen auch Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz, die empfangenen Handels- oder Geschäftsbriefe, Buchungsbe 60
ROS, Logging, http://wiki.ros.org/roscpp/Overview/Logging. Neckenbürger, SVR 2009, 373, 373; Wiebe, GRUR Int. 2016, 877, 878 f. 62 3sat-Beitrag v. 20.06.2017, Der Datenschutz kommt unter die Räder; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 14. Vgl. hierzu auch Wendt, ZD-Aktuell 2018, 06034. 63 Neckenbürger, SVR 2009, 373, 373. 61
Kap. 1: Event Data Recording als Rechtspflicht
125
lege sowie sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind. Nach § 14b UStG obliegt dem Unternehmer zudem eine zehnjährige Aufbewah rungspflicht von Rechnungen. Für die von dem automatisierten und vernetzten CPS im Rahmen der technisch notwendigen Datenbeschaffungsphase zwischengespeicherten Daten könnte sich eine solche Aufbewahrungspflicht bzw. ein solches „Verbot der Datenlöschung“ dagegen daraus ergeben, dass die aufgezeichneten Daten rechtlich einer anderen Person zugeordnet sind, dass der Hersteller also gar nicht alleiniger Verfügungs befugter über diese Daten ist. Fraglich ist in diesem Kontext, welche Rechte an den Daten bestehen und wem diese Rechte jeweils zugeordnet sein könnten. 1. Datenschutzrechtlicher und urheberrechtlicher Schutz vor unberechtigter Datenlöschung Mit Geltung der DSGVO64 seit dem 25.05.2018 werden personenbezogene Daten innerhalb des Geltungs- und Anwendungsbereichs der DSGVO umfassend durch gemeinsame europäische und unmittelbar geltende Datenschutzbestimmungen geschützt und nationale Regelungen – außerhalb sog. „Öffnungsklauseln“ (oder besser: „Spezifizierungsklauseln“65) – überlagert. Um die von der DSGVO zahlreich vorgesehenen Öffnungs-/Spezifizierungsklauseln mit spezifischen nationalen Regelungen ausfüllen zu können, wurde in diesem Kontext auch das BDSG an die neue Rechtslage angepasst.66 Neben dem Datenschutzrecht, das seinem Schutzauftrag aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG nach ausschließlich personenbezogene Daten schützt, können Daten auch durch das Urheberrecht geschützt sein, wenn sie geschützte Werke i. S. d. § 2 UrhG darstellen. a) Datenschutzrechtlicher Schutz vor unberechtigter Datenlöschung Auch wenn es auf den ersten Blick etwas befremdlich klingen mag, dass aus dem Datenschutzrecht, das primär einem „Zuviel an Daten“ vorbeugt, ein Verbot der Datenlöschung hervorgehen soll, stellt auch die Löschung von Daten gem. § 3 Abs. 4 Nr. 5 BDSG a. F. bzw. Art. 4 Nr. 2 DSGVO eine datenschutzrechtlich relevante Verarbeitung dar, sodass auch die Datenlöschung selbst unter das sog. „Verbot mit Erlaubnisvorbehalt“ aus § 4 Abs. 1 BDSG a. F. bzw. Art. 6 DSGVO fällt.67
64
Verordnung v. 27.04.2016, ABl. 2016 L 119, 1. Vgl. Interview mit Selmayr, ZD-Aktuell 2016, 04206. 66 Gesetz v. 30.06.2017, BGBl. 2017 I, 2097. 67 Vgl. hierzu auch Veil, in: Gierschmann / Schlender / Stentzel / Veil, DS-GVO, Art. 17 Rn. 49. 65
126
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Grund hierfür ist, dass die Löschung von Daten nicht nur „befreiende Wirkung“68 hat, sondern den Betroffeneninteressen auch entgegenstehen kann. aa) Rechtslage nach dem BDSG a. F. Als gesetzliche Rechtfertigung hatte § 35 Abs. 2 Satz 1 BDSG a. F. dabei zwar grundsätzlich vorgesehen, dass personenbezogene Daten jederzeit gelöscht werden können. Dies sollte aber nicht in den Fällen des § 35 Abs. 3 Nr. 1 und Nr. 2 BDSG a. F. gelten. Insbesondere dann, wenn gem. § 35 Abs. 3 Nr. 2 BDSG a. F. einer Löschung schutzwürdige Interessen des Betroffenen entgegenstanden, kam statt einer Löschung nur noch eine Sperrung der Daten in Betracht. Solche schutzwürdigen Interessen könnten seitens des Betreibers (bspw. des Fahrzeughalters) oder des konkreten Nutzers (bspw. des Fahrzeugführers) eines automatisierten und vernetzten CPS gerade dann gegeben sein, wenn für diese die erhobenen Daten zu Zwecken der Exkulpation oder Geltendmachung von Regressansprüchen gegenüber dem Hersteller (§ 1 Abs. 4 ProdHaftG) oder einem Dritten von Beweisrelevanz sind oder relevant werden können. bb) Rechtslage nach der DSGVO Im Rahmen der DSGVO scheint zunächst das Zusammenspiel aus Art. 17 Abs. 1 DSGVO (Grundsatz der unverzüglichen Datenlöschung) und Art. 17 Abs. 3 lit. e DSGVO (Ausnahmen von dem Grundsatz) eine zum BDSG a. F. gleichgelagerte Regelung zu beinhalten. Während § 35 Abs. 2, Abs. 3 BDSG a. F. aber bestimmt hatte, ab wann Daten gelöscht werden können und umgekehrt nicht gelöscht werden dürfen, bestimmt Art. 17 Abs. 1, Abs. 3 DSGVO nunmehr, wann der Betroffene das Recht hat, eine Löschung zu verlangen und der Verantwortliche zur Löschung verpflichtet ist und wann umgekehrt ein solches Recht bzw. eine solche Verpflichtung nicht existiert. Nichtdürfen (wie noch in § 35 Abs. 3 BDSG a. F. geregelt) ist aber nicht identisch mit Nichtmüssen (wie in Art. 17 Abs. 3 DSGVO geregelt). Grund hierfür ist, dass die Ausnahmeregelung des Art. 17 Abs. 3 lit. e DSGVO nicht den Schutz des Betroffenen, sondern den Schutz eines Dritten bezweckt.69 Verhindert werden soll hierdurch also, dass die betroffene Person die Löschung Ihrer Daten begehrt, um einem Dritten die Geltendmachung und Ausübung seiner Rechte zu erschweren oder unmöglich zu machen.70 Eine dem § 35 Abs. 3 BDSG a. F. vergleichbare Regelung ist letztendlich aber in Art. 18 Abs. 1 lit. c DSGVO zu sehen. Hiernach hat die betroffene Person „das 68
Brink, in: Wolff / Brink, BeckOK Datenschutzrecht, § 35 BDSG a. F. Rn. 27; Veil, in: Gierschmann / Schlender / Stentzel / Veil, DS-GVO, Art. 17 DSGVO Rn. 49. 69 Vgl. Worms, in: Wolff / Brink, BeckOK Datenschuzzrecht, Art. 17 DSGVO Rn. 87. 70 Worms, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 17 DSGVO Rn. 87.
Kap. 1: Event Data Recording als Rechtspflicht
127
Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn […] die betroffene Person [die Daten] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt […]“. Hiervon erfasst sind sowohl gerichtliche als auch außergerichtliche Verfahren, sowohl dem Verantwortlichen als auch einem Dritten gegenüber.71 Folge dieser Bestimmungen könnte sein, dass das automatisierte und vernetzte System immer dann, wenn die erhobenen Daten möglicherweise für den Betroffenen noch von Beweisrelevanz sind (etwa bei Daten, die in Zusammenhang mit einem Unfall aufgezeichnet werden), diese Daten nicht automatisiert löschen, sondern vielmehr längerfristig speichern und (auch zur Prävention vor einer beabsichtigten oder unbeabsichtigten Löschung) sperren muss. Da das Einschränkungsrecht aus Art. 18 Abs. 1 lit. c DSGVO generell nur solange gilt, wie die betreffenden Daten für die Rechtsverfolgung benötigt werden,72 käme hierbei eine Ringspeicherung73 ähnlich § 63a Abs. 4 StVG in Betracht, also eine automatisierte Datenlöschung auch beweiserheblicher Daten, sobald diese für gewöhnlich oder aufgrund von Verjährungsregelungen für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen i. d. R. nicht mehr benötigt werden. (1) Personenbezogene Daten als Anwendungsvoraussetzung Voraussetzung eines solchen „Verbots der Datenlöschung“ ist jedoch, dass die von dem automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen Daten personenbezogene Informationen beinhalten und der sachliche Anwendungsbereich des Datenschutzrechts damit überhaupt eröffnet ist. Weiterhin müssten der Betreiber (bspw. der Fahrzeughalter) oder der konkrete Nutzer (bspw. der Fahrzeugführer) des Systems, also diejenigen, die im Rahmen von Regressansprüchen oder Exkulpationen stets beweispflichtig sind, datenschutzrechtlich Betroffene i. S. d. Art. 4 Nr. 1 DSGVO sein, um einen Anspruch aus Art. 18 Abs. 1 lit. c DSGVO geltend machen zu können. Bei genauerer Untersuchung der im Rahmen der Datenbeschaffungsphase erhobenen Daten muss jedoch bereits festgestellt werden, dass es sich hierbei oftmals auch um rein sachbezogene Informationen handeln wird (etwa hinsichtlich von Systemmeldungen, Motordrehzahlen, Systemtemperaturen, Ampere- und Voltwerten, Abnutzungs- und Verschleißmessungen etc.), die keinerlei Personenbezug aufweisen.74 Die Unterscheidung von sachbezogenen Daten und personenbezogenen Daten über sachliche Verhältnisse (wie von § 3 Abs. 3 BDSG a. F. noch im Wortlaut 71
Kamann / Braun, in: Ehmann / Selmayr, DS-GVO, Art. 18 Rn. 19. Kamann / Braun, in: Ehmann / Selmayr, DS-GVO, Art. 18 Rn. 20. 73 Vgl. hierzu Starnecker, Videoüberwachung zur Risikovorsorge, S. 260. 74 Vgl. Sattler, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 29. 72
128
4. Teil: Event Data Recording und integrierte Produktbeobachtung
vorgesehen) ist zwar generell ein schwieriges Vorhaben und danach vorzunehmen, ob die erhobenen Informationen „Auswirkungen auf die rechtliche, wirtschaftliche oder soziale Position des Betroffenen [haben können] oder […] sich zur Beschreibung seiner individuellen Verhältnisse [eignen]“75. Bei rein systeminternen Zustands- und Protokolldaten ist eine Personenbezogenheit damit aber mehrheitlich zu verneinen.76 Dies hat zur Folge, dass ein aus Art. 18 Abs. 1 lit. c DSGVO hergeleitetes „Verbot der Datenlöschung“ für die meisten beweiserheblichen Daten somit gar nicht einschlägig wäre. Jedenfalls für die unstrittig auch anfallenden personenbezogenen Daten (bspw. Standortdaten) käme eine Anwendbarkeit des Art. 18 Abs. 1 lit. c DSGVO zugunsten des Betreibers oder des konkreten Nutzers des Systems aber dann in Betracht, wenn sich die erhobenen Daten direkt oder indirekt auf diese Akteure beziehen und diese damit datenschutzrechtlich Betroffene nach Art. 4 Abs. 1 DSGVO wären. (2) Datenschutzrechtlich Verantwortlicher als Adressat der Vorschrift Weiterhin müsste der Hersteller aber auch datenschutzrechtlich Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO und damit Anspruchsgegner des Art. 18 Abs. 1 lit. c DSGVO sein, um ein solches „Verbot der Datenlöschung“ bereits im Rahmen der technischen Ausgestaltung (als datenschutzrechtliche Mindestsystemvoraussetzung) von automatisierten und vernetzten CPS durchsetzen zu können. Dies ist zunächst aus dem Grund zweifelhaft, da die in den Verkehr gebrachten Produkte mehrheitlich von Dritten (bspw. von personenverschiedenen Fahrzeughaltern / Fahrzeugführern) betrieben werden und man annehmen könnte, die Betreiber oder Nutzer erlangen mit der Inbetriebnahme zeitgleich auch die datenschutzrechtliche Verantwortlichkeit über das Produkt i. S. d. Art. 4 Nr. 7 DSGVO. Ob ein Hersteller automatisierter Systeme auch nach der Inverkehrgabe seiner Produkte und damit nach der Überlassung an einen anderen Betreiber noch datenschutzrechtlich Verantwortlicher sein kann, ist bislang nicht umfassend geklärt. Auch die Frage, wer bei dem Betrieb automatisierter Straßenfahrzeuge datenschutzrechtlich Verantwortlicher ist, ist daher jedenfalls noch nicht abschließend beantwortet, wobei in der juristischen Literatur derzeit eine Tendenz hinsichtlich der Verantwortlichkeit des Herstellers zu verzeichnen ist.77
75
Dammann, in: Simitis, BDSG, § 3 BDSG a. F. Rn. 60; Schmid / Wessels, NZV 2017, 357, 359. Hierbei ist ein erheblicher Unterschied zu dem obigen Szenario der automatischen Meldung eines Unfallereignisses mittels M2M-Kommunikation, siehe 2. Teil, Kapitel 1, A, zu sehen, bei der für gewöhnlich Angaben über Ort, Zeitpunkt und Schwere des Unfalls übermittelt werden – allesamt Daten, die geeignet sind, den Betroffenen in seiner rechtlichen Position zu beeinträchtigen. 77 So etwa Lüdemann, ZD 2015, 247, 254; Piltz / Reusch, BB 2017, 841, 842; Weichert, SVR 2014, 201, 205, wobei letzterer nur die primäre Verantwortlichkeit beim Hersteller verortet, sekundäre Verantwortlichkeiten aber auch bei anderen Akteuren als möglich sieht. Differenzie 76
Kap. 1: Event Data Recording als Rechtspflicht
129
(a) Hersteller als alleiniger datenschutzrechtlich Verantwortlicher Datenschutzrechtlich Verantwortlicher i. S. d. DSGVO ist gem. Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.78 Bei automatisierten und vernetzten CPS werden die Zwecke und Mittel der Datenverarbeitung sowie die Kategorien der verarbeiteten Daten aber umfassend von dem Hersteller final determiniert.79 Der Hersteller regelt bei der Systementwicklung demnach abschließend und mit Wirkung für die spätere Nutzungsphase, welche Daten von welchen Sensoren in welchem Umfang und in welcher Intensität erhoben werden, wo, wie lange und auf welche Art und Weise (etwa verschlüsselt oder nicht) diese gespeichert werden sollen, wer Zugriff auf die Daten hat (i. d. R. erhält der Betreiber selbst keinen Zugang zu den Daten), welche Datenverarbeitungsschritte diese Daten durchlaufen sowie für welche (primären und sekundären) Zwecke diese Daten letztendlich genutzt werden. Der Betreiber auf der anderen Seite wird dagegen noch nicht einmal wissen, welche Sensoren in seinem System verbaut und zu welchen Datenerhebungen diese fähig sind. Der Halter eines automatisierten und vernetzten Straßenfahrzeugs wird zwar etwa wissen, dass sein Kfz grundsätzlich Umgebungsdaten erhebt, um die automatisierten Prozesse seines Kfz mit Informationen speisen zu können. Dieser wird i. d. R. aber keine konkreten Kenntnisse über die verbauten Sensoren sowie über den Umfang und die Intensität der erhobenen Daten (derzeit laut den vorliegenden Informationen bis zu 25 GB stündlich80) haben, sodass dieser bereits faktisch nicht fähig sein kann, über die Zwecke und Mittel der Datenverarbeitung zu entscheiden. Nur der Hersteller kann demnach auch die datenschutzrechtlichen Pflichten und Betroffenenrechte, etwa die Grundsätze der Datenverarbeitung nach Art. 5 Abs. 1 DSGVO (insbesondere die Transparenz der Verarbeitung, die Einhaltung des Zweckbindungsgrundsatzes und die Umsetzung technischer Maßnahmen zur Datensparsamkeit und Datenminimierung sowie zur Gewährleistung von Integrität und Vertraulichkeit), die Pflicht zur Auskunftserteilung gem. Art. 14 DSGVO oder aber die Pflicht zur Löschung gem. Art. 17 DSGVO, erfüllen. Ausschließlich in der Macht des Herstellers liegt es zudem, die „Privacy by Design“- und „Security
rend nach „Offline“-Autos und „Online“-Autos dagegen die Datenschutzbehörden des Bundes und der Länder / VDA, Gemeinsame Erklärung Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und nicht vernetzter Kraftfahrzeuge, S. 2. 78 Hierzu auch Weichert, SVR 2014, 201, 205; Wendt, ZD-Aktuell 2018, 06034. 79 So auch Wendt, ZD-Aktuell 2018, 06034; Piltz / Reusch, BB 2017, 841. 80 3sat-Beitrag v. 20.06.2017, Der Datenschutz kommt unter die Räder; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 14; siehe 4. Teil, Kapitel 1, B., II., 1. Vgl. auch Wendt, ZD-Aktuell 2018, 06034.
130
4. Teil: Event Data Recording und integrierte Produktbeobachtung
by Design“-Grundsätze (bereits ab Werk) umzusetzen.81 Nur der Hersteller kann daher auch Adressat der Rechenschaftspflichten des Art. 5 Abs. 2 DSGVO sein. Insbesondere aus diesen Rechenschaftspflichten ergibt sich das besondere Ausmaß an faktischer Entscheidungsgewalt, die ein Verantwortlicher innehaben muss82 und die der Betreiber oder konkrete Nutzer des Systems gerade nicht vorweisen kann. Verantwortlicher kann daher gerade nur sein, wer auch in der Lage ist, die sich aus der Verantwortlichkeit ergebenden Pflichten tatsächlich umzusetzen.83 Möchte man dieser Ansicht folgen, so ist mit der hier vertretenen Auffassung ebenfalls irrelevant, ob die entsprechenden CPS-Daten zunächst nur lokal auf dem CPS selbst gespeichert und später „offline“ ausgelesen werden oder aber das CPS von vornherein vernetzt ist und die Daten simultan mit der Datenerhebung „online“ zur Verfügung gestellt werden.84 Hinsichtlich der Zuordnung der Verantwortlichkeit kommt es insofern ausschließlich darauf an, wer über „Zwecke und Mittel“ i. S. d. Art. 4 Nr. 7 DSGVO entscheidet, aber nicht darauf, wem eine tatsächliche Verfügungsmacht an den erhobenen und gespeicherten Daten zusteht.85 (b) Gemeinsame Verantwortlichkeit (Joint Controllership) des Herstellers und des Betreibers nach Art. 26 DSGVO Lehnt man eine solche ausschließliche datenschutzrechtliche Verantwortlichkeit des Herstellers dagegen ab, so könnte letztendlich auch eine gemeinsame datenschutzrechtliche Verantwortlichkeit des Herstellers und des Betreibers (sog. „Joint Controllership“) nach Art. 26 DSGVO in Betracht kommen.86 Eine solche Joint Controllership ist jedenfalls dort denkbar, wo dem Betreiber eine begrenzte technische Einflussnahmemöglichkeit auf das System eingeräumt wird (bspw. zur selbstverantwortlichen Einspielung von Sicherheitsupdates). Gleichwohl ändert sich hierdurch nichts daran, dass der Hersteller für alle ihn betreffenden datenschutzrechtlichen Pflichten dem Betreiber weiterhin verpflichtet bleibt. Insofern würde der Betreiber im Rahmen einer solchen Joint Controllership eine Doppelstel 81
So im Ergebnis auch die Datenschutzbehörden des Bundes und der Länder / VDA, Gemeinsame Erklärung Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und nicht vernetzter Kraftfahrzeuge, S. 2. 82 Klabunde, in: Ehmann / Selmayr, DS-GVO, Art. 4 Rn. 27. 83 Vgl. v. Lewinski / Herrmann, ZD 2016, 467, 469. 84 Für eine solche Differenzierung aber die Datenschutzbehörden des Bundes und der Länder / VDA, Gemeinsame Erklärung Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und nicht vernetzter Kraftfahrzeuge, S. 2. 85 So auch Weichert, NZV 2017, 507, 512. Möglich bleibt aber dennoch, dass etwaige an der „offline“-Datenauslesung beteiligte Dritte, bspw. Werkstätten, „auch“ datenschutzrechtlich Verantwortliche sind (sog. „Joint Controllership“). Gerade bei Vertragswerkstätten ist aber auch ein Auftragsdatenverarbeitungsverhältnis zwischen Hersteller und Werkstätten nicht auszuschließen. Vgl. hierzu auch Weichert, SVR 2014, 201, 205. 86 So wohl auch Weichert, SVR 2014, 201, 205.
Kap. 1: Event Data Recording als Rechtspflicht
131
lung einnehmen: Dieser ist für einen abgrenzbaren Pflichtenkatalog selbst Verantwortlicher, für alle den Hersteller betreffenden Pflichten aber weiterhin Betroffener. cc) Zwischenergebnis: Beschränkter datenschutzrechtlicher Schutz vor unberechtigter Datenlöschung Zusammenfassend lässt sich festhalten, dass sich aus dem Datenschutzrecht in bestimmten Situationen auch ein Verbot der Datenlöschung ergeben kann. Dieses Verbot besteht gegenüber der verantwortlichen Stelle, für die bei automatisierten und vernetzten CPS gerade auch der Hersteller des Systems in Betracht kommt. Da nicht alle beweiserheblichen Daten aber personenbezogener Natur sind und daher von dem Datenschutzrecht erfasst werden, ergibt sich hieraus kein umfassender und daher erschöpfender Schutz vor einer unberechtigten Löschung von Daten. b) Urheberrechtlicher Schutz vor unberechtigter Datenlöschung Ein urheberrechtlicher Schutz vor unberechtigter Datenlöschung kann sich dann ergeben, wenn die von dem automatisierten und vernetzten CPS erhobenen Daten urheberrechtlich geschützte Werke des Betreibers oder des konkreten Nutzers des Systems sind und die Löschung der Daten als eine Beeinträchtigung nach § 14 UrhG aufzufassen wäre. Geschützt im Rahmen des Urheberrechts sind gem. § 2 Abs. 2 UrhG jedoch nur persönliche geistige Schöpfungen und damit nur menschlich Geschaffenes, nicht aber Erzeugnisse von Computern.87 Nur dann, wenn sich ein menschlicher Urheber zur Erstellung seines Werkes lediglich eines Computers als Hilfsmittel bedient, können auch Erzeugnisse von Maschinen ausnahmsweise urheberrechtlichen Schutz genießen.88 Bei den von den automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen Daten handelt es sich jedoch um ausschließlich computergenerierte Informationen, an deren Erstellung ein Mensch gar nicht mitgewirkt hat und die daher auch keine persönliche geistige Schöpfung darstellen („Computer Generated Works“).89 Der Betreiber bzw. der konkrete Nutzer des Systems hat in Wirklichkeit noch nicht einmal Kenntnis von den hierbei erhobenen
87 Vgl. Ernst, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 7.1 Rn. 4; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 17; Redeker / Klett / Michel, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 58. 88 Prognos / Heckmann, vbw Studie Big Data im Freistaat Bayern, S. 114; vgl. Ernst, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 7.1 Rn. 4. 89 Vgl. Prognos / Heckmann, vbw Studie Big Data im Freistaat Bayern, S. 114; Roßnagel, NJW 2017, 10, 11; Sattler, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 33; Schmid, AnwZert ITR 13/2017 Anm. 2.
132
4. Teil: Event Data Recording und integrierte Produktbeobachtung
und verarbeiteten Daten. Die Schöpfung stammt demnach ausschließlich von dem System selbst. 2. Strafrechtlicher Schutz vor unberechtigter Datenlöschung Ein Schutz vor unberechtigter Löschung von Daten kann sich generell aus dem Strafrecht ergeben. a) Datenveränderung (§ 303a Abs. 1 StGB) Gem. § 303a Abs. 1 StGB wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wer rechtswidrig Daten i. S. d. § 202a Abs. 2 StGB löscht, unterdrückt, unbrauchbar macht oder verändert.90 aa) Löschen, Unterdrücken, Unbrauchbarmachen, Verändern durch positives Tun Zu beachten ist zunächst, dass im Rahmen des § 303a Abs. 1 StGB lediglich die Löschung, Unterdrückung, Unbrauchbarmachung und Veränderung von Daten taugliche Tathandlungen sein können, die Strafnorm also lediglich vor einem schreibenden Zugriff auf Daten schützt, nicht aber vor einer rechtswidrigen Datenauslesung oder -nutzung (lesender Zugriff). Ein umfassendes und übergreifendes Ausschließlichkeitsrecht an Daten wird durch die Norm daher gerade nicht begründet,91 ist für den hier relevanten Sachverhalt aber auch nicht erforderlich, da es vorliegend einzig um die Frage geht, ob das automatisierte und vernetzte System (also mittelbar der Hersteller, der die technische Ausgestaltung des Systems vornimmt) die im Rahmen der Datenbeschaffungsphase aufgrund technischer Notwendigkeit erhobenen Daten ohne Einwilligung des Betreibers oder sonstige Rechtfertigung automatisiert wieder löschen darf. Diese Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung muss dabei grundsätzlich auf einem positiven Tun des Systems (etwa durch die Ausführung der automatisierten Löschprozedur) bzw. des Herstellers (etwa durch die Implementierung der automatisierten Löschprozedur) beruhen, die Tathandlung muss also einem aktiven Tun entsprechen. Eine Strafbarkeit wegen pflichtwidrigen Unterlassens (etwa die Nichtüberführung von flüchtigen Daten92 in den Langzeitspeicher) wäre gem. § 13 Abs. 1 StGB dagegen nur dann denkbar, wenn der Hersteller rechtlich dafür einzustehen hätte, dass der tatbestandliche Erfolg (hier die 90
Hierzu auch Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 20 f. So auch Thalhofer, GRUR-Prax 2017, 225, 226. 92 Siehe 4. Teil, Kapitel 1, B., II., 2. 91
Kap. 1: Event Data Recording als Rechtspflicht
133
Datenlöschung) nicht eintritt. Ob dem Hersteller aber eine solche Garantenpflicht tatsächlich obliegt, ist mehr als fraglich. Jedenfalls hinsichtlich beweiserheblicher Daten ist zu überlegen, ob sich eine herstellerseitige Verpflichtung, den Betreiber (also seinen Vertragspartner) vor etwaigen Beweislücken und Haftungsfallen aufgrund vorzeitiger Datenlöschung zu schützen, nicht zumindest aus § 242 BGB oder aus vertraglichen Nebenpflichten (soweit ein unmittelbares Vertragsverhältnis zwischen den Parteien vorliegt) ergeben könnte.93 Vorliegend wird jedenfalls angenommen,94 dass automatisierte und vernetzte CPS zumindest die erfolgte V2X-Kommunikation und interne System(fehler)meldungen, wohl aber auch Unregelmäßigkeiten von Sensorwerten sowie Abweichungen des Ist-Zustands vom Soll-Zustand, ohnehin meist in einem zur Langzeitspeicherung geeigneten Protokoll (Logfile) speichern, dessen Löschung demnach stets ein aktives Tun erfordert. Dieses aktive Tun besteht mit der hier vertretenen Annahme in der regelmäßigen (entweder ereignisbasierten (etwa beim Abstellen des Fahrzeugs) oder nach Zeitintervallen gesteuerten (etwa durch sog. „Cronjobs“)) Ausführung einer Löschprozedur, um obsolete Daten automatisiert von dem System zu entfernen. bb) Daten Daten i. S. d. §§ 303a Abs. 1, 202a Abs. 2 StGB sind dabei nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Eine Beschränkung auf Computerdaten, also auf Daten, die innerhalb eines EDV-Systems verarbeitet werden, besteht dabei nicht.95 Vielmehr fallen unter den Datenbegriff auch solche Daten, die lediglich auf einem passiven Datenträger, also etwa auf einem USB-Stick, auf einer externen Festplatte oder auf einer CD / DVD, gespeichert sind.96 Daten i. S. d. §§ 303a Abs. 1, 202a Abs. 2 StGB sind insofern auch die im Rahmen der Datenbeschaffungsphase von den automatisierten und vernetzten CPS erhobenen systeminternen oder systemexternen Informationen.97
93
In diese Richtung gehend Burrer, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 146. Ergänzend stellt sich in diesem Kontext auch die Frage, ob eine solche Nichtspeicherung bzw. nicht hinreichende Datenspeicherung (Speicherung in nur flüchtigen Datenspeichern) nicht auch einen Sachmangel begründen oder im schlimmsten Fall gar eine Form der Beweisvereitelung darstellen kann. Vgl. zu letzterem Aspekt Regenfus, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 264 ff. Zu der Frage, ob die Nichtspeicherung von Funktionsdaten auch einen Produkthaftungsanspruch des Käufers begründen kann, vgl. Salje, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 231 ff. 94 Basierend auf Annahmen des Verfassers. 95 Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 202a StGB Rn. 4. 96 Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 202a StGB Rn. 4. 97 Vgl. zu Industriedaten auch Peschel / Rockstroh, MMR 2014, 571, 573.
134
4. Teil: Event Data Recording und integrierte Produktbeobachtung
cc) Fremdheit der Daten als notwendiges Korrektiv Anders als § 303 Abs. 1 StGB im Rahmen der Sachbeschädigung enthält § 303a Abs. 1 StGB dem Wortlaut nach keine Tatbestandsbeschränkung auf lediglich „fremde Daten“, o.ä.98 Eine Erstreckung des Tatbestandes auch auf nicht-fremde, also bspw. auch auf eigene Daten des Täters, würde jedoch zu einem uferlosen Tatbestand führen und wäre auch in Anbetracht des Bestimmtheitsgebots aus Art. 103 Abs. 2 GG kritisch zu sehen.99 Aus diesem Grund wird gefordert, dass die betreffenden Daten „fremd“ sein müssen, dass an den betroffenen Daten also ein unmittelbares Recht eines anderen („eigentümerähnliche Verfügungsbefugnis“100) bestehen muss.101 Ausreichend ist dabei analog zu § 303 StGB bei Miteigentum,102 dass einem anderen zumindest auch eine eigentümerähnliche Verfügungsbefugnis zusteht, der Handelnde also nicht ausschließlich Verfügungsbefugter ist. Dieses Tatbestandskorrektiv wird nach der wohl herrschenden, aber nicht unumstrittenen Meinung in die von dem Wortlaut der Vorschrift geforderte Rechtswidrigkeit der Tatbestandshandlung hineingelesen, das dann insofern objektives Tatbestandsmerkmal wäre.103 Einer anderen Ansicht nach handelt es sich bei der geforderten Fremdheit der Daten dagegen um ein ungeschriebenes, eigenständiges Tatbestandsmerkmal.104 Dieser Meinungsstreit spielt jedoch allenfalls auf der Rechtfertigungsebene eine Rolle, wenn dann fraglich ist, ob als Rechtfertigungsgrund ein tatbestandsausschließendes Einverständnis oder aber eine Einwilligung in Frage kommt.105 Vorliegend fraglich ist damit einzig, wem eine solche eigentümerähnliche Verfügungsbefugnis an den Daten konkret zusteht bzw. nach welchen Kriterien eine solche Zuordnung vorzunehmen ist. Neben dem Betreiber bzw. konkreten Nutzer
98
Hierzu auch Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 4. Vgl. Cornelius, in: Kilian / Heussen, Computerrechts-Handbuch, Teil 10 Besonderer Teil des Strafgesetzbuchs Rn. 180; Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 4; Fischer, StGB, § 303a StGB Rn. 5; Schmid, AnwZert ITR 13/2017 Anm. 2. 100 Vgl. Kraus, in: Taeger, Big Data & Co, S. 384; Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 5 m. w. N. 101 Kraus, in: Taeger, Big Data & Co, S. 384; Cornelius, in: Kilian / Heussen, Computerrechts-Handbuch, Teil 10 Besonderer Teil des Strafgesetzbuchs Rn. 180; Schmid, AnwZert ITR 13/2017 Anm. 2; Fischer, StGB, § 303a StGB Rn. 4 f. 102 Vgl. Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303 StGB Rn. 7 m. w. N., der eine Anwendbarkeit des § 303 StGB auch bei Miteigentum annimmt. 103 So etwa Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 5 f. und 17; Wieck-Noodt, in: MüKo StGB, § 303a StGB Rn. 17 m. w. N. So wohl auch wohl BT-Drs. 10/5058, S. 34. A. A. dagegen Fischer, StGB, § 303a StGB Rn. 13; Stree / Hecker, in: Schönke / Schröder, StGB, § 303a StGB Rn. 4. 104 So etwa Fischer, StGB, § 303a StGB Rn 13; so wohl auch Stree / Hecker, in: Schönke / Schröder, StGB, § 303a StGB Rn. 3 f. 105 Vgl. etwa Wieck-Noodt, in: MüKo StGB, § 303a StGB Rn. 17 und Stree / Hecker, in: Schönke / Schröder, StGB, § 303a StGB Rn. 4. 99
Kap. 1: Event Data Recording als Rechtspflicht
135
des Systems sowie dem Hersteller, existieren noch zahlreiche weitere Interessenten für eine solche Verfügungsbefugnis, bspw. Telekommunikationsanbieter, Versicherungsgesellschaften, Internetprovider oder aber der Staat.106 (1) Zuordnung nach dem Eigentum am verkörpernden Datenträger Bereits festzustellen ist dabei, dass die Zuordnung einer eigentümerähnlichen Verfügungsbefugnis an den Daten gerade nicht automatisch dem Sacheigentum an dem Datenträger, auf dem die Daten verkörpert sind, folgt.107 Vielmehr können das Eigentum an einem Datenträger und die Verfügungsbefugnis an den darauf gespeicherten Daten auseinanderfallen.108 Mit dem Kauf eines automatisierten und vernetzten Luft- oder Straßenfahrzeugs steht dem Erwerber demnach nicht automatisch auch die absolute Verfügungsbefugnis an den von diesem System beschafften Daten zu. Das Auseinanderfallen der eigentümerähnlichen Verfügungsbefugnis an den Daten und dem Eigentum an der die Daten verkörpernden Sache zeigt sich insbesondere in den Fällen des Cloud Computings und des Webhostings.109 Würde sich die eigentümerähnliche Verfügungsbefugnis an den Daten nach dem Sacheigentum des Datenträgers richten, auf dem diese gespeichert sind, so würde dem Clouddiensteanbieter oder dem Hostprovider stets auch die eigentümerähnliche Verfügungsbefugnis an den von seinen Kunden gespeicherten und ggf. von diesen selbst erzeugten Daten zustehen. Die Kunden könnten sich als Konsequenz dann vor einem rechtswidrigen Eingriff (Löschung, Veränderung etc.) in diese Daten nicht zur Wehr setzen.110 Aus diesem Grund können Daten auch nicht als wesentlicher Bestandteil des sie verkörpernden Datenträgers angesehen werden. Denn wäre dem so, könnten Daten gem. § 93 BGB nicht Gegenstand besonderer Rechte sein, was aber gerade Voraussetzung einer eigenständigen Verfügungsbefugnis an Daten ist.111
106 Vgl. Wiebe, CR 2017, 87, 90; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 15. 107 OLG Nürnberg, Beschl. v. 23.01.2013 – 1 Ws 445/12, ZD 2013, 282, 283; so auch Hoeren, MMR 2013, 486, 487 ff.; Specht, CR 2016, 288, 292; Grützmacher, CR 2016, 485, 487; Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 5. A. A. Stree / Hecker, in: Schönke / Schröder, StGB, § 303a StGB Rn. 3. 108 Vgl. Hoeren, MMR 2013, 486, 487 ff.; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 12 f.; Specht, CR 2016, 288, 292. 109 So auch Schmid, AnwZert ITR 13/2017 Anm. 2. 110 Vgl. Faust, NJW-Beil 2016, 29, 32; Hoeren, MMR 2013, 486, 487; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 24 f.; Heckmann / Specht, Daten als Wirtschaftsgut, S. 16 f.; Schmid, AnwZert ITR 13/2017 Anm. 2. 111 So auch Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 18.
136
4. Teil: Event Data Recording und integrierte Produktbeobachtung
(2) Zuordnung nach bestehenden Datenschutzrechten oder Betriebs- bzw. Geschäftsgeheimnissen In Betracht kommt weiterhin eine Zuordnung der eigentümerähnlichen Verfügungsbefugnis an Daten nach den an diesen ggf. bestehenden Datenschutzrechten bzw. nach hiervon betroffenen Betriebs- oder Geschäftsgeheimnissen.112 Hält man sich jedoch vor Augen, dass eine eigentümerähnliche Verfügungs befugnis i. S. d. § 303a Abs. 1 StGB gerade auch bei rein sachbezogenen (und damit gem. Art. 2 Abs. 1 DSGVO nicht unter das Datenschutzrecht fallenden) Daten anwendbar sein soll, die auch nicht zwingend Geschäftsgeheimnisse betreffen müssen (bspw. bei reinen Systemfehlermeldungen automatisierter und vernetzter CPS), erledigt sich eine solche Zuordnung bereits von alleine. Aufgabe der allgemeinen Strafnorm des § 303a Abs. 1 StGB ist gerade der eigentumsähnliche Schutz solcher Daten, die nicht bereits durch eine spezialgesetzliche Regelung ausreichend geschützt werden. Dann aber kann zu Zwecken einer Zuordnung nicht auf ebendiese Spezialgesetze abgestellt werden. (3) Zuordnung nach dem sog. „Skripturakt“ Plausibler erscheint daher die Zuordnung der absoluten Verfügungsbefugnis an den Daten nach dem zugrundeliegenden Schaffensprozess i. S. e. technischen Urheberschaft als „Skripturakt“.113 Dergestalt erstellte Daten können daher auch als „verhaltensgeneriert“114 bezeichnet werden. Absolut Verfügungsberechtigter der Daten ist hiernach zunächst der Datenproduzent,115 also derjenige, der durch seine Eingabe oder durch die Ausführung eines Programms die Daten selbst erstellt oder die Erstellung initiiert hat.116 Dieser „Skribent“117 kann seine eigentümerähnliche Verfügungsbefugnis an den Daten zwar im Rahmen eines Handelsgeschäfts nach dem erfolgten Skripturakt an einen Dritten übertragen.118 Im vorliegenden Kontext 112 Vgl. hierzu Specht, CR 2016, 288, 292; Specht, GRUR Int. 2017, 1040, 1041 f.; Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 89 ff. 113 Welp, IuR 1988, 443, 447; BayObLG, Urt. v. 24.06.1993 – 5 St RR 5/93, BayObLGSt 1993, 86, 89; OLG Nürnberg, Beschl. v. 23.01.2013 – 1 Ws 445/12, ZD 2013, 282, 283; OLG Naumburg, Urt. v. 27.08.2014 – 6 U 3/14, DAR 2015, 27, 28; Hoeren, MMR 2013, 486, 487 m.w.N; Kraus, in: Taeger, Big Data & Co, S. 385; Zech, CR 2015, 137, 143 f. So wohl auch Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 227, die auf die Datengenerierung durch „eigene Arbeitsleistung“ abstellt. 114 Fezer, ZD 2017, 99, 100 ff. 115 Vgl. zu dem Begriff Fezer, ZD 2017, 99, 100 f. 116 Welp, IuR 1988, 443, 447; Hoeren, MMR 2013, 486, 487; Schmid, AnwZert ITR 13/2017 Anm. 2; Hoeren, NJW 2017, 1587, 1592; Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 5. 117 Vgl. Welp, IuR 1988, 443, 448. 118 Hierzu etwa Roßnagel, NJW 2017, 10, 13 f. Vgl. auch Hoeren, NJW 2017, 1587, 1592. Zu den vertraglichen Gestaltungsmöglichkeiten vgl. auch Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 26 ff.
Kap. 1: Event Data Recording als Rechtspflicht
137
geht es jedoch ausschließlich um die originäre Verfügungsbefugnis an den von dem automatisierten und vernetzten CPS beschafften Daten, nicht aber um die Frage, inwiefern Daten ein Wirtschaftsgut sein können. (a) Unmittelbarkeit der Datengenerierung als ausschließliches Zuordnungskriterium Im Rahmen der wohl herrschenden Auffassung innerhalb des Modells des Skripturakts ist dabei stets darauf abzustellen, wer den Skripturakt, also die Datenerhebung und -speicherung, unmittelbar bewirkt hat.119 Dies soll gerade auch in den Fällen automatisierter Datengenerierung gelten.120 Auf weitere Gesichtspunkte, etwa auf einen wirtschaftlichen Wert für bestimmte Akteure, kommt es hiernach dagegen nicht an. Bei Betrachtung der vorliegend als Verfügungsbefugte in Betracht kommenden Akteure (der Betreiber (= Fahrzeughalter) bzw. der Nutzer (= Fahrzeugführer, sofern personenverschieden zum Fahrzeughalter) oder der Hersteller) käme als Skribent dann aber lediglich der konkrete Nutzer des Systems zum Zeitpunkt der Datenbeschaffung (also der Fahrzeugführer) in Betracht, da nur dieser das System aktiv im Einsatz und hierdurch den Skriptur-Algorithmus in Gang gesetzt hat.121 Vergleichbar mit einer Auftragsverarbeitung, bei der auch der Auftragnehmer solange Verfügungsbefugter an den von ihm generierten Daten sein soll, bis dieser die Daten an den Auftraggeber aushändigt,122 würde die Verfügungsbefugnis an den Daten bei automatisierten und vernetzten Luft- und Straßenfahrzeugen aber jedenfalls in dem Zeitpunkt von dem Fahrzeugführer (Nutzer) auf den Fahrzeughalter (Betreiber), sofern überhaupt personenverschieden, übergehen, in dem der Nutzer das automatisierte und vernetzte System mitsamt den darauf gespeicherten Daten an diesen aushändigt. Dabei bliebe es dem Fahrzeugführer unbenommen, vor der Rückgabe des Systems, aufgrund seiner zu diesem Zeitpunkt noch bestehenden Verfügungsbefugnis, die seinen Nutzungszeitraum betreffenden Daten zu Zwecken der 119
Welp, IuR 1988, 443, 447; BayObLG, Urt. v. 24.06.1993 – 5 St RR 5/93, BayObLGSt 1993, 86, 89; OLG Nürnberg, Beschl. v. 23.01.2013 – 1 Ws 445/12, ZD 2013, 282, 283; Zech, CR 2015, 137, 143. 120 OLG Naumburg, Urt. v. 27.08.2014 – 6 U 3/14, DAR 2015, 27, 28; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 28 mit Verweis auf Welp, IuR 1988, 443, 447. 121 Zech, CR 2015, 137, 144; so auch OLG Naumburg, Urt. v. 27.08.2014 – 6 U 3/14, DAR 2015, 27, 28 hinsichtlich der eigentümerähnlichen Verfügungsbefugnis des Messbeamten an den Messdaten einer Geschwindigkeitsmessanlage. Vgl. zur Zuordnung zum „Bürger als Nutzer und Datenproduzent“ auch Fezer, ZD 2017, 99, 100 f. Kritisch aber Heymann, CR 2016, 650, 654 f. A. A. Kraus, in: Taeger, Big Data & Co, S. 387. 122 Welp, IuR 1988, 443, 448; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 26; OLG Nürnberg, Beschl. v. 23.01.2013 – 1 Ws 445/12, ZD 2013, 282, 283; hierzu auch Kraus, in: Taeger, Big Data & Co, S. 387; Specht / Rohmer, PinG 2016, 127, 131. A. A. Zech, CR 2015, 137, 143 f.
138
4. Teil: Event Data Recording und integrierte Produktbeobachtung
späteren Exkulpation und Beweisbarkeit zu sichern, wenn dem nicht anderweitige Rechte entgegenstehen und soweit technisch möglich. Nach dieser wohl h. M. wären die von dem CPS beschafften Daten für den Hersteller durchaus „fremd“ i. S. d. §§ 303a Abs. 1, 202a Abs. 2 StGB. (b) Exkurs: Abgrenzung nach der Wesentlichkeit des Beeinflussungsmoments bei automatischer Skriptur und Vielzahl an Beteiligten? Obgleich Hoeren / Völkel auch bei der automatischen Datengenerierung grundsätzlich an dem Skripturakt als Zuordnungskriterium festhalten möchten, werfen diese dennoch die durchaus berechtigte Frage auf, wie viel Anteil an der Skriptur die ausführende Person überhaupt haben kann, wenn an einem Datengenerierungsvorgang eine Vielzahl an Bearbeitern involviert ist, der tatsächliche Beitrag jedes einzelnen Bearbeiters aber aufgrund vorprogrammierter Prozesse eher unwesentlich ist.123 In diesen Fällen sei nach der „Wesentlichkeit des Beeinflussungsmoments“124 abzugrenzen, wobei neben der Frage der Veranlassung auch auf das Medieneigentum abgestellt werden solle.125 Dem ist mit der hier vertretenen Auffassung aus Gründen der Rechtsklarheit und Rechtssicherheit aber nicht zu folgen. Vielmehr muss es auch im Falle automatisierter Systeme und auch bei der Beteiligung mehrerer Akteure bei der einfachen Regel verbleiben, dass jeder Beteiligte, der unmittelbar am Datengenerierungsprozess mitwirkt, Skribent ist.126 Insbesondere aufgrund der Strafbarkeit aus § 303a Abs. 1 StGB darf dieses Grundprinzip nicht durch einzelfallabhängige Ausnahmen ausgehebelt werden. Dies fordert letztendlich auch das verfassungsrechtliche Bestimmtheitsgebot aus Art. 103 Abs. 2 GG.127 Schließlich wurde aber auch bereits aufgezeigt, dass die Zuordnung der eigentümerähnlichen Verfügungsbefugnis auf der Datenebene nicht nach dem Medieneigentum auf der Datenträgerebene erfolgen darf.128 Diese Abgrenzung der verschiedenen Ebenen muss auch vorliegend konsequent eingehalten werden, sodass das Eigentum am verkörpernden Datenträger nicht einmal als Indiz zur Zuordnung des Skripturakts herangezogen werden kann.
123
Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 28. Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 28. 125 Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 28. 126 OLG Naumburg, Urt. v. 27.08.2014 – 6 U 3/14, DAR 2015, 27, 28. So wohl auch Welp, IuR 1988, 443, 447. 127 Vgl. generell zu § 303a StGB und dem verfassungsrechtlichen Bestimmtheitsgebot WieckNoodt, in: MüKo StGB, § 303a StGB Rn. 9. 128 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (1). Siehe zu den verschiedenen Ebenen 4. Teil, Kapitel 1, B., III., 2., a), cc), (5). 124
Kap. 1: Event Data Recording als Rechtspflicht
139
Möchte man mit der hier vertretenen Auffassung auch bei automatischen Datenverarbeitungsprozessen mit mehreren Beteiligten demnach ausschließlich an der Unmittelbarkeit der Datengenerierung als Zuordnungskriterium festhalten, so kann dies dann, wenn eine Vielzahl an Akteuren unmittelbar an dem Datengenerierungsprozess (entweder gleichzeitig oder zeitlich hintereinander) beteiligt ist, dazu führen, dass anstatt einer ausschließlichen Zuweisung der eigentümerähnlichen Verfügungsbefugnis zu einem Akteur auch eine „Mitverfügungsbefugnis“ – quasi ein Gesamthandseigentum129 – mehrerer Akteure entsteht. In diesem Fall gilt zu beachten, dass auch bei einem Gesamthandseigentum die einzelnen Eigentümer stets gesamthänderisch gebunden sind, diese also jeweils nicht frei, sondern nur gemeinsam von ihren Rechten Gebrauch machen dürfen.130 Diese Wertungen sind letztendlich auch auf eine etwaige eigentümerähnliche „Mitverfügungsbefugnis“ zu übertragen, sodass auch alle Mitverfügungsbefugten nur gemeinsam ihre Rechte ausüben können. Hieraus ergibt sich als Konsequenz, dass § 303a StGB auch durch einen Mitverfügungsbefugten, also einen Täter, der zumindest nicht die ausschließliche Verfügungsbefugnis an den gelöschten, unterdrückten, unbrauchbar gemachten oder veränderten Daten innehat, verwirklicht werden kann. Auch dann, wenn man den Hersteller (zusammen mit dem Betreiber) demnach als Mitverfügungsbefugten an den generierten Daten ansehen möchte, wären die Daten gegenüber diesem also „fremd“ i. S. d. § 303a StGB. (4) Zuordnung nach der wirtschaftlichen Berechtigung Auch eine vom BMVI in Auftrag gegebene Studie verfolgt zwar primär den Gedanken des Skripturakts und damit einen handlungsbezogenen Ansatz, schlägt aber eine Modifizierung in Form einer „Zuordnung zum wirtschaftlich Berechtigten“ vor.131 Als Indizien einer solchen Zuordnung werden dabei angeführt: erstens wessen „Verdienst“ die Generierung des Datums ist, zweitens wer die Kosten für die Entwicklung und Produktion der datengenerierenden Gegenstände trägt und ob diese durch eine Gegenleistung vergütet werden, drittens wer die laufenden Kosten für die Unterhaltung des datengenerierenden Gegenstandes wie etwa Wartung, Instandsetzung und Strom trägt, viertens wer den Skripturakt bewirkt und ob der Skribent das Datum für jemand anderen erstellt (etwa im Rahmen eines Arbeitsverhältnisses oder Auftragsverhältnisses) und fünftens wer die Kosten für den benötigten Speicherplatz zu tragen hat.132 Neben dem bloßen Skripturakt i. S. e. technischen 129
Vgl. Specht, CR 2016, 288, 295; hierzu auch Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 93. 130 Vgl. Specht, CR 2016, 288, 295; Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 93; Müller, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 1008 BGB Rn. 6. 131 Vgl. hierzu Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 104 ff. 132 Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 104.
140
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Urheberschaft soll nach der Studie also auch der Gedanke des Investitionsschutzes in die Zuordnung der Verfügungsbefugnis einfließen.133 Wendet man diese Kriterien auf den vorliegenden Sachverhalt an, muss aber festgestellt werden, dass die Kosten für die Entwicklung und Produktion des datengenerierenden automatisierten und vernetzten CPS zwar der Hersteller trägt, diese aber durch den Kaufpreis des Systems als Gegenleistung abgegolten werden, dass die laufenden Kosten für die Unterhaltung des Systems (Wartung, Instandsetzung, Stromkosten) der Betreiber trägt, dass der Skripturakt, wie bereits dargestellt, zwar von dem Nutzer bewirkt wird, das Verhältnis zwischen Betreiber und Nutzer (sofern überhaupt personenverschieden) aber einem Auftragsverarbeitungsverhältnis ähnelt und der Betreiber daher bei Rückgabe des Systems Skribent wird134 und dass dieser auch die Kosten für den benötigten Speicherplatz zu tragen hat, wenn eine Speicherung auf dem automatisierten und vernetzten CPS selbst stattfindet oder der Betreiber sich selbst um eine Anbindung an entsprechende Cloud-Lösungen kümmern muss. Da all diese Teilindizien für eine Verfügungsbefugnis des Betreibers (also bspw. des Fahrzeughalters) sprechen, ist die Skriptur damit auch als dessen „Verdienst“ anzusehen. Der Betreiber ist mit der hier vertretenen Auffassung demnach auch nach dieser modifizierten Theorie der eigentümerähnliche Verfügungsbefugte an den generierten Daten. Gegenüber dem Hersteller sind die betreffenden Daten damit auch hiernach „fremd“ i. S. d. §§ 303a Abs. 1, 202a Abs. 2 StGB. (5) Exkurs: Abgrenzung der Datenträger-, Daten- und Inhaltsebene Im Ergebnis ist die eigentümerähnliche Verfügungsbefugnis an Daten nicht nur von dem Eigentum an dem die Daten verkörpernden Datenträger, sondern auch von eventuell an diesen bestehenden Datenschutzrechten abzugrenzen. Dies kann am besten durch ein Mehr-Ebenen-Modell dargestellt werden, wie in der Literatur bereits mehrfach aufgegriffen.135 Obgleich zur Benennung dieser Ebenen bereits verschiedene Bezeichnungen vorgeschlagen wurden, sollen diese vorliegend als Daten-
133
Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 104. Vgl. OLG Nürnberg, Beschl. v. 23.01.2013 – 1 Ws 445/12, ZD 2013, 282, 283; Hoeren / Völkel in: Hoeren, Big Data und Recht, S. 26. 135 Vgl. Welp, IuR 1988, 443, 445; Zech, CR 2015, 137, 138; Grützmacher, CR 2016, 485, 486; Specht, CR 2016, 288, 290; Heymann, CR 2016, 650, 650 f.; Fezer, ZD 2017, 99, 100 ff.; Berberich / Golla, PinG 2016, 165, 173; Zech, Information als Schutzgegenstand, S. 3 und S. 35 ff.; Beurskens, in: Domej / Dörr / Hoffmann-Nowotny / Vasella / Zelger, Einheit des Privatrechts, komplexe Welt, S. 454; Specht, Konsequenzen der Ökonomisierung informationeller Selbst bestimmung, S. 21 ff.; Kloepfer, Informationsrecht, § 1 Rn. 53 ff.; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 7 f. Zum Verhältnis von Datenrecht und Datenschutzrecht vgl. auch Specht, GRUR Int. 2017, 1040. Zu den Begriffen physical layer, code layer (bei Benkler: „logical layer“) und content layer vgl. bereits Benkler, Federal Communications Law Journal 2000, 561, 562; Lessig, The Future of Ideas, S. 23. 134
Kap. 1: Event Data Recording als Rechtspflicht
141
trägerebene, Datenebene und Inhaltsebene bezeichnet werden,136 was letztendlich eine leicht modifizierte deutsche Übersetzung der englischen Begriffe physical layer, code layer und content layer137 sowie technologiezentriertere Synonyme für die Bezeichnung als strukturelle Informationsgüter, syntaktische Informationsgüter und semantische Informationsgüter138 darstellt. Diesem Ebenen-Modell müssen dabei zwingende Grundsätze zugrundeliegen, um Kollisionen auf den verschiedenen Ebenen verhindern oder interessensgerecht auflösen zu können. (a) Übersicht über die Ebenen (aa) Datenträgerebene (physical layer oder strukturelle Information) Auf der ersten und untersten, der Datenträgerebene (auch: physische Ebene / physical layer139 oder strukturelle Information140) ist das physische Medium, also die Festplatte, der USB-Stick oder das sonstige Speichermedium einzuordnen, auf dem die Daten gespeichert sind. Technisch erfolgt die Speicherung von Inhalten auf der Datenträgerebene durch binäre Zustände (bestehend aus Nullen (Aus-Zustand) und Einsen (Ein-Zustand)), die je nach Art des Speichermediums in den magnetischen, elektronischen oder optischen Speicherzellen („Single-Level-Cells“ / „SLCs“) des Datenträgers festgeschrieben werden.141 Eine Datenspeicherung ohne einen auf physischer Ebene vorliegenden Datenträger gibt es nicht.142 Stark vereinfachtes Beispiel für die Perpetuierung einer Information auf der Datenträgerebene143 (eine „0“ entspricht dabei einer unbeschriebenen, eine „1“ dagegen einer beschriebenen Speicherzelle; die tatsächliche Darstellung kann aufgrund von Fragmentierung, Wear-Leveling144 und je nach Dateisystem abweichen):
136
Ähnlich („Datenträger“, „Daten“, „Informationen“) auch bereits Berberich / Golla, PinG 2016, 165, 173. 137 Zu diesen Begriffen Benkler, Federal Communications Law Journal 2000, 561, 562, wobei dieser anstatt code layer den Begriff „logical layer“ verwendet; Lessig, The Future of Ideas, S. 23; Zech, Information als Schutzgegenstand, S. 3; hierzu auch Grützmacher, CR 2016, 485, 486. 138 Zech, Information als Schutzgegenstand, S. 3 und S. 35 ff.; vgl. auch Heymann, CR 2016, 650, 650. 139 Benkler, Federal Communications Law Journal 2000, 561, 562; Lessig, The Future of Ideas, S. 23; Zech, Information als Schutzgegenstand, S. 3; hierzu auch Grützmacher, CR 2016, 485, 486. 140 Zech, Information als Schutzgegenstand, S. 41 ff.; hierzu auch Heymann, CR 2016, 650, 650. 141 Siehe 4. Teil, Kapitel 1, B., III., 3., f), bb). 142 So auch Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 17. 143 A.a. wohl Zech, GRUR 2015, 1151, 1153 der eine „Menge von ‚Nullen und Einsen‘“ auf der Zeichenebene (hier: „Datenebene“) einordnet, nicht auf der physischen Datenträgerebene. 144 Siehe 4. Teil, Kapitel 1, B., III., 3., a), bb).
142
4. Teil: Event Data Recording und integrierte Produktbeobachtung
„00111100 01101000 01110100 01101101 01101100 01101111 01100100 01111001 00111110 01000001 01101000 01101110 01110100 00100000 01101001 01100001 01110011 01110011 01100001 01110101 01101111 01100100 01111001 00111110 00111100 01101101 01101100 00111110“
00111110 00100000 01101110 00111100 00101111
00111100 01110111 00100000 00101111 01101000
01100010 01101111 01010000 01100010 01110100
Rechtlich stellt der Datenträger unproblematisch eine Sache i. S. d. § 90 BGB dar, kann gem. § 903 Satz 1 BGB im Eigentum einer Person stehen und nach § 823 Abs. 1 BGB selbst deliktischen Schutz genießen.145 Da ein schreibender Datenzugriff (bspw. bei einer Datenlöschung) die Magnetisierung oder Elektrisierung des Datenträgers in physischer Hinsicht ändert, wird auch in diesem Fall eine mittelbare Einwirkung auf das Eigentum am Datenträger bejaht, die etwa über § 823 Abs. 1 BGB Schadensersatzansprüche auslösen kann.146 (bb) Datenebene (code layer oder syntaktische Information) Diese einzelnen Bits der Datenträgerebene werden im Rahmen der zweiten, der Datenebene (auch: Code-Ebene / code layer147 oder syntaktische Information / Zeichenebene148) von einem Computer (genauer: dem Dateisystem) interpretiert und als Computerdaten dargestellt. Computerdaten sind hiernach strukturierte und auf dem Dateisystem des Datenträgers gespeicherte Kodierungen (bzw. Zeichen und Zeichenfolgen149) der in den Computerdaten wiederum repräsentierten Inhalte und Informationen.150 Im Rahmen der zum Einsatz kommenden Kodierungen werden dabei verschiedenste Dateiformate wie etwa PDF-Dateien für Textformate, MP3Dateien für Audiodateien, HTML-Dateien für Webseiten oder EXE-Dateien (bei Windows-Betriebssystemen) für ausführbare Programme unterschieden. Neben der Speicherung als Datei kommt auch eine Speicherung innerhalb von Datenbanken in Betracht. Je nach Kodierung können diese Computerdaten bereits auf der Datenebene für den Menschen wahrnehmbar und verstehbar sein (bspw. bei HTML-Code), aber noch zahlreiche von dem Computer zu interpretierende Metainformationen beinhalten. Kompilierte ausführbare Dateien („Object Code“, also 145
Siehe 4. Teil, Kapitel 1, B., III., 3., f), aa). So auch OLG Karlsruhe, Urt. v. 07.11.1995 – 3 U 15/95, NJW 1996, 200, 201; OLG Oldenburg, Beschl. v. 24.11.2011 – 2 U 98/11, ZD 2012, 177; Faust, NJW-Beil 2016, 29, 32; Rombach, CR 1990, 101, 104; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 18 m. w. N.; Specht, CR 2016, 288, 289; Kraus, in: Taeger, Big Data & Co, S. 380; Härting, CR 2016, 646, 647; Meier / Wehlau, NJW 1998, 1585, 1587 f.; Wagner, in: MüKo BGB, § 823 BGB Rn. 220. 147 Lessig, The Future of Ideas, S. 23; Zech, Information als Schutzgegenstand, S. 3; hierzu auch Grützmacher, CR 2016, 485, 486. 148 Welp, IuR 1988, 443, 445; Zech, CR 2015, 137, 138 m. w. N.; Zech, Information als Schutzgegenstand, S. 38 ff.; hierzu auch Heymann, CR 2016, 650, 650. 149 Specht, CR 2016, 288, 290. 150 Zu dem Begriff des Datums als Zeichenmenge vgl. schon Zech, CR 2015, 137, 138; Zech, Information als Schutzgegenstand, S. 38. 146
Kap. 1: Event Data Recording als Rechtspflicht
143
Daten in Maschinensprache) oder aber komprimierte Video- oder Audiodateien sind auf der Datenebene dagegen noch nicht unmittelbar durch Menschen verstehbzw. interpretierbar. Darstellung der obigen binären Information auf der Datenebene: „A wohnt in Passau“ Rechtlich ist die im Rahmen des § 303a Abs. 1 StGB zu diskutierende eigen tümerähnliche Verfügungsbefugnis an Daten auf dieser syntaktischen Datenebene anzusiedeln.151 Auch wenn Daten auf der Datenebene i. d. R. erst dann genutzt werden können, wenn die auf der Datenträgerebene vorhandenen binären Informationen von einem Computer interpretiert werden, so ist es gerade keine Voraussetzung für das Bestehen einer eigentümerähnlichen Verfügungsbefugnis an Daten, dass eine solche Interpretation auch tatsächlich stattfindet. Eine Verfügungsbefugnis kann demnach auch bei solchen Daten vorliegen, die nach deren Generierung niemals aufgerufen werden (aber weiterhin noch gespeichert, also existent sind152), oder bei Daten, die auf lediglich passiven Datenträgern (bspw. auf USB-Sticks oder CDs (bspw. zu Backupzwecken)) gespeichert sind. Die eigentümerähnliche Verfügungsbefugnis auf der Datenebene erstreckt sich dabei lediglich auf ein bestimmtes Element (also bspw. auf eine bestimmte Datei, eine bestimmte Datenbank oder ein bestimmtes Element einer Datenbank) und ist damit stets instanzenbezogen. Als Resultat können zwei identische Dateien mit demselben Inhalt daher auch zwei unterschiedliche eigentümerähnliche Verfügungsbefugte aufweisen. Im Ergebnis erstreckt sich das eigentümerähnliche Verfügungsrecht damit nicht automatisch auch auf Kopien einer Datei.153 Die eigentümerähnliche Verfügungsbefugnis an Kopien ist vielmehr für jede Kopie anhand der dargestellten Zuordnungskriterien separat und erneut zu bestimmen.154 (cc) Inhaltsebene (content layer oder semantische Information) Die konkreten Dateninhalte, so wie sie vom Menschen bspw. visuell oder akustisch wahrgenommen werden können (etwa die Visualisierung des Textinhalts eines eBooks oder die akustische Wiedergabe einer Musikdatei), werden dagegen auf einer dritten, der Inhaltsebene (auch: content layer155 oder semantische Informa-
151
So auch Zech, CR 2015, 137, 138; Specht, CR 2016, 288, 290 f. Hierzu auch Zech, Information als Schutzgegenstand, S. 38. 153 Vgl. Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 28 f.; so auch OLG Nürnberg, Beschl. v. 23.01.2013 – 1 Ws 445/12 – ZD 2013, 282, 284. 154 A. A. aber Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 29, wenn Daten „in demselben System und auf demselben Datenträger“ kopiert werden. 155 Benkler, Federal Communications Law Journal 2000, 561, 562; Lessig, The Future of Ideas, S. 23; Zech, Information als Schutzgegenstand, S. 3; hierzu auch Grützmacher, CR 2016, 485, 486. 152
144
4. Teil: Event Data Recording und integrierte Produktbeobachtung
tion156) erfasst. Technisch müssen die auf der Datenebene gespeicherten Kodierungen und Metainformationen hierzu erneut von dem Computer interpretiert und in einer für den menschlichen Betrachter wahrnehmbaren Darstellungsart (bspw. als Text, Video oder Audio) wiedergegeben / visualisiert werden. Darstellung der obigen kodierten Information auf der Inhaltsebene: „A wohnt in Passau“ Diese Dateninhalte müssen letztendlich von dem menschlichen Betrachter wahrgenommen, interpretiert, reflektiert, verstanden sowie als Wissen oder Erkenntnis aufgenommen werden.157 Dies stellt das Ergebnis und den einzigen Zweck der vorangehenden Ebenen dar: die Vermittlung einer Information (bspw. der bestimmte Sachverhalt, der dem Leser durch das eBook erläutert oder die Atmosphäre, Stimmung und Aussage, die mit einem Musikstück an den Zuhörer vermittelt werden soll). Aus dem obigen Beispiel ergibt sich für den menschlichen Betrachter dann die Information, dass A in Passau wohnt. Je nachdem, über welche Vorinformationen der Wahrnehmende bereits verfügt, können sich aus dieser Aussage für jeden Betrachter letztendlich aber unterschiedliche Schlussfolgerungen ergeben (bspw. „A stammt aus Passau“, „A ist nach Passau umgezogen“, etc.).158 Rechtlich ist auf dieser Inhaltsebene insbesondere das Persönlichkeits- und Datenschutzrecht (wenn die Daten Informationen über eine identifizierte oder identifizierbare natürliche Person enthalten) anzusiedeln.159 Anders als auf der Datenebene, bei der die eigentümerähnliche Verfügungsbefugnis instanzenbezogen stets nur auf eine bestimmte Datei oder auf ein bestimmtes Datenbankelement beschränkt ist, erstreckt sich der Persönlichkeits- und Datenschutz auf der Inhaltsebene dagegen instanzenunabhängig auf alle Daten oder Datenbankelemente auf allen EDV-Systemen, die eine bestimmte Information beinhalten.
156
Welp, IuR 1988, 443, 445; Zech, CR 2015, 137, 138 m. w. N.; Zech, Information als Schutzgegenstand, S. 37 f.; hierzu auch Heymann, CR 2016, 650, 650. 157 Zu dem Begriff der Information umfassend Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 21 ff. 158 Vgl. dazu, dass die semantische Information durch Kombination mit bereits vorhandenen Aussagen auch neue Aussagen erzeugen kann, bereits Zech, Information als Schutzgegenstand, S. 38. Hierzu auch Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 20 f. 159 Zech, CR 2015, 137, 138 und 140 f.; Heymann, CR 2016, 650, 650; Vgl. auch Fezer, ZD 2017, 99, 100 ff.; Zech, Information als Schutzgegenstand, S. 38; Heckmann / Specht, vbw Studie Daten als Wirtschaftsgut, S. 7 f.
Kap. 1: Event Data Recording als Rechtspflicht
145
(b) Grundsätze des Ebenenmodells Da das Kernprinzip des Ebenenmodells gerade ist, dass ein und dieselbe Information auf den verschiedenen Ebenen auch unterschiedlichen Rechteinhabern zugeordnet werden kann, wird schnell klar, dass dieses Modell auch Auslöser zahlreicher Interessenskonflikte sein kann. Elementar für das Ebenenmodell ist daher die Anwendung zwingender Grundsätze, um solche Kollisionen zu verhindern oder aufzulösen.160 (aa) Grundsatz der getrennten Ebenenzuordnung Als erster Grundsatz dieses Ebenen-Modells muss dabei gelten, dass die Rechte inhaberschaft auf einer Ebene generell keinerlei Aussagen über die Rechte und Positionen der übrigen Ebenen trifft.161 Eigentümer des die Daten verkörpernden Datenträgers, eigentümerähnlicher Verfügungsbefugter und datenschutzrechtlich Betroffener können demnach unproblematisch auch personenverschieden sein. Erhebt ein automatisiertes und vernetztes Luft- oder Straßenfahrzeug des Betreibers A mittels seiner Sensoren etwa personenbezogene oder -beziehbare Informationen über den Passanten B und werden diese Informationen auf dem Server des Herstellers C gespeichert, so bestehen unterschiedliche Rechte auf allen (technischen und rechtlichen) Ebenen des Ebenenmodells. (bb) Grundsatz der kumulativen Verarbeitungsvoraussetzung Obwohl die Zuordnung von Rechteinhaberschaften auf allen Ebenen getrennt erfolgt, bedarf es für die Verarbeitung von Daten, die auf den unterschiedlichen Ebenen durch personenverschiedene Rechteinhaber geschützt sind, gleichwohl einer kumulierten Verarbeitungsrechtfertigung auf allen betroffenen Ebenen. Dies kann bei einem schreibenden Zugriff im Drei-Personen-Verhältnis etwa dazu führen, dass eine Einwilligung oder gesetzliche Rechtfertigung sowohl auf der Datenträgerebene als auch auf der Daten- und Inhaltsebene erforderlich ist. (cc) Grundsatz des Vorrangs gesetzlich angeordneter Datenverarbeitung Obwohl mit dem letztgenannten Grundsatz ein Datenverarbeitungsvorhaben auf allen betroffenen Ebenen legitimiert sein muss, existiert hiervon dennoch dann eine Ausnahme, wenn eine bestimmte Datenverarbeitung gesetzlich vorgesehen ist. Macht der datenschutzrechtlich Betroffene etwa sein Recht auf Berichtigung 160
Hierzu auch bereits Zech, Information als Schutzgegenstand, S. 416 ff. Vgl. auch Zech, CR 2015, 137, 138.
161
146
4. Teil: Event Data Recording und integrierte Produktbeobachtung
aus Art. 16 DSGVO, auf Löschung aus Art. 17 DSGVO oder seine Widerrufs- oder Widerspruchsrechte aus Art. 7 Abs. 3 Satz 1 DSGVO bzw. Art. 21 DSGVO geltend, so können diesem Anspruch keine entgegenstehenden Rechte auf anderen Ebenen entgegengehalten werden. Eine gesetzlich angeordnete Datenverarbeitung durchbricht (quasi) als lex specialis damit entgegenstehende Ansprüche auf der Datenträger- und Datenebene. (6) Zwischenergebnis: Keine (ausschließliche) eigentümerähnliche Verfügungsbefugnis des Herstellers Als Zwischenergebnis lässt sich festhalten, dass der Betreiber die eigentümerähnliche Verfügungsbefugnis an den von dem automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen Daten erlangt hat. Diese Verfügungsbefugnis könnte zwar zwischenzeitlich an den Hersteller übertragen worden sein. Dies bedürfte aber einer expliziten rechtsgeschäftlichen Vereinbarung zwischen den Parteien, sodass davon auszugehen ist, dass die betreffenden Daten weiterhin „fremd“ für den Hersteller sind. dd) Mindestqualität der Daten In Anbetracht der massenhaften Datenerhebung bei automatisierten und vernetzten CPS stellt sich die Frage, ob der Tatbestand des § 303a Abs. 1 StGB neben der Fremdheit der Daten noch um ein weiteres Korrektiv i. S. e. „Datenmindestqualität“ ergänzt, also etwa auf beweiserhebliche Daten teleologisch reduziert werden muss. Eine solche teleologische Reduktion erfordert jedoch, dass die derzeit bestehende Regelung der gesetzgeberischen Zielsetzung widerspricht, der Wortlaut der Regelung also versehentlich zu weit gefasst ist. Dies kann vorliegend aber nicht angenommen werden. Denn anders als dies etwa § 274 Abs. 1 Nr. 2 StGB bereits im Wortlaut regelt, wollte der Gesetzgeber in § 303a Abs. 1 StGB gerade nicht nur beweiserhebliche Daten, also Daten von einiger Relevanz und Mindestqualität, sondern sämtliche fremde Daten, schützen.162 Erfasst werden hier insofern auch „Daten ohne jeglichen wirtschaftlichen, wissenschaftlichen, künstlerischen oder ideellen Wert“163. Eine solche teleologische Reduktion ist mit der hier vertretenen Auffassung aber auch deswegen nicht erforderlich, weil sich das „Verbot der Datenlöschung“ aus 162 Vgl. Stree / Hecker, in: Schönke / Schröder, StGB, § 303a StGB Rn. 2; Wieck-Noodt, in: MüKo StGB, § 303a StGB Rn. 8. 163 Wieck-Noodt, in: MüKo StGB, § 303a StGB Rn. 8 mit Verweis auf Schulze-Heiming, Der strafrechtliche Schutz der Computerdaten, S. 164. So auch Welp, IuR 1988, 443, 449. Bejahend auch für einfache Logdateien daher Kochheim, Cybercrime und Strafrecht in der Informationsund Kommunikationstechnik, Rn. 492.
Kap. 1: Event Data Recording als Rechtspflicht
147
§ 303a Abs. 1 StGB mangels einer Garantenpflicht des Herstellers ohnehin nur auf eine positive Löschung von gespeicherten Daten durch aktives Tun bezieht, nicht aber auf ein rechtswidriges Unterlassen der Speicherung nur flüchtiger Daten.164 All solche Begleitdaten, die nur für einen Augenblick von technischer Relevanz und daher nur in flüchtigen Variablen oder Arrays gespeichert sind, welche bei Beendigung des Programms automatisch und ohne weiteres Zutun verfallen, sind mit der hier vertretenen Auffassung damit von der Vorschrift des § 303a Abs. 1 StGB gar nicht erfasst. Erfasst sind hingegen nur auf dem Datenträger gespeicherte Dateien (bspw. Systemprotokolle) bzw. Datenbanken und mithin von vornherein nur Daten mit einer gewissen Mindestrelevanz. ee) Tatbestandsausschließendes Einverständnis Hinsichtlich der von dem automatisierten und vernetzten CPS in Dateien oder Datenbanken gespeicherten Daten, deren Löschung durch aktives Tun von § 303a Abs. 1 StGB grundsätzlich erfasst wird, kommt ergänzend aber auch eine Rechtfertigung der Datenlöschung per Einverständnis oder Einwilligung des eigentümerähnlich Verfügungsbefugten, also des Betreibers,165 in Betracht. Die wohl h. M. geht dabei davon aus, dass die Rechtswidrigkeit i.R.d. § 303a Abs. 1 StGB ein objektives Tatbestandsmerkmal darstellt,166 sodass vorliegend keine Einwilligung, sondern ein tatbestandsausschließendes Einverständnis zu prüfen ist. (1) Dispositionsbefugnis Das von § 303a Abs. 1 StGB geschützte Rechtsgut ist disponibel. Der Betreiber als eigentümerähnlich Verfügungsbefugter der betreffenden Daten ist die zur Disposition über das Rechtsgut befähigte Person. (2) Innere Zustimmung Im Rahmen des tatbestandsausschließenden Einverständnisses reicht, im Gegensatz zu der rechtfertigenden Einwilligung, generell eine innere Zustimmung des Verfügungsbefugten aus.167 Hierzu muss der Verfügungsbefugte mit dem Eingriff 164
Siehe 4. Teil, Kapitel 1, B., II., 2 und 4. Teil, Kapitel 1, B., III., 2., a), aa). Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc). 166 Vgl. Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 303a StGB Rn. 5 f. und 17; Wieck-Noodt, in: MüKo StGB, § 303a StGB Rn. 17. m. w. N. So wohl auch BT-Drs. 10/5058, S. 34. A. A. dagegen Fischer, StGB, § 303a StGB Rn. 13; Stree / Hecker, in: Schönke / Schröder, StGB, § 303a StGB Rn. 4. 167 Vgl. Schlehofer, in: MüKo StGB, Vorbemerkung zu § 32 Rn. 173. 165
148
4. Teil: Event Data Recording und integrierte Produktbeobachtung
in seine Rechte, hier also mit der Löschung der betreffenden Daten, lediglich tatsächlich einverstanden sein und diese nicht nur dulden oder hinnehmen.168 Dies kann jedenfalls bei den von dem automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen beweiserheblichen Daten, also solchen, die analog § 63a Abs. 1, Abs. 5 StVG in Zusammenhang mit einer technischen Störung des Systems oder mit einem Ereignis nach § 7 Abs. 1 StVG stehen, aber gerade nicht angenommen werden. Bei den sonstigen, nicht-beweiserheblichen Begleitdaten kommt dies aber durchaus in Betracht. (3) Informiertheit Doch auch hinsichtlich der Begleitdaten ist Voraussetzung einer solchen inneren Zustimmung, dass der Zustimmende den wesentlichen Inhalt, die Bedeutung und die Tragweite der Zustimmung kennt und daher „mit vollem Verständnis der Sachlage“169 handelt.170 Dabei ist jedoch anzunehmen, dass der zur Zustimmung notwendige Grad an Kenntnis umso niedriger liegt, je weniger die mit der Datenlöschung einhergehende Beeinträchtigung seiner Rechte wiegt. Bei den hier einzig noch in Rede stehenden beweisunerheblichen Begleitdaten, dürften demnach keine allzu großen Erwartungen an die Informiertheit des Zustimmenden gestellt werden. (4) Freiwilligkeit Neben der Informiertheit des Zustimmenden muss ein Einverständnis weiterhin stets auch freiwillig erfolgen.171 Eine Zwangslage wird nach e.A. bereits bei einem „unter Druck setzen“, gleichwohl welcher Intensität, angenommen.172 Eine a. A. sieht eine Unfreiwilligkeit dagegen erst dort, wo die Schwelle zur Nötigung überschritten ist.173 Vorliegend muss jedoch beachtet werden, dass eine unbefristete Speicherung der im Rahmen der Datenbeschaffungsphase massenhaft erhobenen Begleitdaten aufgrund begrenzter Speicherkapazitäten technisch ggf. tatsächlich nicht tragbar und das Einverständnis damit nicht nur optional, sondern sogar aus technischen Gründen erforderlich sein könnte. Auch im Rahmen des sehr strengen datenschutzrechtli 168
Vgl. Schlehofer, in: MüKo StGB, Vorbemerkung zu § 32 Rn. 177 f. BGH, Urt. v. 22.01.1953 – 4 StR 373/52, NJW 1953, 912, 912. 170 Vgl. Schlehofer, in: MüKo StGB, Vorbemerkung zu § 32 Rn. 176 f. Vgl. zur Notwendigkeit dieses Kriteriums sowohl bei dem tatbestandsausschließenden Einverständnis als auch bei der Einwilligung Eschelbach, in: v. Heintschel-Heinegg, BeckOK StGB, § 228 StGB Rn. 8. 171 Schlehofer, in: MüKo StGB, Vorbemerkung zu § 32 Rn. 180. 172 Schlehofer, in: MüKo StGB, Vorbemerkung zu § 32 Rn. 180 mit Verweis auf Mitsch, in: Baumann / Weber / Mitsch, Strafrecht AT, § 17 Rn. 108. 173 Vgl. Amelung, NStZ 2006, 317, 319 m.w.N; Mitsch, in: Baumann / Weber / Mitsch, Strafrecht AT, § 17 Rn. 108. 169
Kap. 1: Event Data Recording als Rechtspflicht
149
chen Koppelungsverbots aus Art. 7 Abs. 4 DSGVO ist die Freiwilligkeit einer Einwilligung jedenfalls dann unproblematisch, wenn diese etwa zur Erbringung einer Dienstleistung erforderlich ist.174 Nichts anderes kann dann aber im Rahmen des hier diskutierten tatbestandsausschließenden Einverständnisses gelten. (5) Zwischenergebnis: Tatbestandsausschließendes Einverständnis nur hinsichtlich nicht-beweiserheblicher Daten möglich Im Rahmen der von dem automatisierten und vernetzten CPS massenhaft erhobenen nicht-beweiserheblichen Begleitdaten könnte ein tatbestandsausschließendes Einverständnis des Betreibers als eigentümerähnlich Verfügungsbefugter durchaus in Betracht kommen. Bezüglich der beweiserheblichen Daten, also den Daten, die analog § 63a Abs. 1, Abs. 5 StVG in Zusammenhang mit einer technischen Störung des Systems oder mit einem Ereignis nach § 7 Abs. 1 StVG stehen, kann dies jedoch nicht angenommen werden, sodass hierbei eine Strafbarkeit aus § 303a Abs. 1 StGB weiterhin denkbar bleibt. ff) Vorsatz Da nach § 15 StGB eine Strafbarkeit wegen Fahrlässigkeit generell nur dann in Betracht kommt, wenn das Gesetz fahrlässiges Handeln ausdrücklich mit Strafe bedroht, dies im Rahmen des § 303a Abs. 1 StGB aber gerade nicht der Fall ist, müsste der Hersteller vorsätzlich gehandelt haben. Der Vorsatz des Herstellers muss sich dabei auf alle objektiven Tatbestandsmerkmale erstrecken.175 (1) Zeitpunkt der Tat Ein etwaiger Vorsatz des Herstellers muss dabei „bei Begehung der Tat“ vorgelegen haben (vgl. den Wortlaut des § 16 Abs. 1 StGB).176 Fraglich ist demnach, wann die Datenlöschung i. S. d. § 303a Abs. 1 StGB begangen wurde, was also der Zeitpunkt der Tat ist. In Betracht kommt hierfür einerseits die tatsächliche Löschung der Daten durch die automatisierte Löschprozedur, andererseits aber auch die vorgelagerte Implementierung der Löschprozedur durch den Hersteller. § 8 Satz 1 StGB bestimmt in diesem Kontext, dass eine Tat (durch aktives Tun) zu der Zeit als begangen gilt, zu welcher der Täter oder der Teilnehmer gehandelt hat. Wann der Erfolg eintritt, ist gem. § 8 Satz 2 StGB dagegen nicht maßgeblich. Ein 174
In diesen Fällen kann eine Einwilligung in vielen Fällen aufgrund Art. 6 Abs. 1 lit. b DSGVO sogar ganz entfallen. 175 Vgl. Kudlich, in: v. Heintschel-Heinegg, BeckOK StGB, § 15 StGB Rn. 4. 176 Vgl. Kudlich, in: v. Heintschel-Heinegg, BeckOK StGB, § 15 StGB Rn. 9.
150
4. Teil: Event Data Recording und integrierte Produktbeobachtung
zig relevante Tathandlung ist damit ausschließlich die Implementierung der Löschroutine durch den Hersteller.177 Bereits mit der Programmierung des CPS werden insofern die später auszuführenden Programmabläufe vorgegeben, die für die spätere Tatsituation kausal sind.178 Irrelevant ist dabei, dass die Programmierung des CPS ggf. bereits lange Zeit vor der konkreten Tatsituation vorgenommen wurde.179 Die spätere automatisierte Ausführung der Löschroutine stellt dagegen lediglich die Verwirklichung dieser bereits zum Zeitpunkt der Programmierung vorgenommenen Tathandlung dar. Bis zu dem Zeitpunkt kann demnach nur ein Versuch der Tatbestandsverwirklichung vorliegen.180 (2) Vorliegen von Vorsatz zum Zeitpunkt der Tat Als Vorsatzformen werden in den Rechtswissenschaften insbesondere Absicht (dolus directus ersten Grades), direkter Vorsatz (dolus directus zweiten Grades) und bedingter Vorsatz (dolus eventualis) unterschieden, die sich allesamt aus einem Wissens- und einem Willenselement zusammensetzen.181 Da § 303a Abs. 1 StGB keine qualifizierten Vorgaben an den erforderlichen Vorsatzgrad stellt, kann hierbei jede Vorsatzform zur Anwendung kommen. (a) Absicht Absicht stellt dabei ein „zielgerichtetes Wollen“182 dar. Dem Täter (hier dem Hersteller) muss es dabei also gerade auf den Eintritt des tatbestandlichen Erfolges (hier die Löschung der beweiserheblichen Daten) ankommen.183 Dies kann dem Hersteller jedoch nicht ohne weitere Anhaltspunkte unterstellt werden. Die regelmäßige Löschung der im Rahmen der Datenbeschaffungsphase massenhaft aufgezeichneten Daten stellt vielmehr einen Best Practice-Grundsatz aus der Softwareentwicklung dar und ist daher erforderlich, um die Systemressourcen nicht unnötig zu beanspruchen (obgleich wünschenswert wäre, dass sich die Löschroutinen dabei nur auf Begleitdaten und nicht auf beweiserhebliche Daten beziehen würden).
177
Vgl. Sander / Hollering, NStZ 2017, 193, 202. Sander / Hollering, NStZ 2017, 193, 202. 179 Sander / Hollering, NStZ 2017, 193, 202. 180 Vgl. Ambos, in: MüKo StGB, § 8 StGB Rn. 11. 181 Grützner / Jakob, in: Grützner / Jakob, Compliance von A-Z, Vorsatz. 182 Vgl. BGH, Urt. v. 18.07.1979 – 2 StR 114/79, NJW 1980, 65, 66; Kudlich, in: v. HeintschelHeinegg, BeckOK StGB, § 15 StGB Rn. 17 m. w. N. 183 Grützner / Jakob, in: Grützner / Jakob, Compliance von A-Z, Absicht. 178
Kap. 1: Event Data Recording als Rechtspflicht
151
(b) Direkter Vorsatz Während bei der Absicht demnach das Willenselement im Vordergrund steht, muss der tatbestandliche Erfolg beim direkten Vorsatz von dem Täter gerade nicht erwünscht sein. Relevant ist hierbei das Wissenselement des Vorsatzes; der Täter muss demnach sichere Kenntnis von der Tatbestandsverwirklichung (hier der späteren Löschung beweiserheblicher Daten) zum Zeitpunkt der Tatbestandshandlung (hier der Implementierung der Löschroutine in das System) gehabt haben.184 Direkter Vorsatz liegt demnach nur dann vor, wenn der Täter sicher davon ausgeht, dass er mit seinem Handeln die Tatbestandsvoraussetzungen eines Strafgesetzes erfüllen werde.185 Da die Tatbestandshandlung des Herstellers vorliegend aber lediglich darin besteht, dass dieser entsprechende Löschroutinen bereits zur Phase der technischen Systemausgestaltung und -programmierung in das System implementiert hat, kann auch ein direkter Vorsatz mit der hier vertretenen Auffassung nicht angenommen werden. Zum Zeitpunkt der Systemprogrammierung hat der Hersteller insofern noch kein sicheres Wissen über spätere ggf. eintretende beweiserhebliche Ereignisse und damit über zu löschende beweiserhebliche Daten. (c) Bedingter Vorsatz Damit verbleibt es letztendlich bei der Möglichkeit eines bedingten Vorsatzes. Ein bedingter Vorsatz liegt dann vor, wenn der spätere Eintritt des tatbestandlichen Erfolgs zum Zeitpunkt der Tathandlung zumindest ernsthaft für möglich gehalten (Wissenselement) und dieser gleichzeitig auch billigend in Kauf genommen (Willenselement) wird.186 Im Rahmen des Wissenselements kann mit der hier vertretenen Auffassung dabei nur noch schwerlich argumentiert werden, der Hersteller hätte eine Verwicklung seiner Systeme in beweiserhebliche Ereignisse und damit die spätere automatisierte Löschung auch beweiserheblicher Daten nicht voraussehen können. Etwa im Straßenverkehr kam es 2016 alleine in Deutschland zu 2.585.327 polizeilich erfassten Unfällen i. S. d. § 7 Abs. 1 StVG (wozu freilich auch Unfälle mit bloßen Sachschäden zählen).187 Erneut kann mit der hier vertretenen Auffassung aber das Willenselement des bedingten Vorsatzes nicht ohne weitere Anhaltspunkte bejaht werden. Dem Hersteller kann insofern nicht ohne Weiteres unterstellt werden, dieser habe die Löschung auch beweiserheblicher Daten billigend in Kauf genommen.
184
Grützner / Jakob, in: Grützner / Jakob, Compliance von A-Z, direkter Vorsatz. Sternberg-Lieben / Schuster, in: Schönke / Schröder, StGB, § 15 StGB Rn. 68; Grützner / Jakob, in: Grützner / Jakob, Compliance von A-Z, direkter Vorsatz. 186 Kudlich, in: v. Heintschel-Heinegg, BeckOK StGB, § 15 StGB Rn. 17. 187 Statistisches Bundesamt, Polizeilich erfasste Unfälle (2014–2017). 185
152
4. Teil: Event Data Recording und integrierte Produktbeobachtung
gg) Zwischenergebnis: Datenveränderung Mit der hier vertretenen Auffassung ist der Betreiber als der eigentümerähnlich Verfügungsbefugte hinsichtlich der von dem automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen Daten anzusehen. Gegenüber dem Hersteller sind diese Daten damit „fremd“ i. S. d. § 303a Abs. 1 StGB. Eine Strafbarkeit des Herstellers aus § 303a Abs. 1 StGB bei Löschung dieser Daten kommt gleichwohl für beweisunerhebliche Begleitdaten bereits aufgrund eines tatbestandsausschließenden Einverständnisses des Betreibers und für beweiserhebliche Daten mangels Vorsatzes des Herstellers nicht in Betracht. b) Urkundenunterdrückung (§ 274 Abs. 1 Nr. 1, Nr. 2 StGB) Da mit der hier vertretenen Auffassung bereits ein vorsätzliches Handeln des Herstellers bei der automatisierten Löschung beweiserheblicher Daten nicht angenommen werden kann, kann erst recht keine Nachteilszufügungsabsicht i. S. d. §§ 274 Abs. 1 Nr. 1, Nr. 2 StGB vorliegen. Dies kann letztendlich nur in bestimmten Einzelfällen anders zu bewerten sein, in denen die Implementierung der automatisierten Datenlöschung von beweiserheblichen Daten nachweislich gerade zu dem Zweck erfolgt, dem Betreiber eine spätere Beweisführung zu erschweren und damit etwaige Regressansprüche gegen den Hersteller zu vereiteln. In solchen Fällen könnten die von dem automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen Daten entweder technische Aufzeichnungen i. S. d. §§ 274 Abs. 1 Nr. 1, 268 Abs. 2 StGB oder aber beweiserhebliche Daten i. S. d. §§ 274 Abs. 1 Nr. 2, 202a Abs. 2 StGB darstellen. c) Zwischenergebnis: Strafrechtlicher Schutz vor unberechtigter Datenlöschung Eine Strafbarkeit des Herstellers aufgrund der automatisierten Löschung auch beweiserheblicher Daten kommt vorliegend nicht in Betracht. 3. Deliktischer Schutz vor unberechtigter Datenlöschung Ein Schutz vor unberechtigter Löschung der im Rahmen der Datenbeschaffungsphase von dem automatisierten und vernetzten CPS erhobenen Daten könnte sich jedoch aus dem Zivilrecht und dabei insbesondere aus dem Deliktsrecht ergeben. Doch auch innerhalb von vertraglichen Schuldverhältnissen können Daten umfassend geschützt sein, sodass eine rechtswidrige Löschung dieser Daten zu Schadensersatzansprüchen aus §§ 280 Abs. 1, 241 Abs. 2 BGB führen kann.188 188
Faust, NJW-Beil 2016, 29, 32.
Kap. 1: Event Data Recording als Rechtspflicht
153
Im juristischen Schrifttum wird das Rechtsinstitut eines sog. „Dateneigentums“ bzw. einer absoluten Verfügungsbefugnis an Daten bereits seit einiger Zeit lebhaft diskutiert.189 Und auch die Europäische Kommission beschäftigt sich im Rahmen eines Richtlinienvorschlags190 bereits mit der Frage, inwieweit Daten auch als Währung, also als ein Entgelt für etwaige Dienstleistungen, verwendbar sind.191 Der EU-Kommissar Günther Oettinger plädiert gar für ein „Bürgerliches Gesetzbuch für Daten“ und wirft insbesondere im Kontext von Industrie 4.0 die hier teilweise bereits erörterte und noch zu erörternde Frage auf, wem denn die hierbei generierten Daten gehören.192 Schließlich wird auch im Rahmen der vom BMVI in Auftrag gegebenen Studie über die Einführung eines neuen § 823a BGB für den Integritätsschutz von Daten nachgedacht.193 Der rechtspolitisch geführte Diskurs über das Bestehen eines solchen „Dateneigentums“ bzw. einer absoluten Verfügungsbefugnis an Daten erstreckt sich dabei sowohl auf Forderungen an den Gesetzgeber de lege ferenda als auch auf Überlegungen, ob ein solches „Dateneigentum“ schon de lege lata von dem heute geltenden Recht getragen werden könnte.194 Als Beleg für eine Existenz de lege lata wird von den Verfechtern eines solchen „Dateneigentums“ bzw. einer absoluten Verfügungsbefugnis an Daten meist der im Jahr 2007 eingeführte und bereits erörterte § 303a StGB angeführt, dessen Rechtswirkung sozusagen auch auf das Zivilrecht ausstrahle.195 Ob ein solches „Dateneigentum“ bzw. eine absolute Verfügungsbefugnis im Zivilrecht tatsächlich bereits de lege lata existiert, soll im Hinblick auf die zu unterbindende herstellerseitige automatisierte Löschung beweiserheblicher Systemdaten im Folgenden untersucht werden. An dieser Stelle nochmals zu betonen ist dabei, dass es im vorliegenden Kontext lediglich darauf ankommt, inwiefern eine unbefugte Datenlöschung der auf dem System gespeicherten Daten, also ein schreibender Eingriff in die Datenintegrität, deliktsrechtlich geschützt sein könnte (negative Abwehrkomponente196).197 Nicht von Belang ist dagegen, inwiefern Daten ein 189 Vgl. Fezer, MMR 2017, 3; Fezer, ZD 2017, 99; Hoeren, MMR 2013, 486; Wagner, in: MüKo BGB, § 823 BGB Rn. 295 f. Die Frage nach einem eigenständigen Recht an Daten i. S. d. § 823 Abs. 1 BGB haben sich etwa bereits Meier / Wehlau, NJW 1998, 1585, 1588 f. gestellt. 190 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, COM(2015) 634 final. 191 Hierzu auch Fezer, ZD 2017, 99, 100; Mitterer / Wiedemann / Zwissler, BB 2017, 3, 6. 192 Dix, ZEuP 2017, 1, 2; Mitterer / Wiedemann / Zwissler, BB 2017, 3, 6. 193 Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 116 und S. 122. 194 Vgl. hierzu Wagner, in: MüKo BGB, § 823 BGB Rn. 296 ff.; Stree / Hecker, in: Schönke / Schröder, StGB § 303a Rn. 3; Hoeren, MMR 2013, 486, 487; Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 134 ff.; Mitterer / Wiedemann / Zwissler, BB 2017, 3, 6; Heymann, CR 2016, 650 ff.; vbw, vbw Position Automatisiertes Fahren – Datenschutz und Datensicherheit, S. 31 f. 195 Wagner, in: MüKo BGB, § 823 BGB Rn. 296. 196 Vgl. Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 21. 197 Zur Unterscheidung zwischen lesendem und schreibendem Datenzugriff vgl. auch Grützmacher, CR 2016, 485, 489.
154
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Wirtschaftsgut sein können, wie also über Daten verfügt werden kann, welche Verpflichtungsgeschäfte Daten zum Gegenstand haben können und welche Gewährleistungs- und Haftungsansprüche in Bezug auf Daten bestehen können (positive Nutzungsbefugnis198).199 a) Dateneigentum (§§ 823 Abs. 1, 903 Satz 1 BGB) Ein herstellerseitiges Löschverbot der von dem automatisierten und vernetzten CPS im Rahmen der Datenbeschaffungsphase erhobenen und gespeicherten Daten könnte sich zunächst dann aus § 823 Abs. 1 BGB ergeben, wenn ein wortwörtliches Dateneigentum i. S. d. § 903 Satz 1 BGB tatsächlich existiert. Der Eigentümer einer Sache kann nach § 903 Satz 1 BGB mit dieser generell nach Belieben verfahren und andere von jeder Einwirkung ausschließen. Hierdurch genießt das Rechtssubjekt ein umfassendes Herrschaftsrecht an seinem Eigentum.200 Konstitutives Merkmal des Eigentums ist gem. § 903 Satz 1 BGB damit jedoch die Erfüllung der Sacheigenschaft.201 Nach § 90 BGB sind Sachen im Sinne des BGB aber nur körperliche Gegenstände. Das Kriterium der Körperlichkeit wird nach der h. M. wiederum nach einer sinnlichen Wahrnehmbarkeit und einer räumlichen Abgrenzbarkeit des Gegenstandes bestimmt.202 Zwar wurde auch von der Rechtsprechung bereits mehrfach richtigerweise festgestellt, dass der Speicher-, Lösch- oder Änderungsvorgang an Daten (schreibender Zugriff) stets auch eine Modifizierung der Magnetisierung, Elektrisierung oder aber eine Veränderung der optischen Anordnung (je nach Art des Datenträgers) von Speicherzellen und mithin eine physikalische Veränderung des Datenträgers bewirkt.203 Festgestellt wurde hierbei aber lediglich, dass schreibende Zugriffe auf Daten physikalische Auswirkungen auf den Datenträger als unbestreitbare Sache 198
Vgl. Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 21. Hierzu etwa Roßnagel, NJW 2017, 10, 13 f. Vgl. auch Hoeren, NJW, 2017, 1587, 1592. Zu den vertraglichen Gestaltungsmöglichkeiten vgl. Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 26 ff. Zu der vertraglichen Ausgestaltung des Datenhandels umfassend auch Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 113 ff. 200 Vgl. Fritzsche, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 903 BGB Rn. 16; Siede, in: Schulze / Grziwotz / Lauda, Vertrags- und Prozessformularbuch, § 903 BGB Rn. 1; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 16 m. w. N. 201 Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 17; so auch Prognos / Heckmann, vbw Studie Big Data im Freistaat Bayern, S. 113; Roßnagel, NJW 2017, 10, 11; Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 20. 202 Fritzsche, in: Bamberger / Roth / Hau / Poseck, BeckOK, § 90 BGB Rn. 5 m. w. N.; Mössner, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 90 BGB Rn. 59 ff. 203 Vgl. OLG Karlsruhe, Urt. v. 07.11.1995 – 3 U 15/95, NJW 1996, 200, 201; OLG Olden burg, Beschl. v. 24.11.2011 – 2 U 98/11, ZD 2012, 177; Rombach, CR 1990, 101, 104; Meier / Wehlau, NJW 1998, 1585, 1587 f.; Stresemann, in: MüKo BGB, § 90 BGB Rn. 25. Siehe noch 4. Teil, Kapitel 1, B., III., 3., f). 199
Kap. 1: Event Data Recording als Rechtspflicht
155
i. S. d. § 90 BGB haben können, nicht aber, dass Daten auch selbst Sachen i. S. d. § 90 BGB sind.204 aa) Sinnliche Wahrnehmbarkeit von Daten Das Kriterium der sinnlichen Wahrnehmbarkeit zur Bestimmung von Körperlichkeit ist nach der h. M. restriktiv auszulegen, sodass nicht jede Art von Wahrnehmung ausreichend sein soll. Vielmehr komme es ausschließlich auf den Tastsinn („Greifbarkeit“) an, da nur dann, wenn der fragliche Gegenstand tastbar oder greifbar ist, das in § 903 Satz 1 BGB verankerte Herrschaftsrecht an dem Gegenstand ausgeübt werden könne.205 Dies muss für Computerdaten, die mehr einen Zustand (bzw. eine Kumulation von Zuständen), nämlich die elektrische Geladenheit / Magnetisierung („1“) bzw. die elektrische Entladenheit / Entmagnetisierung („0“) von Speicherzellen, darstellen, bereits verneint werden. bb) Räumliche Abgrenzbarkeit von Daten Weiterhin scheitert die Körperlichkeit von Daten aber auch an dem Kriterium der räumlichen Abgrenzbarkeit.206 Die zur Abbildung einer Datei auf einem Datenträger belegten Speicherzellen liegen nicht aneinandergereiht auf einem räumlich abgrenzbaren Teil des Datenträgers, sondern sind aufgrund von Fragmentierung i. d. R. über die gesamte Festplatte verteilt. Diese Verteilung dient insbesondere bei den neueren SSD-Speichermedien der Verlängerung der Lebensdauer, da hiermit eine gleichmäßige Auslastung des gesamten Datenträgers erreicht werden kann („Wear-Leveling“).207 cc) Zwischenergebnis: Keine Existenz eines Dateneigentums Mangels Sacheigenschaft von Daten existiert demnach kein Dateneigentum als solches, das über §§ 823 Abs. 1, 903 Satz 1 BGB vor einer rechtswidrigen Datenlöschung geschützt wäre.208 204
So auch Schmid, AnwZert ITR 13/2017 Anm. 2. Vgl. Schapp / Schur, Sachenrecht, Rn. 22 m. w. N.; Hauck, Nießbrauch an Rechten, S. 57 f.; Leipold, BGB I, § 38 Rn. 2a; Mössner, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 90 BGB Rn. 59. 206 So auch Stresemann, in: MüKo BGB, § 90 BGB Rn. 25. 207 Vgl. Rouse, TechTarget-Beitrag, Wear Leveling. 208 So etwa auch Prognos / Heckmann, vbw Studie Big Data im Freistaat Bayern, S. 113; Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 21; Thalhofer, GRUR-Prax 2017, 225, 225; Kraus, in: Taeger, Big Data & Co, S. 379; Heckmann / Specht, Daten als Wirtschaftsgut, S. 17; Arkenau / Wübbelmann, in: Taeger, Internet der Dinge, S. 96 f. 205
156
4. Teil: Event Data Recording und integrierte Produktbeobachtung
b) Dateneigentum in analoger Anwendung (§§ 823 Abs. 1, 903 Satz 1 BGB analog) Die strafrechtliche Zuordnung einer Verfügungsbefugnis an Daten nach § 303a Abs. 1 StGB soll nach einer Auffassung auch im Rahmen des Zivilrechts eine analoge Anwendung des § 903 Satz 1 BGB rechtfertigen,209 sodass der Eigentumsbegriff trotz mangelnder Sacheigenschaft dann auch auf Daten anwendbar wäre. aa) Vereinbarkeit mit dem numerus clausus des Sachenrechts Einer solchen analogen Anwendung des § 903 Satz 1 BGB steht nicht zwingend der numerus clausus des Sachenrechts („Typenzwang“) entgehen, wonach die gesetzlich festgelegten Sachgüterarten abschließend geregelt und nicht von der Privatautonomie umfasst sind.210 Denn dieser Typenzwang gilt wohl nicht für die richterrechtliche Rechtsfortbildung, was etwa anhand des richterrechtlich geprägten Eigentumsanwartschaftsrecht verdeutlicht wird.211 Ohne eine solche richterrechtliche Rechtsfortbildung, also etwa allein auf einer Parteivereinbarung basierend, versperrt der numerus clausus des Sachenrechts dagegen tatsächlich bereits eine analoge Anwendung des § 903 Satz 1 BGB. bb) Planwidrige Regelungslücke und vergleichbare Interessenlage als Voraussetzungen der Analogie Zum Zwecke einer Analogie bedarf es weiterhin einer planwidrigen Regelungslücke sowie einer vergleichbaren Interessenlage.212 (1) Planwidrige Regelungslücke Eine Regelungslücke liegt zunächst deshalb vor, da zwar die Datenträgerebene etwa nach § 823 Abs. 1 BGB (Eigentum am physischen Datenträger) geschützt wird und auch die Inhaltsebene durch das Datenschutzrecht geschützt sein kann, ein umfassender eigentumsähnlicher Schutz auf der Datenebene aber bislang fehlt.213
209 So etwa Hilgendorf, JuS 1996, 890, 890; Hoeren, MMR 2013, 486, 489; hierzu auch Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 23. 210 Zum Meinungsspektrum bzgl. des numerus clausus-Prinzips vgl. Dorner, CR 2014, 617, 620 f. 211 Wellenhofer, Sachenrecht, § 3 Rn. 3. Kritisch aber Dorner, CR 2014, 617, 620 f. 212 Vgl. Kraus, in: Taeger, Big Data & Co, S. 380 f. 213 Siehe zu den verschiedenen Ebenen 4. Teil, Kapitel 1, B., III., 2., a), cc), (5), (a).
Kap. 1: Event Data Recording als Rechtspflicht
157
Gleichwohl ist diese Regelungslücke aber aus dem Grund nicht planwidrig, da vergleichbare Regelungen dem deutschen Recht generell nicht fremd sind (vgl. nur die §§ 69a ff. UrhG oder auch der § 303a StGB). Das Fehlen eines zivilrechtlichen Schutzes auf der Datenebene kann dann aber gerade nicht auf ein Versehen oder Vergessen des Gesetzgebers zurückgeführt werden.214 (2) Vergleichbare Interessenlage Im Rahmen der Vergleichbarkeit der Interessenlage ist danach zu fragen, ob Daten zumindest eigentumsähnlich sein, also die wesentlichen Eigenschaften von Eigentum ebenfalls aufweisen können. Wesentlich für das Eigentum ist dessen Zuordnungs- und Ausschlussfunktion215, wonach dieses einer spezifischen Person zugewiesen und alle anderen Personen von der Nutzung ausgeschlossen werden können. Gegen eine solche Zuordnungs- und Ausschlussfunktion von Daten wird in Teilen des Schrifttums vorgetragen, Daten könnten bereits aufgrund ihrer beliebigen Reproduzierbarkeit nicht einer bestimmten Person zugeordnet werden.216 Mit der hier vertretenen, aber durchaus umstrittenen Auffassung kann diese Zuordnungs- und Ausschlussfunktion dagegen auch Daten zukommen.217 Denn auch Daten genießen im Rahmen von Computersystemen Schutz vor einer unberechtigten Dateneinsicht und werden daher nur dem berechtigten Nutzer ausschließlich zugewiesen. Dies wird i. d. R. durch ein Rechte- / Rollenmanagementsystem realisiert.218 Insbesondere aber dann, wenn Daten etwa mit Hilfe des Private- / Public-Key-Verfahrens asymmetrisch verschlüsselt werden, können diese einer Person (dem Besitzer des zugehörigen Private-Keys) eindeutig und ausschließlich zugeordnet werden.219 Die Vertraulichkeit, Integrität und Authentizität von Daten stellen dabei die obersten IT-Sicherheitsschutzziele dar.220 Würde man die ausschließliche Zuordenbarkeit von Daten verneinen, würde zeitgleich auch die Realisierbarkeit dieser IT-Sicherheitsschutzziele in Frage gestellt werden.
214 So etwa auch Kraus, in: Taeger, Big Data & Co, S. 380, 381; Arkenau / Wübbelmann, in: Taeger, Internet der Dinge, S. 97; Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 87. 215 Vgl. Staudinger, in: Schulze, BGB, § 823 BGB Rn. 28; Wagner, in: MüKo BGB, § 823 BGB Rn. 267; Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 227 m. w. N. 216 Vgl. Faust, NJW-Beil 2016, 29, 32; hierzu aber Schmid, AnwZert ITR 13/2017 Anm. 2. 217 So auch Wagner, in: MüKo BGB, § 823 BGB Rn. 295 ff. 218 Vgl. Schmid, AnwZert ITR 13/2017 Anm. 2. 219 So auch Schmid, AnwZert ITR 13/2017 Anm. 2. 220 Vgl. Eckert, IT-Sicherheit, S. 7 ff.
158
4. Teil: Event Data Recording und integrierte Produktbeobachtung
cc) Zwischenergebnis: Kein Dateneigentum in analoger Anwendung Mangels planwidriger Regelungslücke kommt aber auch eine analoge Anwendung des § 903 Satz 1 BGB auf Daten nicht in Betracht. c) Recht am eigenen Datenbestand (§ 823 Abs. 1 BGB) Unabhängig von dem Bestehen eines „Dateneigentums“ könnten die von dem automatisierten und vernetzten CPS erhobenen Daten aber im Rahmen eines „Rechts am eigenen Datenbestand“, das als „sonstiges Recht“ i. S. d. § 823 Abs. 1 BGB anerkannt werden könnte, geschützt sein.221 Anders als bei der bereits dargestellten analogen Anwendung des § 903 Satz 1 BGB steht der Anerkennung eines Rechts am eigenen Datenbestand auch nicht der numerus clausus des Sachenrechts entgegen. Denn durch die Anerkennung als ein sonstiges Recht i. S. d. § 823 Abs. 1 BGB wird gerade kein neuartiges Recht an einer Sache konstruiert oder versucht, Daten unter den Eigentumsbegriff des § 903 Satz 1 BGB zu zwängen. Im Deliktsrecht existiert kein dahingehender numerus clausus,222 was durch die Anerkennung etwa des Allgemeinen Persönlichkeitsrechts223 und des Rechts am eingerichteten und ausgeübten Gewerbebetrieb224 gerade verdeutlicht wird. aa) Anerkennung eines Rechts am eigenen Datenbestand Ein unmittelbarer Schutz von Daten als ein „sonstiges Recht“ i. S. d. § 823 Abs. 1 BGB hat sich im juristischen Schrifttum bislang noch nicht final durchgesetzt.225 Richtigerweise stellt sich aber etwa Specht die Frage, „ob diese Ansicht in Anbetracht der zunehmenden wirtschaftlichen Bedeutung von Daten in der Informationsgesellschaft aufrecht erhalten werden kann“226. Meier / Wehlau haben in diesem Kontext bereits 1998 erkannt, dass wir „Zeugen eines technologischen und wirtschaftlichen Wandels“ sind und es sich daher die Frage stellt, „ob es nicht an der Zeit ist, das Recht an Datenbeständen und sonstigen Informationssamm lungen, die bereits heute einen enormen wirtschaftlichen Wert darstellen, unmittelbar unter den Schutz des § 823 I BGB zu stellen“227. Heute – in Zeiten auto 221
Vgl. hierzu etwa Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 18 f. So auch Wagner, in: MüKo BGB, § 823 BGB Rn. 266 und Rn. 297. 223 Vgl. hierzu Söder, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, § 823 BGB Rn. 124. 224 Vgl. hierzu Wagner, in: MüKo BGB, § 823 BGB Rn. 317. 225 Vgl. etwa Heymann, CR 2016, 650, 651 f.; Hager, in: Staudinger, BGB, § 823 Rn. B 192. 226 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 214. 227 Meier / Wehlau, NJW 1998, 1585, 1588. 222
Kap. 1: Event Data Recording als Rechtspflicht
159
matisierter Datenerzeugung und Big Data – stellt sich diese Frage dringender als jemals zuvor.228 (1) Zuordnungs- und Ausschlussfunktion Ein sonstiges Recht i. S. d. § 823 Abs. 1 BGB liegt nach der h. M. nur dann vor, wenn dem in Frage kommenden Recht zumindest eine eigentumsähnliche Stellung zukommt.229 Das ist dann der Fall, wenn dieses eine Zuordnungs- und Ausschlussfunktion aufweist, wenn das betreffende Recht also einer spezifischen Person zugewiesen werden kann und alle anderen Personen von dessen Nutzung ausgeschlossen werden können.230 Dies trifft, wie bereits gezeigt wurde, auch unmittelbar auf Daten zu.231 Auch Daten können durch die Anwendung von Rechte- und Rollen managementsystemen sowie insbesondere von Verschlüsselungstechnologien bereits eindeutig einem Nutzer zugewiesen und vor einem Zugriff durch Unberechtigte geschützt werden. Wird gegen eine solche Zuordnungs- und Ausschlussfunktion vorgetragen, Daten seien beliebig reproduzierbar,232 muss dem entgegengehalten werden, dass jede Reproduktion einer Datei stets unterschiedliche Verfügungsbefugte betreffen kann oder anders gesagt: Die Reproduktion (Kopie) einer Datei ändert nichts an der ausschließlichen Zuordnung des Originals.233 (2) Koexistenz des Rechts am eigenen Datenbestand und des Datenschutzrechts Wird die Existenz eines Rechts am eigenen Datenbestand dagegen mit der Begründung abgelehnt, dieses führe im Fall von personenbezogenen Daten zu Kollisionen mit den Betroffenenrechten aus dem Datenschutzrecht,234 so ist dem zwar 228
So auch Grützmacher, CR 2016, 485, 489 f., der es aus Wertungsgründen nicht überzeugend findet, dass Daten auf eigenen Datenspeichern mittelbar über § 823 Abs. 1 BGB geschützt sind, nicht aber Daten außerhalb eigener Datenspeicher. 229 Vgl. Wagner, in: MüKo BGB, § 823 BGB Rn. 296. Im Rahmen der Einordnung des Besitzes als sonstiges Recht so auch Staudinger, in: Schulze, BGB, § 823 BGB Rn. 35. 230 Vgl. Staudinger, in: Schulze, BGB, § 823 BGB Rn. 28; Wagner, in: MüKo BGB, § 823 BGB Rn. 267; hierzu auch Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 227 m. w. N. 231 Siehe 4. Teil, Kapitel 1, B., III., 3., b), bb), (2). So auch Wagner, in: MüKo BGB, § 823 BGB Rn. 295 f. 232 Vgl. Faust, NJW-Beil 2016, 29, 32. 233 Vgl. Schmid, AnwZert ITR 13/2017 Anm. 2. Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (5), (a). 234 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 227 f. Specht hält ein Recht am eigenen Datenbestand als „sonstiges Recht“ i. S. d. § 823 Abs. 1 BGB zwar für „durchaus denkbar“, sieht aber Kollisionsfälle mit den Betroffenenrechten im Falle von personenbezogenen Daten.
160
4. Teil: Event Data Recording und integrierte Produktbeobachtung
grundsätzlich zuzustimmen. Gleichwohl führt dies aber nicht dazu, dass sich diese Rechte gegenseitig neutralisieren würden235 und das Recht am eigenen Daten bestand somit obsolet wäre. Richtig ist zwar zunächst, dass der eigentümerähnlich Verfügungsbefugte auf der Datenebene dem datenschutzrechtlich Betroffenen auf der Inhaltsebene die Nutzung der ihn betreffenden Daten zunächst untersagen kann.236 Das Recht auf informationelle Selbstbestimmung als klassisches Abwehrrecht gegen rechtswidrige Eingriffe in das Recht auf informationelle Selbstbestimmung237 bezweckt indes aber auch kein derart umfassendes positives Nutzungsrecht des datenschutzrechtlich Betroffenen.238 Das Datenschutzrecht ist insofern in erster Linie ein „Verbotsrecht, das die Datenverarbeitung nicht fördert, sondern begrenzt“239. Nur stellenweise gewährt das Recht auf informationelle Selbstbestimmung und mithin das einfachgesetzliche Datenschutzrecht neben dieser Abwehrfunktion auch positive Leistungsrechte des Betroffenen. Dies erschöpft sich regelmäßig aber in einzelnen Informations-, Auskunfts-, Berichtigungs- oder Löschungsansprüchen des Betroffenen.240 Nur dort, wo dem Betroffenen solche positiven Leistungsrechte an seinen Daten gesetzlich eingeräumt werden (insbesondere neuerdings auch durch das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO241), führt dies stellenweise zu einer Durchbrechung der eigentümerähnlichen Verfügungsbefugnis („Grundsatz des Vorrangs gesetzlich angeordneter Datenverarbeitung“242). Von einer Aufhebung des Datenschutzrechts durch das eigentümerähnliche Datenrecht kann dann aber bereits keine Rede sein. Umgekehrt führt das Datenschutzrecht aber auch nicht dazu, dass der datenschutzrechtlich Betroffene auf der Inhaltsebene dem eigentümerähnlich Verfügungsbefugten auf der Datenebene per se jegliche Nutzung der Daten verbieten
235 Hierzu Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 228. 236 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 228. Siehe zu den verschiedenen Ebenen 4. Teil, Kapitel 1, B., III., 2., a), cc), (5), (a). Siehe zu den Grundsätzen des Ebenenmodells 4. Teil, Kapitel 1, B., III., 2., a), cc), (5), (b). 237 Vgl. Di Fabio, in: Maunz / Dürig, GG, Art. 2 GG Rn. 132; so wohl auch Albers, in: Wolff / Brink, BeckOK Datenschutzrecht, BDSG Polizei und Nachrichtendienst Rn. 47. 238 Hierzu auch Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 45. und S. 49 m. w. N. 239 Härting, CR 2016, 646, 648; Härting stellt anschließend jedoch fest, dass dennoch auch Tendenzen existieren, den Betroffenen an seinen personenbezogenen Daten partizipieren zu lassen. Hierzu auch Berberich / Golla, PinG 2016, 165, 166. 240 Vgl. hierzu Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG Rn. 20 und Rn. 81; Di Fabio, in: Maunz / Dürig, GG, Art. 2 GG Rn. 137. Zu den Tendenzen, dem Nutzer eine weitere aktive Teilhabe an der Datenverwertung zu ermöglichen, etwa im Rahmen des neuen Rechts auf Datenübertragbarkeit gem. Art. 20 DSGVO, vgl. Härting, CR 2016, 646, 648. 241 Hierzu auch Härting, CR 2016, 646, 648. 242 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (5), (b).
Kap. 1: Event Data Recording als Rechtspflicht
161
könnte.243 Denn trotz des Prinzips des Verbots mit Erlaubnisvorbehalt sieht das Datenschutzrecht unter anderem in Art. 6 DSGVO eine Vielzahl von gesetzlichen Rechtfertigungstatbeständen vor, die eine Verarbeitung personenbezogener Daten auch ohne Einwilligung und damit Mitwirkung des datenschutzrechtlich Betroffenen ermöglichen. Im Rahmen dieser gesetzlichen Rechtfertigungen kann der eigentümerähnlich Verfügungsbefugte frei von seinen Datenrechten Gebrauch machen. Lediglich dann, wenn eine gesetzliche Rechtfertigung für den konkreten Sachverhalt nicht einschlägig ist und man annimmt, dass auch eine Anonymisierung von Daten zunächst eine rechtfertigungsbedürftige Datenverarbeitung darstellt,244 kommt letztendlich nur noch eine Einwilligung des datenschutzrechtlich Betroffenen in Betracht. Ist eine solche nicht einholbar (entweder da dieser (ggf. trotz des Angebots einer Gegenleistung) schlichtweg nicht einwilligen möchte, oder da eine informierte Einwilligung im Rahmen der Besonderheiten der spezifischen Datenverarbeitungssituation nicht rechtssicher möglich ist245), kann das Datenschutzrecht schließlich der eigentümerähnlichen Verfügungsbefugnis an den Daten tatsächlich entgegenstehen.246 Dies bedeutet aber nicht, dass das Datenschutzrecht auf der Inhaltsebene stets zu einer Entkernung der eigentümerähnlichen Verfügungsbefugnis auf der Datenebene führen würde.247 Vielmehr begrenzt das Datenschutzrecht die eigentümerähnliche Verfügungsbefugnis lediglich – je nach Einzelfall – mehr oder weniger stark248 und fungiert damit letztendlich auch als verfassungsrechtliche Schrankenregelung i. S. d. Art. 14 Abs. 1 Satz 2 GG.249 (3) Regelungsbedürftigkeit Nochmals betont werden soll an dieser Stelle, dass vorliegend lediglich der zivilrechtliche Schutz vor rechtswidriger Datenlöschung behandelt wird, mithin also der Schutz vor einem schreibenden Datenzugriff (Schutz der Datenintegrität).250 Die Frage, ob durch § 823 Abs. 1 BGB ebenfalls lesende Fremdzugriffe unterbun 243
In diese Richtung gehend aber wohl Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 228. 244 Hierzu Specht, GRUR Int. 2017, 1040, 1047 f. 245 Vgl. Specht, GRUR Int. 2017, 1040, 1043 und 1046. 246 Hierzu Specht, GRUR Int. 2017, 1040, 1042 f. 247 Kritisch aber Specht, GRUR Int. 2017, 1040, 1042 und 1047; Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, S. 228. 248 So aber auch Specht / Rohmer, PinG 2016, 127, 132. 249 So auf einfachgesetzlicher Ebene auch Berberich / Golla, PinG 2016, 165, 166. Siehe zu der verfassungsrechtlichen Einordnung des Rechts am eigenen Datenbestand 4. Teil, Kapitel 1, B., III., 3., c), dd), (1), (a). Dies gilt selbst dann noch, wenn sich die derzeitigen Tendenzen, dem Nutzer eine weitergehende aktive Teilhabe an der Datenverwertung zu ermöglichen (hierzu etwa Härting, CR 2016, 646, 648) weiter fortentwickeln, da auch dann noch von keinen umfassenden datenschutzrechtlichen Nutzungsbefugnissen die Rede sein kann, die eine etwaige eigentümerähnliche Verfügungsbefugnis gegenstandslos machen würden. 250 Zu dieser Unterscheidung auch Grützmacher, CR 2016, 485, 489.
162
4. Teil: Event Data Recording und integrierte Produktbeobachtung
den werden sollten, ist daher ebenso wenig Gegenstand dieser Erörterung wie die Frage, inwiefern Daten ein Wirtschaftsgut darstellen. Im Hinblick auf lesende Zugriffe wird vermehrt die Frage zu stellen sein, inwiefern derartige Limitierungen überhaupt regelungsbedürftig sind und ob Daten (sofern sie nicht schon datenschutzrechtlich oder anderweitig auf der Inhaltsebene geschützt sind) nicht grundsätzlich frei sein sollten.251 Die Anerkennung eines Rechts am eigenen Datenbestand für schreibende Zugriffe ist dagegen trotz der Existenz des § 303a StGB, der über § 823 Abs. 2 BGB eigene deliktische Ansprüche begründen kann, erforderlich. Denn per §§ 303a, 15 StGB werden stets nur vorsätzliche Rechtsverletzungen geahndet. Mit der hier vertretenen Auffassung sind aber gerade auch fahrlässige Eingriffe in dieses „Datenrecht“ schutzbedürftig.252 (4) Zwischenergebnis: Anerkennung eines Rechts am eigenen Datenbestand Im Ergebnis wird daher ein eigenständiger absoluter Schutz des Rechts am eigenen Datenbestand als „sonstiges Recht“ i. S. d. § 823 Abs. 1 BGB – zumindest zur Abwehr von rechtswidrigen Schreibzugriffen auf Daten – für vertretbar gehalten.253 bb) Verfügungsbefugnis Wie bereits im Rahmen der Ausführungen zu § 303a Abs. 1 StGB dargestellt wurde, ist der originäre Verfügungsberechtigte an den erhobenen Daten nach der h. M. stets der Skribent, also derjenige, der den Skripturakt unmittelbar bewirkt hat.254 Diese Bewertung muss auch im Rahmen eines Rechts am eigenen Datenbestand im Zivilrecht beibehalten werden.255 Richtigerweise gilt also derjenige, der eine absolute Verfügungsbefugnis an Daten i. S. d. § 303a StGB erlangt hat, auch im Zivilrecht als absolut Verfügungsbefugter an den Daten.256 Diese originäre Verfügungsbefugnis hat, wie bereits festgestellt wurde, zunächst der Betreiber / Nutzer inne.257
251
Vgl. hierzu etwa Dorner, CR 2014, 617, 625 f. So auch Faust, NJW-Beil 2016, 29, 32; Wagner, in: MüKo BGB, § 823 BGB Rn. 296. 253 So etwa schon Meier / Wehlau, NJW 1998, 1585, 1588 f.; Wicker, MMR 2014, 715, 716 f.; John, Haftung für künstliche Intelligenz, S. 266 ff.; Wagner, in: MüKo BGB, § 823 BGB Rn. 296. A. A. Paal / Hennemann, NJW 2017, 1697, 1698. 254 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (3). 255 Hoeren, NJW 2017, 1587, 1592; Vgl. auch Wagner, in: MüKo BGB, § 823 BGB Rn. 296. 256 So auch Hoeren, MMR 2013, 486, 488. 257 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (3). 252
Kap. 1: Event Data Recording als Rechtspflicht
163
cc) Verletzungshandlung Eine Verletzungshandlung ist jedenfalls dann gegeben, wenn in die Integrität des Rechts am eigenen Datenbestand schreibend eingegriffen wird (Abwehr komponente des Rechts am eigenen Datenbestand).258 Ein solcher schreibender Eingriff liegt bei der Datenlöschung durch aktives Tun259 unproblematisch vor. dd) Rechtswidrigkeit Dieser Eingriff in das Recht am eigenen Datenbestand müsste weiterhin „widerrechtlich“ i. S. d. § 823 Abs. 1 BGB erfolgt sein. (1) Positive Feststellung nach der Lehre des Handlungsunrechts Zur Feststellung der Rechtswidrigkeit ist die Lehre vom Erfolgs- von der Lehre vom Handlungsunrecht zu unterscheiden, also die Frage zu beantworten, ob bereits der Verletzungserfolg i. S. d. § 823 Abs. 1 BGB (hier die Löschung der Daten) die Rechtswidrigkeit indiziert (Lehre des Erfolgsunrechts) oder aber neben dem Verletzungserfolg die Rechtswidrigkeit noch positiv festgestellt werden muss (Lehre des Handlungsunrechts).260 Die Lehre des Erfolgsunrechts ist nach der herrschenden Auffassung im Schrifttum und in der Rechtsprechung immer dann anzuwenden, wenn ein im Wortlaut des § 823 Abs. 1 BGB genanntes Recht oder Rechtsgut (Leben, Körper, Gesundheit, Freiheit, Eigentum) durch eine unmittelbare Verletzungshandlung durch positives Tun verletzt wird.261 Die dann indizierte Rechtswidrigkeit kann lediglich durch das Vorliegen von Rechtfertigungsgründen entfallen.262 Bei Rahmenrechten als sonstigen Rechten i. S. d. § 823 Abs. 1 BGB, wie etwa dem Allgemeinen Persönlichkeitsrecht oder dem Recht am eingerichteten und ausgeübten Gewerbebetrieb, ist dagegen von der Lehre des Handlungsunrechts auszugehen.263 Hiernach ist das Vorliegen der Rechtswidrigkeit im konkreten Einzelfall zunächst durch eine Abwägung der widerstreitenden Interessen darzulegen.264 258 Vgl. zu den verschiedenen Ausgestaltungsformen dieses Rechts etwa Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 21. 259 Siehe zu der Unterscheidung zwischen aktivem Tun und rechtswidrigem Unterlassen 4. Teil, Kapitel 1, B., III., 2., a), aa). 260 Vgl. hierzu Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 17 ff. 261 Vgl. Teichmann, in: Jauernig, Kommentar zum BGB, § 823 BGB Rn. 48. 262 Teichmann, in: Jauernig, Kommentar zum BGB, § 823 BGB Rn. 48. 263 Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 18 m. w. N. 264 Kloepfer, Informationsrecht, § 6 Rn. 43; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 18 m. w. N.
164
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Rechtswidrig ist ein Eingriff hierbei also nur dann, wenn das Schutzinteresse des Geschädigten die schutzwürdigen Interessen des Schädigers überwiegt.265 Auch das hier relevante Recht am eigenen Datenbestand stellt ein solches Rahmenrecht dar, da die Konturen, insbesondere die Zuordnung des Rechts zu einem Rechtssubjekt (nach der h. M. durch die Lehre des Skripturakts266) sowie der Umfang der Zuordnung, zunächst durch das Schrifttum und von der Rechtsprechung herausgebildet werden mussten bzw. müssen.267 Im Ergebnis erfordert die Feststellung der Rechtswidrigkeit eines Eingriffs in das Recht am eigenen Datenbestand i. S. d. § 823 Abs. 1 BGB daher eine Abwägung der konfligierenden Interessen, hier also jenen des Betreibers und des Herstellers. (a) Verfassungsrechtlicher Schutz der Interessen des Betreibers Fraglich im Rahmen dieser Interessenabwägung ist zunächst, wie die eigentümer ähnliche Verfügungsbefugnis des Betreibers an den von seinem automatisierten und vernetzten CPS erhobenen Daten verfassungsrechtlich geschützt wird. Der verfassungsrechtliche Schutz von Daten ist dem Grundgesetz generell nicht neu. Spätestens seit dem aufsehenerregenden und bis heute relevanten Volks zählungsurteil des BVerfG aus dem Jahr 1983 werden personenbezogene oder -beziehbare Daten etwa von dem Recht auf informationelle Selbstbestimmung geschützt.268 Für einen über den reinen Datenschutz hinausgehenden Integritätsschutz von EDV-Anlagen wurde von der Rechtsprechung im Rahmen der Entscheidung zur Online-Durchsuchung weiter ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) begründet.269 Sowohl das Recht auf informationelle Selbstbestimmung als auch das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme finden Ihren Ursprung jedoch in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und stellen damit spezielle Ausprägungen des Allgemeinen Persönlichkeitsrechts dar.270 Die eigentümerähnliche Verfügungsbefugnis auf der Datenebene und damit auch ein etwaiges Recht am eigenen Datenbestand i. S. d. § 823 Abs. 1 BGB soll jedoch gerade auch bei rein sachbezogenen Informationen und auch bei Systemen, die keine „personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in 265
Vgl. BGH, Urt. v. 02.04.1957 – VI ZR 9/56, NJW 1957, 1146, 1147; Wagner, in: MüKo BGB, § 823 BGB Rn. 364; Mann, in: Spindler / Schuster, Recht der elektronischen Medien, § 823 BGB Rn. 5 und 60. 266 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (3). Zu dem Begriff vgl. Welp, IuR 1988, 443, 447. 267 So auch Wagner, in: MüKo BGB, § 823 BGB Rn. 297. 268 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u. a., NJW 1984, 419, 422. 269 BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822, 824. 270 Vgl. BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822, 824 und 826.
Kap. 1: Event Data Recording als Rechtspflicht
165
wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“271 einschlägig sein und bezweckt damit mehr eine quasi-güterrechtliche Zuordnung von Daten.272 Ein eigentumsähnlicher verfassungsrechtlicher Schutz von Daten kann sich daher bereits systematisch nur aus Art. 14 Abs. 1 GG ergeben, wenngleich dies im juristischen Schrifttum bislang noch weitestgehend ungeklärt geblieben ist.273 Ein güterrechtlicher Datenschutz nach Art. 14 Abs. 1 GG steht hier jedenfalls auch nicht in Konflikt mit dem einfachgesetzlichen Eigentumsbegriff i. S. d. § 903 Satz 1 BGB, da der verfassungsrechtliche Eigentumsbegriff einen erweiterten Schutzbereich aufweist und etwa auch vermögenswerte Rechte umfasst.274 Dies wird bereits dadurch deutlich, dass etwa auch immaterielle Urheberverwertungsrechte275 oder aber „Rechtebündel“ an Domainnamen276 dem Art. 14 Abs. 1 GG zugerechnet werden. Auf der Seite des Betreibers steht dabei generell das schützenswerte Interesse, sich im Falle von Unfällen und anderen Schadensereignissen mit dem automatisierten und vernetzten CPS entweder exkulpieren oder zumindest Regressansprüche, etwa gegen den Hersteller, geltend machen zu können. Insbesondere bei auto matisierten und vernetzten CPS stellen die im Rahmen der Datenbeschaffungsphase erhobenen Daten oftmals die einzig verfügbaren Beweismittel dar. Eine vorzeitige Löschung dieser Daten kann demnach zu der bereits dargestellten Haftung ohne Regressmöglichkeit zu Lasten des primär Haftenden277 führen. Dies gilt jedenfalls für die von dem automatisierten und vernetzten CPS im Rahmen der Daten beschaffungsphase erhobenen beweiserheblichen Daten, also für solche Daten, die analog § 63a Abs. 1, Abs. 5 StVG in Zusammenhang mit einer technischen Störung des Systems oder mit einem Ereignis nach § 7 Abs. 1 StVG stehen. An den nichtbeweiserheblichen Daten kann ein solches schützenswertes Interesse des Betreibers dagegen nicht erkannt werden. (b) Verfassungsrechtlicher Schutz der Interessen des Herstellers Würde man annehmen, dass das Recht am eigenen Datenbestand i. S. d. § 823 Abs. 1 BGB einen Schutz vor vorzeitiger Löschung beweiserheblicher Systemdaten umfasst, würde dies als Konsequenz für den Hersteller dazu führen, dass dieser die 271
BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822, 827. Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (5), (a). 273 So aber wohl Fezer, MMR 2017, 3, 3; Wandtke, MMR 2017, 6, 11; Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 43 ff. 274 Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 44 m. w. N. 275 Vgl. Hoeren, NJW 2008, 3099, 3101. 276 BVerfG, Urt. v. 24.11.2004 – 1 BvR 1306/02, GRUR 2005, 261; Lange, Internationales Handbuch des Marken- und Kennzeichenrechts, Erster Teil. Länder Rn. 706. 277 Siehe 3. Teil, Kapitel 2, B., II., 3., b). Hierzu auch vzbv, Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, S. 4. 272
166
4. Teil: Event Data Recording und integrierte Produktbeobachtung
betreffenden Daten erst nach einer Mindestspeicherfrist löschen dürfte. Der Hersteller wäre demnach verpflichtet, seine Systeme im Hinblick auf dieses Datenrecht rechtskonform auszugestalten, was einen Eingriff in dessen Berufsfreiheit gem. Art. 12 Abs. 1 GG in Gestalt der Berufsausübungsfreiheit darstellen würde. Zugunsten der Berufsfreiheit des Herstellers spricht dabei zunächst, dass durch die Sensorik und die Datenvalidierungsvorgänge des Systems massenhaft Daten erhoben, erzeugt und verarbeitet werden. Eine längerfristige Aufbewahrung, also eine Nichtlöschung, all dieser Daten ist aus technischer Sicht wohl nicht möglich und würde sowohl den Best Practices der Softwareentwicklung als auch (bei personenbezogenen Daten) den datenschutzrechtlichen Grundsätzen der Datenminimierung und Datensparsamkeit widersprechen. Gleichwohl geht es hier aber erstens ausschließlich um solche Daten, die von dem automatisierten und vernetzten CPS in Dateien oder Datenbanken gespeichert werden. Flüchtige Datenspeicher wie Variablen oder Arrays (Speicherung nicht auf dem Datenträger, sondern i. d. R. auf dem Arbeitsspeicher des Systems), also Daten, die auch ohne weiteres Zutun automatisch verfallen, stehen mangels einer ersichtlichen Garantenpflicht zur positiven Datenspeicherung hier gar nicht zur Diskussion.278 Vorliegend geht es, nochmals wiederholend, lediglich um die Nichtlöschung ohnehin in Dateien oder Datenbanken gespeicherter Daten („Verbot der Datenlöschung“). Zweitens werden von dem schutzwürdigen Interesse des Betreibers aber auch nur beweiserheblichen Daten, also Daten, die etwa in Verbindung mit einem Schadensereignis oder einer technischen Störung stehen, erfasst, nicht aber die massenhaft erhobenen, erzeugten und verarbeiteten Begleitdaten. (c) Ergebnis der Interessenabwägung Nach dem Apotheken-Urteil des Bundesverfassungsgerichts vom 11.06.1958279 sind bei Eingriffen in die Berufsfreiheit nach Art. 12 Abs. 1 GG drei Stufen, nämlich Berufsausübungsregeln sowie subjektive und objektive Berufswahlregeln zu unterscheiden.280 Berufsausübungsregeln wie das hier diskutierte „Verbot der Daten löschung“ stellen den geringsten Eingriff in die Berufsfreiheit dar und können daher bereits durch vernünftige Allgemeinwohlerwägungen gerechtfertigt werden.281 Die vorliegend mit der Nichtlöschung der Daten verfolgten Ziele, auf Seiten des Betreibers Rechtssicherheit zu schaffen, damit Rechtsfrieden herzustellen und das Vertrauen der Bevölkerung in automatisierte und vernetzte CPS allgemein zu steigern, stellen solche vernünftigen Allgemeinwohlerwägungen dar. Da der Eingriff in 278
Siehe 4. Teil, Kapitel 1, B., III., 2., a), aa). BVerfG, Urt. v. 11.06.1958 – 1 BvR 596/56, NJW 1958, 1035. 280 Ruffert, in: Epping / Hillgruber, BeckOK GG, Art. 12 GG Rn. 93 ff. 281 BVerfG, Urt. v. 11.06.1958 – 1 BvR 596/56, NJW 1958, 1035, 1038; Ruffert, in: Epping / Hillgruber, BeckOK GG, Art. 12 GG Rn. 94. 279
Kap. 1: Event Data Recording als Rechtspflicht
167
die Berufsausübungsfreiheit des Herstellers aufgrund der Beschränkung auf positiv gespeicherte beweiserhebliche Daten aber auch nicht besonders schwer zu sein scheint, überwiegen mit der hier vertretenen Auffassung vorliegend die Interessen des Betreibers diejenigen des Herstellers. Die Löschung der Daten ist daher auch nach der Lehre des Handlungsunrechts rechtswidrig i. S. d. § 823 Abs. 1 BGB. (2) Rechtfertigende Einwilligung In die automatisierte Löschung der beweiserheblichen Daten könnte der Betreiber zwar rechtfertigend einwilligen, bspw. per Nutzungsvereinbarung oder per Opt-In bei erstmaliger Inbetriebnahme des Systems. Dies erfordert jedoch eine vorangehende Information und Aufklärung des Betreibers über den Umfang sowie etwaige negative Folgen einer solchen Datenlöschung. Eine konkludente Einwilligung bereits durch die Inbetriebnahme des Systems kann hinsichtlich der Löschung der beweiserheblichen Daten damit nicht angenommen werden. ee) Verschulden Ist ein vorsätzliches Handeln des Herstellers, wie bereits dargestellt,282 nicht anzunehmen, kommt mit der hier vertretenen Auffassung aber zumindest bewusste oder unbewusste Fahrlässigkeit in Betracht. Fahrlässigkeit setzt die Erkennbarkeit und Vermeidbarkeit des Tatbestandserfolgs (hier die Löschung der fremden beweiserheblichen Daten) voraus.283 Eine Erkenn- und Vermeidbarkeit des aus der Rechtsgutsverletzung resultierenden Schadens und der haftungsausfüllenden Kausalität ist dagegen nicht erforderlich.284 (1) Erkennbarkeit Dass einige der von dem Hersteller in den Verkehr gebrachten automatisierten und vernetzten CPS zukünftig in Ereignisse gem. oder vergleichbar zu § 7 Abs. 1 StVG verwickelt sein oder technische Störungen aufweisen und damit als Resultat beweiserhebliche Daten anfallen könnten, die von den automatisierten Lösch prozeduren des Systems unterscheidungslos erfasst werden, musste dieser bei gehöriger Sorgfalt285 voraussehen können. Die Erkennbarkeit des Tatbestandserfolges ist damit zu bejahen. 282
Siehe 4. Teil, Kapitel 1, B., III., 2., a), ff), (2). Lorenz, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 276 BGB Rn. 17. 284 Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 37. 285 Vgl. hierzu Lorenz, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 276 BGB Rn. 18. 283
168
4. Teil: Event Data Recording und integrierte Produktbeobachtung
(2) Vermeidbarkeit Fraglich ist jedoch, ob der Hersteller die automatisierte Löschung fremder beweiserheblicher Daten auch hätte vermeiden können. Als technische Herausforderung ergibt sich hierbei, dass das System eigenständig erkennen können müsste, welche Daten beweiserheblich und damit aufzubewahren und welche lediglich Begleitdaten und daher zu löschen sind. (a) Eigenständige Erkennung von Störungen und Systemfehlern Bereits bejaht werden muss an dieser Stelle aber die technische Möglichkeit, Störungen und Systemfehler automatisiert zu erkennen. Als Indiz kann dabei etwa auch § 63a Abs. 1 Satz 2 StVG herangezogen werden, wonach ein hoch- oder vollautomatisiertes Kraftfahrzeug auch beim Auftreten technischer Störungen entsprechende Protokollierungen automatisiert ausführen muss. (b) Eigenständige Erkennung von Unfallereignissen Technisch komplexer ist dagegen die automatisierte Erkennung von Unfall ereignissen gem. oder vergleichbar zu § 7 Abs. 1 StVG. Gleichwohl dürfte auch dies schon technisch möglich sein, insofern dies etwa auch von dem Gesetzgeber bereits vorausgesetzt wird.286 So gibt etwa § 63a Abs. 4 StVG vor, dass die gem. § 63a Abs. 1 StVG gespeicherten Daten generell nach sechs Monaten zu löschen sind, es sei denn, das Kraftfahrzeug war an einem in § 7 Abs. 1 StVG geregelten Ereignis beteiligt. Da von dem Betreiber aber gerade nicht verlangt werden kann, täglich sein System nach noch gespeicherten, aber gem. § 63a Abs. 4 StVG zu löschenden Daten manuell zu durchsuchen, kann § 63a Abs. 4 StVG nur als Systemausgestaltungsvorschrift verstanden werden. Dies erfordert aber, dass das hoch- oder vollautomatisierte Kraftfahrzeug entsprechende Unfallereignisse auch eigenständig feststellen kann. Tatsächlich sind auch nicht-automatisierte Straßenfahrzeuge bereits heute in der Lage, Unfallereignisse eigenständig zu erkennen, was etwa dem Zweck dient, die verschiedenen Sicherheitssysteme des Kraftfahrzeugs (bspw. Airbag-, Notbrems-, Gurtstraffer-, ABS-, ESP- sowie Antischleudertrauma-Systeme) zu aktivieren.287
286
Siehe 4. Teil, Kapitel 1, A., II., 4. Vgl. Balzer / Nugel, NJW 2016, 193, 193; Mielchen, SVR 2014, 81, 82; Weichert, NZV 2017, 507, 510 f.; Schmidt-Cotta, in: Hilgendorf / Hötitzsch / Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, S. 80; Weber, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 83. 287
Kap. 1: Event Data Recording als Rechtspflicht
169
Insbesondere aber seit der europaweiten Einführung des eCall-Notrufsystems durch die Verordnung (EU) 2015/758288, wonach Kraftfahrzeuge nach einem Unfall automatisiert einen Notruf absenden können müssen, dürfte die automatisierte Erkennung von Unfallereignissen zukünftig unproblematisch vorausgesetzt werden können. (3) Zwischenergebnis: Fahrlässigkeit des Herstellers Der Eintritt des Tatbestandserfolges, also die Löschung fremder beweiserheblicher Daten, war für den Hersteller damit sowohl erkennbar als auch vermeidbar. Fahrlässigkeit ist demnach zu bejahen. ff) Zwischenergebnis: Recht am eigenen Datenbestand Erkennt man ein Recht am eigenen Datenbestand i. S. e. sonstigen Rechts nach § 823 Abs. 1 BGB an, so kann sich hieraus ein Verbot der Löschung beweiserheb licher Daten gegenüber dem Hersteller ergeben, der demnach angehalten wäre, seine Systeme entsprechend rechtskonform auszugestalten. Die Prüfung des haftungsausfüllenden Tatbestandes kann dagegen vorliegend offenbleiben. Der aus der Rechtsgutsverletzung resultierende Schaden sowie die kausale Verknüpfung der Rechtsgutsverletzung mit dem Schaden sind ohnehin jeweils nur für den konkreten Einzelfall bestimmbar. d) § 303a Abs. 1 StGB als Schutzgesetz Obgleich § 303a Abs. 1 StGB ein Schutzgesetz i. S. d. § 823 Abs. 2 BGB darstellt,289 kann ein deliktischer Anspruch bei Fahrlässigkeit gegen den Hersteller hieraus nicht begründet werden. Denn im Falle von strafrechtlichen Schutzgesetzen soll die für den jeweiligen Straftatbestand vorgesehene Schuldform auch im Rahmen des § 823 Abs. 2 BGB fortgelten,290 sodass hier nur vorsätzliches Handeln erfasst wird.
288 Verordnung v. 29.04.2015, ABl. 2015 L 123, 77. Hierzu etwa Balzer / Nugel, NJW 2016, 193, 194; Hinrichs / Becker, ITRB 2015, 164, 165; Hornung / Goeble, CR 2015, 265, 266 f.; Mielchen, SVR 2014, 81; Weichert, SVR 2014, 241, 245. 289 Vgl. OLG Dresden, Beschl. v. 05.09.2012 – 4 W 961/12, NJW-RR 2013, 27, 28. 290 Vgl. Wagner, in: MüKo BGB, § 823 BGB Rn. 537.
170
4. Teil: Event Data Recording und integrierte Produktbeobachtung
e) Anspruch auf Unterlassen (§ 1004 Abs. 1 BGB analog i. V. m. § 823 Abs. 1 BGB) Erkennt man ein Recht am eigenen Datenbestand als sonstiges Recht i. S. d. § 823 Abs. 1 BGB an, so kommt auch ein Unterlassungsanspruch gegen die Löschung von für den Hersteller fremden beweiserheblichen Daten aus § 1004 Abs. 1 BGB analog i. V. m. § 823 Abs. 1 BGB in Betracht. f) Mittelbarer Schutz durch den verkörpernden Datenträger (§ 823 Abs. 1 BGB) Obgleich die Zuordnung einer eigentümerähnlichen Verfügungsbefugnis auf der Datenebene nicht von einem Eigentumsrecht auf der die Daten verkörpernden Datenträgerebene abgeleitet werden darf,291 könnte ein schreibender Zugriff auf der Datenebene gleichwohl auch – eigenständig geschützte – mittelbare Auswirkungen auf die Datenträgerebene haben.292 aa) Verkörpernder Datenträger als Eigentum Der die Daten verkörpernde Datenträger, also das Medium, auf dem die Daten gespeichert sind, stellt einen körperlichen Gegenstand und damit eine Sache i. S. d. § 90 BGB dar.293 Als Sache kann der Datenträger damit nach § 903 Satz 1 BGB im Eigentum einer Person stehen294 und deliktischen Schutz aus § 823 Abs. 1 BGB genießen. bb) Eingriff in das Eigentumsrecht durch Schreibzugriff Fraglich ist, ob ein Eingriff in das Eigentum am Datenträger auch dann vorliegt, wenn Daten auf der Datenebene etwa gelöscht oder verändert werden. Die einem Datum zugrundliegende kleinste Informationseinheit („Bits“ oder „Binary Digits“295) kann lediglich die Zustände „an“ oder „aus“ bzw. „beschrieben“ oder „unbeschrieben“ enthalten, was binär als 1 oder 0 symbolisiert wird.296 Computerdaten bestehen aus einer Vielzahl solcher Bits und damit aus einer Vielzahl 291
Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (1). Vgl. hierzu Meier / Wehlau, NJW 1998, 1585, 1587 f. 293 So auch Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 12. 294 Vgl. Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 12; so auch Prognos / Heckmann, vbw Studie Big Data im Freistaat Bayern, S. 113. 295 Schmidl, IT-Recht von A bis Z, S. 40. 296 Vgl. Schmidl, IT-Recht von A bis Z, S. 40. 292
Kap. 1: Event Data Recording als Rechtspflicht
171
von 0- und 1-Zuständen. Die Kombination mehrerer Bits wird aus diesem Grund auch als Binärcode bezeichnet. Acht Bits entsprechen einem Byte, 1024 Bytes entsprechen einem Kilobyte, usw.297 Werden Computerdaten auf einem Datenträger abgespeichert, so erfolgt dies im Wesentlichen durch Perpetuierung der den Daten zugrundeliegenden Bits in sog. „Single-Level-Cells“ („SLCs“298) des Datenträgers mit Hilfe eines Schreib- / Lesekopfes. Bei magnetischen Festplatten werden dabei per elektromagnetischer Induktion die einzelnen Zellen des Datenträgers entweder magnetisiert („1“) oder entmagnetisiert („0“). Neben magnetischen Festplatten (HDDs – Hard Disk Drives) kommen heute aber auch elektronische Speichermedien (etwa SSDs – Solid State Drives, bei Embedded Systems aber auch sog. „EEPROM“-Speicher) zum Einsatz. CDs (Compact Disc), DVDs (Digital Versatile Disc) oder Blu-Ray-Discs stellen weiterhin optische Speichermedien dar, bei denen die einzelnen Bits per Laser auf das Medium gebrannt werden. Auch bei elektronischen oder optischen Speichermedien findet bei der Datenspeicherung, -änderung oder -löschung eine physikalische Veränderung der Oberfläche (gebrannte oder ungebrannte optische Zelle) oder des Chipsatzes des Speichermediums (geladene oder ungeladene elektronische Zelle) statt. Festgestellt wurde zwar bereits, dass die einzelnen in SLCs gespeicherten Bits selbst keine körperlichen Gegenstände darstellen.299 Gleichwohl kann eine Modifikation der Magnetisierung, Elektrisierung oder eine sonstige physikalische Veränderung einer SLC nach der Rechtsprechung und der wohl h. L. aber einen Eingriff in das Eigentumsrecht an einem Datenträger als körperlichem Gegenstand darstellen und hieraus etwa deliktische Anspruche begründen.300 Diese Bewertung steht auch nicht in Widerspruch zu dem Grundsatz, dass die eigentümerähnliche Verfügungsbefugnis an Daten gerade nicht dem Eigentum am verkörpernden Datenträger folgt.301 Festgestellt wird hierbei lediglich, dass jedenfalls ein schreibender Datenzugriff mehrere Ebenen zugleich berühren kann. Welchem Rechtssubjekt die involvierten Ebenen zugeordnet sind, ist hierbei irrelevant.
297
Vgl. Schmidl, IT-Recht von A bis Z, S. 48. Vgl. Rouse, TechTarget-Beitrag, Single-Level Cell (SLC). 299 Siehe 4. Teil, Kapitel 1, B., III., 3., a). 300 Vgl. OLG Karlsruhe, Urt. v. 07.11.1995 – 3 U 15/95, NJW 1996, 200, 201; OLG Oldenburg, Beschl. v. 24.11.2011 – 2 U 98/11, ZD 2012, 177; Meier / Wehlau, NJW 1998, 1585, 1587 f.; Faust, NJW-Beil 2016, 29, 32; Rombach, CR 1990, 101, 104; Hoeren / Völkel, in: Hoeren, Big Data und Recht, S. 18 m. w. N.; Specht, CR 2016, 288, 289; Kraus, in: Taeger, Big Data & Co, S. 380; Härting, CR 2016, 646, 647; BMWi, IT-Sicherheit für die Industrie 4.0, S. 103; Peukert, in: Perspektiven des geistigen Eigentums und Wettbewerbsrechts, S. 155. Wagner, in: MüKo BGB, § 823 BGB Rn. 220. 301 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (1). So auch Specht, die richtigerweise feststellt, dass die güterrechtliche Zuordnung immaterieller Güter anhand des Sacheigentums am Trägermedium abzulehnen ist, Specht, CR 2016, 288, 292 sowie Roßnagel, NJW 2017, 10, 11. 298
172
4. Teil: Event Data Recording und integrierte Produktbeobachtung
cc) Rechtswidrigkeit Obwohl das Eigentumsrecht an einem Datenträger explizit von § 823 Abs. 1 BGB geschützt wird, also gerade kein Rahmenrecht darstellt, ist in der Implementierung des Löschalgorithmus durch den Hersteller lediglich eine mittelbare Handlung zu sehen, die gleichwohl nach der Lehre des Handlungsunrechts eine positive Feststellung der Rechtswidrigkeit verlangt.302 In den Fällen, in denen der Eigentümer des betroffenen Datenträgers personenidentisch mit dem Betreiber ist, kann aber auf die bereits im Rahmen des Rechts am eigenen Datenbestand getroffenen Überlegungen verwiesen werden.303 Die Rechtswidrigkeit des Eingriffs wäre hiernach jedenfalls bei der Löschung von beweiserheblichen Daten zu bejahen. dd) Verschulden Da auch hierbei Fahrlässigkeit ausreichend ist, kann auf die obigen Erläuterungen zum Recht am eigenen Datenbestand verwiesen werden.304 ee) Zwischenergebnis: Mittelbarer Schutz durch den verkörpernden Datenträger Befindet sich das automatisierte und vernetzte System mitsamt seinen Datenträgern im Eigentum des Betreibers, so kann die fremde Löschung von beweis erheblichen Daten auch mittelbar durch das Eigentumsrecht an den die Daten verkörpernden Datenträgern geschützt sein und etwa deliktische Ansprüche aus § 823 Abs. 1 BGB begründen. g) Zwischenergebnis: Deliktischer Schutz vor unberechtigter Löschung Die Begründung eines „Dateneigentums“ i. S. d. §§ 903 Satz 1, 90 BGB ist mit der geltenden Gesetzeslage auch in analoger Anwendung nicht vereinbar. Umstritten, aber mit der hier vertretenen Auffassung zu bejahen, ist dagegen ein deliktischer Schutz von Daten in Form eines „Rechts am eigenen Datenbestand“ als sonstiges Recht des § 823 Abs. 1 BGB. Hieraus kann sich ein Abwehrrecht des Betreibers gegen eine rechtswidrige Löschung beweiserheblicher Daten ergeben. Ein solcher Schutz kann mittelbar auch über ein Eigentumsrecht an dem die Daten verkörpernden Datenträger begründet werden, wenn der Betreiber auch Eigentümer des Systems ist. 302
Wagner, in: MüKo BGB, § 823 BGB Rn. 7. Siehe 4. Teil, Kapitel 1, B., III., 3., c), dd), (1). 304 Siehe 4. Teil, Kapitel 1, B., III., 3., c), ee). 303
Kap. 1: Event Data Recording als Rechtspflicht
173
4. Zwischenergebnis: Rechtspflicht zur Datensicherung als ein „Verbot der Datenlöschung“ Eine Rechtspflicht zur Datensicherung kann sich auf umgekehrtem Wege aus einem „Verbot der Datenlöschung“ ergeben und bei Zuwiderhandlung insbesondere zivilrechtliche Ansprüche des eigentümerähnlich Verfügungsbefugten begründen. IV. Rechtspflicht zur Herausgabe oder Vorlage der gespeicherten beweiserheblichen Daten Um die von dem automatisierten und vernetzten CPS erhobenen beweiserheblichen Daten zum Zwecke einer Exkulpation oder zum Beweis eines Sachverhaltshergangs heranziehen zu können, bedarf es schließlich noch entsprechender Zugriffsmöglichkeiten des Nutzers oder des Gerichts auf diese Daten. Eine faktische Zugriffsmöglichkeit auf die von dem System gespeicherten Daten ist bei Embedded Systems i. d. R. aber nicht gegeben, da dem Betreiber meistens keine graphische oder textbasierte Benutzeroberfläche zum Zugriff auf das Dateisystem zur Ver fügung steht oder entsprechende technische Zugriffsrechte fehlen.305 Fraglich ist daher, ob dieses Defizit durch rechtliche Zugriffsansprüche des Nutzers oder durch Herausgabe- bzw. Vorlagepflichten des Herstellers ausgeglichen werden kann. Der Hersteller wäre hiernach bspw. verpflichtet, entsprechende Auslesegeräte oder Zugriffspasswörter bereitzustellen oder sich per Remote auf das System aufzuschalten und die betreffenden Daten freizugeben. 1. Datenschutzrechtliche Ansprüche auf Auskunft und Datenübertragbarkeit Ein solcher Anspruch könnte sich zunächst aus dem Datenschutzrecht ergeben, das in Art. 15 DSGVO Auskunftsrechte der betroffenen Person sowie in Art. 20 DSGVO auch ein Recht auf Datenübertragbarkeit vorsieht.306 Dennoch können diese datenschutzrechtlichen Betroffenenrechte hier nicht als ausreichend gelten. Denn einerseits sind diese Rechte stets auf personenbezogene Daten beschränkt und finden damit gerade keine Anwendung auf sachbezogene Daten. Zweitens stehen diese Rechte nur dem datenschutzrechtlich Betroffenen zu, 305 So auch Balzer / Nugel, NJW 2016, 193, 194; Brenner / Schmidt-Cotta, SVR 2008, 41, 42; Salje, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 222; Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 61. 306 Hierzu auch DAV, Stellungnahme Nr. 75/2016 zur Frage des „Eigentums“ an Daten und Informationen, S. 8; noch im Kontext der Auskunftsansprüche aus dem BDSG a. F. hierzu auch Balzer / Nugel, NJW 2016, 193, 196; Hornung, DuD 2015, 359, 365; Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 136; Roßnagel, SVR 2014, 281, 285 f.
174
4. Teil: Event Data Recording und integrierte Produktbeobachtung
der aber nicht zwingend personenidentisch mit dem Betreiber sein muss (bspw. bei der Erhebung von Informationen über die Umgebung des CPS, die lediglich Passanten oder andere Verkehrsteilnehmer betreffen). Im Datenschutzrecht findet sich folglich kein umfassender und erschöpfender Anspruch auf Herausgabe aller relevanten beweiserheblichen Daten. 2. Zivilrechtliche Herausgabeansprüche Ein Anspruch auf Herausgabe der Daten gegen den Hersteller könnte sich aber aus vertraglichen oder außervertraglichen Ansprüchen ergeben. a) Vertragliche Herausgabeansprüche Insbesondere im B2B-Bereich ist nicht auszuschließen, dass zwischen Hersteller und Betreiber ein unmittelbares Vertragsverhältnis besteht (i. d. R. Kauf-, Werkoder Dienstvertrag bzw. ein typengemischter Vertrag mit Elementen aus jedem dieser Vertragstypen). Auch wenn dabei ein unmittelbarer Anspruch auf Herausgabe der beweiserheblichen Daten in dem Vertragsverhältnis zwischen Hersteller und Betreiber nicht explizit vorgesehen ist, könnte sich ein solcher Anspruch gleichwohl aus vertraglichen Nebenpflichten i. S. d. § 241 Abs. 2 BGB ergeben.307 Auch eine Anwendbarkeit des Grundsatzes von Treu und Glauben gem. § 242 BGB wird in diesem Kontext vertreten.308 Wäre der Hersteller hiernach zur Herausgabe der Daten verpflichtet, müsste dieser gem. § 260 Abs. 1 BGB auf Verlangen auch ein Bestandsverzeichnis der gespeicherten Daten vorlegen.309 In Betracht kommt weiterhin aber auch das Vorliegen eines Sachmangels, wenn der Käufer eines CPS nicht auf die von dem CPS erhobenen und gespeicherten Daten zugreifen kann und hierdurch eine vertraglich vorausgesetzte oder gewöhnliche Verwendung i. S. d. § 434 Abs. 1 Nr. 1, Nr. 2 BGB vereitelt wird.310 Die sich hieraus ergebenden Nacherfüllungsansprüche des Käufers aus § 437 BGB umfassen dann etwa die Beseitigung eines etwaigen Zugriffsschutzes oder aber die Bereitstellung von zur Datenauslesung notwendiger Zugangscodes.311
307
So generell auch Hornung, DuD 2015, 359, 365; Balzer / Nugel, NJW 2016, 193, 199; Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 136. Offenlassend OLG Dresden, Beschl. v. 05.09.2012 – 4 W 961/12, ZD 2013, 232, 233. 308 Vgl. Balzer / Nugel, NJW 2016, 193, 199; Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 136; Grützmacher, CR 2016, 485, 492; Roßnagel, SVR 2014, 281, 286; DAV, Stellungnahme Nr. 75/2016 zur Frage des „Eigentums“ an Daten und Informationen, S. 7. 309 Hierzu auch Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 136. 310 Roßnagel, SVR 2014, 281, 286. 311 Roßnagel, SVR 2014, 281, 286.
Kap. 1: Event Data Recording als Rechtspflicht
175
Eine unmittelbare Anwendbarkeit der Rechtspflicht zur Auskunft und Rechenschaft gem. § 666 BGB312 bzw. zur Herausgabe gem. § 667 BGB313 ist mit der hier vertretenen Auffassung mangels Auftragsverhältnisses zwischen Hersteller und Betreiber aber eher nicht denkbar. Eine analoge Anwendung bleibt gleichwohl ggf. möglich. b) Außervertragliche Herausgabeansprüche Ein außervertraglicher Herausgabeanspruch des Eigentümers gegen den tatsächlichen Besitzer ergibt sich grundsätzlich aus § 985 BGB. Diese Vorschrift ist mangels Eigentumseigenschaft314 von Daten hier jedoch nicht unmittelbar anwendbar.315 Stellenweise wird jedoch zumindest eine analoge Anwendung des § 985 BGB diskutiert,316 mit der Folge, dass der Daten„eigentümer“ (= der Betreiber des Systems317) gegen denjenigen, der die unmittelbare Sachherrschaft an den Daten hat (= der Hersteller, der alleine Zugriff auf die Daten hat) Herausgabeansprüche geltend machen könnte. Zum Teil werden in der Literatur außervertragliche Ansprüche auf Herausgabe der auf einem System gespeicherten Daten auch nach den §§ 823 ff., 1004 Abs. 1 BGB diskutiert.318 Dabei wird vertreten, dass solange der Hersteller dem Betreiber nicht die uneingeschränkte Nutzung des Systems ermöglicht (was auch die uneingeschränkte Nutzung der auf dem System gespeicherten Daten einschließt), eine Eigentums- bzw. Besitzstörung vorläge.319 Da es hierbei nicht auf die Eigentumseigenschaft der herauszugebenden Daten, sondern lediglich auf die Eigentumseigenschaft des die Daten verkörpernden Systems ankommt, erscheint dies naheliegender als ein Anspruch aus § 985 BGB. Gleichwohl ist hierbei zu bedenken, dass als Verletzungshandlung lediglich ein Unterlassen in Betracht kommt und daher zunächst zu klären ist, ob dem Hersteller auch tatsächlich eine diesbezügliche Handlungspflicht320 zur Herausgabe von Daten obliegt.
312
Vgl. hierzu Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 136. Vgl. hierzu etwa Roßnagel, NJW 2017, 10, 15; Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 25; Peschel / Rockstroh, MMR 2014, 571, 574; DAV, Stellungnahme Nr. 75/2016 zur Frage des „Eigentums“ an Daten und Informationen, S. 8. 314 Siehe 4. Teil, Kapitel 1, B., III., 3., a). 315 Bejahend aber Hoeren, MMR 2013, 486, 490, der auch eine analoge Anwendung des § 903 BGB bejaht. Offenlassend OLG Dresen, Beschl. v. 05.09.2012 – 4 W 961/12, ZD 2013, 232, 233. 316 Vgl. Grützmacher, CR 2016, 485, 492. 317 Siehe 4. Teil, Kapitel 1, B., III., 2., a), cc), (3). 318 So auch Roßnagel, SVR 2014, 281, 285 f. m. w. N. 319 Balzer / Nugel, NJW 2016, 193, 199; ablehnend Grützmacher, CR 2016, 485, 490. 320 Vgl. hierzu etwa Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 74 ff. 313
176
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Schließlich ist auch ein Herausgabeanspruch aus den §§ 812 ff. BGB denkbar, wenn angenommen werden würde, der Hersteller habe die Daten ohne rechtlichen Grund erlangt.321 Auch eine analoge Anwendung des § 810 Alt. 2 BGB wird im vorliegenden Kontext teilweise vertreten.322 c) Zwischenergebnis: Zivilrechtliche Herausgabeansprüche Ansprüche des Betreibers gegen den Hersteller auf Herausgabe der beweiserheblichen Daten können sich insbesondere aus dem Vertragsrecht ergeben. Ob auch außervertragliche Herausgabeansprüche bestehen können, ist derzeit zwar noch fraglich, aber nicht vollkommen auszuschließen. 3. Prozessuale Vorlage- und Herausgabepflichten Neben zivilrechtlichen vertraglichen und außervertraglichen Herausgabeansprüchen des Betreibers kommen weiterhin auch zivil- oder strafprozessuale Vorlageoder Herausgabepflichten der Daten zu Lasten des Herstellers in Betracht.323 a) Zivilprozessuale Vorlagepflichten Werden von einem automatisierten und vernetzten CPS beweiserhebliche Daten erhoben und sind diese Daten aufgrund des Verbots der Datenlöschung auch zum Zeitpunkt eines späteren Zivilprozesses noch auf dem System gespeichert, können diese regelmäßig Gegenstand einer gerichtlichen Anordnung nach § 144 Abs. 1 ZPO sein.324 § 142 Abs. 1 ZPO kommt im Rahmen elektronisch gespeicherter Daten indes nicht in Betracht, da elektronische Dokumente (insbesondere die hier relevanten Systemprotokolle) i. d. R. nicht Urkunden, sondern lediglich Gegenstände des Augenscheins i. S. d. § 144 Abs. 1 ZPO sind.325 Dies war bis zu dem Gesetz zur Anpassung der Formvorschriften326 zwar umstritten,327 wird seit dieser Gesetzes 321 Hierzu auch DAV, Stellungnahme Nr. 75/2016 zur Frage des „Eigentums“ an Daten und Informationen, S. 7. 322 Vgl. Börding / Jülicher / Röttgen / v. Schönfeld, CR 2017, 134, 136. 323 Hierzu umfassend Schlanstein, NZV 2016, 201, 205 ff. 324 Vgl. Brisch / Müller-ter Jung, CR 2016, 411, 413 f.; A. A. Graeger, NZV 2004, 16, 18. Offen gelassen von Sosnitza, CR 2016, 764, 771. Zu der zivilprozessualen Berücksichtigung auch umfassend Balzer / Nugel, NJW 2016, 193, 197 ff. 325 Anders aber, wenn die Daten bereits aus dem Kfz ausgelesen wurden, vgl. Balzer / Nugel, NJW 2016, 193, 198. 326 Gesetz v. 13.07.2001, BGBl. 2001 I, 1543. 327 Vgl. Berger, NJW 2005, 1016; Stadler, in: Musielak / Voit, ZPO, § 142 ZPO Rn. 2.
Kap. 1: Event Data Recording als Rechtspflicht
177
reform nun aber ausdrücklich durch § 371 Abs. 1 Satz 2 ZPO klargestellt.328 Die Begrifflichkeit des elektronischen Dokuments ist dabei nicht auf elektronische Schriftstücke i. S. v. Erzeugnissen von Textverarbeitungsprogrammen beschränkt. Vielmehr fallen hierunter alle elektronischen Dokumente, also etwa auch Grafik-, Audio- und Videodateien sowie Software und damit jede Art von Datenbestand.329 Die Herausgabeverpflichtung aus § 144 Abs. 1 ZPO kann sich sowohl gegen eine Prozesspartei als auch gegen einen Dritten richten. Unabhängig davon, ob der Hersteller demnach Prozessgegner und somit Prozesspartei (wenn etwa der Betreiber von dem Hersteller Regress fordert) oder aber lediglich Dritter (wenn etwa ein anderer Verkehrsteilnehmer den Betreiber auf Schadensersatz verklagt und hierzu die von dem System erhobenen Daten zum Nachweis der Kausalität herangezogen werden sollen) ist, kann der Hersteller Adressat der Anordnung aus § 144 Abs. 1 ZPO sein.330 Der Hersteller kann hiernach einerseits verpflichtet werden, die gespeicherten Datenbestände selbst herauszugeben. Dies kommt insbesondere dann in Betracht, wenn der Hersteller aufgrund der Vernetzung des Systems die Möglichkeit eines internetbasierten Fernzugriffs auf die Daten hat und diese bspw. per E-Mail-Anhang oder durch deren Bereitstellung zum Abruf direkt an das Gericht übermitteln kann.331 Weiterhin kommt aber auch die Übergabe einer Festplatte, eines USB-Sticks oder einer CD / DVD mit den betreffenden Daten an das Gericht in Betracht.332 Andererseits kann der Hersteller aber auch verpflichtet werden, dem Betreiber oder dem Gericht einen dementsprechenden Zugriff auf die beweiserheblichen Daten des Systems, etwa durch Bereitstellung von Auslesegeräten oder Zugriffscodes, zu ermöglichen. Liegen die Datenbestände des Systems in verschlüsselter Form vor, kann der Hersteller zur Herausgabe des Verschlüsselungsschlüssels oder aber zur Entschlüsselung verpflichtet werden.333 Weigert sich der Hersteller, die aufgezeichneten Datenbestände herauszugeben, also auszudrucken, zu übermitteln oder zum Datenabruf bereitzustellen, oder stellt dieser die notwendigen Informationen zur Entschlüsselung dieser Daten nicht bereit, kann auch ein Fall von Beweisvereitelung vorliegen.334 Ist der Hersteller selbst Prozesspartei, kann dies bei Gegenständen des Augenscheins zu einer Beschaf-
328
Vgl. Berger, NJW 2005, 1016; Stadler, in: Musielak / Voit, ZPO, § 142 ZPO Rn. 2; von Selle, in: Vorwerk / Wolf, BeckOK ZPO, § 142 ZPO Rn. 7.1; Fritzsche, in: MüKo ZPO, § 144 ZPO Rn. 8. 329 Greger, in: Zöller, ZPO, § 371 ZPO Rn. 1; Berger, NJW 2005, 1016, 1017. 330 Vgl. Mielchen, SVR 2014, 81, 84 f.; Balzer / Nugel, NJW 2016, 193, 199. 331 Vgl. Zimmermann, in: MüKo ZPO, § 371 ZPO Rn. 11. 332 Vgl. Huber, in: Musielak / Voit, ZPO, § 371 ZPO Rn. 13. 333 Berger, NJW 2005, 1016, 1020; Balzer / Nugel, NJW 2016, 193, 199; Brisch / Müller-ter Jung, CR 2016, 411, 414. 334 Vgl. Balzer / Nugel, NJW 2016, 193, 199; Berger, NJW 2005, 1016, 1020; Graeger, NZV 2004, 16, 18; Brisch / Müller-ter Jung, CR 2016, 411, 414.
178
4. Teil: Event Data Recording und integrierte Produktbeobachtung
fenheitsfiktion nach § 371 Abs. 3 ZPO führen.335 Ist der Hersteller hingegen selbst keine Prozesspartei, kommen Zwangsmaßnahmen nach § 144 Abs. 2 Satz 2 i. V. m. § 390 ZPO in Betracht.336 Dies gilt erst recht dann, wenn der Hersteller die betreffenden beweiserheblichen Daten nach einer Anordnung gem. § 144 Abs. 1 ZPO absichtlich löscht oder unbrauchbar macht. b) Strafprozessuale Herausgabepflichten Nach § 244 Abs. 2 StPO gilt im Strafprozessrecht der Amtsermittlungsgrundsatz, wonach das Gericht die Beweisaufnahme von Amts wegen auf alle Tatsachen und Beweismittel zu erstrecken hat, die für die Entscheidung von Bedeutung sein können. Bei Straftaten im Kontext von automatisierten und vernetzten CPS sind als Beweismittel insbesondere auch deren physische Datenspeicher mitsamt den darauf gespeicherten beweiserheblichen Daten von Relevanz. Zu diesen Zwecken kann einerseits über §§ 94, 95, 98 StPO entweder das automatisierte und vernetzte System mitsamt seinen Datenspeichern als Ganzes herausverlangt oder aber beschlagnahmt sowie anschließend ausgelesen werden.337 Die §§ 94, 95 StPO umfassen andererseits aber auch unmittelbar elektronische Informationen und damit auch die auf dem System gespeicherten Datenbestände selbst.338 Hat der Hersteller einen internetbasierten Zugriff auf das betroffene System, so kann über § 95 StPO demnach auch eine unmittelbare Verpflichtung zur Herausgabe der beweiserheblichen Daten erzielt werden. Ansonsten kommen die bereits oben genannten Mitwirkungspflichten des Herstellers (bspw. Überlassung von Auslesegeräten oder Systemcodes) in Betracht.339 Im Strafprozess ist dabei jedoch stets der strafprozessuale Beschuldigten- und Zeugenschutz i. S. d. verfassungsrechtlich geschützten nemo tenetur se ipsum accusare-Grundsatzes zu beachten. Nach diesem Grundsatz ist weder der Beschuldigte340 noch ein Zeuge341 verpflichtet, sich selbst zu belasten. Eine solche Selbstbezichtigung könnte gerade dann gegeben sein, wenn der Hersteller nach § 95 StPO zur aktiven Mitwirkung an der Auslesung der ggf. ihn belastenden Daten von dem 335
Berger, NJW 2005, 1016, 1020. Hierzu Huber, in: Musielak / Voit, ZPO, § 371 ZPO Rn. 20. Balzer / Nugel, NJW 2016, 193, 199; Wöstmann, in: Saenger, ZPO, § 144 ZPO Rn. 3. 337 Graeger, NZV 2004, 16, 17; Kunnert, CR 2016, 509, 509; Neckenbürger, SVR 2009, 373, 375; Schlanstein, NZV 2016, 201, 207 f.; vbw, vbw Position Automatisiertes Fahren – Datenschutz und Datensicherheit, S. 23. Hinsichtlich der Beschlagnahme von Fahrtschreibern so auch Schmidt-Cotta, ZRP 2000, 518, 519. Offen gelassen von Hornung / Goeble, CR 2015, 265, 268. 338 Vgl. etwa Hauschild, in: MüKo StPO, § 94 StPO Rn. 13; Greven, in: KK StPO, § 94 StPO Rn. 4. 339 Vgl. Schlanstein, NZV 2016, 201, 207. 340 Vgl. § 136 Abs. 1 Satz 2 StPO. 341 § 55 Abs. 1 StPO. 336
Kap. 1: Event Data Recording als Rechtspflicht
179
System verpflichtet wird. Ist der Hersteller demnach Beschuldigter oder aber Zeuge mit einem Auskunftsverweigerungsrecht nach § 55 Abs. 1 StPO, kann dieser nicht zu einer aktiven Übermittlung der Daten, zur Bereitstellung von Auslesegeräten und Zugangscodes oder zur Mitwirkung an der Entschlüsselung der Daten verpflichtet werden.342 In diesen Fällen kommt jedoch eine Beschlagnahme der zur Datenauslesung benötigten Geräte und Zugangscodes (etwa in Form von Passwortlisten) nach § 94 StPO in Betracht, welche von dem Hersteller jedenfalls zu dulden ist und dem Gericht dann dennoch eine Auslesung der betreffenden Daten ermöglicht.343 Während bei einer zivilprozessualen Anordnung die Zuwiderhandlung zu einer Beschaffenheitsfiktion gem. § 371 Abs. 3 ZPO führen kann, wenn der Hersteller selbst Prozesspartei ist, bzw. zu Zwangsmaßnahmen nach § 144 Abs. 2 Satz 2 i. V. m. § 390 ZPO, wenn dieser lediglich Dritter im Prozess ist, kommt bei Zuwiderhandlung gegen eine strafprozessuale Anordnung auch eine Strafbarkeit wegen Strafvereitelung nach § 258 Abs. 1 StGB in Betracht, wenn hierdurch absichtlich oder wissentlich „ein anderer“344 geschützt werden soll. Besteht die Zuwiderhandlung in einer vorsätzlichen Löschung der beweiserheblichen Daten mit Nachteilszufügungsabsicht, kommt weiterhin auch eine Strafbarkeit aus §§ 274 Abs. 1 Nr. 1, Nr. 2 StGB sowie ergänzend aus § 303a Abs. 1 StGB in Betracht.345 c) Zwischenergebnis: Prozessuale Vorlage- und Herausgabepflichten Prozessuale Vorlage- und Herausgabepflichten des Herstellers bezüglich der auf dem CPS gespeicherten beweiserheblichen Daten können sich insbesondere aus § 144 Abs. 1 ZPO sowie aus §§ 94, 95, 98 StPO ergeben. 4. Ergebnis: Rechtspflicht zur Herausgabe oder Vorlage der gespeicherten beweiserheblichen Daten Ansprüche des Betreibers gegen den Hersteller auf Herausgabe beweiserheblicher Daten, die auf dem CPS gespeichert sind, können sich etwa aus einem vertraglichen Schuldverhältnis zwischen den Parteien ergeben. Denkbar sind weiterhin aber auch außervertragliche Herausgabeansprüche. Zudem kann der Hersteller auch aus zivil- oder strafprozessualen Vorschriften zur Bereitstellung oder Herausgabe der Daten verpflichtet werden. 342 Vgl. Schlanstein, NZV 2016, 201, 207; Ritzert, in: Graf, BeckOK StPO, § 95 StPO Rn. 5; Greven, in: KK StPO, § 94 StPO Rn. 4. 343 Vgl. Hauschild, in: MüKo StPO, § 94 StPO Rn. 1 m. w. N.; Greven, in: KK StPO, § 94 StPO Rn. 4. Hierzu auch Schlanstein, NZV 2016, 201, 207. 344 Vgl. hierzu Altenhain, in: Kindhäuser / Neumann / Paeffgen, StGB, § 258 StGB Rn. 15. 345 Wobei § 303a Abs. 1 StGB bereits hinter § 274 Abs. 1 Nr. 2 StGB zurücktritt, vgl. Weidemann, in: v. Heintschel-Heinegg, BeckOK, § 303a StGB Rn. 20.
180
4. Teil: Event Data Recording und integrierte Produktbeobachtung
V. Ergebnis: „Event Data Recording Basisschutz“ als ein „Verbot der Datenlöschung“ Wie aufgezeigt wurde, kann eine Rechtspflicht zum Event Data Recording über ein „Verbot der Datenlöschung“ konstruiert werden, wenn beweiserhebliche Daten von dem automatisierten und vernetzten CPS ohnehin aufgrund technischer Notwendigkeit erhoben werden und dann von dem Hersteller nicht vorzeitig gelöscht werden dürfen. Da eine Verpflichtung zur Erhebung bestimmter Daten dabei aber nicht besteht, ist die Beweisverfügbarkeit hierbei stets von der technischen Ausgestaltung des konkreten CPS-Modells abhängig. Zudem kann sich hieraus mangels einer spezialgesetzlichen Regelung aber auch nur ein elementarer „Basisschutz“ ergeben, der die neuen Möglichkeiten eines automatisierten und vernetzten Event Data Recordings346 nicht ansatzweise ausschöpft. Insbesondere ergibt sich hieraus kein Anspruch auf eine externe Speicherung der beweiserheblichen Daten bei dem Hersteller, einer zentralen Stelle oder einem Dienstleister („Tracing-as-a-Service“), sodass die Daten hierbei ausschließlich lokal auf dem CPS selbst gespeichert bleiben und damit einer Beschädigung oder Zerstörung des CPS schutzlos ausgeliefert sind. Diesen Defiziten kann nur durch eine gesetzgeberische Reform begegnet werden, die explizit regelt, welche Datenkategorien („was“) in welchem Umfang und welcher Intensität („wie“) von welchem Verantwortlichen („wer“) bei welchem Ereignis („wann“) wo und für wie lange erhoben und gespeichert werden müssen, sowie wer und unter welchen Umständen Zugriff auf diese Daten erhalten soll.347 Die neuen Regelungen der §§ 63a f. StVG können hierfür – trotz ihrer Defizite – bereits als erster Ansatz dienen. Kapitel 2
Integrierte Produktbeobachtung als Rechtspflicht Neben den bereits dargestellten Legal Causes of Trouble,348 denen durch den Einsatz von Event Data Recordern begegnet werden kann,349 besteht jedenfalls bei hochgradig automatisierten und vernetzten CPS, wie bereits gezeigt, weiterhin die Herausforderung, dass eine sichere Produktentwicklung „am Reißbrett“350 zunehmend nicht mehr möglich ist.351 Den als Konsequenz auch nach Inverkehr 346
Siehe 3. Teil, Kapitel 3, B., I., 2., b). Siehe 4. Teil, Kapitel 3, A. 348 Siehe 3. Teil, Kapitel 2, B., II., 3., b). 349 Siehe 3. Teil, Kapitel 3, B., I. 350 Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359. 351 Siehe 3. Teil, Kapitel 2, B., III., 1., b), cc). Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 45. 347
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
181
gabe eines Systems noch latent vorhandenen Produktfehlern (Unknown Causes of Trouble) kann jedoch durch fortschrittliche herstellerseitige Produktbeobachtungsund Gefahrabwendungspflichten begegnet werden.352 Im Rahmen eines integrierten Produktbeobachtungsmechanismus kann das automatisierte und vernetzte System zu diesem Zweck zunächst befähigt werden, sich während der Laufzeitphase, also auch nach der Inverkehrgabe, kontinuierlich selbst zu beobachten und etwaige bislang unbekannte Systemfehler automatisiert zu erkennen sowie unverzüglich an den Hersteller zu melden.353 Diese integrierte Produktbeobachtung stellt eine Fortentwicklung der bereits etablierten passiven und aktiven Produktbeobachtungspflichten dar. Der Hersteller könnte im Rahmen von hieran anschließenden Gefahrabwendungspflichten die Pflicht haben, die übermittelten Informationen zu analysieren, die betroffenen Prozesse auf einem Vergleichssystem zu debuggen und daraufhin entweder entsprechende Sicherheitspatches für betroffene Systeme oder Systemserien bereitzustellen oder aber die Betreiber auf etwaige Sicherheitsgefahren hinzuweisen (bspw. auch per Popup-Meldung auf dem System selbst). Wenn bei Hardwarefehlern eine Reparatur oder ein Werkstattbesuch unausweichlich ist, kann der Hersteller den Betreiber hierüber sowie über etwaige Konsequenzen einer Zuwiderhandlung (bspw. Haftungsausschluss oder Verfall von Garantieansprüchen) informieren oder bei schwerwiegenden Sicherheitsproblemen das System bis zur Vornahme einer Reparatur auch fernsperren. Rechtlich stellt sich im Rahmen der Produktbeobachtungskomponente die Frage, ob eine herstellerseitige Rechtspflicht zur Implementierung eines solchen integrierten Produktbeobachtungsmechanismus auch bereits aus dem geltenden Recht hergeleitet werden kann. Dies blieb von der Rechtsprechung bislang noch unbeantwortet und wurde auch im juristischen Schrifttum nur vereinzelt angesprochen.354 Als Anknüpfungspunkt hierfür dienen die in der Rechtsprechung und Literatur bereits anerkannten passiven und aktiven Produktbeobachtungspflichten als Verkehrssicherungspflichten des Haftungsrechts. Wie diese neue Form der Produktbeobachtung 352
Siehe 3. Teil, Kapitel 3, B., II. Hierzu etwa bereits v. Bodungen, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 381. 354 Erwähnend bereits Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Gomille, JZ 2016, 76, 80; Hinrichs / Becker, ITRB 2015, 164, 165 f.; v. Bodungen / Hoffmann, NZV 2016, 503, 505 f.; Mitterer / Wiedemann / Zwissler, BB 2017, 3, 12; Brüggemann, AnwZert ITR 20/2015, Anm. 2; Lüdemann, ZD 2015, 247, 252; Wendt / Oberländer, InTeR 2016, 58, 63; Grützmacher / Horner / Kilgus, in: CMS, BUJ Studie Digital Economy & Recht, S. 176; Klindt / Wende / Burrer / Schaloske / Żdanowiecki, in: Bräutigam / Klindt, Digitalisierte Wirtschaft / Industrie 4.0, S. 85 f.; Wende, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 74; Ebers, in: Oppermann / Stender-Vorwachs, Autonomes Fahren, S. 114. Ausführlicher hierzu nur Droste, CCZ 2015, 105, 106, 110; Hartmann, DAR 2015, 122, 124; Gortan, CR 2018, 546 und Piltz / Reusch, BB 2017, 841, wobei letztere aber lediglich die datenschutzrechtlichen Anforderungen solcher Systeme betrachten. 353
182
4. Teil: Event Data Recording und integrierte Produktbeobachtung
rechtskonform (insbesondere datenschutzkonform) ausgestaltet werden muss, soll dagegen erneut nicht Gegenstand dieser Arbeit sein, sondern erfordert eine Untersuchung in an diese Arbeit anschließenden Forschungsvorhaben.355 Im Rahmen der Gefahrabwendungspflichten ist dagegen einerseits fraglich, welche herstellerseitigen Handlungspflichten tatsächlich bestehen, andererseits aber auch, welche Eingriffe in die Nutzbarkeit und Integrität eines fremden automa tisierten und vernetzten CPS überhaupt rechtlich zulässig sind.
A. Mehrfache Unterscheidung notwendig Zunächst sind zu Zwecken der präzisen Erfassung des Sachverhalts verschiedene IT-Sicherheitsbegriffe (insbesondere Funktionssicherheit und Informationssicherheit) sowie verschiedene Phasen eines Produktsicherheitszyklus (insbesondere (prospektive) Produktentwicklungspflichten sowie (retrospektive) Produktbeobachtungs- und Gefahrabwendungspflichten) zu unterscheiden. I. Unterscheidung: Funktionssicherheit und Informationssicherheit Der Begriff der Funktionssicherheit beschreibt die Eigenschaft eines Produkts, so zu funktionieren, wie im Rahmen der Entwicklung vorgegeben.356 Ein funktionssicheres System funktioniert demnach plangemäß und nimmt keine unzulässigen Systemzustände an.357 Die realisierte Ist-Funktionalität des Produkts entspricht also der spezifizierten Soll-Funktionalität.358 Letztendlich wird mit der Funktionssicherheit der Schutz der Umwelt (Menschen, andere Gegenstände, Natur) vor dem Produkt bezweckt.359 Die Gewährleistung von Funktionssicherheit spielt dabei insbesondere bei CPS eine bedeutende Rolle, da diese Systeme durch ihre mechanische Komponente imstande sind, auch körperlich in ihre Umgebung einzugreifen und dieser demnach zu schaden. Typische Gefahrenszenarien der Funktionssicherheit im Rahmen von CPS sind etwa unkoordinierte Bewegungen (bspw. von Industrierobotern) oder Abstürze bzw. Kollisionen (bspw. von Luft- oder Straßenfahrzeugen).360 Im Englischen wird die Funktionssicherheit eines IT-Systems auch mit dem Begriff „Safety“ beschrieben.
355
Vgl. hierzu aber bereits Piltz / Reusch, BB 2017, 841. Heckmann / Schmid, Informatik-Spektrum 2017, 430, 431. 357 Eckert, IT-Sicherheit, S. 6; Heckmann / Schmid, Informatik-Spektrum 2017, 430, 431. 358 Eckert, IT-Sicherheit, S. 6. 359 Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 21. 360 Siehe 3. Teil, Kapitel 2, B., II., 1. 356
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
183
Der Begriff der Informationssicherheit beschreibt dagegen die Eigenschaft eines Systems, nur solche Zustände anzunehmen, die zu keiner unberechtigten Informationsveränderung oder -gewinnung führen.361 Im Rahmen der Informationssicherheit sollen die auf einem IT-System gespeicherten Informationen etwa gegen unberechtigte Einsicht, Manipulation oder Löschung gesichert werden.362 Im Rahmen dieser auch Datensicherheit genannten Unterform der Informationssicherheit werden insbesondere die IT-Schutzziele, bestehend aus Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit, relevant. Neben dieser Absicherung der auf einem System gespeicherten Daten bezweckt die Informationssicherheit aber auch den Schutz vor sonstigen unbefugten Handlungen Dritter (etwa Steuerungsübernahmen). Mit der Informationssicherheit wird demnach der Schutz des Produkts vor der Umwelt (bspw. vor unbefugten Zugriffen) bezweckt. Im Englischen ist für die Informationssicherheit eines IT-Systems auch der Begriff „Security“ gebräuchlich. Die Begriffe Funktionssicherheit und Informationssicherheit können dabei aber nicht vollkommen trennscharf voneinander abgegrenzt werden, sondern entfalten auch zahlreiche Wechselwirkungen363 zueinander, was etwa an dem Beispiel der unbefugten Steuerungsübernahme über ein UAS („Hijacking“) veranschaulicht werden kann: Obwohl ein solcher unbefugter Zugriff auf ein IT-System nach der obigen Definition zunächst der Informationssicherheit zuzuordnen wäre, unterfällt das Resultat des Fremdzugriffs (Gefahren für die Operationsumgebung des Systems im Falle von Kollisionen und Abstürzen) auch dem Bereich der Funktionssicherheit. Als Überbegriff für beide Sicherheitsbegrifflichkeiten ist auch der Begriff der IT-Sicherheit geläufig, obgleich festzustellen ist, dass mit IT-Sicherheit oftmals fälschlicherweise nur die Informationssicherheitskomponente, nicht aber auch die Funktionssicherheitskomponente adressiert wird. Klarzustellen ist jedoch, dass „IT-Sicherheit“ nicht gleichzusetzen ist mit „IT-Security“, sondern dass beide Begriffe in ihrer Bedeutung divergieren (siehe Abbildung 4).
Abbildung 4: Unterscheidung zwischen Funktionssicherheit und Informationssicherheit 361
Eckert, IT-Sicherheit, S. 6. Heckmann / Schmid, Informatik-Spektrum 2017, 430, 431. 363 So auch BMWi, IT-Sicherheit für die Industrie 4.0, S. 191. 362
184
4. Teil: Event Data Recording und integrierte Produktbeobachtung
II. Unterscheidung: Produktentwicklungs- und Produktbeobachtungspflichten Vereinfacht dargestellt lässt sich der Produktlebenszyklus einer Produktserie maßgeblich in eine Entwicklungs- und eine Marktphase unterteilen.364 Zwischen der Entwicklungsphase und der Marktphase liegt die Markteinführung, bei der die Produktserie dem Endverbraucher zum Verkauf bereitgestellt wird. Bezogen auf ein konkretes, einzelnes Exemplar aus der Produktserie lässt sich dagegen zwischen der Phase vor und nach der Inverkehrgabe unterscheiden. Auch in rechtlicher Hinsicht ist es von äußerster Relevanz, zwischen den prospektiven Produktentwicklungs pflichten (vor der Markteinführung der Produktserie / dem Inverkehrbringen eines Produktexemplars) und den Produktbeobachtungs- und Gefahrabwendungspflichten (nach der Markteinführung der Produktserie / dem Inverkehrbringen eines Produktexemplars) zu differenzieren (siehe Abbildung 5).
Abbildung 5: Unterscheidung verschiedener Produktsicherungspflichten
Aufgrund der bereits dargestellten Defizite der prospektiven sicheren Produktentwicklung bei automatisierten und vernetzten CPS (Existenz von Unknown Causes of Trouble)365 sind hier den Produktbeobachtungs- und Gefahrabwendungspflichten ein besonders hoher Stellenwert einzuräumen. III. Unterscheidung: Produktbeobachtungspflichten und Gefahrabwendungspflichten Obgleich im juristischen Schrifttum oftmals zu beobachten ist, dass der Begriff der Produktbeobachtung als Überbegriff sowohl für Fehlererkennungsmaßnahmen als auch für hieran anschließende Fehlerbeseitigungsmaßnahmen verwendet wird, ist mit der hier vertretenen Auffassung richtigerweise zwischen den Produktbeobachtungspflichten, also der herstellerseitigen Pflicht zum Auffinden von bislang
364 Vgl. Schabacker / Vajna, in: Vajna, Integrated Design Engineering, S. 544. So auch Paxmann / Fuchs, Der unternehmensinterne Businessplan, S. 221. Wobei sich die Marktphase betriebswirtschaftlich noch in die Unterphasen Einführung, Wachstum, Reife, Sättigung und Rückgang unterteilen lassen, die hier jedoch ohne Relevanz sind, vgl. Fleig, business-wissen. de-Beitrag v. 19.01.2017, Die Phasen im Produktlebenszyklus. 365 Siehe 3. Teil, Kapitel 2, B., III., 1., b), cc).
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
185
unbekannten Produktfehlern, und den bei Fund relevanten Gefahrabwendungspflichten, zu unterscheiden.366 Dass der Begriff der Produktbeobachtung lediglich die Fehlererkennungskomponente umfasst, ergibt sich aber bereits aus dem Wortlaut des Begriffs („beobachten“). Während die Produktbeobachtungspflichten dabei der Identifizierung bislang unbekannter oder unzureichend behobener Produktfehler i. S. e. „Selbstinformationspflicht“367 dienen, handelt es sich bei den Gefahrabwendungspflichten um konkrete Sicherheitsmaßnahmen, die an den Fund von Produktfehlern anschließen, um diese zu beseitigen oder die hieraus entstehenden Gefahren zu minimieren.368 Wie noch gezeigt werden wird, sind auch die Produktbeobachtungspflichten weiter zu untergliedern in passive, aktive und integrierte Pflichten. Weiterhin sind auch die Gefahrabwendungspflichten zu untergliedern in konventionelle und fortschrittliche (insbesondere vernetzte) Maßnahmen (siehe Abbildung 6). IV. Ergebnis: Mehrfache Unterscheidung notwendig
Abbildung 6: Gesamtdarstellung der Herstellerpflichten 366 So etwa auch Wagner, in: MüKo BGB, § 823 BGB Rn. 836. Dies gilt auch im Rahmen der spezialgesetzlichen Produktbeobachtungs- und Gefahrabwendungspflichten, vgl. Dierks / Finn, in: Dieners / Reese, Handbuch des Pharmarechts, § 7 Rn. 88. 367 Vgl. zu diesem Begriff Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 733 ff. 368 Vgl. auch Kapoor, in: Klindt, ProdSG, § 6 ProdSG Rn. 57.
186
4. Teil: Event Data Recording und integrierte Produktbeobachtung
B. Herstellerseitige Produktbeobachtungspflichten Die Produktbeobachtungspflichten sollen dem Hersteller ermöglichen, das Produkt auch nach dem Inverkehrbringen auf dem Markt verfolgen und dabei etwaige bekannte oder unbekannte Produktfehler identifizieren zu können. I. Passive und aktive Produktbeobachtungspflichten Von der Rechtsprechung wurden bislang passive und aktive Produktbeobachtungspflichten anerkannt. Im weiteren Verlauf dieser Arbeit sollen diese bisherigen Formen der Produktbeobachtung um eine weitere „integrierte“ Produktbeobachtungspflicht ergänzt werden. 1. Bisherige Erscheinungsformen a) Passive Produktbeobachtungspflichten Die Existenz einer passiven Produktbeobachtungspflicht hat das Reichsgericht bereits im Jahre 1940 anerkannt und klargestellt, dass derjenige, der, „wenn auch vielleicht unwissend, eine Gefahr für den allgemeinen Verkehr gesetzt hat, […] sobald er die Gefahr erkennt, alles tun [muss], was ihm nach den Umständen zugemutet werden kann, um sie abzuwenden“369. Mit dem Begriff der passiven Produktbeobachtungspflicht wird heute die Pflicht des Herstellers bezeichnet, zumindest Produktbeanstandungen von seinen Kunden entgegenzunehmen und diesen auch nachzugehen.370 Dies erfolgt i. d. R. durch die Einrichtung eines Beschwerdemanagements, das eingegangene Informationen annimmt, sammelt und anschließend auswertet.371 Neben einer Direktannahme von Beschwerden durch den Hersteller selbst müssen aber auch die bei den Händlern eingegangenen Beschwerden regelmäßig von den Herstellern abgefragt und geprüft werden.372 Bei dieser passiven Produktbeobachtungsform muss der Hersteller jedoch nicht selbst nach etwaigen Problemen mit seinen Produkten suchen, sondern erst dann tätig werden, wenn diesbezügliche Informationen an ihn oder an die Händler her 369
RG, Urt. v. 17.01.1940 – II 82/39, RGZ 163, 21, 26; Bodewig, Der Rückruf fehlerhafter Produkte, S. 168. Zu den Rechtsgrundlagen und der Herleitung einer passiven Produktbeobachtungspflicht siehe 4. Teil, Kapitel 2, B., I., 2. 370 Vgl. BGH, Urt. v. 07.12.1993 – VI ZR 74/93, NJW 1994, 517, 519; Foerste, NJW 1994, 909, 909; Kullmann, NZV 2002, 1, 6; Piltz / Reusch, BB 2017, 841, 841. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 376 und Rn. 379 ff. 371 Klindt / Wende, BB 2016, 1419, 1419; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 380; Wagner, in: Eifert, Produktbeobachtung durch Private, S. 122. 372 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 381.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
187
angetragen werden. Ein solches rein passives Beschwerdemanagement ist im Hinblick auf IT-Systeme und insbesondere auf automatisierte und vernetzte CPS heute aber nicht mehr ausreichend.373 b) Aktive Produktbeobachtungspflichten Auch die Rechtsprechung hat daher bereits ab 1981 begonnen, die bis dahin rein passiven Produktbeobachtungspflichten zu aktiven Erkundungs- und Informationspflichten weiterzuentwickeln.374 Der Hersteller darf sich demnach „nicht darauf verlassen, mehr oder weniger zufällig von solchen Gefahren Kenntnis zu erlangen“375. Vielmehr sei der Hersteller „auch der Allgemeinheit gegenüber verpflichtet, diese Produkte sowohl auf noch nicht bekannte schädliche Eigenschaften hin zu beobachten als sich auch über deren sonstige, eine Gefahrenlage schaffenden Verwendungsfolgen zu informieren“376. Anders als bei der passiven Produktbeobachtungspflicht muss der Hersteller sich Informationen hierbei demnach auch anlasslos377 aus Eigeninitiative selbst beschaffen.378 Als in Betracht kommende Quellen einer solchen aktiven Produktbeobachtung nennt der BGH etwa die Ergebnisse wissenschaftlicher Kongresse und von Fachveranstaltungen sowie die Auswertung des gesamten internationalen Fachschrifttums.379 Mittlerweile gehen Rechtsprechung und Schrifttum davon aus, dass die aktive Informationsbeschaffungspflicht aber sämtliche zugängliche Quellen, die produktrelevante Informationen erwarten lassen, umfasst.380 Dies betrifft insbesondere auch Zeitungs- und Testberichte, Erkenntnisse der Unfallforschung sowie Polizei- und Versicherungsstatistiken.381 Auch eine aktive Internetrecherche („WebScreening“382), etwa in Internetforen oder gar in sozialen Netzwerken („SocialMedia-Monitoring“383), komme laut Schrifttum heute bereits in Betracht („Online
373 So ach Klindt / Wende / Burrer / Schaloske / Żdanowiecki, in: Bräutigam / Klindt, Digita lisierte Wirtschaft / Industrie 4.0, S. 85; Schrader, DAR 2016, 242, 244; Droste, CCZ 2015, 105, 106. 374 BGH v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606. Zu den Rechtsgrundlagen und der Herleitung einer aktiven Produktbeobachtungspflicht siehe 4. Teil, Kapitel 2, B., I., 2. 375 BGH v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1607. 376 BGH v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1607 m. w. N. 377 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 376. 378 Klindt / Wende, BB 2016, 1419, 1419. Hierzu auch Wagner, in: Eifert, Produktbeobachtung durch Private, S. 122. 379 BGH v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1608 m. w. N. 380 Klindt / Wende, BB 2016, 1419, 1420; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 378. 381 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 378; Klindt / Wende, BB 2016, 1420. 382 Klindt / Wende, BB 2016, 1419, 1420. 383 Klindt / Wende, BB 2016, 1419, 1420. Hierzu auch Wendt / Oberländer, InTeR 2016, 58, 63.
188
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Produktbeobachtung“384).385 Dies kann insbesondere auch bedeuten, dass der Hersteller sich geeignete sog. „Alerts“ (bspw. Google Alerts386) anlegen muss, um von verschiedenen Suchportalen und Foren über sicherheitsrelevante Vorfälle mit seinen Produkten automatisiert informiert zu werden.387 Heute ist weiterhin anerkannt, dass der Hersteller nicht nur seine eigenen Produkte, sondern mitunter auch Konkurrenzprodukte seiner wichtigsten Mitbewerber zu beobachten hat („Marktbeobachtung“).388 Findet bei einem Mitbewerber etwa eine sicherheitsbedingte Produktveränderung statt oder wird dort ein bestimmtes Verfahren aus Sicherheitsgründen aufgegeben, muss der beobachtende Hersteller seine eigenen Produkte ebenfalls dahingehend überprüfen und notfalls ebenfalls entsprechend reagieren. Eine Pflicht zur Produktbeobachtung soll den Hersteller weiterhin auch dann treffen, wenn sein eigenes Produkt mit Produkten anderer Hersteller kombiniert wird und sich hierdurch Gefahren aufgrund von Wechselwirkungen (ähnlich zu Arzneimitteln) ergeben können.389 Dies gilt gerade auch für fremdes Zubehör, das mit dem eigenen Produkt verwendet werden kann.390 Diese aktive Produktbeobachtungspflicht trifft zwar in erster Linie den Hersteller. Bei einem ausländischen Produkt kann aber auch eine in Deutschland ansässige Vertriebsgesellschaft zur Produktbeobachtung verpflichtet sein, wenn diese der einzige Repräsentant des Produkts auf dem deutschen Markt ist.391 Selbiges gilt für Quasi-Hersteller, die ein Produkt aus dem Ausland importieren und dieses mit ihren eigenen Produktmarkenzeichen versehen.392 Gerade im Bereich des Straßenverkehrs werden diese aktiven Produktbeobachtungspflichten heute dadurch erfüllt, dass interdisziplinäre Expertenteams, bestehend aus Automobilherstellern, Sicherheitsbehörden, Ärzten und Krankenhäusern, auch Unfallanalysen am Unfallort durchführen.393 Im Bereich des Pharmarechts wird die deliktsrechtliche Produktbeobachtungspflicht dagegen durch das sog. „Pharmakovigilanzsystem“, also durch spezialgesetzliche Ausgestaltungen der Produktbeobachtungspflichten, überlagert.394
384
Vgl. zum Begriff etwa Klindt / Wende, BB 2016, 1419, 1420 f. Vgl. Hauschka / Klindt, NJW 2007, 2726, 2729; Wendt / Oberländer, InTeR 2016, 58, 63; Klindt / Wende, Rückrufmanagement, S. 58; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 378. So in Grenzen auch Klindt, in: Eifert, Produktbeobachtung durch Private, S. 59. 386 Google, Google Alerts, https://www.google.de/alerts. 387 Hauschka / Klindt, NJW 2007, 2726, 2729; Klindt / Wende, BB 2016, 1419, 1420. 388 BGH, Urt. v. 17.10.1989 – VI ZR 258/88, NJW 1990, 906, 907 f. 389 BGH, Urt. v. 09.12.1986 – VI ZR 65/86, NJW 1987, 1009. 390 OLG Saarbrücken, Urt. v. 25.02.1992 – 7 U 85/91, NJW-RR 1993, 990. 391 BGH, Urt. v. 09.12.1986 – VI ZR 65/86, NJW 1987, 1010. 392 BGH, Urt. v. 06.12.1995 – VI ZR 229/93, NJW-RR 1995, 342. 393 Winkle, in: Maurer / Gerdes / Lenz / Winner, Autonomes Fahren, S. 356. 394 Voit, in: Dieners / Reese, Handbuch des Pharmarechts, § 13 Arzneimittelhaftung Rn. 45. 385
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
189
2. Rechtsgrundlagen Fraglich ist, auf welchen Rechtsgrundlagen solche Verpflichtungen zur passiven und aktiven Produktbeobachtung basieren. a) Produktbeobachtung als Verkehrssicherungspflicht des Haftungsrechts Passive und aktive Produktbeobachtungspflichten stellen mehrheitlich ein Produkt höchstrichterlicher Rechtsprechung dar. Begründet werden die Produkt beobachtungspflichten dabei beinahe ausschließlich durch die Verkehrssicherungspflichten des Haftungsrechts (sowohl außervertraglich395 als auch vertraglich396).397 aa) Verkehrssicherungspflichten zur Begründung von deliktischen Haftungsansprüchen Verkehrssicherungspflichten dienen im Haftungsrecht bei lediglich unterlas senen Handlungen sowie bei mittelbaren Rechtsgutsverletzungen der Haftungsbegründung.398 Dogmatisch wird einerseits vertreten, die Prüfung der Verletzung von Verkehrssicherungspflichten sei im objektiven Haftungstatbestand zu verorten und bei Vorliegen einer solchen Verletzung die später zu prüfende Rechtswidrigkeit im Rahmen der sog. „Lehre des Erfolgsunrechts“ zu indizieren.399 Nach einer anderen Ansicht sei jedenfalls im Rahmen der Produkthaftung vielmehr der sog. „Lehre des Handlungsunrechts“ zu folgen, bei der die Rechtswidrigkeit nicht bereits durch die Verwirklichung des Haftungstatbestandes erfüllt, sondern das Vorliegen einer Verletzung von Verkehrssicherungspflichten positiv festzustellen sei.400 Die 395
I.d.R. im Rahmen eines Anspruchs aus § 823 Abs. 1 BGB. Selbst wenn dies nicht Gegenstand der Hauptleistungspflicht ist, könnte sich eine vertragliche Verpflichtung zur Produktbeobachtung aus einer Nebenpflicht gem. § 241 Abs. 2 BGB ergeben, vgl. auch Kunz, BB 1994, 450, 450; Schulze, in: Schulze, BGB, § 280 BGB Rn. 12. 397 Vgl. BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1607; BGH, Urt. v. 09.12.1986 – VI ZR 65/86, NJW 1987, 1009, 1010; BGH, Urt. v. 17.10.1989 – VI ZR 258/88, NJW 1990, 906, 906 f.; OLG Saarbrücken, Urt. v. 25.02.1992 – 7 U 85/91, NJW-RR 1993, 990, 992; BGH, Urt. v. 07.12.1993 – VI ZR 74/93, NJW 1994, 517, 519. 398 Vgl. Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 385; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 6. So auch BMWi, IT-Sicherheit für die Industrie 4.0, S. 103. 399 Vgl. Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 386; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 296 f.; Wandt, Gesetzliche Schuldverhältnisse, § 16 Rn. 112 f. 400 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 5. Vgl. auch Wendt / Oberländer, InTeR 2016, 58, 60 f. 396
190
4. Teil: Event Data Recording und integrierte Produktbeobachtung
ser dogmatische Streit kann vorliegend jedoch insofern dahinstehen, als hier einzig relevant ist, dass eine Rechtsgutsverletzung, die auf einer unterlassenen Handlung oder einem nur mittelbaren Tun basiert, nur dann tatbestandsmäßig ist, wenn durch das Unterlassen oder die mittelbare Handlung gegen bestehende Verkehrssicherungspflichten verstoßen wurde. Da im Produkthaftungsrecht eine unmittelbare Rechtsgutsverletzung i. d. R. nicht in Betracht kommt, dürfte der Nachweis von Verkehrssicherungspflichten hierbei stets erforderlich sein.401 Verbaut der Hersteller in sein Produkt etwa eine technische Komponente, die sich später als ungeeignet herausstellt oder implementiert dieser einen Programmcode, der später zu System abstürzen führt und wird hierdurch etwa eine Person verletzt (Rechtsgutsverletzung durch mittelbares Tun), so ist diese Rechtsgutsverletzung nur dann tatbestands mäßig, wenn hierbei auch eine Verkehrssicherungspflicht verletzt wurde. Gleiches gilt dann, wenn etwa die Bereitstellung rechtlich gebotener402 Sicherheitsupdates versäumt wurde (Rechtsgutsverletzung durch Unterlassen). Grob umrissen beinhalten die Verkehrssicherungspflichten daher besondere Einstandspflichten für eine Gefahrenquelle, also eine Obliegenheit des Einstandsverpflichteten, die erforderlichen und ihm zumutbaren Vorkehrungen zu treffen, um Schäden anderer zu verhindern.403 „Die rechtlich gebotene Verkehrssicherung umfasst diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Mensch für notwendig und ausreichend hält, um andere vor Schäden zu bewahren“404, wobei die Zumutbarkeit stets die äußerste Grenze dieser Verpflichtung darstellt.405 Wo diese Zumutbarkeitsgrenze zu ziehen ist, ist wiederum von der Schwere der potentiellen Produktgefahr sowie von der wirtschaftlichen Kapazität des Herstellers abhängig.406 Aufgrund der zunächst unbestimmten Natur der Verkehrssicherungspflichten haben sich diese zu einem richterrechtlichen Fallrecht entwickelt, wobei sich mittlerweile verschiedene Fallgruppen herauskristallisiert haben.407
401
Vgl. auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Fn. 12. Eine solche Verpflichtung könnte sich zumindest aus dem vertragsrechtlichen Gewährleistungsrecht ergeben. Ob auch die Verkehrssicherungspflichten solche „Äquivalenzinteressen“ umfassen, siehe 4. Teil, Kapitel 2, C., II. 403 Vgl. etwa BGH, Urt. v. 13.06.1996 – III ZR 40/95, NJW 1996, 3208, 3209; BGH, Urt. v. 16.05.2006 – VI ZR 189/05, NJW 2006, 2326, 2326 m. w. N.; BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762, 763; Wandt, Gesetzliche Schuldverhältnisse, § 16 Rn. 111; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 11. 404 BGH, Urt. v. 16.05.2006 – VI ZR 189/05, NJW 2006, 2326, 2326; BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762, 763. 405 Vgl. BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762, 763. 406 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 384; Klindt / Wende, BB 2016, 1419, 1420. 407 Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 10. Zu den verschiedenen Fallgruppen vgl. Wandt, Gesetzliche Schuldverhältnisse, § 16 Rn. 114 ff. 402
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
191
bb) Produktbeobachtungspflichten als Fallgruppe der Verkehrssicherungspflichten Die hier zu diskutierenden Produktbeobachtungspflichten stellen eine solche Fallgruppe der Verkehrssicherungspflichten dar: „Der Warenhersteller ist […], vor allem bezüglich seiner aus der Massenproduktion hervorgegangenen und in Massen verbreiteten Erzeugnisse auch der Allgemeinheit gegenüber verpflichtet, diese Produkte sowohl auf noch nicht bekannte schädliche Eigenschaften hin zu beobachten als sich auch über deren sonstige, eine Gefahrenlage schaffenden Verwendungsfolgen zu informieren“408. Der Hersteller ist infolge seiner Produktbeobachtungspflicht im Rahmen der Erforderlichkeit und Zumutbarkeit demnach dazu verpflichtet, den bereits erläuterten passiven und aktiven Produktbeobachtungspflichten nachzukommen, d. h. zu prüfen, wie sich seine Produkte in der Praxis bewähren sowie bei Anzeichen einer Auffälligkeit dieser nachzugehen.409 Diese Produktbeobachtungspflicht erstreckt sich sowohl auf Konstruktions- als auch auf Fabrikations- und Instruktionsfehler und umfasst demnach sämtliche Fehlerquellen der Produkte des Herstellers.410 Wird gegen bestehende Produktbeobachtungspflichten verstoßen (bspw. Missachtung von Kundenbeschwerden über Motorausfälle einer UAS-Produktserie) und führt dies kausal zu einer Rechtsgutsverletzung (bspw. Absturz eines UAS aus der Produktserie auf eine Person) und einem Schaden (bspw. Behandlungskosten der verletzten Person), so kann der Einstandsverpflichtete (i. d. R. der Hersteller) zur Leistung von Schadensersatz verpflichtet werden. Die Produktbeobachtung stellt mithin lediglich eine mittelbare Pflicht des Herstellers dar: Verstößt der Hersteller gegen Produktbeobachtungspflichten, kommt es jedoch zu keiner Rechtsgutsverletzung, so bleibt dies i. d. R. folgenlos (wenn nicht zeitgleich auch gegen objektiv-rechtliche Rechtsvorschriften verstoßen wurde). Erst dann, wenn es aufgrund des Versäumnisses der Produktbeobachtung tatsächlich kausal zu einer Rechtsgutsverletzung und einem Schaden kommt, begründet die verletzte Produktbeobachtungspflicht Haftungsansprüche gegen den Einstandsverpflichteten. Die Rechtspflicht zur Produktbeobachtung beginnt generell mit der Inverkehrgabe des Produkts, also mit dem Verkauf des ersten Produktexemplars.411 Die Pflicht zur Produktbeobachtung besteht bei einer zeitlich gestaffelten Serienproduktion mindestens bis zur Erreichung der maximalen Lebensdauer der als letztes in den Verkehr gebrachten Produktcharge.412 Auch nach Ablauf dieser maximalen Lebensdauer kann eine Pflicht zur Produktbeobachtung aber jedenfalls hinsichtlich der Gefahren, die gerade erst durch den Gebrauch nach Ablauf der Maximallebens 408
BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1607 f. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 374. 410 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 375 m. w. N. 411 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 376. 412 So auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 385. 409
192
4. Teil: Event Data Recording und integrierte Produktbeobachtung
dauer entstehen, weiterbestehen.413 Eine zeitlich andauernde Pflicht zur Produkt beobachtung kann den Hersteller damit auch dann betreffen, wenn die Produktserie bereits eingestellt wurde und sich der Hersteller u. U. bereits anderen Produkten oder Produktbereichen zugewendet hat.414 cc) Erstreckung auf Softwarefehler und auf Schutz der Informationssicherheit Produktbeobachtungspflichten betreffen klassischerweise zuvorderst hardwareseitige Produktfehler, die zu Gefahren für die Funktionssicherheit führen können. Fraglich ist gleichwohl erstens, ob auch Softwarefehler Gegenstand der Produktbeobachtungspflichten sein können und zweitens, ob die Produktbeobachtungspflichten auch dem Schutz der Informationssicherheit dienen. (1) Produktbeobachtung von Softwarefehlern Gerade bei automatisierten und vernetzten CPS, die zu einem Großteil aus Software bestehen, darf die Produktbeobachtung nicht auf Hardwarefehler begrenzt werden. Vielmehr können auch Softwarefehler empfindliche Gefährdungen für die Funktionssicherheit hervorrufen (bspw. kann ein Fehler im Sense-and-avoidAlgorithmus eines UAS zu einer Kollision mit anderen UAS, Gegenständen oder Personen führen).415 Eine solche Begrenzung auf Hardwarefehler wird vom Gesetz aber auch gar nicht gefordert. Etwa im Rahmen des § 823 Abs. 1 BGB wird vielmehr generell jegliches rechtswidrige Handeln oder Unterlassen erfasst, das als Konsequenz zu einer Verletzung des Lebens, des Körpers, der Gesundheit, der Freiheit, des Eigentums oder eines sonstigen Rechts führt. § 823 Abs. 1 BGB ist demnach technikoffen ausgestaltet. Haftungsbegründend kann demnach auch die Entwicklung softwareseitig unsicherer Systeme bzw. das Unterlassen einer dem Stand der Wissenschaft und Technik entsprechenden Softwareentwicklung sein. Auch die Verkehrssicherungspflichten des § 823 Abs.1 BGB umfassen damit die Beobachtung von Softwarefehlern.416 Im Rahmen der „Produkt“beobachtung (ein Begriff, der im Gesetz 413 Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 385. Nach Veltins habe der Hersteller das Produkt dagegen gar dauerhaft zu beobachten und solle sich nicht auf eine etwaige Abschwächung der Produktbeobachtungspflichten verlassen, vgl. Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 18. 414 Im Rahmen der Zumutbarkeitsgrenze wird dann aber kein derart umfassender technischer Sicherungsaufwand des Herstellers mehr erwartet werden können, vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Fn. 1060. 415 So auch Spindler, in Hilgendorf: Robotik im Kontext von Recht und Moral, S. 73. 416 So schon Lehmann, NJW 1992, 1721, 1723; Reese, DStR 1994, 1121, 1122 ff.; Klett / Redelfs, BB Beilage 1999, Nr. 10, 2, 8; Spindler, NJW 2004, 3145, 3147 f. So auch Meyer / Har-
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
193
an keiner Stelle aufzufinden ist) ist demnach kein derart strenger Produktbegriff wie etwa im ProdHaftG anzulegen, wo gem. § 2 ProdHaftG ein Produkt nur eine bewegliche Sache sowie Elektrizität sein kann.417 Im Ergebnis umfassen die herstellerseitigen Produktbeobachtungspflichten damit die Beobachtung sowohl von Hard- als auch von Softwarefehlern. (2) Schutz der Informationssicherheit als Ziel der Produktbeobachtung Während die klassischen Produktbeobachtungspflichten zuvorderst den Schutz der Funktionssicherheit bezwecken, bleibt im juristischen Schrifttum bislang weitestgehend unbeantwortet, ob Produktbeobachtungspflichten auch zur Gewährleistung der Informationssicherheit bestehen können (bspw. die Verpflichtung des Herstellers zur kontinuierlichen Beobachtung aktueller IT-Sicherheitsentwicklungen, die in Verbindung mit der Betriebsfirmware seines Produkts stehen, um unberechtigte Zugriffe auf das System zu verhindern).418 Ursache hierfür ist, dass als dogmatische Grundlage der Produktbeobachtungspflichten mehrheitlich auf § 823 Abs. 1 BGB abgestellt wird, dieser jedoch zunächst nur das Leben, den Körper, die Gesundheit, die Freiheit und das Eigentum schützt – allesamt Rechte und Rechtsgüter, die ausschließlich im Rahmen der Funktionssicherheit von Relevanz sind. Gleichwohl können mit der hier vertretenen Auffassung Produktbeobachtungspflichten auch zur Abwehr von Informationssicherheitsgefährdungen bestehen. Dies gilt zunächst unproblematisch für solche Informationssicherheitsgefährdungen, die in eine Gefahr für die Funktionssicherheit umschlagen können. Denn zwischen der Informations- und der Funktionssicherheit bestehen oftmals zahlreiche Wechselwirkungen: Erhält ein Angreifer aufgrund einer Softwareschwachstelle etwa Zugriff auf ein automatisiertes und vernetztes CPS, stellt dies zwar zunächst eine Informationssicherheitsgefährdung (bspw. Gefahr des unbefugten Auslesens von Daten) dar. Übernimmt der Angreifer daraufhin aber die Steuerung über das System („Hijacking“), so kann damit auch die Gefährdung von Sachen oder Personen verbunden sein, was als typische Funktionssicherheitsgefahr von § 823 Abs. 1 BGB (Leben, Körper, Gesundheit, Eigentum) und damit auch von den klassischen Produktbeobachtungspflichten erfasst wird. Kommt bei ausschließlichen Gefahren für die Informationssicherheit (insbesondere für die Datensicherheit) keine Gefährdung der in § 823 Abs. 1 BGB aufgezählten Rechte und Rechtsgüter in Betracht, ist fraglich, ob für derartige Gefährdungen land, CR 2007, 689, 693; Raue, NJW 2017, 1841, 1843 f.; Sander / Hollering, NStZ 2017, 193, 198; Droste, CCZ 2015, 105, 107; Hans, GWR 2016, 393, 394. 417 Auch von § 2 ProdHaftG kann Software aber jedenfalls dann erfasst sein, wenn diese auf einem Datenträger im Produkt verkörpert und zusammen mit diesem ausgeliefert wird. Siehe 4. Teil, Kapitel 2, B., I., 2., b), aa), (2). 418 Hierzu aber bereits Raue, NJW 2017, 1841, 1843 f.
194
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Produktbeobachtungspflichten nicht aus alternativen (offeneren) Haftungstatbestän den oder aber aus einem „sonstigen Recht“ i. S. d. § 823 Abs. 1 BGB abgeleitet werden können. Der Schutz vor unberechtigter Erhebung, Verarbeitung oder Nutzung personenbezogener Daten wird zunächst vom Schutzbereich des vom BVerfG begründeten Rechts auf informationelle Selbstbestimmung als Ausfluss des Allgemeinen Persönlichkeitsrechts gem. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG umfasst.419 Bei der Datenerhebung oder dem Datenzugriff durch Dritte sowie bereits durch den bloßen unerlaubten Zugriff auf ein IT-System, auf dem potentiell personenbezogene Daten enthalten sein könnten, kann weiterhin das vom BVerfG begründete Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme, ebenfalls als Ausfluss des Allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, verletzt sein.420 Letztendlich erfahren stellenweise aber auch nicht-personenbezogene Daten durch Anerkennung eines Rechts am eigenen Datenbestand gem. Art. 14 Abs. 1 GG einen verfassungsrechtlichen Schutz,421 sodass im Ergebnis alle IT-Schutzziele der Datensicherheit (im Wesentlichen Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit) von einem oder mehreren dieser Rechte abgedeckt werden.422 Obgleich jedenfalls das Recht auf Integrität und Vertraulichkeit informations technischer Systeme sowie das Recht auf informationelle Selbstbestimmung historisch gesehen zunächst Abwehrrechte gegen den Staat waren, sind (mittelbare) Eingriffe in diese Rechte heute auch durch beliebige Dritte denkbar. So kann ein Eingriff in das Recht auf Integrität und Vertraulichkeit informationstechnischer Systeme heute bei jedem unbefugten Zugriff eines Dritten auf informationstechnische Systeme, die personenbezogene Daten beinhalten könnten, vorliegen.423 Erkennt man diese Rechte als „sonstige Rechte“ i. S. d. § 823 Abs. 1 BGB an, was hinsichtlich des Rechts auf informationelle Selbstbestimmung unstrittig ist,424 hinsichtlich des Rechts am eigenen Datenbestand bereits erörtert wurde425 und hinsichtlich des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme zumindest diskutiert wird,426 können mit der hier vertretenen Auffassung auch 419
BVerfG, Urt. v. 16.12.1983 – 1 BvR 209/83, NJW 1984, 419. Roßnagel / Schnabel, NJW 2008, 3534, 3536. 421 Siehe 4. Teil, Kapitel 1, B., III., 3., c), dd), (1), (a). 422 Vgl. bzgl. des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme sowie bzgl. des Rechts auf informationelle Selbstbestimmung Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, § 9 BDSG a. F. Rn. 18 f. 423 Vgl. Roßnagel / Schnabel, NJW 2008, 3534, 3536. 424 Vgl. Mann, in: Spindler / Schuster, Recht der elektronischen Medien, § 823 BGB Rn. 40; dies jedenfalls als Auffangtatbestand vgl. Specht, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 1218 und 1220. 425 Siehe 4. Teil, Kapitel 1, B., III., 3., c). 426 Vgl. Bartsch, CR 2008, 613; Roßnagel / Schnabel, NJW 2008, 3534, 3536; Zech, Information als Schutzgegenstand, S. 387 m. w. N. 420
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
195
hieraus Verkehrssicherungspflichten und demnach Produktbeobachtungspflichten zum Schutz dieser Rechte resultieren.427 Im Ergebnis beinhalten die Produktbeobachtungspflichten demnach auch Maßnahmen zur Abwehr von Gefährdungen für die Informationssicherheit.428 (3) Zwischenergebnis: Erstreckung auf Softwarefehler und auf Schutz der Informationssicherheit Zusammenfassend erstrecken sich die Produktbeobachtungspflichten demnach einerseits auch auf die Beobachtung von Softwarefehlern und bezwecken andererseits auch den Schutz der Informationssicherheit (siehe Abbildung 7).
Abbildung 7: Schutzumfang der Produktbeobachtungspflichten
b) Produktbeobachtungspflichten aus dem ProdHaftG Die Produktbeobachtungspflichten werden von der Rechtsprechung mehrheitlich aus Verkehrssicherungspflichten des Deliktsrechts und insbesondere aus § 823 Abs. 1 BGB abgeleitet.429 Fraglich ist jedoch, ob Produktbeobachtungspflichten auch aus den Haftungstatbeständen des ProdHaftG ergehen könnten. aa) Exkurs: Cyber-physische Systeme als „Produkt“ § 1 Abs. 1 ProdHaftG bestimmt, dass dann, wenn durch den Fehler „eines Produkts“ jemand zu Schaden kommt, der Hersteller des Produkts schadensersatz 427
Hinsichtlich des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme vgl. bereits Roßnagel / Schnabel, NJW 2008, 3534, 3536. 428 So auch Raue, NJW 2017, 1841, 1843 f. 429 Vgl. BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606; BGH, Urt. v. 09.12.1986 – VI ZR 65/86, NJW 1987, 1009; BGH, Urt. v. 17.10.1989 – VI ZR 258/88, NJW 1990, 906; OLG Saarbrücken, Urt. v. 25.02.1992 – 7 U 85/91, NJW-RR 1993, 990; BGH, Urt. v. 07.12.1993 – VI ZR 74/93, NJW 1994, 517; BGH, Urt. v. 06.12.1994 – VI ZR 229/93, NJW-RR 1995, 342.
196
4. Teil: Event Data Recording und integrierte Produktbeobachtung
pflichtig ist. Nach der Legaldefinition des § 2 ProdHaftG wird unter einem „Produkt“ dabei jede bewegliche Sache (auch als Teil einer anderen beweglichen oder unbeweglichen Sache) sowie Elektrizität verstanden. Fraglich ist, ob und wann cyber-physische Systeme hiernach als „Produkt“ zu verstehen sind. (1) Hardwarekomponente Zunächst ist festzustellen, dass die Hardware eines cyber-physischen Systems, also dessen EDV-Komponenten und mechanische Einheiten, ein körperlicher Gegenstand und mithin eine Sache gem. § 90 BGB ist. Diese ist ebenfalls beweglich und erfüllt demnach den Produktbegriff des § 2 ProdHaftG. (2) Softwarekomponente Die Software eines CPS als solche ist dagegen nicht körperlich und damit keine bewegliche Sache i. S. d. § 2 ProdHaftG i. V. m. § 90 BGB. Weiterhin stellt Software aber auch keine Elektrizität dar. Vielmehr bedarf Software gerade der Elektrizität, um von einem Computer ausgeführt werden zu können. Gleichwohl fällt auch Software unter den Produktbegriff des § 2 ProdHaftG, wenn diese auf einem Datenträger gespeichert und damit verkörpert wird und als Produkt i. S. d. § 2 ProdHaftG dann der Datenträger mitsamt der hierauf befindlichen Software gilt.430 Anders könnte dies aber womöglich bei Individualsoftware sein, wenn dabei der Dienstleistungscharakter überwiegt.431 Problematisch könnte in diesem Kontext weiterhin auch sein, wenn Software nicht per Datenträger ausgeliefert, sondern vom Hersteller nur zum Download angeboten wird (bspw. Software-Updates über das Internet) und die Verkörperung auf dem Datenträger des Systems dann erst in der Empfängersphäre (durch den Kunden) erfolgt.432 Im Ergebnis ist aber jedenfalls anzunehmen, dass die bei Inverkehrgabe auf einem CPS bereits aufgespielte „Embedded Software“, also die Firmware des Auslieferungszustandes, als vom Produkthaftungsrecht erfasst anzusehen ist.
430 Vgl. BGH, Urt. v. 15.11.2006 – XII ZR 120/04, NJW 2007, 2394; Rockstroh / Kunkel, MMR 2017, 77, 81; Müller-Hengstenberg / Kirn, Rechtliche Risiken autonomer und vernetzter Systeme, S. 313; Riehm, in: Schmidt-Kessel / Kramme, Geschäftsmodelle in der digitalen Welt, S. 219; Rebin, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 2 ProdHaftG Rn. 51 ff. 431 Müller-Hengstenberg / Kirn, Rechtliche Risiken autonomer und vernetzter Systeme, S. 313. 432 Vgl. hierzu Müller-Hengstenberg / Kirn, Rechtliche Risiken autonomer und vernetzter Systeme, S. 313.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
197
(3) Vernetzungskomponente Neben der Hard- und Software eines einzelnen CPS ist weiteres Wesensmerkmal cyber-physischer Systeme gerade deren Vernetzung im Rahmen des Internets der Dinge. Hält man sich vor Augen, dass CPS untereinander sowie mit anderen IT-Systemen kommunizieren, kooperieren sowie sich koordinieren können, ist fraglich, wie zukünftig ein „Produkt“ von einem „Service“ unterschieden werden kann.433 Deutlich wird dies etwa anhand des Beispiels, dass mehrere CPS zusammen eingesetzt werden, um eine Aufgabe gemeinsam zu erledigen (bspw. die Überwachung eines großen Industrieareals durch mehrere vernetzte UAS). Kommt es bei der Kommunikation zwischen den CPS etwa zu Störungen oder Ausfällen, ist fraglich, ob dies der Fehler eines einzelnen CPS als „Produkt“ oder vielmehr des CPS-Verbunds als Serviceleistung war. Doch auch bei automatisierten und vernetzten Straßenfahrzeugen, die bspw. mit der intelligenten Verkehrsinfrastruktur, mit Karten- und Wetterdiensten sowie mit verschiedenen Dienstleistungen des Herstellers in Interaktion treten, wird sich die Frage stellen, ob hier noch von einem „Produkt“ gesprochen werden kann und wenn ja, was das konkrete Produkt hier eigentlich ist.434 bb) Inverkehrgabe als ausschließlich relevanter Zeitpunkt Die ganz h. M. geht dabei richtigerweise davon aus, dass das ProdHaftG keine Produktbeobachtungspflichten begründet, da dieses ausschließlich auf den Zeitpunkt der Inverkehrgabe abstellt und spätere Befunde unbeachtet lässt.435 So liegt nach § 3 Abs. 1 lit. c ProdHaftG ein Produktfehler zunächst nur dann vor, wenn das Produkt „nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände, insbesondere […] des Zeitpunkts, in dem es in den Verkehr gebracht wurde, berechtigterweise erwartet werden kann“. Eine etwaige spätere Entwicklung (nach dem Zeitpunkt der Inverkehrgabe) darf hierbei gerade nicht mehr berücksichtigt werden. Ein i. S. d. § 3 Abs. 1 ProdHaftG fehlerfreies Produkt gilt demnach auch dann noch als fehlerfrei, wenn sich die Sicherheitserwartungen später ändern sollten und das Produkt neuerdings daher als fehlerhaft gelten würde.436 Doch insbesondere auch dann, wenn ein Produkt zum Zeitpunkt der Inverkehrgabe bereits an einem (aber noch unentdeckt gebliebenen) Produktfehler i. S. d. § 3 Abs. 1 ProdHaftG ge 433
Europäische Kommission, Draft Agenda for the Liability Workshop, S. 2. So auch Graux, Emerging issues of data ownership, interoperability, (re)usability and access to data, and liability, Folie 7. 435 Vgl. Hartmann, BB 2012, 267, 268; Raue, NJW 2017, 1841, 1843; Ebers, in: Oppermann / Stender-Vorwachs, Autonomes Fahren, S. 101; Goehl, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 3 ProdHaftG Rn. 75 f.; Hess, in: Martinek / Semler / Flohr, Handbuch des Vertriebs rechts, § 12 Rn. 144; Wagner, in: MüKo BGB, § 1 ProdHaftG Rn. 59 m. w. N. und § 3 Prod HaftG Rn. 45. 436 Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 3 ProdHaftG Rn. 19. 434
198
4. Teil: Event Data Recording und integrierte Produktbeobachtung
litten hatte, ist eine Haftung nach § 1 Abs. 2 Nr. 5 ProdHaftG (sog. Entwicklungsrisiko-Ausnahme437) ergänzend dann ausgeschlossen, wenn „der Fehler nach dem Stand der Wissenschaft und Technik in dem Zeitpunkt, in dem der Hersteller das Produkt in den Verkehr brachte, nicht erkannt werden konnte“. Gerade um diesen Fall geht es aber gerade bei den Produktbeobachtungspflichten, wenn ein Produkt auch nach der Inverkehrgabe auf bereits vorhandene, aber noch unentdeckt gebliebene Produktfehler überwacht werden soll. cc) Sonderfall: Produktserien Zu beachten ist dabei aber, dass sich der relevante Zeitpunkt i. S. d. § 1 Abs. 2 Nr. 5 ProdHaftG stets nur auf das konkrete schadenstiftende Produktexemplar bezieht und nicht auf den Zeitpunkt der Markteinführung der gesamten Produktserie.438 Etwaige später festgestellte Produktfehler sind demnach nur für die bereits in den Verkehr gegebenen Produktexemplare irrelevant, nicht aber für solche, die noch zu produzieren oder jedenfalls noch in den Verkehr zu geben sind.439 Denn hinsichtlich der noch in den Verkehr zu bringenden Produkte hat der Hersteller weiterhin die Verantwortlichkeit zur sicheren Produktausgestaltung inne.440 Daraus ergibt sich für den Hersteller jedenfalls die Obliegenheit, die für die noch in den Verkehr zu gebenden Produkte relevante Entwicklung von Wissenschaft und Technik zu verfolgen.441 Als „erkennbar“ i. S. d. § 1 Abs. 2 Nr. 5 ProdHaftG soll eine Gefahr bereits dann gelten, „sobald in wissenschaftlichen Kreisen zu einem bestimmten Zeitpunkt auch nur eine einzige Stimme laut wird […], mit der auf die potentielle Fehlerhaftigkeit und / oder Gefährlichkeit des Produkts hingewiesen wird“442, wenn dieses Gefahrenwissen dem Hersteller zum Zeitpunkt des Inverkehrbringens auch objektiv zugänglich war.443 Dies setzt aber gerade voraus, dass der Hersteller auch eigene Recherchen anstellt und nicht darauf vertrauen darf, zufällig auf etwaiges Gefahrenwissen aufmerksam zu werden oder Gefahrenwissen aktiv mitgeteilt zu bekommen. Im Ergebnis begründet das ProdHaftG für die noch in den Verkehr zu gebenden Produkte dann aber gleichermaßen passive und aktive Produktbeobachtungspflichten. Ergeben sich hieraus neue Erkenntnisse über die Existenz von Produktfehlern in der Produktserie 437
Vgl. Wagner, in: MüKo BGB, § 1 ProdHaftG Rn. 49. BT-Drs. 11/2447, S. 18; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 1 ProdHaftG Rn. 59; Seibl, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 1 ProdHaftG Rn. 124. 439 So bereits BT-Drs. 11/2447, S. 18. 440 Hierzu auch Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 3 ProdHaftG Rn. 21. 441 So auch Wagner, in: MüKo BGB, § 1 ProdHaftG Rn. 59; Seibl, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 1 ProdHaftG Rn. 124 f. 442 Tesauro, Schlussanträge des Generalanwalts zu EuGH, Urt. v. 29.05.1997 – C-300/95, Slg. 1997, I-2649, 2660; Wagner, in: MüKo BGB, § 1 ProdHaftG Rn. 56. 443 Wagner, in: MüKo BGB, § 1 ProdHaftG Rn. 56 f. m. w. N. 438
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
199
oder über neuartige Sicherheitstechniken, ist jedenfalls die zukünftige Produktion an diesen neuen Stand der Wissenschaft und Technik anzupassen.444 dd) Zwischenergebnis: Begrenzte Produktbeobachtungspflichten aus dem ProdHaftG Im Ergebnis lässt sich aus dem ProdHaftG zwar keine Handlungspflicht hinsichtlich bereits in den Verkehr gebrachter Produkte entnehmen, jedoch ergibt sich eine Produktbeobachtungs- und Gefahrabwendungspflicht für die noch in den Verkehr zu bringenden Produktexemplare einer Produktserie. c) Produktbeobachtung als öffentlich-rechtliche Verpflichtung Eine herstellerseitige Verpflichtung zur Produktbeobachtung kann sich neben den Verkehrssicherungspflichten des Haftungsrechts weiterhin auch aus öffentlich-rechtlichen Rechtsvorschriften ergeben. Neben prospektiven Pflichten zur sicheren Produktentwicklung beinhalten diese Rechtsvorschriften mehrheitlich auch Produktbeobachtungs- sowie Gefahrabwendungspflichten. Die erste öffentlich-rechtliche Rechtsvorschrift zur Produktbeobachtung wurde im Jahre 1988 erstmalig in das Arzneimittelgesetz (AMG)445 eingefügt. Eine produktgattungsübergreifende Verpflichtung zur Produktbeobachtung im Produkt sicherheitsgesetz (ProdSG)446 folgte sodann 1997. Erst in den Jahren 2002 und 2003 wurden entsprechende Regelungen auch im Lebensmittel-, Futtermittel- und Gentechnikrecht (heute LFGB447 sowie GenTG448) sowie 2006 im Chemikalienrecht (ChemG)449 ergänzt.450
444 Wagner, in: MüKo BGB, § 1 ProdHaftG Rn. 59; Seibl, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 1 ProdHaftG Rn. 124 f.; Förster, in: Bamberger / Roth / Hau / Poseck, Beck OK BGB, § 3 ProdHaftG Rn. 21. 445 Gesetz v. 12.12.2005, BGBl. 2005 I, 3394, zuletzt geändert durch Art. 5 des Gesetzes v. 04.05.2017, BGBl. 2017 I, 1050. Hierzu Hieke, in: Eifert, Produktbeobachtung durch Private, S. 79 ff. 446 Gesetz v. 22.04.1997, BGBl. 1997 I, 934. 447 Gesetz v. 03.06.2013, BGBl. 2013 I, 1426, zuletzt geändert durch Art. 1 des Gesetzes v. 30.06.2017, BGBl. 2016 I, 2147. Vgl. Teufer, in: Eifert, Produktbeobachtung durch Private, S. 105 ff. 448 Gesetz v. 16.12.1993, BGBl. 1993 I, 2066, zuletzt geändert durch Art. 4 Abs. 13 des Gesetzes v. 18.07.2016, BGBl. 2016 I, 1666. Vgl. Willand, in: Eifert, Produktbeobachtung durch Private, S. 61 ff. 449 Gesetz v. 28.08.2013, BGBl. 2013 I, 3409, 3991, zuletzt geändert durch Art. 4 Abs. 97 des Gesetzes v. 18.07.2015, BGBl. 2016 I, 1666. Vgl. Werner, in: Eifert, Produktbeobachtung durch Private, S. 89 ff. 450 Eifert, in: Eifert, Produktbeobachtung durch Private, S. 9 f.
200
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Da die spezialgesetzlichen Produktbeobachtungspflichten des AMG, des LFGB, des GenTG sowie des ChemG im Kontext dieser Arbeit jedoch keine Rolle spielen, soll im weiteren Verlauf lediglich auf die allgemeinen Bestimmungen des ProdSG eingegangen werden. Ergänzend stellt sich darüber hinaus die Frage, inwiefern sich Pflichten zur Produktbeobachtung auch aus der DSGVO oder dem IT-Sicherheitsgesetz ergeben könnten. aa) Produktbeobachtungspflichten aus dem ProdSG Als allgemeine Anforderung an die Bereitstellung von Produkten auf dem Markt sieht § 3 Abs. 1, Abs. 2 ProdSG zunächst vor, dass das betreffende Produkt bei bestimmungsgemäßer oder vorhersehbarer Verwendung die Sicherheit und Gesundheit von Personen nicht gefährden darf. Eine Konkretisierung dessen kann sich zunächst aus einer der bislang vierzehn auf § 8 Abs. 1 ProdSG beruhenden Produktsicherheitsverordnungen ergeben. Weiterhin kommen zur Bewertung, ob ein Produkt diesen Anforderungen entspricht, aber auch harmonisierte Normen (§ 4 ProdSG) sowie sonstige Normen und andere technische Spezifikationen (§ 5 ProdSG) in Betracht. Während diese allgemeinen Anforderungen an die Produktsicherheit zuvorderst die prospektive sichere Produktentwicklung betreffen, enthielt aber auch das erste ProdSG von 1997 bereits Bestimmungen zu den hier einzig relevanten Produkt beobachtungs- und Gefahrabwendungspflichten („After-Sales-Kontrolle“451). Der damalige § 4 Abs. 2 Nr. 3 ProdSG (1997) bestimmte insofern, dass „der Hersteller […] im Rahmen seiner Geschäftstätigkeit […] den Eigenschaften des Produkts angemessene Maßnahmen zu ergreifen [hat], um eine von dem Produkt ausgehende Gefahr zu erkennen und diese abzuwehren“. Dies gelte, so das Gesetz weiter, „auch für Produkte, die bereits zuvor in den Verkehr gebracht worden sind“. Auch das Nachfolgergesetz des ProdSG (1997), das Geräte- und Produktsicherheitsgesetz (GPSG) von 2004452, hatte in seinem § 5 Abs. 1 Nr. 2 GPSG vorgesehen, dass u. a. der Hersteller im Rahmen seiner Geschäftstätigkeit „bei den in Verkehr gebrachten Verbraucherprodukten die, abhängig vom Grad der von ihnen aus gehenden Gefahr und der Möglichkeiten diese abzuwehren, gebotenen Stichproben durchzuführen, Beschwerden zu prüfen und erforderlichenfalls ein Beschwerdebuch zu führen sowie die Händler über weitere das Verbraucherprodukt betreffende Maßnahmen zu unterrichten“ hat.453 Eine beinahe inhalts- und wortgleiche Bestimmung zu § 5 Abs. 1 Nr. 2 GPSG enthält auch der heutige § 6 Abs. 3 ProdSG, wonach unter anderem der Hersteller 451
Vgl. Klindt, in: Eifert, Produktbeobachtung durch Private, S. 56. Gesetz v. 06.01.2004, BGBl. 2004 I, 2. 453 Hierzu bereits Runte / Potinecke, CR 2004, 725, 729. 452
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
201
„im Rahmen seiner Geschäftstätigkeit bei den auf dem Markt bereitgestellten Verbraucherprodukten Stichproben durchzuführen, Beschwerden zu prüfen und, falls erforderlich, ein Beschwerdebuch zu führen sowie die Händler über weitere das Verbraucherprodukt betreffende Maßnahmen zu unterrichten [habe]“. „Welche Stichproben geboten sind“, so § 6 Abs. 3 Satz 2 ProdSG weiter, hänge dabei „vom Grad des Risikos ab, das mit den Produkten verbunden ist, und von den Möglichkeiten, das Risiko zu vermeiden“. Die Vorschrift des § 6 Abs. 3 Satz 2 ProdSG dient dabei der Umsetzung des Art. 5 Abs. 1 UAbs. 3 lit. a i. V. m. UAbs. 4 lit. b der Europäischen RL 2001/95/EG454. Über die Durchführung von Stichproben, die Prüfung von Beschwerden und die Unterrichtung der Händler hinausgehende Pflichten enthält das ProdSG aber gerade nicht, sodass dieses hinter den passiven und insbesondere umfangreichen aktiven Produktbeobachtungspflichten der Verkehrssicherungspflichten des Haftungsrechts deutlich zurück bleibt.455 Zwar werden mit der Verpflichtung, eingehende Beschwerden zu prüfen, zumindest die passiven Produktbeobachtungspflichten erfasst. Die Verpflichtung zur Entnahme von Stichproben vermag die umfangreichen, bereits anerkannten Formen der aktiven Produktbeobachtung aber nicht auszufüllen.456 Solche umfassenden aktiven Produktbeobachtungspflichten wären von den dem ProdSG zugrundeliegenden europarechtlichen Bestimmungen aber gerade gefordert gewesen, insofern Art. 5 Abs. 1 UAbs. 3 lit. a der RL 2001/95/EG bestimmt, dass die Hersteller imstande sein müssen, „die etwaigen von diesen Produkten ausgehenden Gefahren zu erkennen“, was auch eine gewisse Gefahrenprognostik voraussetzt.457 Schließlich sind die einzelnen Bestimmungen des § 6 Abs. 3 Satz 2 ProdSG aber auch nicht bußgeldbewehrt, vgl. § 39 Abs. 1 ProdSG, sodass sich auch hinsichtlich der Durchsetzbarkeit dieser Anforderungen kein Mehrwert gegenüber den noch umfangreicheren Produktbeobachtungspflichten des Zivilrechts ergibt, die zumindest mittelbar zu einer Haftung des Einstands verpflichteten führen können.458 Doch auch aus § 6 Abs. 2 ProdSG können sich keine weiteren Produktbeobachtungspflichten ergeben. Denn zum einen liefe dann § 6 Abs. 3 ProdSG, der nur spezifische Pflichten vorsieht, leer. Zum anderen ist § 6 Abs. 2 ProdSG aber auch nur auf die reaktive Gefahrabwendung ausgerichtet, nicht auf die Produktbeobachtung. Nach § 6 Abs. 2 ProdSG ist daher (unter anderem) der Hersteller lediglich verpflichtet,
454
Richtlinie v. 03.12.2001, ABl. 2002 L 11, 4. Kapoor, in: Klindt, ProdSG, § 6 ProdSG Rn. 64. A. A. wohl Piltz / Reusch, BB 2017, 841, 844. 456 So auch Wagner, in: Eifert, Produktbeobachtung durch Private, S. 145. 457 Kapoor, in: Klindt, ProdSG, § 6 ProdSG Rn. 57, der hier dem Wortlaut nach aber auf § 6 Abs. 2 ProdSG abstellt. Systematisch (in Rn. 57 erfolgt die Kommentierung des § 6 Abs. 3 ProdSG) ist aber davon auszugehen, dass richtigerweise § 6 Abs. 3 ProdSG gemeint ist. 458 Vgl. hierzu auch Eifert, in: Eifert, Produktbeobachtung durch Private, S. 23. Siehe 4. Teil, Kapitel 2, B., I., 2., a), bb). 455
202
4. Teil: Event Data Recording und integrierte Produktbeobachtung
„Vorkehrungen“459 für geeignete Maßnahmen zu treffen, sodass im Falle der Erkennung eines Produktfehlers schnell gehandelt werden kann.460 Als Beispiele hierfür nennt das Gesetz die (reaktive) Rücknahme, Warnungen sowie den Rückruf. bb) Produktbeobachtungspflichten aus der DSGVO Im Rahmen datenschutzrechtlicher öffentlich-rechtlicher Produktbeobachtungspflichten könnte insbesondere Art. 32 DSGVO zu berücksichtigen sein. (1) Dauerhafte Sicherstellung von Informationssicherheit sowie regelmäßige Überprüfung, Bewertung und Evaluierung Art. 32 Abs. 1 lit. b DSGVO bestimmt zunächst, dass der Verantwortliche sowie der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auch „auf Dauer“ und damit mit einer gewissen Nachhaltigkeit, sicherzustellen.461 Zudem bestimmt Art. 32 Abs. 1 lit. d DSGVO, dass der Verantwortliche auch „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ unter Berücksichtigung des Stands der Technik einsetzen muss. Hinsichtlich des dabei zu betreibenden Aufwands ist nach Art. 32 Abs. 1 DSGVO eine Verhältnismäßigkeitsprüfung durchzuführen, bei der neben dem Stand der Technik auch die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen sind. Gem. Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere auch die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. In den Bestimmungen des Art. 32 Abs. 1 lit. b und lit. d DSGVO kommt jedenfalls zum Ausdruck, dass die Verantwortlichkeit des datenschutzrechtlich Verantwort lichen nicht mit dem „Go-Live“ eines IT-Systems endet, sondern mehr einer Dauerverpflichtung entspricht. Der datenschutzrechtlich Verantwortliche hat die Informationssicherheit des betreffenden Systems demnach auch während der Laufzeitphase kontinuierlich zu überwachen und bei etwaigen Sicherheitsrisiken entsprechend zu reagieren. Dies beinhaltet naturgemäß auch, dass sich der Verantwortliche über aktuelle IT-Sicherheitsgefahren, insbesondere über produktrelevante Angriffsszenarien, zu informieren hat. Zumindest dem Ansatz nach gleicht dies daher den bereits dargestellten Produktbeobachtungspflichten. 459
Siehe 4. Teil, Kapitel 2, C., I., 1., b). BT-Drs. 15/1620, S. 29; Wagner, in: Eifert, Produktbeobachtung durch Private, S. 144. 461 Vgl. Hladjk, in: Ehmann / Selmayr, DS-GVO, Art. 32 Rn. 8. 460
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
203
(2) Datenschutzrechtlich Verantwortlicher als Adressat der Vorschrift Im Kontext automatisierter und vernetzter CPS, die i. d. R. nicht vom Hersteller selbst, sondern vielmehr von einem Dritten betrieben werden, ist dabei jedoch zu berücksichtigen, dass (anders als die Produktbeobachtungspflichten des Haftungsrechts oder des ProdSG) Art. 32 Satz 1 DSGVO nicht starr den Hersteller als Einstandsverpflichteten adressiert, sondern eben vielmehr dynamisch den datenschutzrechtlich Verantwortlichen (sowie den Auftragsverarbeiter). Nach der Inverkehrgabe wäre der Hersteller eines automatisierten und vernetzten CPS demnach nur dann nach Art. 32 Abs. 1 DSGVO zur Produktbeobachtung verpflichtet, wenn er auch nach diesem Zeitpunkt noch Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die vertriebenen Produkte wäre. Die datenschutzrechtliche „After-Sales“-Verantwortlichkeit des Herstellers bei automatisierten Systemen ist bislang nicht final geklärt.462 Festgestellt wurde gleichwohl bereits, dass Verantwortlicher nur sein kann, wer über die Zwecke und Mittel der Datenverarbeitung entscheiden kann, was mit der hier vertretenen Auffassung eher für eine Verantwortlichkeit des Herstellers spricht.463 In Betracht kommt letztendlich aber auch eine gemeinsame Verantwortlichkeit (sog. „Joint Controllership“) des Herstellers und des Betreibers.464 (3) Zwischenergebnis: Begrenzte Produktbeobachtungspflichten aus der DSGVO Auch aus Art. 32 Abs. 1 lit. b, lit. c DSGVO können sich mit der hier vertretenen Auffassung in Grenzen Produktbeobachtungspflichten zur Gewährleistung der Informationssicherheit ergeben. Dies erfordert jedoch, dass der Hersteller auch nach der Inverkehrgabe seiner Produkte zumindest noch datenschutzrechtlicher Mit verantwortlicher ist. Aufgrund des eingeschränkten sachlichen Anwendungsbereichs der DSGVO auf personenbezogene Daten, vgl. Art. 2 Abs. 1 DSGVO, würden diese Produkt beobachtungspflichten gleichwohl dann entfallen, wenn der Hersteller den Personenbezug der auf dem automatisierten und vernetzten CPS verarbeiteten und gespeicherten Daten etwa per Anonymisierung entfallen ließe.465 Etwaige Produktbeobachtungspflichten aus der DSGVO sind demnach nur zur ergänzenden Heranziehung tauglich. 462 Siehe zu der Frage, ob der Hersteller auch während des Praxiseinsatzes eines CPS beim Kunden noch Verantwortlicher i. S. d. Datenschutzrechts sein kann, bereits 4. Teil, Kapitel 1, B., III., 1., a), bb), (2). 463 Siehe 4. Teil, Kapitel 1, B., III., 1., a), bb), (2), (a). 464 Siehe 4. Teil, Kapitel 1, B., III., 1., a), bb), (2), (b). 465 Vgl. hierzu Erwägungsgrund 26 zur DSGVO.
204
4. Teil: Event Data Recording und integrierte Produktbeobachtung
cc) Produktbeobachtungspflichten aus dem IT-Sicherheitsrecht Im Bereich der Informationssicherheit sind in nationaler Hinsicht weiterhin das IT-Sicherheitsgesetz466 sowie die Richtlinie (EU) 2016/1148 (NIS-RL)467 zu beach ten. Sowohl das IT-Sicherheitsgesetz als Artikelgesetz als auch die Europäische NIS-RL haben Eingang in bereits bestehende nationale Gesetze gefunden (insbesondere im BSIG).468 Adressiert werden von diesen Bestimmungen sog. „kritische Infrastrukturen“ sowie sog. „digitale Dienste“. Auch das IT-Sicherheitsgesetz weist dabei insofern die wesentlichen Merkmale von Produktbeobachtungspflichten auf, als etwa § 8a Abs. 3 BSIG bestimmt, dass die Betreiber kritischer Infrastrukturen „mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen [haben]“. Mit den etwa in § 8b Abs. 4 BSIG enthaltenen Meldepflichten umfasst das IT-Sicherheitsgesetz weiterhin auch reaktive Pflichten des Betreibers. Insbesondere aber auch die NIS-RL soll die Betreiber zu einer „kontinuierliche[n] Beobachtung und Überprüfung“469 verpflichten. Was kritische Infrastrukturen dabei sind, bestimmt § 2 Abs. 10 BSIG. Kritische Infrastrukturen sind demnach „Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“. Eine weitere Konkretisierung dieses Begriffs erfolgt dabei per Rechtsverordnung (Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV), deren Rechtsgrundlage § 10 Abs. 1 BSIG ist.470 Festzuhalten bleibt dabei an dieser Stelle, dass automatisierte und vernetzte CPS auch von den Betreibern kritischer Infrastrukturen eingesetzt werden können und diese dann die besonderen Bestimmungen des IT-Sicherheitsgesetzes zu beachten haben. Weiterhin haben aber auch die Hersteller automatisierter und vernetzter CPS, die zwar selbst regelmäßig keine Betreiber kritischer Infrastrukturen sind, die aber ihre Produkte für den Einsatz in kritischen Infrastrukturen anbieten möchten, die Vorgaben des IT-Sicherheitsgesetzes zu beachten.471 Eine Definition von digitalen Diensten enthält dagegen § 2 Abs. 11 BSIG. Hiernach werden unter digitalen Diensten solche Angebote verstanden, die „es Ver 466
Gesetz v. 17.07.2015, BGBl. 2015 I, S. 1324. Richtlinie v. 06.07.2016, ABl. L 194, 1. 468 Gesetz v. 23.06.2017, BGBl. 2017 I, S. 1885. 469 Spindler, CR 2016, 297, 305. 470 Vgl. hierzu Heckmann / Specht, Daten als Wirtschaftsgut, S. 51 f. 471 Vgl. zu dieser mittelbaren Verpflichtung von Betreibern nicht-kritischer Infrastrukturen auch Heckmann / Specht, Daten als Wirtschaftsgut, S. 52. 467
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
205
brauchern […] ermöglichen, Kaufverträge oder Dienstleistungsverträge [online] abzuschließen (Online-Marktplätze)“ (§ 2 Abs. 11 Nr. 1 BSIG) oder die „es Nutzern ermöglichen, Suchen […] anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können (Online-Suchmaschinen)“ (§ 2 Abs. 11 Nr. 2 BSIG). Schließlich werden als digitale Dienste auch Cloud-Computing-Dienste erfasst (§ 2 Abs. 11 Nr. 3 BSIG). Automatisierte und vernetzte CPS stellen zunächst selbst keine solchen digitalen Dienste dar, doch können diese Anschluss an digitale Dienste finden, etwa dann, wenn das bereits im letzten Kapitel dargestellte Event Data Recording nicht lokal auf dem jeweiligen System, sondern in einer Cloud („Tracing-as-a-Service“) erfolgt.472 3. Zwischenergebnis: Passive und aktive Produktbeobachtungspflichten Passive und aktive Produktbeobachtungspflichten werden von Rechtsprechung und Schrifttum unstrittig als Verkehrssicherungspflichten des Haftungsrechts anerkannt. Die öffentlich-rechtlichen Bestimmungen zur Produktbeobachtung sind dagegen restriktiver und umfassen nur wenige dieser Pflichten. II. Integrierte Produktbeobachtung bei automatisierten und vernetzten CPS Fraglich ist, ob zu Zwecken der Eliminierung der erörterten Unknown Causes of Trouble473 für automatisierte und vernetzte CPS nicht eine neue Generation an Produktbeobachtungspflichten erforderlich sowie bereits aus dem geltenden Recht ableitbar ist, die über die herkömmlichen Pflichten zur passiven und aktiven Produktbeobachtung hinausgeht. Diese neue Generation von Produktbeobachtungspflichten könnte die bestehende Automatisierung und Vernetzung der betreffenden Systeme nutzen, um bislang unbekannte Systemfehler automatisiert zu erkennen und dem Hersteller zu Zwecken des Debuggings und der Bereitstellung von Sicherheitspatches bzw. von Produktwarnungen zu übermitteln.474 Da diese „Produktbeobachtung 3.0“ unmittelbar in die Firmware der entsprechenden Systeme implementiert werden kann, wodurch diese befähigt werden, sich kontinuierlich selbst zu überwachen, soll hierfür im weiteren Fortgang auch der Begriff der „integrierten Produktbeobachtung“ verwendet werden.
472
Siehe 3. Teil, Kapitel 3, B., I., 2., b), cc). Siehe 3. Teil, Kapitel 2, B., III., 1., b), cc). 474 Siehe 3. Teil, Kapitel 3, B., II. 473
206
4. Teil: Event Data Recording und integrierte Produktbeobachtung
1. Defizite der passiven und aktiven Produktbeobachtung Während die passiven Produktbeobachtungspflichten lediglich die Einrichtung einer Beschwerdeannahmestelle sowie ein damit verbundenes Beschwerdemanagement beinhalten, fordern die aktiven Produktbeobachtungspflichten zumindest bereits ein eigenes Tätigwerden des Herstellers. Gleichwohl ist auch die aktive Produktbeobachtung erstens bislang auf die Informationsbeschaffung aus öffentlich zugänglichen Quellen beschränkt und betrifft damit nur eine mittelbare Marktbeobachtung, nicht aber eine unmittelbare Beobachtung der jeweiligen Produktexemplare. Konsequenz hieraus ist, dass sich ein Produktfehler zunächst in mindestens einem Produktexemplar realisiert haben muss, bevor der Hersteller von der Existenz eines latenten Produktfehlers erfahren kann. Dies kann dazu führen, dass der Produktfehler bereits zu einem Schadensereignis bei einem Nutzer geführt hat. Einfach ausgedrückt muss im Rahmen der passiven und aktiven Produktbeobachtung demnach „erst etwas passieren“, bis der Hersteller auf einen Produktfehler aufmerksam werden kann. Die passive und aktive Produktbeobachtung ist zweitens aber auch davon abhängig, dass auftretende Produktfehler von den Produktnutzern überhaupt an den Hersteller herangetragen werden oder aber im Internet oder in anderen öffentlich zugänglichen Informationsquellen veröffentlicht oder diskutiert werden und der Hersteller von den Fehlermeldungen tatsächlich Kenntnis nimmt. Dies wird in der Praxis zu einer hohen Dunkelziffer führen. Drittens kann es bei der Verwendung von automatisierten und vernetzten CPS zudem zu internen Fehlerereignissen des Systems kommen, welche gerade nicht nach außen hin sichtbar sind. Diese internen Systemfehler werden i. d. R. zwar in der Systemprotokolldatei geloggt, sind für den Nutzer aber nicht erkennbar. Bezüglich solcher versteckter Produktfehler sind die passiven und aktiven Produktbeobachtungspflichten völlig ungeeignet. Versteckte Produktfehler können aber insbesondere bei sog. „Weiterfressermängeln“ ein hohes Gefahrenpotential bergen. Viertens kann zwischen dem Eintritt eines Produktfehlers, der Veröffentlichung dieses Fehlers durch den Produktnutzer und der anschließenden Kenntnisnahme des Fehlers durch den Hersteller schließlich eine beträchtliche Latenzzeit liegen, die dazu führen kann, dass einerseits der Fehler zum Zeitpunkt der Kenntniserlangung durch den Hersteller nicht mehr nachvollziehbar ist (bspw. wenn die entsprechenden Systemprotokolldateien bereits überschrieben wurden), oder sich dieser andererseits bereits in weiteren Exemplaren der Produktserie geäußert, sich das Schadensausmaß also inzwischen ausgeweitet hat.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
207
2. Kompensation der Defizite durch integrierte Produktbeobachtung Um diesen Defiziten zu begegnen, wird mit der hier vertretenen Auffassung bei automatisierten und vernetzten CPS eine Pflicht zur integrierten Produktbeobach tung befürwortet, bei der ein Produktbeobachtungsalgorithmus unmittelbar in die Firmware eines automatisierten und vernetzten CPS implementiert wird. Eine solche integrierte Produktbeobachtung ist technisch imstande, ein Produktexemplar durchgängig auf noch unbekannte Systemfehler hin zu überwachen und im Trefferfalle unverzüglich Meldung an den Hersteller mitsamt relevanter Protokolldaten zu geben. Dieser wiederum kann daraufhin den Fehler analysieren, auf einem Vergleichssystem debuggen sowie anschließend entsprechende Sicherheitspatches für das Produktexemplar oder die gesamte Produktserie bereitstellen bzw. entsprechende Produktwarnungen an seine Kunden herausgeben. Neben einer deutlichen Verringerung der Latenzzeit aufgrund der durch die Vernetzung des Systems geschaffenen Möglichkeit einer unverzüglichen Meldung an den Hersteller475 ist die integrierte Produktbeobachtung weiterhin nicht von einer Mitwirkung des Produktnutzers abhängig. Der Produktnutzer muss das Auftreten eines Produktfehlers weder an den Hersteller melden noch in einem öffentlich zugänglichen Medium kundtun. Die Dunkelziffer bei der integrierten Produktbeobachtung beschränkt sich demnach auf diejenigen Fälle, bei denen die Produktnutzer einer Meldung an den Hersteller aufgrund von Datenschutzbedenken nicht zustimmen bzw. widersprechen. Schließlich ist die integrierte Produktbeobachtung auch nicht davon abhängig, dass sich ein latent vorhandener Fehler bereits in einem Schadensereignis realisiert hat. Vielmehr können hiermit auch für den Nutzer versteckte Produktfehler identifiziert und gemeldet werden. Die integrierte Produktbeobachtung beschränkt sich insofern nicht auf die reine Unfallforschung, sondern ermöglicht auch eine Unfallprävention. 3. Integrierte Produktbeobachtung als Verkehrssicherungspflicht des Haftungsrechts Zu klären ist, ob sich eine Rechtspflicht zur integrierten Produktbeobachtung bereits aus dem geltenden Recht ergibt, oder ob hierfür vielmehr de lege ferenda eine spezialgesetzliche gesetzgeberische Regelung notwendig ist. Bereits festgestellt wurde, dass sich jedenfalls die passiven und aktiven Produktbeobachtungspflichten aus den ungeschriebenen Verkehrssicherungspflichten des Haftungsrechts ergeben. Welche Verkehrssicherungspflichten hierbei in Art, Umfang und Intensität gefordert werden, wurde und wird von der Rechtsprechung sukzessive konkretisiert und weiterentwickelt. Die Verkehrssicherungspflichten
475
So auch Gomille, JZ 2016, 76, 80.
208
4. Teil: Event Data Recording und integrierte Produktbeobachtung
betreffen damit keine abschließenden Einstandspflichten, sondern sind vielmehr entwicklungsoffen. Mangels derzeit ersichtlicher Rechtsprechung zu integrierten Produktbeobachtungspflichten bleibt lediglich, deren Spezifika unter die bis dato von den Gerichten und dem Schrifttum herauskristallisierten Rahmenbedingungen der Verkehrssicherungspflichten zu subsumieren und zu prüfen, ob eine Pflicht zur integrierten Produktbeobachtung mit diesen Rahmenbedingungen generell vereinbar wäre. Diese Subsumtion betrifft einerseits die Vereinbarkeit der integrierten Produkt beobachtung mit dem Charakter der bis heute bekannten Verkehrssicherungspflichten (Geeignetheit) sowie andererseits die Vereinbarkeit der integrierten Produktbeobachtung mit dem rechtlich gebotenen Erfüllungsaufwand, der laut bisheriger Rechtsprechung und heutigem Meinungsstand im Schrifttum regelmäßig zur Erfüllung von Verkehrssicherungspflichten als adäquat angesehen wird (Erforderlichkeit und Zumutbarkeit). a) Vereinbarkeit mit dem Charakter der Verkehrssicherungspflichten (Geeignetheit) Die Verkehrssicherungspflichten des Haftungsrechts dienen der Haftungs begründung bei unterlassenen sowie bei lediglich mittelbaren Handlungen und sind generell nicht abschließend.476 Verkehrssicherungspflichten haben demnach spezifische Einstandspflichten für eine von dem Verpflichteten geschaffene Gefahrenquelle zum Gegenstand, die den Verpflichteten bei Versäumnis schadensersatzpflichtig werden lassen können.477 Der Einstandsverpflichtete hat hiernach besondere Vorkehrungen zu treffen, um Gefahren für die Rechte und Rechtsgüter Dritter zu eliminieren oder zumindest zu minimieren.478 In Betracht kommt dabei jegliche Art an Vorkehrung, die für diesen Zweck geeignet ist. Wie bereits gezeigt wurde, müssen auch die hier vorgestellten integrierten Produktbeobachtungspflichten als geeignet gelten, Gefahren für die Rechte und Rechtsgüter Dritter (hier als Unknown Causes of Trouble bezeichnet) zu eliminieren bzw. zu minimieren, die durch den Einsatz automatisierter und vernetzter CPS entstehen
476 Vgl. Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 385. So auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 6. Siehe 4. Teil, Kapitel 2, B., I., 2., a), aa). 477 Vgl. etwa BGH, Urt. v. 13.06.1996 – III ZR 40/95, NJW 1996, 3208, 3209 f.; BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762, 763; Wandt, Gesetzliche Schuldverhältnisse, § 16 Rn. 111; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 11. 478 Vgl. etwa BGH, Urt. v. 13.06.1996 – III ZR 40/95, NJW 1996, 3208, 3209 f.; BGH, Urt. v. 16.05.2006 – VI ZR 189/05, NJW 2006, 2326, 2326; BGH, Urt. v. 31.10.2006 – VI ZR 223/05, NJW 2007, 762, 763; Wandt, Gesetzliche Schuldverhältnisse, § 16 Rn. 111; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 11.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
209
können.479 Bei einer Zuwiderhandlung gegen diese Pflichten können dann Schadensersatzansprüche gegen den Einstandsverpflichteten etwa aus § 823 Abs. 1 BGB folgen, wenn das Versäumnis kausal zu einer Rechts- oder Rechtsgutsverletzung sowie zu einem Schaden eines Dritten geführt hat. Die integrierte Produktbeobachtung ist damit mit dem Charakter der bisherigen Verkehrssicherungspflichten vereinbar. b) Vereinbarkeit mit dem rechtlich gebotenen Erfüllungsaufwand der Verkehrssicherungspflichten (Erforderlichkeit und Zumutbarkeit) Zu beachten ist, dass die Verkehrssicherungspflichten ihrem Umfang und ihrer Intensität nach nicht grenzenlos sind. Vielmehr werden von den rechtlich gebotenen Verkehrssicherungspflichten (dies betrifft alle Arten von Verkehrssicherungspflichten, also auch Verkehrssicherungspflichten außerhalb der Produktbeobachtung480) nur solche Maßnahmen umfasst, die zum einen objektiv erforderlich und zum anderen nach objektiven Maßstäben zumutbar sind.481 Mit der Erforderlichkeit und der Zumutbarkeit wird insofern das Mindest- und Höchstmaß der zu treffenden Vorkehrungen festgelegt,482 oder anders ausgedrückt: Die Komponente der Erforderlichkeit wirkt hinsichtlich der rechtlich gebotenen Verkehrssicherungspflichten begründend, die Komponente der Zumutbarkeit begrenzend. Um die Existenz einer spezifischen Verkehrssicherungspflicht annehmen zu können, müssten (neben der bereits geprüften Geeignetheit der Maßnahme) demnach die Erforderlichkeit und die Zumutbarkeit der Maßnahme kumulativ zu bejahen sein. Diese kumulative Beziehung wird in der Logik durch einen „und“-Operator (Symbol „∧“) ausgedrückt: Rechtliche Gebotenheit = Erforderlichkeit ∧ Zumutbarkeit 479
Siehe 4. Teil, Kapitel 2, B., II., 2. Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 11 sowie § 24 Rn. 1. 481 Vgl. (auch fallgruppenübergreifend) BGH, Urt. v. 21.11.1963 – III ZR 148/62, NJW 1964, 814, 816; BGH, Urt. v. 21.01.1965 – III ZR 217/63, NJW 1965, 815, 815; BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1606; BGH, Urt. v. 07.06.1988 – VI ZR 91/87, NJW 1988, 2611, 2611; BGH, Urt. v. 17.03.2009 – VI ZR 176/08, NJW 2009, 1669, 1670; LG Baden-Baden, Urt. v. 01.10.2009 – 2 O 55/09, BeckRS 2010, 02691; Sosnitza, CR 2016, 764, 769; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 11 und § 24 Rn. 1 m. w. N.; Molitoris, in: Heussen / Hamm, Beck’sches Rechtsanwalts-Handbuch, § 27 Rn. 100; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 684; Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 655. 482 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 11 und § 24 Rn. 1. 480
210
4. Teil: Event Data Recording und integrierte Produktbeobachtung
aa) Erforderlichkeit Das Kriterium der Erforderlichkeit bestimmt sich wiederum erstens nach der Gefährlichkeit des Verhaltens des Einstandsverpflichteten bzw. im Kontext der Produkthaftung nach der Gefährlichkeit des Produkts selbst.483 Zweitens ist im Rahmen der Erforderlichkeit entscheidend, ob die Gefahr sowie die Möglichkeit ihrer Vermeidung nach dem Stand der Wissenschaft und Technik zum Zeitpunkt letztmöglicher Einflussnahme objektiv erkennbar waren.484 Schließlich ist hierbei drittens auch der Erwartungshorizont der Verkehrsteilnehmer, also deren berechtigtes Vertrauen in die Ungefährlichkeit des Produkts, zu berücksichtigen:485 Erforderlichkeit = Gefährlichkeit ∧ Erkennbarkeit ∧ Erwartungshorizont (1) Bestimmung der Gefährlichkeit Fraglich ist, was unter dem abstrakten Begriff der Gefährlichkeit zu verstehen und wie diese im vorliegenden Sachverhalt konkret zu bewerten ist. (a) Schadenshöhe und Eintrittswahrscheinlichkeit als Faktoren der Gefährlichkeit Mit der hier vertretenen Auffassung ist der Begriff der Gefährlichkeit gleichzu setzen mit dem bereits dargestellten naturwissenschaftlichen Begriff der Risikohöhe, der sich wiederum als ein Produkt (Symbol „ד) aus Schadenshöhe (Auswirkungen) und Eintrittswahrscheinlichkeit (Exposition) darstellen lässt:486 Gefährlichkeit = Schadenshöhe × Eintrittswahrscheinlichkeit Das Risiko bzw. hier die Gefährlichkeit eines Produkts ist demnach umso größer, je höher der zu erwartende Schaden und / oder die zu erwartende Eintrittswahrscheinlichkeit des schadensstiftenden Ereignisses ist. Eine geringe Schadenshöhe kann ebenso durch eine hohe Eintrittswahrscheinlichkeit ausgeglichen werden, wie eine geringe Eintrittswahrscheinlichkeit durch einen hohen Schaden.487
483
Vgl. BGH, Urt. v. 21.11.1963 – III ZR 148/62, NJW 1964, 814, 816; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14. 484 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14. 485 Vgl. BGH, Urt. v. 21.11.1963 – III ZR 148/62, NJW 1964, 814, 816; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14 m. w. N. 486 Vgl. Ebert, Risikomanagement kompakt, S. 8; Wagner, in: Eifert, Produktbeobachtung durch Private, S. 122; BSI, IT-Grundschutz-Schulung – 4.3 Risiken bewerten. Siehe 3. Teil, Kapitel 2, B., I., 1. 487 So auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 18.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
211
Die Schadenshöhe ist ihrerseits wiederum nach dem Rang des betroffenen Rechtsguts sowie dessen Verletzungsintensität zu bestimmen:488 Schadenshöhe = Rang d. Rechtsguts × Verletzungsintensität Insgesamt ergibt sich hinsichtlich der Bestimmung der Gefährlichkeit daher: Gefährlichkeit = (Rang d. Rechtsguts × Verletzungsintensität) × Eintrittswahrscheinlichkeit (b) Risikomatrizen als Hilfsmittel zur Bewertung der Gefährlichkeit Zur Bewertung der Gefährlichkeit soll vorliegend auf eine sog. „Risikomatrix“ zurückgegriffen werden, wie diese etwa im unternehmerischen Risikomanagement eingesetzt wird.489 Auch das Bundesamt für Sicherheit in der Informationstechnik („BSI“) bedient sich zum Zwecke der Einschätzung des IT-Sicherheitsrisikos bestimmter Infrastrukturen einer solchen Risikomatrix (siehe Abbildung 8).490 Besonders relevant sind Risikomatrizen zudem im Rahmen der sog. „DatenschutzFolgenabschätzung“ nach Art. 35 DSGVO.491 Im Ergebnis kommen Risikomatrizen damit zwar bislang insbesondere zur Bewertung von Informationssicherheitsgefährdungen zum Einsatz. Gleichwohl eignen sich diese auch für die Einschätzung von Gefahren für die Funktionssicherheit und damit zur generellen Analyse des spezifischen IT-Sicherheitsrisikos eines Vorhabens, eines Produkts oder einer Anlage. Zur Bewertung der Gefährlichkeit im Rahmen von UAS kann zwar auch auf die sog. „SORA“ („Specific Operations Risk Assessment“) der „Joint Authorities for Rulemaking on Unmanned Systems“ („JARUS“)492, eine Risikoanalyse speziell für den Einsatz unbemannter Luftfahrtsysteme, zurückgegriffen werden. Der Bundesverband Copterpiloten („BVCP“) bietet hierzu gar ein eigenes Online-Tool zur Risikoberechnung an.493 Aufgrund ihrer Technologieneutralität und damit aufgrund der Anwendbarkeit auf verschiedenste automatisierte und vernetzte CPS soll im Folgenden dennoch eine allgemeine Risikomatrix herangezogen werden. Eingangsgrößen der Risikomatrix des BSI-Standards 200–3 sind dabei die Eintrittswahrscheinlichkeit (hier: „unwahrscheinlich“, „gering“, „mittel“, „groß“) auf der X-Achse sowie die zu erwartende Schadenshöhe (hier: „niedrig“, „mittel“,
488
Wagner, in: Eifert, Produktbeobachtung durch Private, S. 122 m. w. N. Vgl. Lorenz, Das Unternehmerhandbuch-Beitrag v. 20.02.2013, Risikomanagement für kleine Unternehmen. 490 Vgl. BSI, Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT, S. 12 f.; BSI, BSI-Standard 200–3, S. 45; BSI, IT-Grundschutz-Schulung – 4.3 Risiken bewerten. 491 Vgl. hierzu Kranig / Sachs / Gierschmann, Datenschutz-Compliance nach der DS-GVO, S. 105 ff.; BITKOM, Risk Assessment & Datenschutz-Folgenabschätzung, S. 32 ff. 492 JARUS, http://jarus-rpas.org/. 493 BVCP, SORA-GER-Rechner, https://bvcp.de/sora-rechner/. 489
212
4. Teil: Event Data Recording und integrierte Produktbeobachtung
„hoch“, „sehr hoch“) auf der Y-Achse. Als Resultat ergibt sich die Gefährlichkeit aus der Schnittmenge beider Achsen.
Abbildung 8: Matrix zur Risikoermittlung nach BSI-Standard 200–3494
Legt man als Legende der verschiedenen Eintrittswahrscheinlichkeiten dabei den BSI-Standard 100–4 zugrunde, so bedeutet „unwahrscheinlich“ eine Eintrittswahrscheinlichkeit von „alle 10 Jahre oder seltener“, „gering“ (bzw. „möglich“495) eine Eintrittswahrscheinlichkeit von „etwa einmal pro Jahr“, „mittel“ (bzw. „wahrscheinlich“) eine Eintrittswahrscheinlichkeit von „etwa einmal pro Monat“ und „groß“ (bzw. „sehr wahrscheinlich“) eine Eintrittswahrscheinlichkeit von „einmal pro Woche oder öfter“.496 Hinsichtlich der verschiedenen Schadenshöhen ist eine Übernahme der Legende aus dem BSI-Standard 100–4 zwar nur bedingt zielführend, da dort lediglich der monetäre Schaden für das schadenstiftende Unternehmen, nicht aber das individuelle Risiko für die betroffene Person erfasst wird.497 In analoger Anwendung würde „niedrig“ jedoch einen Schaden, der „geringe, kaum spürbare Auswirkungen“ hat, „mittel“ einen Schaden, der „spürbare Auswirkungen“ hat, „hoch“ einen Schaden, der „erhebliche Auswirkungen“ hat und „sehr hoch“ einen Schaden, der „existentiell bedrohliche Auswirkungen“ hat, bezeichnen.498
494
BSI, BSI-Standard 200–3, S. 45 (eigene Nachbildung). Der BSI-Standard 100–4 verwendet im Vergleich zum BSI-Standard 200–3 leicht abweichende Achsenbezeichnungen. 496 BSI, BSI-Standard 100–4, S. 50. 497 Vgl. BSI, BSI-Standard 100–4, S. 34. 498 BSI, BSI-Standard 100–4, S. 34. 495
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
213
(c) Nichtexistenz von Unfallstatistiken als Erschwernis der Risikobewertung Da für UAS derzeit noch keine Unfallstatistiken abrufbar sind (insbesondere deswegen, weil UAS derzeit nicht unter die Meldepflichten der §§ 7, 9 LuftVO fallen), kann eine Bewertung der Schadenshöhe und Eintrittswahrscheinlichkeit dieser Systeme gegenwärtig nicht präzise und belegt erfolgen. Dies gilt insbesondere für den Einsatz automatisierter und vernetzter UAS, die entweder noch im freien Gelände ohne Personenverkehr oder aber in Testzentren erprobt werden, welche sich also noch gar nicht im alltäglichen Praxiseinsatz befinden. Bezüglich des automatisierten und vernetzten Straßenverkehrs ist zwar bekannt, dass die automatisierten und vernetzten Straßenfahrzeuge von bspw. Google499, Tesla500 oder Uber501 bereits an Verkehrsunfällen beteiligt waren, doch ergeben sich hieraus ebenfalls noch keine gesicherten Unfallstatistiken oder aber Erkenntnisse über deren Gefährlichkeit (insbesondere nicht über die Eintrittswahrscheinlichkeit von Schadensereignissen). Die Beurteilung der Gefährlichkeit dieser Systeme ist mangels Vorliegens gesicherter Unfallstatistiken daher derzeit nur intuitiv möglich und kann im Folgenden demnach nur beispielhaft (hier anhand automatisierter und vernetzter UAS) erfolgen. Die folgenden Ausführungen dienen daher lediglich dem Zweck, aufzuzeigen, wie eine solche Risikoanalyse durchgeführt werden könnte, wenn gesicherte und belastbare Daten zu einem zukünftigen Zeitpunkt einmal vorliegen. (d) Beispielhafte Risikobewertung bei automatisierten und vernetzten UAS Im Folgenden soll die Vorgehensweise bei einer solchen Risikobewertung exemplarisch für automatisierte und vernetzte UAS anhand der Gefahren des Absturzes und der Kollision aufgezeigt werden. Die Eingangsgrößen der Schadenshöhen und Eintrittswahrscheinlichkeiten sind dabei rein intuitiv und geschätzt. Das Ergebnis der Bewertung ist keinesfalls abschließend oder repräsentativ und daher beim Vorliegen gesicherter Zahlen und Erkenntnisse zu evaluieren.
499
Vgl. Spiegel Online-Beitrag v. 13.01.2016, Mensch, greif ein!. Vgl. Zeit Online-Beitrag v. 13.09.2017, Ermittler machen Autopilot für tödlichen Unfall mitverantwortlich. 501 Vgl. Focus Online-Beitrag v. 23.03.2018, Nach tödlichem Unfall: Uber wird keine autonomen Autos in Deutschland testen. 500
214
4. Teil: Event Data Recording und integrierte Produktbeobachtung
(aa) Beurteilung der Schadenshöhe bei einer Kollision oder einem Absturz Da die Schadenshöhe aus den Faktoren „Rang des Rechtsguts“ sowie „Verletzungs intensität“ zusammengesetzt ist,502 ist zunächst zwischen der Gefahr der Verletzung einer Person und der Gefahr der Beschädigung einer Sache zu unterscheiden: Während der Rang des Rechts auf Unversehrtheit des Lebens, des Körpers und der Gesundheit mit der hier vertretenen Auffassung mindestens mit „hoch“, eher aber mit „sehr hoch“ zu bewerten sein könnte, dürfte der Rang des Rechts auf Eigentum oder Besitz lediglich auf den Stufen „niedrig“ oder „mittel“ einzuordnen sein. Diese unterschiedliche Gewichtung ist insbesondere auch das Resultat der gesetzgeberischen Wertungen des § 228 Satz 1 BGB und des § 904 Satz 1 BGB und entspricht ebenfalls den Wertungen der Ethik-Kommission zum automatisierten und vernetzten Fahren des Bundesministeriums für Verkehr und digitale Infrastruktur (Grundsatz des Vorrangs von Sachschäden zur Vermeidung von Personenschäden503). Die Verletzungsintensität als zweiter Faktor der Schadenshöhe ergibt sich dagegen daraus, wie stark in ebendiese Rechte und Rechtsgüter eingegriffen wird, ob eine Person also entweder nur leicht verletzt oder aber dauerhaft beeinträchtigt wird, oder ob eine Sache nur minimal (reparierbar) beschädigt oder aber irreversibel zerstört wird. Wie bereits erörtert, ergibt sich die Verletzungsintensität bei einer Kollision insbesondere aus der kinetischen Energie (E (Kin) = ¹² mv²) des UAS und bei einem Absturz insbesondere aus der potentiellen Energie (E (Pot) = mgh) des UAS.504 Beide Energien sind demnach von der Masse des Luftfahrzeugs abhängig. Wie bereits festgestellt wurde, wird die europäische sog. „Harmless“-Schwelle von 79-Joule bei Personenkontakt bei den hier einzig relevanten gewerblichen automatisierten und vernetzten UAS regelmäßig um ein Vielfaches überschritten.505 Die Verletzungsintensität könnte bei der Verletzung von Personen demnach schätzungsweise auf den Stufen „hoch“ bis „sehr hoch“, bei der Beschädigung von Sachen zumindest auf den Stufen „mittel“ bis „hoch“ (da die 79-Joule-Schwelle nur für Personenschäden gilt und Sachen i. d. R. widerstandsfähiger als Menschen sind) einzuordnen sein. Als Gesamtergebnis der Schadenshöhen ergibt sich hiernach: Durchschnittliche Schadenshöhe bei Personenverletzungen (intuitive Schätzung) = Rang d. Rechtsguts × Verletzungsintensität = (hoch bis sehr hoch) × (hoch bis sehr hoch) = hoch bis sehr hoch
502
Siehe 4. Teil, Kapitel 2, B., II., 3., b), aa), (1), (a). BMVI, Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, S. 17. 504 Siehe 3. Teil, Kapitel 2, B., II., 1. 505 Siehe 3. Teil, Kapitel 2, B., II., 1., a). 503
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
215
Durchschnittliche Schadenshöhe bei Sachbeschädigungen (intuitive Schätzung) = Rang d. Rechtsguts × Verletzungsintensität = (niedrig bis mittel) × (mittel bis hoch) = niedrig bis hoch (bb) Beurteilung der Eintrittswahrscheinlichkeit einer Kollision oder eines Absturzes Als Risikoursachen für Kollisionen und Abstürze automatisierter und vernetzter UAS sind insbesondere die Komplexität dieser Systeme sowie die Komplexität deren Operationsumgebungen zu nennen.506 Da sich mit zunehmendem Automatisierungsgrad diese Systeme immer weniger „am Reißbrett“507 testen lassen, werden als Konsequenz insbesondere nach der Markteinführung einer neuen UAS-Generation noch zahlreiche Unknown Causes of Trouble existieren, wenn sich neue Technologien erstmalig im vom Hersteller unkontrollierbaren Praxiseinsatz beweisen müssen.508 Aus diesem Grund weisen Neukonstruktionen generell eine erhöhte Gefährlichkeit auf, was in der Phase unmittelbar nach der Markteinführung stets zu erweiterten Produktbeobachtungspflichten führen kann.509 Insbesondere die Einschätzung der Eintrittswahrscheinlichkeit gestaltet sich mangels qualifizierter Unfallstatistiken aber als äußerst schwierig. Jedenfalls ist auch im Rahmen der Beurteilung der Eintrittswahrscheinlichkeit zwischen der Wahrscheinlichkeit des Eintritts einer Personenverletzung und der Wahrscheinlichkeit des Eintritts einer Sachbeschädigung zu unterscheiden: Dass ein UAS etwa auf eine allgegenwärtig existente fremde Sache abstürzt, erscheint wahrscheinlicher als der Absturz auf eine Person.510 Die Wahrscheinlichkeit des Absturzes auf oder die Kollision mit einer Person könnte mit der hier vertretenen Auffassung daher nur „gering“ bis „mittel“ sein. Die Wahrscheinlichkeit einer Sachbeschädigung könnte mit der hier vertretenen Auffassung dagegen zumindest auf der Stufe „mittel“ einzuordnen sein. Es ist anzunehmen, dass mit zunehmender Praxiserprobtheit und fortlaufendem Erkenntnisgewinn diese Eintrittswahrscheinlichkeiten aber fortlaufend reduziert werden können.
506
Siehe 3. Teil, Kapitel 2, B., III., 1., b). Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359. 508 So auch Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 734; Schmid / Wessels, NZV 2017, 357, 359. Siehe 3. Teil, Kapitel 2, B., III., 1., b), cc). 509 Vgl. bereits OLG Karlsruhe, Urt. v. 22.06.1977 – 7 U 123/76, VersR 1978, 550; Förster, in: Bamberger / Roth / Hau / Poseck, BeckOK BGB, § 823 BGB Rn. 734. 510 Die Wahrscheinlichkeit des Absturzes auf eine Person wird indes mit einem zunehmenden innerstädtischen Einsatz zunächst erhöht werden. 507
216
4. Teil: Event Data Recording und integrierte Produktbeobachtung
(cc) Beispielhafte Durchführung der Bewertung mittels Risikomatrix Die noch bestehenden Unsicherheiten bei der Risikoeinschätzung werden in der Risikomatrix mittels sog. „Fehlerbalken“ dargestellt, sodass sich die Gefährlichkeit auch über mehrere Kacheln der Risikomatrix erstrecken kann („Streuweite“).511 Aufgrund der bereits erläuterten Unsicherheiten ist gleichwohl möglich, dass sich die tatsächliche Gefährlichkeit auch außerhalb dieser Streuweite bewegt, also in Wirklichkeit noch gefährlicher oder aber harmloser ist. Bezüglich der Verletzung von Personen ergibt sich damit als Gesamtbewertung der Gefährlichkeit eine Streuweite von „mittel“ bis „sehr hoch“ (siehe Abbildung 9).
Abbildung 9: Intuitive Beurteilung der Gefährlichkeit von Kollisionen und Abstürzen im Kontext von Personenschäden bei automatisierten und vernetzten UAS (Risikomatrix nach BSI-Standard 200–3)512
Bezüglich der Beschädigung von Sachen ergibt sich dagegen als Gesamtbewertung der Gefährlichkeit eine Streuweite von „mittel“ bis „hoch“ (siehe Abbildung 10).
511
Vgl. BSI, BSI-Standard 200–3, S. 46. BSI, BSI-Standard 200–3, S. 45 (eigene Nachbildung).
512
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
217
Abbildung 10: Intuitive Beurteilung der Gefährlichkeit von Kollisionen und Abstürzen im Kontext von Sachschäden bei automatisierten und vernetzten UAS (Risikomatrix nach BSI-Standard 200–3)513
(2) Objektive Erkennbarkeit nach dem Stand der Wissenschaft und Technik Dieses Gefahrenpotential müsste für den Einstandsverpflichteten weiterhin auch nach dem Stand der Wissenschaft und Technik objektiv erkennbar gewesen sein.514 Verkehrssicherungspflichten sind demnach stets verhaltensbezogen und nicht erfolgsbezogen. Alleine aus der bloßen Existenz eines verkehrsgefährlichen Zustands kann also noch keine Pflichtverletzung abgeleitet werden.515 Gleichwohl ist im Rahmen der Erkennbarkeit ein objektiver Maßstab anzulegen. Ausschlaggebend ist also nicht, ob die Gefährlichkeit für den konkreten Einstandsverpflichteten erkennbar war, sondern vielmehr, ob diese allgemein für den betroffenen Personenkreis (hier etwa die Summe aller Hersteller einer bestimmten Gattung automatisierter und vernetzter CPS) erkennbar gewesen sein musste.516
513
BSI, BSI-Standard 200–3, S. 45 (eigene Nachbildung). BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1608; OLG Frankfurt, Urt. v. 07.03.1997 – 10 U 25–96, NJW-RR 1999, 25, 27; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14. 515 BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1608; BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1606; OLG Frankfurt, Urt. v. 07.03.1997 – 10 U 25–96, NJW-RR 1999, 25, 27. 516 BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1608; OLG Frankfurt, Urt. v. 07.03.1997 – 10 U 25–96, NJW-RR 1999, 25, 27. 514
218
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Maßgeblicher Zeitpunkt der Erkennbarkeit ist dabei der Stand der Wissenschaft und Technik zum Zeitpunkt letztmöglicher Einflussnahme.517 Als Zeitpunkt letztmöglicher Einflussnahme muss vorliegend der Zeitpunkt der Inverkehrgabe gelten, da nur bis zu diesem Zeitpunkt die herstellerseitige Möglichkeit besteht, erweiterte Sicherungsmaßnahmen am konkreten Produkt (wie vorliegend etwa die Aktivierung / Einrichtung eines integrierten Produktbeobachtungsmechanismus518) vorzunehmen. Obgleich gesicherte Unfallstatistiken derzeit noch fehlen, ist mit der hier ver tretenen Auffassung davon auszugehen, dass die Gefährlichkeit bestimmter automatisierter und vernetzter CPS den Herstellern auch heute bereits zumindest abstrakt bekannt sein muss. Die objektive Erkennbarkeit der Gefährlichkeit ist mit der hier vertretenen Auffassung daher zu bejahen. (3) Erwartungshorizont der gefährdeten Verkehrsteilnehmer Schließlich hängt die Erforderlichkeit von Verkehrssicherungspflichten auch davon ab, ob die gefährdeten Verkehrsteilnehmer in berechtigter Weise auf die Ungefährlichkeit, hier die des automatisierten und vernetzten Luft- oder Straßenfahrzeugs, vertrauen dürfen.519 Neben den Erwartungen, die der Hersteller oder ein anderer Einstandsverpflichteter dabei selbst aufgrund seiner Werbung oder anderer Verhaltensweisen geweckt hat, sind hierbei auch die üblichen Sicherheitserwartungen an den spezifischen Branchenzweig oder an die spezifische Produktgattung zu berücksichtigen.520 (a) Vision Zero als Sicherheitsvorgabe im Luft- und Straßenverkehr Bereits feststellen lässt sich an dieser Stelle, dass gerade die Bereiche Luftfahrt und Straßenverkehr von besonders hohen Sicherheitserwartungen geprägt sind, weshalb hier als Sicherheitsmaßstab regelmäßig auch von einer sog. „Vision Zero“ („Nullvision“) ausgegangen wird.521 517
Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14. Dies wird i. d. R. auch hardwareseitige Änderungen erfordern (bspw. Verbau einer Mobilfunkantenne, eines SIM-Kartenslots, einer eSIM oder eines größeren Datenspeichers). Eine nachträgliche Erweiterung eines bereits in den Verkehr gebrachten Systems mit einem integrierten Produktbeobachtungsalgorithmus per Softwareupdate dürfte mithin technisch nur dann möglich sein, wenn entsprechende Komponenten ohnehin bereits verbaut sind. 519 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14. 520 Vgl. BGH, Urt. v. 30.01.1961 – III ZR 225/59, NJW 1961, 868, 869; BGH, Urt. v. 16.10.1967 – III ZR 26/67, NJW 1968, 246, 247; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14 m. w. N. 521 Laut Eichendorf, in: DGUV, 20 Jahre Hochschule der Gesetzlichen Unfallversicherung, S. 57 stellt die Vision Zero bereits seit langem den „Goldstandard“ in der Luftfahrt dar. 518
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
219
Der Begriff der Vision Zero geht auf Éleuthère Irénée du Pont de Nemours (1771–1834), ehem. Inhaber einer Schwarzpulverfabrik, zurück, der davon ausging, dass generell jeder Unfall vermeidbar ist und daher nicht hinzunehmen sei.522 Dieser Begriff der Vision Zero wurde erneut im Rahmen der Verkehrssicherheit in den 1990er Jahren in Schweden aufgegriffen, wonach im Straßenverkehr niemand mehr getötet oder so schwer verletzt werden solle, dass er lebenslange Schäden davon trage.523 Im Jahr 1997 hat die Vision Zero schließlich gar eine gesetzliche Grundlage in Schweden erfahren524 und auch in Deutschland ist die Vision Zero bereits zur gesetzgeberischen Zielvorgabe geworden.525 Insbesondere aus dem obersten Grundsatz der Vision Zero, der Nichtverhandelbarkeit von Leben,526 wird deutlich, dass die Vision Zero nicht nur ein politisches Versprechen oder ein Verkaufsargument der Automobilindustrie oder der Luftfahrtbranche darstellt. Vielmehr geht es hierbei auch um den verfassungsrechtlich verankerten absoluten Lebensschutz aus Art. 2 Abs. 2 Satz 1 GG und die Frage, wann der Staat gegen bestehende Gefährdungen geeignete Maßnahmen ergreifen muss.527 (b) Berücksichtigung des Erwartungshorizonts von unbeteiligten Passanten Während es im klassischen Produkthaftungsrechts zur Begründung von Verkehrssicherungspflichten mehrheitlich auf den Erwartungshorizont des (durchschnittlichen) Produktbenutzers selbst ankommt,528 also auf diejenigen Verkehrsteilnehmer, die ein spezifisches Produkt wissentlich und willentlich in Betrieb nehmen, ist insbesondere bei automatisierten und vernetzten Luft- und Straßenfahrzeugen zu berücksichtigen, dass hierbei auch unbeteiligte Passanten gefährdet werden können. Diese sind bei der Beurteilung des Erwartungshorizonts daher besonders zu berücksichtigen. Maßgeblich ist dabei die Erwartungshaltung eines verständigen Verkehrsteilnehmers.529 Verständigkeit erfordert in diesem Kontext einen Mindestgrad an In 522
Eichendorf, in: DGUV, 20 Jahre Hochschule der Gesetzlichen Unfallversicherung, S. 53. Vgl. auch VCD, VCD Masterplan Vision Zero (Kurzfassung), S. 1. 523 Vgl. Eichendorf, in: DGUV, 20 Jahre Hochschule der Gesetzlichen Unfallversicherung, S. 53. 524 Eichendorf, in: DGUV, 20 Jahre Hochschule der Gesetzlichen Unfallversicherung, S. 53. 525 Vgl. etwa BÜNDNIS 90/DIE GRÜNEN / SPD Baden-Württemberg, Koalitionsvertrag 2011–2016 – Der Wechsel beginnt, S. 28. 526 Eichendorf, in: DGUV, 20 Jahre Hochschule der Gesetzlichen Unfallversicherung, S. 54. 527 Hierzu Di Fabio, in: Maunz / Dürig, GG, Art. 2 Abs. 2 Satz 1 Rn. 49 f. 528 Vgl. OLG Frankfurt, Urt. v. 07.03.1997 – 10 U 25–96, NJW-RR 1999, 25, 26; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14 sowie Rn. 3 ff. Das OLG Saarbrücken verwendet daher auch den Begriff der „Verwendererwartung“, vgl. OLG Saar brücken, Urt. v. 25.02.1992 – 7 U 85/91, NJW-RR 1993, 990, 992. 529 Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 14 m. w. N.
220
4. Teil: Event Data Recording und integrierte Produktbeobachtung
formiertheit, also das Wissen des Verkehrsteilnehmers, sich mit seinem Handeln womöglich einer gefährlichen Situation auszusetzen. Zumindest im Falle automatisierter und vernetzter Straßenfahrzeuge, die stets an eine Straßeninfrastruktur gebunden sind, kann hierbei noch vertreten werden, der Passant setze sich dann wissentlich und willentlich der Gefahr, von automatisierten und vernetzten Straßenfahrzeugen verletzt zu werden, aus, wenn dieser aktiv am Straßenverkehr teilnimmt.530 Der Passant benutzt in diesem Szenario zwar nicht wissentlich und willentlich das Produkt selbst, doch betritt er wissentlich und willentlich den Aktionsradius des Produkts und ist diesem und dessen sicherer Produktentwicklung ebenso ausgesetzt, wie auch der tatsächliche Produktnutzer (hier der Fahrzeugführer). Aufgrund der bereits erläuterten „Vision Zero“ des Straßenverkehrs dürfte die berechtigte Erwartungshaltung von Passanten, nicht von fehlerhaften automatisierten und vernetzten Straßenfahrzeugen verletzt zu werden, als außerordentlich hoch einzuordnen sein. Im Falle des Einsatzes automatisierter und vernetzter Luftfahrzeuge im öffentlichen Raum (die gerade an keine Verkehrsinfrastruktur gebunden sind und technisch daher allgegenwärtig in Erscheinung treten können) dürften sich unbeteiligte Passanten hingegen überhaupt nicht bewusst sein, sich mit dem Aufsuchen des öffentlichen Raums in eine Gefahrensituation zu begeben, die über das allgemeine Lebensrisiko hinausgeht. Anders als die Teilnahme am Straßenverkehr, die bereits mit den typischen Straßenverkehrsgefährdungen assoziiert ist, besteht eine solche Verbindung des öffentlichen Raums mit den Gefahren von automatisierten und vernetzten Luftfahrzeugen gerade nicht. Unbeteiligte Passanten dürfen daher berechtigterweise darauf vertrauen, durch das bloße Aufsuchen des öffentlichen Raums nicht durch UAS gefährdet zu werden. Auch die Rechtsprechung hat für unvermutete Gefahrenlagen, also für solche, mit denen der Verkehrsteilnehmer nicht rechnen konnte und musste, daher erhöhte Verkehrssicherungspflichten bejaht.531 Im Vergleich zum Straßenverkehr dürfte die berechtigte Erwartungshaltung von Passanten im Falle des Einsatzes automatisierter und vernetzter Luftfahrzeuge im öffentlichen Raum daher sogar nochmals höher sein.
530 Etwa vergleichbar mit den Verkehrssicherungspflichten bei Glätte, bei denen der Gefährdete wissentlich und willentlich etwa einen Gehsteig bei Glätte benutzt, aber darauf vertraut, dass der Einstandsverpflichtete durch entsprechende Maßnahmen für einen ausreichenden Halt gesorgt hat, vgl. hierzu etwa OLG Schleswig, Urt. v. 08.10.2013 – 11 U 16/13, NJW-RR 2014, 343; OLG Naumburg, Urt. v. 12.12.2013 – 2 U 25/13, NJW-RR 2014, 661; OLG Naumburg, Urt. v. 10.05.2013 – 10 U 54/12, NZV 2014, 269. 531 Vgl. etwa BGH, Urt. v. 21.11.1963 – III ZR 148/62, NJW 1964, 814, 816 für unvermutet besonders gefährliche Stellen bei Straßenglätte.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
221
(c) Zwischenergebnis: Erwartungshorizont der gefährdeten Verkehrsteilnehmer Zusammenfassend dürfte der berechtigte Erwartungshorizont der gefährdeten Verkehrsteilnehmer, nicht von fehlerhaften automatisierten und vernetzten Luftund Straßenfahrzeugen verletzt zu werden oder hierdurch sonstige Vermögenseinbußen zu erleiden, als hoch bis sehr hoch einzuordnen sein. (4) Zwischenergebnis: Erforderlichkeit Als Zwischenergebnis lässt sich festhalten, dass integrierte Produktbeobachtungspflichten bei solchen automatisierten und vernetzten CPS, die eine spezifische Gefährlichkeitsschwelle überschreiten, deren Gefährlichkeit nach dem Stand der Wissenschaft und Technik für den Einstandsverpflichteten objektiv erkennbar war, und welche die betroffenen Verkehrsteilnehmer über deren berechtigten Erwartungshorizont hinaus gefährden, erforderlich sein können. bb) Zumutbarkeit Im Rahmen der Zumutbarkeit wird der von dem Einstandspflichtigen billigerweise zu betreibende Sicherheitsaufwand bemessen.532 Nachdem bereits die objektive Erforderlichkeit der integrierten Produktbeobachtung als Verkehrssicherungspflicht bejaht wurde, stellt die Zumutbarkeit die oberste Grenze adäquater Verkehrssicherungspflichten dar. Nicht alles, was objektiv möglich ist, wird demnach auch tatsächlich von dem Einstandsverpflichteten gefordert.533 Fraglich ist insofern, ob und wann auch eine Pflicht zur integrierten Produktbeobachtung noch in diesem Sinne zumutbar ist. Generell ist dem Einstandspflichtigen hinsichtlich des zu betreibenden Sicherheitsaufwands umso mehr zuzumuten, je gefährlicher das Produkt ist,534 oder anders gesagt: Der zu betreibende Sicherheitsaufwand steht der Gefährlichkeit des Produkts spiegelbildlich gegenüber. Die Zumutbarkeit einer spezifischen Verkehrssicherungspflicht ergibt sich demnach aus dem Verhältnis der Gefährlichkeit des Produkts zu dem zur Umsetzung der Verkehrssicherungspflicht erforder lichen Sicherheitsaufwand.535 Diese Spiegelbildtheorie erinnert auch an den Auf 532
Vgl. BGH, Urt. v. 21.11.1963 – III ZR 148/62, NJW 1964, 814, 817. Vgl. BGH, Urt. v. 21.11.1963 – III ZR 148/62, NJW 1964, 814, 816 f.; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 15. 534 Vgl. Gomille, JZ 2016, 76, 80; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 18 m. w. N. 535 Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 18 m. w. N. 533
222
4. Teil: Event Data Recording und integrierte Produktbeobachtung
wand-Schutzzweck-Zusammenhang des § 9 BDSG a. F. bzw. an die Interessen abwägung nach Art. 32 Abs. 1 DSGVO und ist logisch darstellbar als Division der Gefährlichkeit des Produkts als Divisor durch den zur Umsetzung der Verkehrs sicherungspflicht zu betreibenden Sicherheitsaufwand als Quotient: Gefährlichkeit Zumutbarkeit = Sicherheitsaufwand Die Zumutbarkeit einer spezifischen Verkehrssicherungspflicht steigt demnach mit der Zunahme der Gefährlichkeit des Produkts und der Abnahme des zur Erfüllung notwendigen Sicherheitsaufwands. Dagegen sinkt die Zumutbarkeit mit der Abnahme der Gefährlichkeit des Produkts und der Zunahme des zur Erfüllung notwendigen Sicherheitsaufwands. Besteht durch die Nutzung des Produkts eine Gefahr für hochrangige Rechtsgüter wie Leben, Körper oder Gesundheit, kann auch ein höherer Sicherheitsaufwand gerechtfertigt sein.536 Ist der Sicherheitsaufwand der konkreten Verkehrssicherungspflicht dagegen gering, kann dieser auch zum Schutz lediglich geringwertiger Rechtsgüter noch zumutbar sein. (1) Bestimmung der Gefährlichkeit Unter Zugrundelegung des bereits erörterten Begriffs der Gefährlichkeit als ein Produkt aus den Faktoren Schadenshöhe (Auswirkungen) und Eintrittswahrscheinlichkeit (Exposition)537 ergibt sich als Gesamtdarstellung für die Zumutbarkeit: Schadenshöhe × Eintrittswahrscheinlichkeit Zumutbarkeit = Sicherheitsaufwand Gleichwohl ist an dieser Stelle eine Aufschlüsselung des Gefährlichkeitsbegriffs in die einzelnen Faktoren gar nicht mehr notwendig, da bereits oben jedenfalls intuitiv und exemplarisch aufgezeigt wurde, dass die Gefährlichkeit automatisierter und vernetzter UAS im Kontext von Personenverletzungen auf den Stufen „mittel“ bis „sehr hoch“ und im Kontext von Sachschäden zumindest auf den Stufen „mittel“ bis „hoch“ einzustufen sein könnte. Legt man für den weiteren Verlauf stets das Worst-Case-Szenario zugrunde, so ergibt sich, dass zur Vermeidung von Personenverletzungen auch ein „sehr hoher“ und zur Vermeidung von Sachbeschädigungen auch ein „hoher“ Sicherheitsaufwand noch zumutbar sein sollte.
536
Vgl. etwa BGH, Urt. v. 09.12.1986 – VI ZR 65/86, NJW 1987, 1009, 1011; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 23 Rn. 18 m. w. N. 537 Vgl. Ebert, Risikomanagement kompakt, S. 8. Siehe 3. Teil, Kapitel 2, B., I., 1 und 4. Teil, Kapitel 2, B., II., 3., b), aa), (1), (a).
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
223
(2) Bestimmung des Sicherheitsaufwands Fraglich ist demnach, wie hoch der Aufwand zur Entwicklung und Bereitstellung einer integrierten Produktbeobachtung tatsächlich zu bewerten ist. (a) Erforderlichkeit einer herstellerindividuellen Berücksichtigung von Ressourcen Klarzustellen ist an dieser Stelle, dass sich der Aufwand zur Umsetzung einer spezifischen Sicherheitsmaßnahme nicht pauschal für alle betreffenden Einstandsverpflichteten bewerten lässt. Denn anders als vielleicht in der Automobilbranche, in der die Verpflichteten durchgehend große und etablierte Automobilhersteller sind, existieren in der unbemannten Luftfahrt auch zahlreiche Klein- und Kleinstunternehmen bzw. Startups mit nur vereinzelten Mitarbeitern und nur wenig – teilweise aus Crowdfunding gewonnenem – Kapital. Einleuchtend dürfte sein, dass der Realisierungsaufwand spezifischer Sicherheitsvorgaben und damit die Zumutbarkeitsschwelle unter diesen Beteiligten stark variiert und daher stets nur im konkreten Einzelfall anhand einer individuellen Betrachtung der Akteure beurteilt werden kann.538 (b) Beispielhafte und intuitive Bewertung des Sicherheitsaufwands bei automatisierten und vernetzten Luft- und Straßenfahrzeugen Technisch gesehen ist zur Umsetzung der integrierten Produktbeobachtung erstens eine spezifische Firmware-Implementierung erforderlich, die die relevanten und später zu analysierenden Daten erhebt. Wie bereits gezeigt wurde, findet eine solche Datenerhebung bei automatisierten und vernetzten CPS i. d. R. aber ohnehin bereits aufgrund technischer Notwendigkeit statt, worauf der integrierte Produktbeobachtungsmechanismus (quasi als „Add-on“ bereits bestehender Prozesse) letztendlich nur noch zurückzugreifen braucht.539 Der Aufwand zur Realisierung dieser ersten Stufe der integrierten Produktbeobachtung ist daher als eher gering einzuschätzen. In einem zweiten Schritt muss der integrierte Produktbeobachtungsalgorithmus diese Daten auf etwaige Auffälligkeiten, insbesondere hinsichtlich noch unbekannter Systemfehlerereignisse, analysieren. Dabei ist davon auszugehen, dass auch der heutige Stand von Wissenschaft und Technik eine automatisierte Erkennung von Systemstörungen und anderer signifikanter Ereignisse, bspw. von Unfällen, bereits zulässt. Dies gilt insbesondere für hoch- und vollautomatisierte Straßenfahr 538
Vgl. hierzu Gomille, JZ 2016, 76, 80. Siehe 4. Teil, Kapitel 1, B., II., 1.
539
224
4. Teil: Event Data Recording und integrierte Produktbeobachtung
zeuge, für die eine automatisierte Erkennung von technischen Störungen sogar von § 63a Abs. 1 StVG vorausgesetzt wird.540 Weiterhin sieht auch § 63a Abs. 4 StVG vor, dass die nach § 63a Abs. 1 StVG gespeicherten Daten im Falle eines Ereignisses nach § 7 Absatz 1 StVG (also bei Unfällen) erst nach drei Jahren anstatt bereits nach sechs Monaten zu löschen sind, was i. d. R. ebenfalls eine automatisierte Erkennungsmöglichkeit voraussetzen dürfte.541 Tatsächlich sind heutige Kfz-Sicherheitssysteme, wie etwa eCall-, Notbrems-, Airbag-, Gurtstraffer-, ABS-, ESP- sowie Antischleudertrauma-Systeme, bereits in der Lage, entsprechende Ereignisse automatisiert zu erkennen.542 Und auch im UAS-Bereich befinden sich zahlreiche Sense-and-Avoid- sowie „Failsafe“-Systeme in der Entwicklung oder bereits im Praxiseinsatz.543 Dort, wo entsprechende Fehlererkennungsmechanismen bereits existieren oder gar rechtsverpflichtende Voraussetzung sind, dürfte der zur Realisierung der integrierten Produktbeobachtung zusätzlich zu betreibende Aufwand erneut eher gering sein. Die hierbei identifizierten, bislang unbekannten Produktfehler müssen in einem dritten Schritt an den Hersteller übermittelt werden. Dies erfordert eine Internetverbindung des automatisierten und vernetzten CPS, bestenfalls per Mobilfunk.544 Jedenfalls im Bereich des automatisierten Straßenverkehrs dürfte eine solche Vernetzung heute keine Besonderheit mehr darstellen.545 Seit Einführung des europäischen eCall-Systems kann die integrierte Produktbeobachtung dabei ohne großen Mehraufwand auch an die bestehenden Systemkomponenten ansetzen. Doch auch im automatisierten Luftverkehr befinden sich mobilfunkdatenbasierte Anwendungen bereits in Entwicklung, sodass der Realisierungsaufwand zumindest für zukünftige, ohnehin vernetzte UAS-Generationen auch hier eher moderat ausfallen sollte. Die von den verschiedenen Systemen übermittelten Fehlerberichte hat der Hersteller in einem vierten Schritt entgegenzunehmen, zu analysieren, zu verifizieren und auf Vergleichssystemen zu debuggen. Im Vergleich zu den klassischen passiven Produktbeobachtungspflichten546 wird der Hersteller hierbei zwar eine größere Anzahl an Fehlermeldungen erhalten und auswerten müssen. Dem stehen jedoch auch neuartige Möglichkeiten zur automatisierten Vorfilterung gegenüber. Vor diesem Hintergrund kann auch in diesem Handlungsschritt von einem unzumutbaren Sicherheitsaufwand keine Rede sein. 540
Siehe 4. Teil, Kapitel 1, A., II., 1. Siehe 4. Teil, Kapitel 1, A., II., 4. 542 Vgl. Balzer / Nugel, NJW 2016, 193, 193; Mielchen, SVR 2014, 81, 82; Weichert, NZV 2017, 507, 510 f.; Schmidt-Cotta, in: Hilgendorf / Hötitzsch / Lutz, Rechtliche Aspekte automatisierter Fahrzeuge, S. 80; Weber, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 83. Siehe bereits 4. Teil, Kapitel 1, B., III., 3., c), ee), (2), (b). 543 Siehe 2. Teil, Kapitel 1, D., I. „Failsafe“ ist der Name des Notfallmodus der Drohnen des Herstellers DJI, vgl. DJI, How to use DJI’s Return to Home (RTH) Safely. 544 Siehe 2. Teil, Kapitel 1, C., II und 2. Teil, Kapitel 1, D., II. 545 Siehe 2. Teil, Kapitel 1, C., II. 546 Siehe 4. Teil, Kapitel 2, B., I., 1., a). 541
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
225
Im Ergebnis dürfte der mit der integrierten Produktbeobachtung verbundene Sicherheitsaufwand insgesamt als moderat zu bewerten sein. Die an den Fund eines bislang noch unbekannten Produktfehlers anschließende Bereitstellung entsprechender Sicherheitspatches für betroffene Systeme oder Systemserien bzw. etwaige Hinweis- und Warnpflichten des Herstellers stellen dagegen keine hier zu diskutierenden Produktbeobachtungspflichten, sondern vielmehr reaktive Gefahrabwendungspflichten dar, die erst an späterer Stelle dargestellt werden sollen.547 (3) Zwischenergebnis: Zumutbarkeit Als Zwischenergebnis liegt mit den hier zugrunde gelegten Annahmen nahe, dass die Gefährlichkeit bestimmter automatisierter und vernetzter CPS den Realisierungsaufwand der integrierten Produktbeobachtung übersteigen kann. Die integrierte Produktbeobachtung wäre in diesen Fällen den Herstellern auch zumutbar.548 c) Zwischenergebnis: Integrierte Produktbeobachtung als Verkehrssicherungspflicht des Haftungsrechts Im Ergebnis lässt sich festhalten, dass die integrierte Produktbeobachtung zum Einsatz bei bestimmten automatisierten und vernetzten CPS sowohl geeignet als auch erforderlich und zumutbar sein kann. Mithin erfüllt die integrierte Produktbeobachtung alle Voraussetzungen der richterrechtlich geprägten Verkehrssicherungspflichten und ist mit der hier vertretenen Auffassung damit als neue (dritte) Generation an Produktbeobachtungspflichten anzuerkennen. 4. Verhältnis der integrierten Produktbeobachtung zur passiven und aktiven Produktbeobachtung Wird eine Rechtspflicht zur integrierten Produktbeobachtung für die Hersteller bestimmter automatisierter und vernetzter CPS demnach bejaht, stellt sich anschließend die Frage, ob diese neue Generation an Produktbeobachtungspflichten nun die bisherigen passiven und aktiven Produktbeobachtungspflichten ersetzt oder diese lediglich als zusätzliche Maßnahme ergänzt. Zur Beantwortung dieser Frage sind die verschiedenen Schutzrichtungen der passiven, aktiven und integrierten Produktbeobachtung zu betrachten. Durch die passive Produktbeobachtung soll zunächst sichergestellt werden, dass der Hersteller eine Beschwerdeannahmestelle bereithält und dass eingehenden Kun 547
Siehe 4. Teil, Kapitel 2, C. So im Ergebnis auch Droste, CCZ 2015, 105, 110; v. Bodungen / Hoffmann, NZV 2016, 503, 506. 548
226
4. Teil: Event Data Recording und integrierte Produktbeobachtung
denbeschwerden im Rahmen eines organisatorischen Beschwerdemanagements auch tatsächlich nachgegangen wird.549 Die aktive Produktbeobachtung soll dagegen dem Umstand Rechnung tragen, dass nicht alle Produktfehler auch tatsächlich von den Kunden an den Hersteller herangetragen werden. Aus diesem Grund wird der Hersteller hierbei zusätzlich verpflichtet, auch selbst nach etwaigen Fehlern seiner Produkte in öffentlich zugänglichen Quellen zu recherchieren und den für seine Produkte relevanten Stand der Wissenschaft und Technik zu verfolgen.550 Bereits an dieser Stelle ist daher festzustellen, dass auch die aktive Produktbeobachtung zu keiner Substitution der passiven Produktbeobachtung geführt hat, sondern sich beide Verkehrssicherungspflichten vielmehr komplementär ergänzen.551 Mit der zunehmenden Automatisierung und Vernetzung erscheint mit der hier vertretenen Auffassung jedoch auch diese aktive Produktbeobachtungsform nicht mehr ausreichend, um den neuartigen Risiken dieser Systeme adäquat zu begegnen.552 Die sich hieraus ergebenden Schutzlücken versucht die integrierte Produktbeobachtung zu schließen. Gleichwohl vermag die integrierte Produktbeobachtung aber nicht die Schutzrichtungen der bisherigen passiven und aktiven Produktbeobachtung vollends zu umfassen. Dies wird bereits dadurch deutlich, dass der integrierte Produktbeobachtungsalgorithmus selbst technischen Fehlern unterliegen kann, die im WorstCase-Szenario lediglich durch die passive und aktive Produktbeobachtung aufgedeckt werden können. Zu denken ist hierbei etwa an im System auftretende Fehler, die von dem integrierten Produktbeobachtungsalgorithmus nicht erkannt werden („false negatives“) oder aber umgekehrt von dem integrierten Produktbeobachtungsalgorithmus erkannte Fehler, obwohl keine Systemfehler aufgetreten sind („false positives“). Letztendlich darf nicht der paradoxe Fehler begangen werden, ein fehlendes Technikvertrauen (in automatisierte und vernetzte CPS) durch das ausschließliche Vertrauen in eine Technologie (in die Funktionsfähigkeit des integrierten Produktbeobachtungsalgorithmus) ausgleichen zu wollen. Vielmehr muss auch der integrierte Produktbeobachtungsalgorithmus seinerseits einer herstellerseitigen Beobachtung unterliegen, dessen Effektivität evaluiert sowie fortlaufend an den jeweiligen Erkenntnisstand der Technik angepasst werden muss. Im Ergebnis vermag daher auch die integrierte Produktbeobachtung nicht die passive und aktive Produktbeobachtung zu ersetzen. Vielmehr trägt diese der gesteigerten Gefährdungslage durch den Einsatz automatisierter und vernetzter CPS und den sich hieraus ergebenden Schutzlücken spiegelbildlich Rechnung. Die Pflicht 549
Siehe 4. Teil, Kapitel 2, B., I., 1., a). Siehe 4. Teil, Kapitel 2, B., I., 1., b). 551 Vgl. hierzu etwa BGH v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1607 f., der ebenfalls zu dem Ergebnis gekommen ist, dass nicht bei der passiven Produktbeobachtung „stehen geblieben werden [dürfe]“, sondern zusätzliche Pflichten zur aktiven Produktbeobachtung bestünden. 552 Siehe 4. Teil, Kapitel 2, B., II., 1. 550
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
227
zur integrierten Produktbeobachtung ist daher komplementär zu der passiven und aktiven Produktbeobachtung zu verstehen. 5. Zwischenergebnis: Integrierte Produktbeobachtung bei automatisierten und vernetzten CPS Für bestimmte automatisierte und vernetzte CPS kann mit der hier vertretenen Auffassung aus den Verkehrssicherungspflichten des Haftungsrechts eine Rechtspflicht zur integrierten Produktbeobachtung abgeleitet werden, die ergänzend zu den bisherigen Formen der passiven und aktiven Produktbeobachtung einzusetzen und fähig ist, den aufgeworfenen Unknown Causes of Trouble effektiv entgegenzuwirken. III. Ergebnis: Herstellerseitige Produktbeobachtungspflichten Passive und aktive Produktbeobachtungspflichten werden von der Rechtsprechung und dem Schrifttum bereits seit längerem unstrittig als Verkehrssicherungspflichten des Haftungsrechts anerkannt. Im Kontext automatisierter und vernetzter CPS sind diese jedoch zunehmend ungeeignet, den nach der Inverkehrgabe eines CPS noch bestehenden, bislang unbekannten Produktfehlern, also den Unknown Causes of Trouble, effektiv entgegenzuwirken. Für solche Systeme können sich aus den Verkehrssicherungspflichten des Haftungsrechts erweiterte Herstellerpflichten ergeben, die vorliegend als „integrierte Produktbeobachtungspflichten“ bezeichnet werden.
C. Herstellerseitige Gefahrabwendungspflichten An die Produktbeobachtungspflichten schließen sich bei tatsächlichem Fehlerfund Gefahrabwendungspflichten des Herstellers an, um die erkannten Produktfehler zu beseitigen oder zumindest die hiervon ausgehenden Gefahren zu minimieren. Diese Gefahrabwendungspflichten bedeuten für den Hersteller zunächst, aus bislang unbekannten Produktfehlern Rückschlüsse für die noch zu produzierenden und noch nicht in den Verkehr gebrachten Exemplare einer Produktserie zu ziehen und zu verhindern, dass weitere fehlerhafte Produkte auf dem Markt bereitgestellt werden.553 Die herstellerseitigen Gefahrabwendungspflichten erstrecken sich zum Teil aber auch auf bereits in den Verkehr gebrachte Produktexemplare, also auf solche Produkte, die sich schon beim Endnutzer befinden. Ausschließlich diese „retrospekti 553
Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 372.
228
4. Teil: Event Data Recording und integrierte Produktbeobachtung
ven“ Pflichten sollen Gegenstand der folgenden Ausführungen sein. Zu unterscheiden sind dabei insbesondere Hinweis- und Warnpflichten sowie der Produktrückruf in verschiedenen Formen. Auch im Rahmen dieser Gefahrabwendungspflichten wird dabei erneut zwischen konventionellen und vernetzten Maßnahmen zu unterscheiden sein. I. Hinweis- und Warnpflichten Als mildeste herstellerseitige Gefahrabwendungspflicht kommt zunächst in Betracht, dass der Hersteller seine Nutzer auf etwaige Produktfehler aufmerksam machen, diese also auf die Existenz eines Produktfehlers hinweisen und vor etwaigen hiervon ausgehenden Gefahren warnen muss. 1. Rechtsgrundlagen a) Hinweis- und Warnung als Verkehrssicherungspflicht des Haftungsrechts Die Ableitung von Hinweis- und Warnpflichten aus den Verkehrssicherungspflichten des Haftungsrechts ist in Literatur und Rechtsprechung unumstritten554 und kann sogar bei einem bloßen Gefahrenverdacht bereits gegeben sein.555 Liegen dem Hersteller erste Anhaltspunkte für eine von seinem Produkt ausgehende Gefahr vor, so hat er abzuwägen, ob er die Produktnutzer über das Vorliegen dieser Gefahr unter Inkaufnahme von Absatzeinbußen bereits vorab informiert oder aber eine Konkretisierung des Gefahrenverdachts weiter abwartet.556 Nicht jede entfernt liegende Möglichkeit einer Gefahr begründet demnach Hinweis- und Warnpflichten.557 In Betracht zu ziehen ist dabei stets das von dem Produktfehler ausgehende 554 Vgl. etwa BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1604; BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606; BGH, Urt. v. 10.07.1980 – III ZR 58/79, NJW 1980, 2194, 2195; BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081; BGH, Urt. v. 07.12.1993 – VI ZR 74/93, NJW 1994, 517, 518; BGH, Urt. v. 09.12.1986 – VI ZR 65/86, r+s 1987, 68, 68; OLG Naumburg, Urt. v. 08.06.2016 – 12 U 3/16, BeckRS 2016, 120857; Michalski, BB 1998, 961, 964; Hartmann, DAR 2015, 122, 124; Hartmann, BB 2012, 267, 268 f.; Gomille, JZ 2016, 76, 80; Droste, CCZ 2015, 105, 107; v. Bodungen / Hoffmann, NZV 2016, 503, 506; Ebers, in: Oppermann / Stender-Vorwachs, Autonomes Fahren, S. 114; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 373 und Rn. 311, 309 dritter Gedankenstrich; Littbarski, in: Kilian / Heussen, Computerrechts-Handbuch, Produkthaftung Rn. 88 und Rn. 90; Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 23. 555 Vgl. Spindler, NJW 2004, 3145, 3147; Dietborn / Müller, BB 2007, 2358, 2359 f.; Spindler, CR 2015, 766, 769; Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 23. 556 Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 313. 557 BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1604.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
229
Risiko.558 Bei schwerwiegenden Gefahren, insbesondere für Leben, Körper oder Gesundheit von Personen, überwiegen die Sicherheitserwartungen der Produktnutzer dann aber stets die wirtschaftlichen Interessen des Herstellers.559 In solchen Fällen hat der Hersteller i. d. R. sofort zu reagieren.560 b) Öffentlich-rechtliche Hinweis- und Warnpflichten aus dem ProdSG Spezialgesetzlich können sich Hinweis- und Warnpflichten auch aus dem ProdSG ergeben. Eine herstellerseitige Pflicht zur Unterrichtung der örtlich zuständigen Marktüberwachungsbehörden enthält dabei zunächst § 6 Abs. 4 ProdSG. Die Marktüberwachungsbehörden geben eingehende Meldungen dabei ihrerseits unverzüglich an die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin weiter. Weiterhin können die Marktüberwachungsbehörden gem. § 26 Abs. 2 Nr. 9 ProdSG auch eine Warnung der Öffentlichkeit vor den Produktrisiken anordnen oder aber selbst vornehmen. Zwar sieht auch § 6 Abs. 2 HS. 2 ProdSG vor, dass unter anderem der Hersteller Vorkehrungen für geeignete Maßnahmen zur Vermeidung von Risiken zu treffen hat, worunter gerade auch angemessene und wirksame Warnungen zu zählen sind. Zu betonen ist hierbei aber, dass § 6 Abs. 2 ProdSG dem Wortlaut nach nur zur Vornahme von „Vorkehrungen“ verpflichtet, also zur vorgelagerten Einführung eines unternehmensinternen Rückrufmanagements, nicht aber zur tatsächlichen Vornahme solcher Risikovermeidungsmaßnahmen.561 Eine darüber hinausgehende unmittelbare Pflicht des Herstellers zur Vornahme von Produktwarnungen oder anderen Maßnahmen ergibt sich nach der herrschenden Meinung dagegen nur aus den Verkehrssicherungspflichten des Haftungsrechts.562 c) Speziell: Datenschutzrechtliche Hinweis- und Warnpflichten aus der DSGVO Informationspflichten sehen weiterhin zwar auch die Art. 33 f. DSGVO vor. Während die bereits erörterten Hinweis- und Warnpflichten der Verkehrssicherungspflichten des Haftungsrechts aber der Warnung vor einer vorliegenden Ge 558 Vgl. hierzu etwa BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1604; BGH, Urt. v. 12.10.1965 – VI ZR 92/64, NJW 1966, 40, 41 m. w. N. 559 Schmidt-Salzer, Anmerkung zu BGH, Urt. v. 11.07.1972 – VI ZR 194/70, NJW 1972, 2217, 2222; BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1604. So auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 314. 560 Dietborn / Müller, BB 2007, 2358, 2359 f. 561 Kapoor, in: Klindt, ProdSG, § 6 ProdSG Rn. 47 f. 562 Kapoor, in: Klindt, ProdSG, § 6 ProdSG Rn. 48.
230
4. Teil: Event Data Recording und integrierte Produktbeobachtung
fahr und demnach gerade der Prävention von Verletzungen dienen, sehen die Art. 33 f. DSGVO lediglich anschließende Pflichten vor, nachdem sich eine Gefahr bereits realisiert hat, die Datenschutzrechte der Betroffenen also bereits verletzt worden sind. 2. Formen bisheriger und vernetzter Hinweis- und Warnpflichten Die Art und der Umfang der erforderlichen herstellerseitigen Hinweis- und Warnpflichten bestimmen sich dabei insbesondere nach dem Risiko (nach der Gefährlichkeit) das von dem erkannten Produktfehler ausgeht und nach der individuellen Erreichbarkeit der Produktnutzer. Der Hersteller hat demnach sicherzustellen, dass die Warnung jeden Produktnutzer erreicht, was neben einer individuellen Adressierung der Betroffenen etwa auch breit angelegte Warnaktionen über Rundfunk, Presse und Internet miteinschließt.563 Während eine unmittelbare Warnung der Nutzer bislang aber nur sehr aufwändig oder gar nicht durchführbar war (man denke nur daran, dass Produkte auch ohne Benachrichtigung des Herstellers an Dritte weiterverkauft werden und der Hersteller dann über gar keine Angaben zum aktuellen Produktnutzer verfügt), besteht bei der mittelbaren öffentlichen Warnung der Nutzer per Rundfunk und Presse das Problem, dass der Hersteller hierbei keinerlei Möglichkeit besitzt, festzustellen, ob alle relevanten Adressaten die Warnung vernommen haben (Fehlen eines Rückkanals) oder eine Wiederholung der Warnung erforderlich ist. Diesen Defiziten kann mit Hilfe der zunehmenden Vernetzung von IT-Systemen aber effizient begegnet werden. Hierdurch wird dem Hersteller ermöglicht, Produktwarnungen zukünftig auch unmittelbar an die betroffenen Geräte und Systeme zu übermitteln und diese den Nutzern etwa vor der nächsten Inbetriebnahme auf dem Display des Geräts anzuzeigen.564 Neben einer bloßen Warnung über das Bestehen eines noch nicht behobenen Produktfehlers kann der Hersteller auf diesem Weg auch Handlungsempfehlungen aussprechen. Zur Sicherstellung, dass die Produktwarnung von dem Produktnutzer tatsächlich zur Kenntnis genommen wurde, bietet sich hierbei an, die Warnung mit einer Bestätigungsschaltfläche zu versehen, die der Nutzer vor der Inbetriebnahme des Systems betätigen muss. Die erfolgte Bestätigung der Kenntnisnahme wird sodann dem Hersteller übermittelt, der dies (auch zur Sicherstellung einer späteren Beweisbarkeit) auf seinen Servern protokollieren kann.565
563 Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 23; Michalski, BB 1998, 961, 964. 564 So auch bereits Hartmann, DAR 2015, 122, 124 f.; Brüggemann, AnwZert ITR 20/2015, Anm. 2. 565 Da hierbei auch personenbezogene Daten verarbeitet werden, ist auf eine datenschutzkonforme Ausgestaltung zu achten.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
231
3. Speziell: Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber Hält man sich das besondere Risikopotenzial von Soft- und Hardwarefehlern in automatisierten und vernetzten Luft- und Straßenfahrzeugen vor Augen, stellt sich die Frage, ob bei solchen CPS eine Verpflichtung zur Meldung sicherheitskritischer Produktfehler nicht auch unter den Herstellern bestehen könnte. Insofern könnte ein Hersteller verpflichtet sein, neue und besonders sicherheitskritische Erkenntnisse auch seinen Mitbewerbern zur Verfügung zu stellen, sodass etwaige Schwachstellen in den Produkten schnellstmöglich marktübergreifend beseitigt werden können. Eine solche herstellerübergreifende Pflicht des „Teilens sicherheitskritischer Erkenntnisse“ („Teilenspflicht“) könnte jedenfalls für solche Produktfehler in Betracht kommen, die nicht auf eine konkrete Produktserie eines einzelnen Herstellers beschränkt sind, sondern herstellerübergreifende Relevanz für die gesamte Produktgattung haben (bspw. für alle Systeme, die ein bestimmtes Verfahren anwenden oder eine bestimmte Komponente verbaut haben). Auch eine vom BMVI in Auftrag gegebene Studie erkennt den Mehrwert eines solchen „Private Open Data“-Systems, lehnt eine regulatorische Pflicht bislang aber ab und setzt mehr auf ein Anreizsystem.566 a) Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber aus dem ProdSG § 6 Abs. 2, Abs. 3 Nr. 3, Abs. 4 ProdSG enthält zwar lediglich Hinweispflichten an die gefährdeten Produktnutzer, die Händler sowie die Marktüberwachungsbehörden, nicht aber unmittelbar an die Mitbewerber. Wird ein Hersteller nach § 6 Abs. 4 ProdSG aber zur Meldung an eine örtlich zuständige Marktüberwachungsbehörde verpflichtet, ist diese ihrerseits wiederum verpflichtet, unverzüglich die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin über den Sachverhalt und etwaige Rückrufe zu unterrichten. Der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin stehen dann gem. § 31 ProdSG auch Befugnisse zur Veröffent lichung sicherheitsrelevanter Informationen zur Verfügung. Diese veröffentlichten Informationen müssen schließlich von den Mitbewerbern im Rahmen ihrer aktiven Produktbeobachtungspflichten (hier im Rahmen der Verpflichtung zur Beobachtung von Mitbewerbern567) wahrgenommen werden, sodass auf diesem Wege zu-
566
Denker / Goeble / Graudenz u. a., „Eigentumsordnung“ für Mobilitätsdaten?, S. 82 und S. 116 ff. 567 Vgl. hierzu BGH, Urt. v. 17.10.1989 – VI ZR 258/88, NJW 1990, 906, 908; Kunz, BB 1994, 450, 450; Droste, CCZ 2015, 105, 106 f.; Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 20; Gregor, in: Dombert / Witt, Münchener Anwaltshandbuch Agrarrecht, § 18 Rn. 207; Wellner, in: Geigel, Haftpflichtprozess, 14. Kapitel Rn. 290.
232
4. Teil: Event Data Recording und integrierte Produktbeobachtung
mindest eine (wenn auch unfreiwillige) mittelbare herstellerübergreifende Meldung sicherheitskritischer Erkenntnisse bejaht werden kann. b) Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber als Verkehrssicherungspflicht Auch den Verkehrssicherungspflichten des Haftungsrechts ist eine solche mitbewerberübergreifende Informationspflicht zwar nicht unbekannt. So hat der BGH bereits im Jahre 1981 entschieden, dass ein Warenhersteller im Rahmen der Produktbeobachtung auch gehalten ist, die Produktentwicklungen der wichtigsten Mitbewerber zu beobachten.568 Weiterhin sind auch Wechselwirkungen der eigenen Produkte in der Kombination mit Produkten anderer Hersteller zu prüfen und zu berücksichtigen.569 Hierin ist gleichwohl aber keine reaktive „Teilenspflicht“ desjenigen Herstellers zu sehen, bei dem ein sicherheitskritischer Fehler aufgetreten ist. Vielmehr handelt es sich hierbei lediglich um eine Erweiterung der Produktbeobachtungspflichten der übrigen Mitbewerber. Die Hersteller werden demnach zwar zur Beobachtung sicherheitskritischer Entwicklungen ihrer Mitbewerber verpflichtet, nicht aber dazu, die Mitbewerber über eigene sicherheitskritische Fehler auch aktiv zu informieren. Die reaktiven Hinweis- und Warnpflichten der Hersteller erstrecken sich dagegen regelmäßig lediglich auf die gefährdeten und beteiligten Verkehrsteilnehmer selbst (i. d. R. Produktnutzer, Händler, sonstige Vertriebspersonen), nicht aber auf etwaige Mitbewerber.570 4. Zwischenergebnis: Hinweis- und Warnpflichten Reaktive Hinweis- und Warnpflichten des Herstellers ergeben sich insbesondere erneut aus den Verkehrssicherungspflichten des Haftungsrechts. Zur Anwendung kann dabei sowohl eine unmittelbare Warnung der einzelnen betroffenen Produktnutzer als auch eine mittelbare allgemeine Öffentlichkeitswarnung kommen. Aus der Vernetzung von IT ergeben sich hierfür zukünftig völlig neuartige Möglich
568 BGH, Urt. v. 17.10.1989 – VI ZR 258/88, NJW 1990, 906, 908; Kunz, BB 1994, 450, 450; Droste, CCZ 2015, 105, 106 f.; Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 20; Gregor, in: Dombert / Witt, Münchener Anwaltshandbuch Agrarrecht, § 18 Rn. 207; Wellner, in: Geigel, Haftpflichtprozess, 14. Kapitel Rn. 290. Kritisch v. Bodungen, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 381. 569 BGH, Urt. v. 09.12.1986 – VI ZR 65/86, GRUR 1987, 191, 193; hierzu Hartmann, BB 2012, 267, 268; Droste, CCZ 2015, 105, 106; Ebers, in: Oppermann / Stender-Vorwachs, Autonomes Fahren, S. 114. Kritisch hierzu aber Spindler, CR 2015, 766, 769. 570 Veltins, in: Hauschka / Moosmayer / Lösler, Corporate Compliance, § 24 Rn. 23. So im Ergebnis auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 317 f.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
233
keiten. Eine herstellerübergreifende Pflicht des „Teilens sicherheitskritischer Erkenntnisse“ ist derzeit dagegen nicht ersichtlich. II. Produktrückruf und weitere Pflichten Während mit den reaktiven Hinweis- und Warnpflichten die Produktnutzer bereits umfassend über vorliegende Produktfehler und Produktgefahren informiert werden können, läge es anschließend zunächst bei diesen, diese Warnungen auch ernst zu nehmen und etwaige Konsequenzen, etwa die Vornahme einer Reparatur oder aber die Stilllegung des Produkts, tatsächlich zu ziehen.571 Gerade dann, wenn die Kosten einer Nachbesserung oder des Nutzungsausfalls aber der Produktnutzer selbst zu tragen hat, bleiben die vom Hersteller ausgesprochenen Warnungen aber nicht selten unberücksichtigt. Hieran setzt der Produktrückruf, also das herstellerseitige „Versprechen kosten loser Abhilfe“572, an. Der Begriff des „Produktrückrufs“ wird dabei oft (mit Ausnahme des engen Begriffsverständnisses im öffentlich-rechtlichen Produktsicherheitsrecht) als Sammelbegriff für eine Vielzahl reaktiver Maßnahmen herangezogen, wobei die finale Rückgabe des Produkts an den Hersteller, der Ersatz des fehlerbehafteten Produkts gegen ein fehlerbereinigtes Produktexemplar sowie die Vornahme einer Produktnachbesserung die geläufigsten Formen sind.573 Zu berücksichtigen ist dabei, dass der hier dargestellte öffentlich-rechtliche oder haftungsrechtliche Produktrückruf stets parallel zu etwaigen vertraglichen Gewährleistungsrechten läuft und daher auch dann (noch) gegeben sein kann, wenn die vertraglichen Leistungsansprüche ausgeschlossen oder bereits verjährt sind.574 Dies kann zu einer Aushöhlung der Grenzen des vertraglichen Gewährleistungsrechts führen,575 sodass der Umfang verpflichtender Produktrückrufpflichten im Zweifel eher restriktiv zu bewerten ist. 1. Öffentlich-rechtliche Rückrufpflichten aus dem ProdSG Spezialgesetzlich können sich Produktrückrufpflichten erneut aus § 26 Abs. 2 lit. 7 ProdSG ergeben, wonach die Marktüberwachungsbehörde die Rücknahme oder den Rückruf eines auf dem Markt bereitgestellten Produkts anordnen kann. 571
Hierzu auch Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 326. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 326. 573 Auch nach Lüftenegger, DAR 2016, 122, 122 sei der Rückrufbegriff ein „Sammelbegriff für Maßnahmen […], bei denen auf ein bereits in den Verkehr gebrachtes Produkt eingewirkt wird“. 574 Vgl. Thürmann, NVersZ 1999, 145, 146; Pieper, BB 1991, 985, 987, der aber auch die Hinweis- und Warnpflichten unter den Begriff des Rückrufs fasst. 575 Hierzu Spindler, NJW 2004, 3145, 3148. 572
234
4. Teil: Event Data Recording und integrierte Produktbeobachtung
Der der Marktüberwachungsbehörde hierbei eingeräumte Ermessensspielraum wird gem. § 26 Abs. 4 ProdSG dann aufgehoben, wenn mit dem Produktfehler ein ernstes Risiko, insbesondere für die Sicherheit und Gesundheit von Personen, verbunden ist. In diesen Fällen kann die Marktüberwachungsbehörde eine Rücknahme oder einen Rückruf nicht nur anordnen, sie ist hierzu sogar verpflichtet. Die Kosten eines so angeordneten Produktrückrufs hat dabei der Adressat der Maßnahme, i. d. R. also der Hersteller, zu tragen,576 was für diesen einen enormen finanziellen Aufwand erfordern kann. Gleichwohl wird der Produktrückruf im Rahmen der produktsicherheitsrechtlichen Begriffsdefinition aus § 2 Nr. 25 ProdSG lediglich als „Maßnahme, die darauf abzielt, die Rückgabe eines dem Endverbraucher bereitgestellten Produkts zu erwirken“ definiert, sodass als Ziel des Produktrückrufs hierbei nur die Rückgabe des Produkts an den Hersteller anerkannt ist.577 Zu etwaigen Ersatzbeschaffungen, Umbauten, Nachrüstungen oder Reparaturen ist der Hersteller im Rahmen der öffentlich-rechtlichen Pflichten des ProdSG damit nicht verpflichtet.578 Die Begriffsdefinition des § 2 Nr. 25 ProdSG knüpft dabei an § 2 Nr. 17 des früheren Geräteund Produktsicherheitsgesetz (GPSG) an, der seinerseits wiederum auf Art. 2 lit. g der europäischen allgemeinen Produktsicherheitsrichtlinie (RL 2001/95/EG)579 aus dem Jahr 2001 zurückgeht.580 Der in dem damaligen Richtlinienentwurf zunächst vorgesehene Passus, dass der Rückruf auch der Vornahme eines Umtauschs oder einer Instandsetzung diene, wurde bewusst nicht umgesetzt, da etwaige Sachmängelrechte dem Zivilrecht vorbehalten bleiben sollten.581 Im Rahmen des produkt sicherheitsrechtlichen Produktrückrufs hat der Hersteller daher lediglich die Kosten des logistischen Aufwands der Produktrückgabe zu tragen.582 Bezüglich einer ergänzenden öffentlich-rechtlichen Rückrufpflicht aus § 6 Abs. 2 HS. 2 ProdSG ist nochmals darauf hinzuweisen, dass der Hersteller hierbei nur zur Vornahme von, einem späteren Rückruf zeitlich vorgelagerten, „Vorkehrungen“, nicht aber zur späteren tatsächlichen Vornahme des Rückrufs verpflichtet wird.583 2. Produktrückruf als Verkehrssicherungspflicht des Haftungsrechts Ob ein Hersteller aus den Verkehrssicherungspflichten des Haftungsrechts zum für die Produktnutzer kostenfreien Rückruf der bereits in den Verkehr gebrachten Produkte verpflichtet ist, ist im juristischen Schrifttum aus Gründen der bereits 576
Lüftenegger, DAR 2016, 122, 123; Schucht, in: Klindt, ProdSG, § 26 ProdSG Rn. 158. Vgl. Lüftenegger, DAR 2016, 122, 125; Schucht, in: Klindt, ProdSG, § 26 ProdSG Rn. 166. 578 Vgl. Lüftenegger, DAR 2016, 122, 125; Schucht, in: Klindt, ProdSG, § 26 ProdSG Rn. 166. 579 Richtlinie v. 03.12.2001, ABl. 2002 L 11, 4. 580 Klindt / Schucht, in: Klindt, ProdSG, § 2 ProdSG Rn. 175. 581 Schucht, in: Klindt, ProdSG, § 26 ProdSG Rn. 166. 582 Lüftenegger, DAR 2016, 122, 125. 583 Kapoor, in: Klindt, ProdSG, § 6 ProdSG Rn. 47 f. Siehe 4. Teil, Kapitel 2, C., I., 1., b). 577
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
235
dargestellten Gefahr der Aushöhlung der Grenzen vertraglicher Gewährleistungsrechte äußerst umstritten. Diese Gefahr ist hier insbesondere deswegen gegeben, da, anders als im Rahmen des § 26 Abs. 2 lit. 7 ProdSG, in diesem Kontext unter den Begriff des Produktrückrufs neben der Möglichkeit der Rückgabe des Produkts an den Hersteller oftmals auch ein Produktaustausch gegen fehlerbereinigte Neuware oder aber eine Produktnachbesserung gefasst werden.584 Das Spektrum unterschiedlichster Auffassungen enthält dabei generell bejahende,585 restriktiv-bejahende586 sowie mit Verweis auf die Möglichkeit von Hinweis- und Warnpflichten generell ablehnende Haltungen.587 Selbst wenn man aber der Auffassung folgen möchte, dass eine generelle Herstellerpflicht zum Produktrückruf zu bejahen ist, werden die Meinungsstreitigkeiten bei der Frage nach der Reichweite sowie der Art und Weise der vorzunehmenden Maßnahmen fortgesetzt. Zur Streitentscheidung ist mit der hier vertretenen Auffassung dabei erneut auf die bereits dargestellten Kriterien der Geeignetheit, Erforderlichkeit und Zumut barkeit (hier Angemessenheit als Verhältnismäßigkeit i. e. S.) abzustellen, die auch im Rahmen der Gefahrabwendungspflichten den Umfang der zu treffenden Verkehrssicherungspflichten vorgeben.588 Zudem ist die im juristischen Schrifttum umstrittene Frage zu klären, ob ein Produktrückruf nur bei vorgelagerter Pflichtverletzung des Herstellers in Betracht kommt. a) Vorgelagerte Pflichtverletzung als Voraussetzung Nach einer weit verbreiteten Auffassung im Schrifttum sollen etwaige Rückrufpflichten des Herstellers nur dann gegeben sein, wenn der Hersteller im Zeitpunkt der Inverkehrgabe des Produkts bereits sorgfaltswidrig gehandelt hat.589 Dies wäre insbesondere dann der Fall, wenn zu diesem Zeitpunkt bereits gegen Konstruk tions-, Fabrikations- oder Instruktionspflichten verstoßen wurde. Bei den hier diskutierten Unknown Causes of Trouble wäre dies nur dann der Fall, wenn die unbekannten Produktfehler nach dem Stand der Wissenschaft und Technik zum Zeitpunkt der Inverkehrgabe des Produkts bereits hätten erkannt werden können. I.d.R. wird es bei den Unknown Causes of Trouble aber gerade um solche Fehler
584
Vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 330. Vgl. BGH, Urt. v. 06.07.1990 – 2 StR 549/89, NJW 1990, 2560. 586 Spindler, NJW 2004, 3145, 3148 und Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 662 ff. der Rückrufpflichten insbesondere bei Vorliegens schwerer Gefahren bejaht. 587 So auch OLG Frankfurt, Urt. v. 13.11.1990 – 5 U 114/89, BB 1991, 2248, 2250; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 331 und Rn. 332 m. w. N. 588 Vgl. Michalski, BB 1998, 961, 963 f. 589 Vgl. Wagner, in: MüKo BGB, § 823 BGB Rn. 851; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 341. 585
236
4. Teil: Event Data Recording und integrierte Produktbeobachtung
gehen, die sich erst im Praxiseinsatz zeigen, deren Vorhandensein bei der Inverkehrgabe des Produkts also nicht pflichtwidrig war.590 Das Argument der Befürworter dieser Auffassung ist, dass ohne vorgelagerte Pflichtverletzung der Unrechtstatbestand des § 823 Abs. 1 BGB nicht erfüllt sein könne (Rechtswidrigkeit als haftungsbegründende Voraussetzung), sodass sich hieraus auch keine Rückrufpflichten ergeben könnten.591 Mit der hier vertretenen Auffassung werden dabei die Produktrückrufpflichten aber dogmatisch falsch verortet. Denn eine Pflicht zum Produktrückruf stellt gerade nicht die Rechtsfolge einer vorangegangenen rechtswidrigen Verletzung von Verkehrssicherungspflichten dar, sondern ist selbst als Verkehrssicherungspflicht („Gefahrabwendungspflichten“ als Unterfall der Verkehrssicherungspflichten) einzuordnen, die bei rechtswidriger Nichtbeachtung zu Schadensersatz führen kann.592 Produktrückrufpflichten werden demnach mittelbar (da sich Schadensersatzansprüche bei deren Nichtbeachtung ergeben können) auf der Ebene der Haftungsbegründung hergeleitet, nicht aber auf der Ebene der Haftungsausfüllung als Konsequenz einer Ingerenz-ähnlichen vorgelagerten Verletzung von Verkehrssicherungspflichten. Dies wird bereits dadurch belegt, dass auch die unstrittig anerkannten reaktiven Hinweis- und Warnpflichten eine Ausprägung der Verkehrssicherungspflichten darstellen und nicht etwa Rechtsfolgen etwaiger vorgelagerter Pflichtverletzungen.593 Richtigerweise darf das Bestehen von Rückrufpflichten demnach nicht daran festgemacht werden, ob dem Fehlerfund eine Pflichtverletzung vorangegangen ist. b) Geeignetheit Im Rahmen der Geeignetheit des Produktrückrufs ist dabei schnell festzustellen, dass durch etwaige, für den Produktnutzer kostenlose Maßnahmen eine erhöhte Produktrücklaufquote erreicht und eine große Anzahl fehlerbehafteter Produkt exemplare vom Markt genommen oder nachgebessert werden kann. Gerade „nachlässige, verantwortungsschwache, schlicht strukturierte oder geizige Menschen“594, die als eine der Hauptursachen für gescheiterte Produkthinweis- und Produktwarnkampagnen gelten dürften, dürften hierdurch besser angesprochen und zu einem Han-
590
Vgl. hierzu BGH, Urt. v. 17.03.1981 – VI ZR 191/79, NJW 1981, 1603, 1606; BGH, Urt. v. 17.03.1981 – VI ZR 286/78, NJW 1981, 1606, 1608; Littbarski, in: Kilian / Heussen, Computerrechts-Handbuch, Produkthaftung Rn. 53. 591 So wohl Wagner, in: MüKo BGB, § 823 BGB Rn. 851. 592 So wohl auch Michalski, BB 1998, 961, 964, der davon ausgeht, dass mit dem Produktrückruf eine eigenständige Haftungskategorie geschaffen worden ist. A. A. Dietborn / Müller, BB 2007, 2358, 2359. 593 Vgl. LG Frankfurt, Urt. v. 01.08.2006 – 2–19 O 429/04, BeckRS 2008, 02795. 594 Kettler, PHI 2008, 52, 59.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
237
deln bewegt werden.595 Spätestens bei dem Versprechen, alte fehlerhafte Produkte durch neue fehlerfreie Produkte kostenlos auszutauschen, sollten entsprechende Rückrufaktionen aber allgemein auf große Resonanz und Teilnahmefreudigkeit stoßen. c) Erforderlichkeit Im Rahmen der Erforderlichkeit des Produktrückrufs ist weiter jedoch fraglich, ob der Zweck, die von fehlerhaften Produkten ausgehenden Gefahren zu beseitigen oder zumindest zu reduzieren, nicht auch durch alternative, mildere Maßnahmen erreicht werden kann. Hierfür kommen insbesondere die bereits erörterten her stellerseitigen Hinweis- und Warnpflichten (ggf. in Verbindung mit der herstellerseitigen Aufforderung zur Nichtbenutzung oder Stilllegung des Produkts596) in Betracht. Durch eine entsprechende Benachrichtigung der betroffenen Produktnutzer oder durch eine Information der Allgemeinheit können die Betroffenen insofern regelmäßig selbst in die Lage versetzt werden, sich vor den spezifischen Produktgefahren zu schützen (bspw. durch Vornahme einer Reparatur oder durch Stilllegung des Produkts).597 Nach dem BGH soll dies selbst in den Fällen erheblicher Produkt gefahren als ausreichend gelten.598 Ist ein solcher Selbstschutz der Produktnutzer durch Hinweise und Warnungen dagegen nicht umfassend möglich, stellen sich die herstellerseitigen Hinweis- und Warnpflichten im konkreten Einzelfall also als unzureichend dar, dürfte in diesen Fällen die Erforderlichkeit darüber hinausgehender Rückrufpflichten dagegen zu bejahen sein.599 Dies kann etwa dann der Fall sein, wenn mit den Hinweisen und Warnungen nicht jeder von dem Produkt Gefährdete erreicht werden kann oder wenn anzunehmen ist, dass manche Betroffene die von dem Hersteller herausgegebenen Hinweise und Warnungen nicht verstehen werden600 bzw. dass es diesen aus anderen Gründen nicht ausreichend möglich sein wird, die von dem Produkt ausgehenden Gefahren adäquat einzuschätzen und ihr Verhalten daran entsprechend auszurichten.601 Nach einer äußerst weitreichenden Auffassung soll dies selbst dann gelten, 595
Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 326. Vgl. hierzu LG Frankfurt, Urt. v. 01.08.2006 – 2–19 O 429/04, BeckRS 2008, 02795. 597 So auch OLG Frankfurt, Urt. v. 13.11.1990 – 5 U 114/89, BB 1991, 2248, 2250; Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 662; Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 331 und Rn. 332 m. w. N. 598 BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081 m. w. N. 599 So auch BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081; OLG München, Urt. v. 18.02.1998 – 7 U 6173–95, NJW-RR 1999, 1657, 1658; Thürmann, NVersZ 1999, 145, 146; äußerst restriktiv aber Spindler, NJW 2004, 3145, 3148; Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 662 f. 600 Etwa wenn Kinder betroffen sind, vgl. Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 335. 601 Vgl. BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081. 596
238
4. Teil: Event Data Recording und integrierte Produktbeobachtung
wenn davon auszugehen ist, dass sich Produktnutzer absichtlich über Produktwarnungen und herstellerseitige Nutzungsuntersagungen hinwegsetzen werden.602 Gerade im Rahmen automatisierter und vernetzter Luft- und Straßenfahrzeuge dürfte der Wirkungsradius eines sicherheitskritischen Produktfehlers nie auf den konkreten Produktnutzer beschränkt sein, sondern sich vielmehr stets auch auf unbeteiligte Passanten erstrecken.603 Dass bei solchen Systemen erweiterte herstellerseitige Produktrückrufpflichten vorliegen, kann daher vorliegend nicht ausgeschlossen werden. d) Zumutbarkeit Als Zwischenergebnis lässt sich festhalten, dass mit der hier vertretenen Auffassung dann auch erweiterte herstellerseitige Produktrückrufpflichten in Betracht kommen, wenn die herstellerseitigen Hinweis- und Warnpflichten im konkreten Einzelfall zur Gefahrenprävention nicht ausreichend sind. Neben der Geeignetheit und Erforderlichkeit muss die zur Begegnung einer spezifischen Produktgefahr getroffene Rückrufmaßnahme zudem aber auch zumutbar sein.604 Generell steht dabei dem Hersteller die Dispositionsfreiheit darüber zu, wie er die bestehende Produktgefahr beseitigen möchte.605 aa) Formen bisheriger und vernetzter Produktrückrufpflichten Neben der finalen und ersatzlosen Rückgabe des Produkts an den Hersteller oder dem Ersatz des fehlerbehafteten Produkts gegen ein fehlerbereinigtes Produkt exemplar kommt als Rückrufmaßnahme etwa auch die Vornahme einer Produktnachbesserung, also einer Reparatur, in Betracht.606 Durch die zunehmende Vernetzung von CPS sind zukünftig aber auch neuartige, vernetzte Produktrückrufformen denkbar, wie etwa die Bereitstellung von Sicherheitsupdates („Patches“) für reine Softwarefehler607 oder aber die herstellerseitige Fernsperrung des Produkts als eine Art repressive Stilllegungs-„aufforderung“ bei schwerwiegenden sicherheitskritischen Produktfehlern. 602 Vgl. BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081; offenlassend OLG Frankfurt, Urt. v. 13.11.1990 – 5 U 114/89, BB 1991, 2248, 2250. Ablehnend aber etwa LG Frankfurt, Urt. v. 01.08.2006 – 2–19 O 429/04, BeckRS 2008, 02795; Wagner, in: MüKo BGB, § 823 BGB Rn. 854. 603 Bei der Gefährdung Dritter aber generell ablehnend Klindt, BB 2009, 792, 794. 604 Vgl. BGH, Urt. v. 17.10.1989 – VI ZR 258/88, NJW 1990, 906, 907 m. w. N.; Raue, NJW 2017, 1841, 1842 ff. 605 Wagner, in: MüKo BGB, § 823 BGB Rn. 854. 606 Vgl. Lüftenegger, DAR 2016, 122, 122. 607 Vgl. Gomille, JZ 2016, 76, 80.
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
239
Bezüglich der Auswahl zumutbarer Rückrufpflichten ist dabei stets fraglich, ob hierdurch nur die Gefahr selbst, ggf. unter Vernichtung oder Stilllegung des Produkts, beseitigt werden muss („Integritätsinteresse“) oder aber der Kunde auch einen Anspruch auf Fehlerbereinigung, also auf Nachbesserung („Äquivalenzinteresse“) hat.608 Nach einer weiten Auffassung schuldet der Hersteller dabei nicht nur eine Gefahrenbeseitigung, sondern auch eine Fehlerbereinigung („Äquivalenzinteresse“).609 Der Hersteller soll hiernach also auch dazu verpflichtet sein, das Produkt zu reparieren, fehlerbehaftete Teile auszutauschen oder aber das gesamte Produkt gegen ein fehlerfreies Produkt zu ersetzen. Von dieser Auffassung wird unter anderem der Grundsatz der Naturalrestitution aus § 249 Abs. 1 BGB herangezogen, nach dem der Kunde so zu stellen ist, als wäre das Produkt niemals fehlerbehaftet gewesen.610 Nach einer anderen Auffassung umfasse die herstellerseitige Produktrückrufpflicht, vergleichbar zu § 26 Abs. 2 lit. 7 ProdSG, dagegen lediglich die Rücknahme des Produkts ohne den Austausch gegen ein fehlerfreies Produkt, bzw. nur den Ausbau des fehlerhaften, nicht aber die Kosten für den Einbau eines fehlerfreien Teils („Integritätsinteresse“).611 Geschuldet sei demnach gerade keine Nachrüstung oder Reparatur. Als Argument wird dabei angeführt, dass der Hersteller nur verpflichtet sei, dafür Sorge zu tragen, dass die von dem fehlerhaften Produkt ausgehenden Gefahren möglichst effektiv beseitigt werden.612 Etwaige über den reinen Integritätsschutz hinausgehende Ansprüche würden dagegen zu einer Aushöhlung der vertragsrechtlich zugesicherten Gewährleistungsrechte führen.613 Mit der hier vertretenen Auffassung ist dabei der letzteren Ansicht zu folgen. Der Produktrückruf als eine aus den haftungsrechtlichen Verkehrssicherungspflichten abgeleitete Verpflichtung dient lediglich dem Schutz der etwa in § 823 Abs. 1 BGB genannten absoluten Rechte und Rechtsgüter, also insbesondere der Integrität des Lebens, des Körpers, der Gesundheit sowie des Eigentums und des Besitzes (daher auch „Gefahrabwendungspflichten“).614 Die lediglich relativ wirkenden vertrag 608
Vgl. hierzu Spindler, CR 2015, 766, 768. Vgl. LG Hamburg, Urt. v. 21.07.1992 – 403 O 128/91, VersR 1994, 299; Hierzu Dietborn / Müller, BB 2007, 2358, 2360 m. w. N. 610 Vgl. LG Hamburg, Urt. v. 21.07.1992 – 403 O 128/91, VersR 1994, 299; Hierzu Dietborn / Müller, BB 2007, 2358, 2360. 611 So etwa BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081 f.; OLG Stuttgart, Urt. v. 29.07.1966 – 10 U 1/66, NJW 1967, 572, 573; OLG Düsseldorf, Urt. v. 31.05.1996 – 22 U 13/96, NJW-RR 1997, 1344, 1346; Spindler, in: Gsell / Krüger / Lorenz / Reymann, BeckOGK, § 823 BGB Rn. 665. 612 Vgl. BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081 f.; LG Frankfurt, Urt. v. 01.08.2006 – 2–19 O 429/04, BeckRS 2008, 02795; Spindler, NJW 2004, 3145, 3148; Thürmann, NVersZ 1999, 145, 146. 613 Vgl. BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1082; LG Frankfurt, Urt. v. 01.08.2006 – 2–19 O 429/04, BeckRS 2008, 02795 m. w. N.; Rockstroh / Kunkel, MMR 2017, 77, 81; Spindler, NJW 2004, 3145, 3148; Faust, JuS 2009, 377, 378. 614 So auch BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1082. 609
240
4. Teil: Event Data Recording und integrierte Produktbeobachtung
lichen Leistungsansprüche des Kunden sind dagegen nicht Gegenstand der von § 823 Abs. 1 BGB erfassten (absoluten) Rechte und Rechtsgüter und damit ebenfalls nicht von etwaigen Rückrufpflichten umfasst.615 Die vertragsrechtlichen Gewährleistungsrechte etwa aus den §§ 437 ff. BGB unterliegen vielmehr Einschränkungen (etwa die regelmäßige Verjährung der Ansprüche bereits nach zwei Jahren gem. § 438 Abs. 1 Nr. 3 BGB), die durch ein verkehrssicherungsrechtlich geschütztes Äquivalenzinteresse ausgehöhlt werden würden. Der Produktrückrufanspruch ist damit vergleichbar mit einem Beseitigungsanspruch aus § 1004 Abs. 1 BGB,616 der ebenfalls lediglich auf die Abwehr eines drohenden Schadens gerichtet ist. Dieser Auffassung ist letztendlich auch aus dem Grund zu folgen, da die Heranziehung des Grundsatzes der Naturalrestitution aus § 249 Abs. 1 BGB mit der hier vertretenen Auffassung dogmatisch inkorrekt ist: Die Pflicht zum Produktrückruf ist gerade nicht haftungsausfüllende Rechtsfolge einer vorangegangenen Pflichtverletzung, sondern selbst haftungsbegründende Verkehrssicherungspflicht („Gefahrabwendungspflichten“ als Unterfall der Verkehrssicherungspflichten), die bei Zuwiderhandlung als Rechtsfolge zu Schadensersatz nach den §§ 249 ff. BGB führen kann.617 Zusammenfassend ist der Hersteller zwar verpflichtet, den Kunden vor einer Verletzung seiner Rechte oder Rechtsgüter durch fehlerhafte Produkte zu schützen („Integritätsinteresse“). Ein Anspruch auf Austausch oder Reparatur fehlerhafter Komponenten („Äquivalenzinteresse“) kann mit der hier vertretenen Auffassung dagegen aber nicht aus den Verkehrssicherungspflichten abgeleitet werden.618 bb) Speziell: Pflicht zur Bereitstellung von Sicherheitsupdates Diese restriktive Auffassung könnte hinsichtlich der Bereitstellung von Sicherheitsupdates zu relativieren sein.619 Zwar sind auch softwarebasierte Sicherheitsupdates, neben der Beseitigung der Produktgefahr, primär auf die Möglichkeit der Weiterverwendung des Produkts und damit auf den Schutz des Äquivalenzinteresses ausgerichtet. Anders als bei Produktrückrufkampagnen aufgrund von Hardwarefehlern, also bei Gefahrabwendungsmaßnahmen, die den Austausch von Produktkomponenten oder eine Reparatur zum Gegenstand haben, macht es bei Softwareupdates i. d. R. kostentechnisch aber kaum einen Unterschied, ob der Hersteller das Update allen Kunden einer bestimmten Produktserie bereitstellt oder nur 615
So auch BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1082. In diesem Kontext auch OLG Stuttgart, Urt. v. 29.07.1966 – 10 U 1/66, NJW 1967, 572; Spindler, CR 2015, 766, 770. 617 Siehe 4. Teil, Kapitel 2, C., II., 2., a). 618 So auch Spindler, NJW 2004, 3145, 3148. 619 Vgl. hierzu auch Raue, NJW 2017, 1841, 1844; v. Bodungen / Hoffmann, NZV 2016, 503, 506; Gomille, JZ 2016, 76, 81; Borges, CR 2016, 272, 276; kritisch Spindler, CR 2005, 741, 743; Spindler, CR 2015, 766, 770. Zu den zulassungs- und versicherungsrechtlichen Aspekten von Änderungen in der Fahrzeugsoftware aufgrund von Firmwareupdates vgl. Solmecke / Jockisch, MMR 2016, 359. 616
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
241
denjenigen, denen ein solcher Anspruch tatsächlich aufgrund von etwa Garantien oder Gewährleistungsrechten620 zusteht.621 Überwiegender Kostenfaktor bei der Bereitstellung von Sicherheitsupdates ist insofern die Entwicklung des Updates, also der Programmier- und Testaufwand, nicht aber das Ausrollen des Updates an die Nutzer. Bereits dann, wenn also nur einem einzigen Kunden ein Rechtsanspruch auf die Versorgung mit Sicherheitsupdates zusteht, stellt sich der zusätzlich zu betreibende Zeit-, Personal- und Kostenaufwand, um alle Kunden der Produktserie mit dem Update zu versorgen, wohl als eher gering dar. Dies wird nochmals dadurch unterstrichen, dass mit dem oben Festgestellten auch diesen übrigen Kunden zumindest integritätssichernde Ansprüche zustehen, der Hersteller auch diesen Kunden gegenüber also nicht untätig bleiben darf, sondern zumindest Maßnahmen zur Risikominimierung treffen muss. In diesem Kontext wird es für den Hersteller oftmals sogar kostengünstiger sein, Äquivalenzinteressen und Integritätsinteressen mit nur einem Aufwand zu befriedigen. Nichtsdestotrotz ergibt sich aus den haftungsrechtlichen Verkehrssicherungspflichten mit der hier vertretenen Auffassung keine herstellerseitige Pflicht zur Bereitstellung von Sicherheitsupdates. Grund hierfür ist, dass obgleich des geringen Zusatzaufwands, um alle Kunden mit einem Update zu versorgen, die strikte Trennung zwischen Äquivalenzinteressen (geschützt durch das Vertragsrecht) und Integritätsinteressen (unter anderem geschützt durch die Verkehrssicherungspflichten des Haftungsrechts) konsequent einzuhalten ist.622 Alles andere würde zu der bereits erörterten Aushöhlung der vertraglichen Gewährleistungsrechte führen. Erklärt sich der Hersteller etwa aufgrund des nur geringen zusätzlichen Aufwands gleichwohl bereit, Sicherheitsupdates an alle betroffenen Kunden herauszugeben, so erfolgt dies auf freiwilliger Grundlage, etwa zu Zwecken der Verbesserung oder Wiederherstellung seiner Reputation oder des Kundenvertrauens. Zuzugeben ist dabei zwar, dass dieses Ergebnis in Zeiten ubiquitärer Digitalisierung nicht mehr zeitgemäß ist. Dies ändert jedoch nichts daran, dass dieses Ergebnis 620
Vgl. zu vertragsrechtlichen Ansprüchen auf Updates Schrader / Engstler, MMR 2018, 356; Riehm, in: Schmidt-Kessel / Kramme, Geschäftsmodelle in der digitalen Welt, S. 209 ff. Voraussetzung wäre hierfür aber, dass zwischen Hersteller und Endnutzer überhaupt ein unmittelbares Vertragsverhältnis besteht, woran es im B2C-Bereich oftmals fehlt, vgl. Raue, NJW 2017, 1841, 1843. Vgl. hierzu und dazu, dass sich entsprechende Rechte regelmäßig auch nicht aus der EULA ergeben Riehm, in: Schmidt-Kessel / Kramme, Geschäftsmodelle in der digitalen Welt, S. 207 ff. 621 So auch Raue, NJW 2017, 1841, 1844. 622 So auch Spindler, CR 2015, 766, 770; Spindler, CR 2005, 741, 743; Spindler, NJW 2004, 3145, 3150; Schrader / Engstler, MMR 2018, 356, 360. Spindler sieht das Patchen von Software aber zumindest dann von den Rückrufpflichten als umfasst an, wenn andernfalls schwerwiegende Folgen für die Gesundheit oder das Eigentum drohen und Warnhinweise im Einzelfall unzureichend sind. Auch Riehm, in: Schmidt-Kessel / Kramme, Geschäftsmodelle in der digitalen Welt, S. 218 f. geht davon aus, dass sich eine Updateverpflichtung nicht zwingend aus den Verkehrssicherungspflichten ergibt, sondern aufgrund des ausschließlichen Integritätsschutzes des Deliktsrechts regelmäßig auch Warnungen vor dem Einsatz gefährlicher Software ausreichend sein können.
242
4. Teil: Event Data Recording und integrierte Produktbeobachtung
vor dem Hintergrund der derzeitigen Rechtslage folgerichtig ist. Möchte man mit Hinblick auf zukünftige Gefahrabwendungspflichten eine herstellerseitige Pflicht zur Bereitstellung von Sicherheitsupdates anerkennen, so kann dies daher lediglich per Gesetzesreform erzielt werden.623 cc) Speziell: Fernsperrung als Produktrückrufmaßnahme Fraglich ist schließlich, ob diese zumindest integritätssichernden herstellerseitigen Rückrufpflichten dabei auch entgegen dem Willen des Produktnutzers umgesetzt werden dürfen bzw. müssen. In Betracht kommt etwa, dass der Hersteller nicht nur die Möglichkeit einer für den Produktnutzer kostenlosen Rücknahme, Entsorgung oder Stilllegung anbietet bzw. hierzu auffordert, sondern das Produkt auch ohne oder gegen den Willen des Produktnutzers stilllegt bzw. kurzzeitig sperrt, bis der Produktnutzer erforderliche Reparaturen, Sicherheitsupdates oder sonstige Software- oder Hardwarenachbesserungen vorgenommen hat oder vornehmen hat lassen. Bei weniger schwerwiegenden Gefahren kann dem Produktnutzer zumindest eine gewisse Restnutzungsdauer zugestanden werden, in der dieser die Nachbesserung vornehmen oder vornehmen lassen kann. Eine solche herstellerseitige Verpflichtung, die fortgesetzte Benutzung eines als unsicher erkannten Produkts zu verhindern, wurde von dem BGH jedenfalls im Falle einer ungesicherten Siloanlage bejaht.624 Obwohl der Hersteller hierbei „ausdrücklich und wiederholt verboten [hat], [die Siloanlage] vor ihrer Verankerung in Betrieb zu nehmen“ und damit jedenfalls die ihm obliegenden Hinweis- und Warnpflichten erfüllt hat, sollte hiernach auch die Beseitigung der Gefahr zu den Pflichten des Einstandsverpflichteten gehören.625 Vorliegend war der Einstandsverpflichtete jedenfalls aufgrund seines „vorangegangenen Tuns, nämlich der Aufstellung der noch nicht fertiggestellten und in diesem Zustand betriebsunsicheren Anlage, […] nachdem er von der Inbetriebnahme der Anlage erfahren hatte, verpflichtet, der ihm bekannten und von ihm mitherbeigeführten Gefahr nach Kräften zu steuern und alles zu tun, was ihm den Umständen nach zugemutet werden konnte, um die Gefahren abzuwenden“626. Zu berücksichtigen ist dabei aber erstens, dass der Hersteller in dem vorliegenden Sachverhalt die Anlage nicht nur verkauft, sondern auch aufgestellt hat, was 623
Siehe 4. Teil, Kapitel 3, B., I. So auch Spindler, NJW 2004, 3145, 3150. BGH, Urt. v. 08.07.1960 – VI ZR 159/59, VersR 1960, 856; hierzu Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 324. So auch BGH, Urt. v. 16.12.2008 – VI ZR 170/07, NJW 2009, 1080, 1081, wenngleich die Erforderlichkeit in dem konkreten Fall dann aber abgelehnt wurde, da die Hinweis- und Warnpflichten bereits als ausreichend angesehen wurden. 625 BGH, Urt. v. 08.07.1960 – VI ZR 159/59, VersR 1960, 856. 626 BGH, Urt. v. 08.07.1960 – VI ZR 159/59, VersR 1960, 856. 624
Kap. 2: Integrierte Produktbeobachtung als Rechtspflicht
243
unter Umständen diese besonders weiten Verkehrssicherungspflichten zu begründen vermag. Zweitens war dem Einstandsverpflichteten hier gerade auch bewusst, dass der Produktnutzer das Produkt bereits vor der Fertigstellung und damit noch im ungesicherten Zustand bereits verwenden wollte. Grundsätzlich wird der Einstandsverpflichtete aber berechtigterweise darauf vertrauen dürfen, dass seine ausdrücklichen Produkthinweise und -warnungen von dem Produktnutzer ernst genommen und beachtet werden. Dies könnte nur dann anders sein, wenn sich diese Annahme als unrichtig herausstellt und dies von dem Einstandsverpflichteten auch bemerkt wurde.627 Drittens stellt der BGH in dem genannten Urteil aber auch darauf ab, dass zu dem Zeitpunkt, in dem der Einstandsverpflichtete hätte handeln müssen, die Siloanlage noch gar nicht übergeben, der Einstandsverpflichtete also rechtlich noch in der Lage war, „über sie zu bestimmen und ihre weitere Inbetriebnahme hintanzuhalten“.628 Dies dürfte in den hier diskutierten Anwendungsfällen jedoch gerade nicht der Fall sein. Hat bereits eine Übergabe und damit auch eine Eigentumsübertragung des fehlerbehafteten Produkts stattgefunden, so steht insofern fest, dass eine wie auch immer geartete herstellerseitige Stilllegung oder Sperrung gegen den Willen des Eigentümers einen Eingriff in dessen Eigentumsrechte (§ 903 Satz 1 BGB bzw. auf Verfassungsebene Art. 14 Abs. 1 GG) darstellen würde. Ein solcher Eingriff könnte heute auch ohne spezialgesetzliche Ermächtigungsgrundlage aber ggf. bereits über § 904 Satz 1 BGB rechtfertigbar sein. Zudem ist fraglich, ob nicht auch die Verkehrssicherungspflichten des Haftungsrechts selbst rechtfertigend auf einen solchen Eigentumseingriff wirken könnten. Obgleich das Eigentum gem. Art. 14 Abs. 2 GG verpflichtet und sein Gebrauch dem Wohle der Allgemeinheit dienen soll, was bei der fortgesetzten Nutzung eines allgemeingefährdenden Produkts tatsächlich in Frage steht, ergeben sich die Schranken eines Eingriffs in das verfassungsrechtlich geschützte Eigentumsrecht ausschließlich aus den Vorgaben des Art. 14 Abs. 1 Satz 2 GG.629 Zwar werden im Rahmen des Art. 14 Abs. 1 Satz 2 GG an die Art und Natur des rechtfertigenden Gesetzes keine größeren Hürden gestellt. Inhalt und Schranken des Eigentumsrechts können demnach durch die gesamte Rechtsordnung, egal in welchem Range, bestimmt werden (kein Parlamentsvorbehalt),630 sodass hierfür womöglich auch die Verkehrssicherungspflichten des Haftungsrechts in Betracht kommen. Gleichwohl ist hierbei zwingend das rechtsstaatliche Verhältnismäßigkeitsprinzip zu beachten. Jedenfalls in den Fällen, in denen von dem Produkt eine schwerwiegende Gefahr für die Allgemeinheit ausgeht, der Eigentümer mildere Maßnahmen abgelehnt hat 627
Foerste, in: Foerste / Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 325. BGH, Urt. v. 08.07.1960 – VI ZR 159/59, VersR 1960, 856. 629 Art. 14 Abs. 2 GG stellt insofern nur eine Richtlinie oder Direktive an den Gesetzgeber dar, der im Rahmen seiner Inhalts- und Schrankenbestimmungen stets das Ziel der Sozialpflichtigkeit des Eigentums vor Augen haben soll, nicht aber eine eigene Rechtfertigungsgrundlage für Eingriffe in das Eigentum, vgl. Papier, in: Maunz / Dürig, GG, Art. 14 GG Rn. 306. 630 Papier, in: Maunz / Dürig, GG, Art. 14 GG Rn. 339. 628
244
4. Teil: Event Data Recording und integrierte Produktbeobachtung
(Zuwiderhandlung gegen die herstellerseitige Stilllegungsaufforderung) und es sich bei der Maßnahme nicht um eine finale Maßnahme handelt, sondern diese nur solange andauert, wie der Produkteigentümer sein Produkt nicht reparieren oder nachbessern lässt (Sperrung statt Stilllegung), ist mit der hier vertretenen Auffassung denkbar, dass ein solcher Eingriff in das Eigentumsrecht auch angemessen, also verhältnismäßig i. e. S., sein könnte.
3. Zwischenergebnis: Produktrückruf und weitere Pflichten Als Ergebnis zu den Produktrückrufpflichten ist festzuhalten, dass mit der hier vertretenen Auffassung stets nur integritätssichernde Maßnahmen von den Herstellern geschuldet werden. Der Hersteller trägt demnach zwar die Pflicht, den Produktnutzer sowie Dritte vor Gefahren, die von einem unsicheren Produkt ausgehen, zu schützen. Zu über die reine Gefahrabwendung hinausgehenden Maßnahmen (bspw. kostenloser Ersatz oder Reparatur) ist der Hersteller dagegen derzeit nicht verpflichtet. Ein solches Äquivalenzinteresse wird ausschließlich im Rahmen vertragsrechtlicher Schuldverhältnisse (falls eine unmittelbare Vertragsbeziehung zwischen Hersteller und Endnutzer besteht) geschützt.
III. Ergebnis: Herstellerseitige Gefahrabwendungspflichten Mit den Hinweis- und Warnpflichten sowie den integritätssichernden Produktrückrufpflichten existieren herstellerseitige Gefahrabwendungspflichten, die sich an den Fund eines bislang unbekannten Produktfehlers anschließen. Auch hierbei richtet sich der gebotene Umfang und die gebotene Intensität der reaktiven Maßnahmen erneut nach der Geeignetheit, Erforderlichkeit und Zumutbarkeit der konkreten Maßnahme. Durch die Vernetzung von CPS werden hierbei neuartige Möglichkeiten geschaffen, diesen Gefahrabwendungspflichten zukünftig noch effektiver nachzukommen.
Kapitel 3
Anforderungen an eine Gesetzesreform Trotz der Zielsetzung dieser Arbeit, aufzuzeigen, wie ein Schutz der IT- und Rechtssicherheit bei automatisierten und vernetzten cyber-physischen Systemen bereits aus dem geltenden Recht abgeleitet werden kann, musste stellenweise festgestellt werden, dass eine umfassende Ausschöpfung der neuartigen automatisierten und vernetzten Möglichkeiten der IT-Risikominimierung nur durch eine, zumindest ergänzende, gesetzgeberische Reformierung erreicht werden kann. Deren wesentliche Anforderungen sollen im Folgenden skizziert werden.
Kap. 3: Anforderungen an eine Gesetzesreform
245
A. Anforderungen an ein automatisiertes und vernetztes Event Data Recording Dieser Reformbedarf betrifft insbesondere das Event Data Recording, für das sich aus dem geltenden Recht bislang nur spezialgesetzliche Regelungen für spezifische Kategorien von CPS und ansonsten lediglich ein weitestgehend unzureichender „Event Data Recording Basisschutz“ ergibt. I. Geeigneter Regelungsort Dabei ist zunächst fraglich, in welches bestehende Gesetz eine solche Rechtspflicht zum automatisierten und vernetzten Event Data Recording zukünftig aufgenommen werden könnte. Für eine produktgattungsübergreifende Regelung käme dabei das ProdSG bzw. eine konkretisierende ProdSV (da eine solche Rechtspflicht Vorgaben an die technische Ausgestaltung von CPS enthält), insbesondere aber auch das ProdHaftG (da Zweck des Event Data Recordings die Gewährleistung von Beweisbarkeit im Haftungsfalle ist) in Betracht. Schließlich wäre aber auch eine Regelung im BSIG denkbar. Anstelle einer nationalen Regelung sollte hierfür jedoch vielmehr eine europaweit harmonisierte Regelung, bspw. durch Anpassung der Allgemeinen Produkt sicherheitsrichtlinie 2001/95/EG (umgesetzt im ProdSG), der Produkthaftungsrichtlinie 85/374/EWG (umgesetzt im ProdHaftG), der NIS-Richtlinie 2016/1148/ EU (umgesetzt im IT-Sicherheitsgesetz bzw. BSIG) oder aber der Maschinenrichtlinie 2006/42/EG, der Niederspannungsrichtlinie 2014/35/EU oder der Funkgeräterichtlinie 2014/53/EU (jeweils umgesetzt in den ProdSV), anvisiert werden. II. Sicherstellung von Beweisverfügbarkeit Bezüglich der Art und Weise des Event Data Recordings ist erstens auf eine hohe Beweisverfügbarkeit der erhobenen Daten zu achten, sodass diese zum Zeitpunkt einer etwaigen späteren Beweisverwendung dem Verwender auch tatsächlich zur Verfügung stehen. Eine lokale Speicherung auf einem Speicherchip des CPS selbst kommt hierbei nicht in Betracht, da eine Zerstörung oder Beschädigung des CPS auch die darauf gespeicherten beweiserheblichen Daten betreffen könnte. Der Einsatz von gepanzerten Black Boxes verbietet sich bei den meisten CPS dagegen bereits aufgrund deren Gewichts sowie aufgrund deren Ausmaße.631 Vielmehr werden die beweiserheblichen Daten zukünftig daher an einen externen Server („Tracing-Cloud“) übertragen werden müssen, der entweder von dem Hersteller, einer zentralen Stelle oder einem dritten Dienstleister („Tracing-as-a-Service“) 631
Siehe 3. Teil, Kapitel 3, B., I.
246
4. Teil: Event Data Recording und integrierte Produktbeobachtung
betrieben wird. Zwingende Voraussetzung eines solchen externen Tracings ist dabei einerseits eine schnelle Internetanbindung des CPS sowie des Dienstleisters, was durch Netzausbau- und Breitbandinitiativen gefördert werden muss. Andererseits ist fraglich, ob entsprechende Dienste nicht auch einer Priorisierung im Kontext der Netzneutralität, also eine Ausnahme von dem grundsätzlichen Best-Effort-Prinzip, erfordern. III. Sicherstellung von Beweiskräftigkeit Zweitens bedarf es jedoch auch der Sicherstellung von Beweiskräftigkeit hinsichtlich der erhobenen und gespeicherten Daten. Hierfür ist erforderlich, dass (anders als bei dem im Rahmen dieser Arbeit vorgestellten „Event Data Recording Basisschutz“) per Gesetz oder konkretisierender Rechtsverordnung präzise bestimmt wird, zu welchen Ereignissen (bspw. Unfall oder technische Störung) welche Kategorien von Daten in welcher Intensität erhoben werden müssen und welche Maßnahmen zu ergreifen sind, um insbesondere die IT-Schutzziele der Authentizität, Integrität und Nichtabstreitbarkeit bei diesen Daten zu gewährleisten. Zur Sicherstellung der letztgenannten IT-Schutzziele kommen einerseits qualifizierte elektronische Signaturen (vgl. in diesem Kontext § 371a ZPO) in Betracht.632 Andererseits sollte eine zukünftige gesetzliche Verpflichtung zum Event Data Recording für CPS aber auch den Einsatz neuer, innovativer Sicherheitskonzepte ermöglichen und damit gleichzeitig neue Geschäftsmodelle fördern. Solche Geschäftsmodelle könnten im Rahmen eines „Tracing-as-a-Service“ insbesondere auch den Einsatz der Blockchain-Technologie zum Gegenstand haben, wodurch etwa die IT-Schutzziele der Authentizität, Integrität und Nichtabstreitbarkeit bestmöglich gewährleistet werden können.633 Gleichwohl wirft der Einsatz der Blockchain-Technologie aber auch seinerseits einige Rechtsfragen auf, die einer vorherigen Abklärung bedürfen.634 IV. Sicherstellung von Beweisverwertbarkeit Zur Sicherstellung der Beweisverwertbarkeit der erhobenen und extern gespeicherten Daten muss schließlich drittens dafür gesorgt werden, dass diese überhaupt gerichtlich oder außergerichtlich herangezogen werden dürfen und nicht etwa gegen Beweisverwertungsverbote verstoßen.635 Zu diesem Zweck ist es insbesondere un 632 Hierzu auch Brisch / Müller-ter Jung, CR 2016, 411, 414; Horner / Kaulartz, in: Taeger, Internet der Dinge, S. 513 f.; Schulz, Verantwortlichkeit bei autonom agierenden Systemen, S. 315 f. und 383 f. 633 Hierzu bereits Mienert / Gipp, ZD 2017, 514, 517 f. 634 Vgl. hierzu etwa Heckmann, vbw Studie Blockchain und Smart Contracts. 635 Vgl. Dietrich / Nugel, ZfS 2017, 664, 665.
Kap. 3: Anforderungen an eine Gesetzesreform
247
abdingbar, dass bereits im Rahmen der technischen Implementierungsphase eines Event Data Recording-Algorithmus die Grundsätze des Datenschutzrechts (insbesondere die Grundsätze der Datenvermeidung und Datensparsamkeit) mitbedacht werden und generell gewährleistet wird, dass die Datenerhebung und -speicherung rechtskonform ist.636
B. Anforderungen an eine automatisierte und vernetzte integrierte Produktbeobachtung Hinsichtlich der herstellerseitigen Pflicht zur integrierten Produktbeobachtung wurde zwar bereits aufgezeigt, dass es hierfür grundsätzlich keiner spezialgesetzlichen Rechtspflicht bedarf, sondern diese, wie auch bereits die passiven und aktiven Produktbeobachtungspflichten, ebenfalls aus den Verkehrssicherungspflichten des Haftungsrechts hergeleitet werden kann. Gleichwohl bestehen auch hier, insbesondere bezüglich der an einen Fehlerfund anschließenden Gefahrabwendungsmaßnahmen, noch einige Defizite, die durch eine zukünftige Gesetzesreform korrigiert werden müssen. I. Zukünftige Pflicht zur Bereitstellung von Sicherheitsupdates Dies betrifft zunächst die Verpflichtung der Hersteller von IT-Produkten zur Bereitstellung von Sicherheitsupdates. Während sich solche Pflichten heute lediglich aus den vertragsrechtlichen Gewährleistungsrechten oder aus separaten Garantien ergeben können,637 schützen die Gefahrabwendungspflichten als Unterfall der haftungsrechtlichen Verkehrssicherungspflichten nach der wohl h. M. lediglich das Integritätsinteresse (Gefahrabwendung), nicht aber das Äquivalenzinteresse (Erhalt der Funktionsfähigkeit). Jedenfalls im B2C-Bereich wird zwischen Hersteller und Endkunde jedoch gar kein unmittelbares Vertragsverhältnis bestehen und selbst wenn dies der Fall sein sollte, würden die sich hieraus ergebenden Gewährleistungsrechte gem. § 438 Abs. 1 Nr. 3 BGB i. d. R. nach zwei Jahren verjähren.638 Spätestens seit mit dem Einzug des Internets der Dinge in unseren Alltag auch Haushaltsgeräte in das Fadenkreuz von Malware und Hackern geraten, ist dieser Rechtszustand nicht mehr hinnehmbar. Hält man sich vor Augen, dass etwa die durchschnittliche Nutzungsdauer von Kühl- und Gefrierschränken in deutschen Haushalten mehr als 15 Jahre beträgt,639 dürfte deutlich werden, dass es auch für an das Internet angeschlossene Alltagsgegenstände nicht mehr ausreichend sein 636 Vgl. zu der gleichgelagerten Problematik bei Dashcams etwa Mienert / Gipp, ZD 2017, 514; sowie generell Starnecker, Videoüberwachung zur Risikovorsorge, S. 257 ff. 637 Siehe 4. Teil, Kapitel 2, C., II., 2., d), bb). 638 Siehe 4. Teil, Kapitel 2, C., II., 2., d), bb). 639 Umwelt Bundesamt, Kühlschrank.
248
4. Teil: Event Data Recording und integrierte Produktbeobachtung
kann, wenn diese lediglich zum Zeitpunkt der Inverkehrgabe dem Stand der Wissenschaft und Technik entsprechen und danach nie wieder aktualisiert werden. Alleine im Rahmen des auch für Smart Devices beliebten Betriebssystems Android hat sich die Zahl der bekannten Schadprogramme vom Jahr 2016 (12.988.919 bekannte Android-Schadprogramme) zum Jahr 2017 (19.535.319 bekannte AndroidSchadprogramme), also innerhalb nur eines Jahres, insofern um 6.546.400 neue oder neu-bekanntgewordene Schadprogramme erhöht,640 denen Geräte ohne kontinuierliche Versorgung mit Sicherheitsupdates ggf. schutzlos ausgeliefert wären. Vor diesem Hintergrund ist zu fordern, dass die Hersteller vernetzter Produkte auch außervertraglich und über die gewöhnliche gewährleistungsrechtliche Verjährungsfrist hinausgehend für einen bestimmten Zeitraum zur Bereitstellung von Sicherheitsupdates („Patches“) verpflichtet werden. Eine solche Pflicht sollte aufgrund der potentiellen Gefährlichkeit von cyber-physischen Systemen zumindest für deren Betriebssoftware bestehen.641 Hierzu müssen aber die betroffenen Produkte bereits im Rahmen der Produktentwicklungsphase überhaupt „updatebar“642 ausgestaltet werden. Da bestehende Sicherheitslücken auch unbeteiligte Dritte gefährden können, darf es zudem zukünftig nicht mehr in der Autonomie der Endnutzer liegen, ob diese die bereitstehenden Sicherheitsupdates auch tatsächlich installieren. Vielmehr müssen entweder diese zukünftig zur Einspielung von Sicherheitsupdates rechtlich verpflichtet (bspw. durch Annahme eines Mitverschuldens als Konsequenz eines Versäumnisses) oder aber die Hersteller ermächtigt werden, kritische Sicherheitsupdates auch ohne oder gegen den Willen der Endnutzer zu installieren und hierzu etwa kurzzeitig die Nutzung des Systems zu blockieren. Als Regelungsort einer herstellerseitigen Verpflichtung zur Bereitstellung von Sicherheitsupdates kommt dabei etwa das ProdSG (bzw. die Allgemeine Produktsicherheitsrichtlinie 2001/95/EG), eine der konkretisierenden ProdSV (bzw. die Maschinenrichtlinie 2006/42/EG, die Niederspannungsrichtlinie 2014/35/EU oder die Funkgeräterichtlinie 2014/53/EU) oder aber das BSIG (bzw. die NIS-Richtlinie 2016/1148/EU) in Betracht. II. Zukünftige Pflicht zur Meldung sicherheitskritischer Ereignisse an Mitbewerber Weiterhin ist gerade bei Produkten des Internets der Dinge anzunehmen, dass bestimmte Produktfehler, Sicherheitsschwachstellen oder Sicherheitslücken nicht nur die Produkte eines bestimmten Herstellers betreffen, sondern auch hersteller 640
Vgl. AV Test, Security Report 2016/2017, S. 3. Für herkömmliche Computersoftware könnte eine solche Verpflichtung dagegen oftmals über das Ziel hinausschießen und insbesondere kleinere Anbieter oder Anbieter von kostenloser Software davon abhalten, am Markt tätig zu werden, vgl. Riehm, in: Schmidt-Kessel / Kramme, Geschäftsmodelle in der digitalen Welt, S. 222. 642 Vgl. hierzu Bartelt / Eisenmann / Ihle, DuD 2017, 211, 212. 641
Kap. 3: Anforderungen an eine Gesetzesreform
249
übergreifend bei einer ganzen Produktgattung vorliegen können. Um insbesondere bei sicherheitskritischen Fehlern in potentiell gefährlichen Produkten eine schnelle marktübergreifende Risikominimierung realisieren zu können, sollten die Hersteller diesbezüglicher Produktgattungen daher verpflichtet werden, sicherheitsrelevante Ereignisse und Erkenntnisse auch unverzüglich an die eigenen Mitbewerber zu melden („Teilenspflicht“). Ein diese Meldepflicht umsetzendes Gesetz (bspw. ebenfalls verortbar im ProdSG, einer ProdSV oder dem BSIG – bzw. in einer der diesen Gesetzen zugrundeliegenden europäischen Richtlinien) hat dabei aber insbesondere den Schutz von Geschäfts- und Betriebsgeheimnissen der meldepflichtigen Hersteller angemessen zu berücksichtigen.
5. Teil
Zusammenfassung und Schlussbemerkung „Manchmal muß man einfach ein Risiko eingehen – und seine Fehler unterwegs korrigieren.“ Lee Iacocca, geb. 1924 Ehem. Präsident der Ford Motor Company und Vorstandsvorsitzender der Chrysler Corporation
Kapitel 1
Zusammenfassung Im Folgenden sollen die wichtigsten Erkenntnisse dieser Arbeit nochmals zusammengefasst werden.
A. Die Entwicklung und Klassifizierung der Automatisierung und Vernetzung von CPS I. Automatisierung und Vernetzung sind keine voneinander isolierbaren technischen Komponenten. Vielmehr stehen diese in Wechselbeziehung zueinander und bedingen sich gegenseitig. Dieses Zusammenspiel aus Automatisierung und Vernetzung kann auch als „Smartifizierung“ bezeichnet werden. II. Das Streben nach Automatisierung durch den Einsatz neuer Technologien findet bereits in der ersten industriellen Revolution zur zweiten Hälfte des 18. Jahrhunderts seinen Ursprung. Die derzeit stattfindende vierte industrielle Revolution hin zur „Industrie 4.0“ steht dagegen unter dem Stern der Vernetzung der einzelnen, bislang isolierten Maschinen zu einer „Smart Factory“. Im Straßenverkehr hat die Automatisierung bereits im Jahr 1962 durch Einführung des Tempomaten Einzug gefunden. Mittlerweile existieren mit dem Antiblockiersystem („ABS“), der Antriebsschlupfregelung, dem Elektronischen Stabilitätsprogramm („ESP“), dem Bremsassistenten, der Adaptive Cruise Control, dem Parklenkassistenten, dem Spurhalteassistenten, dem automatischen Notbremsassistenten, dem Parkmanöverassistenten, dem Valet Parking, dem Stauassistenten und dem Staufolgefahren zahlreiche automatisierte Teilkomponenten. Während sich im Straßenverkehr die Stufen der Hoch- und Vollautomatisierung bislang noch auf einige wenige Fahrzeugmodelle beschränken, verfügen auch heute bereits beinahe alle markt-
Kap. 1: Zusammenfassung
251
üblichen unbemannten Luftfahrzeuge („UAS“) über dementsprechende Funktio nalitäten. III. Im automatisierten Straßenverkehr sind die Automatisierungsstufen „Assistenz“, „Teilautomatisierung“, „Hochautomatisierung“, „Vollautomatisierung“ und „Autonomie“ bereits etabliert. Als Besinnung vor einer womöglich destruktiven Technikgestaltung sollte dem als sechste Stufe die sog. „Souveränität“ hinzugefügt werden, bei der sich automatisierte Systeme auch über menschliche Eingaben hinwegsetzen können und dadurch unkontrollierbar werden könnten. In der unbemannten Luftfahrt war ein solches Automatisierungsstufenmodell dagegen bislang noch gar nicht ersichtlich, was im Rahmen dieser Arbeit durch eine Abstrahierung und Übernahme der obigen Automatisierungsstufen nachgeholt werden konnte.
B. Die Ambivalenz und Paradoxität der Automatisierung und Vernetzung von CPS I. Der technische Fortschritt ist ein essentieller Bestandteil des menschlichen Daseins. Den neuartigen und vielfältigen Chancen jeder technologischen Neuentwicklung wohnen spiegelbildlich jedoch stets auch neuartige und vielfältige Gefahren inne. Diese „Technikambivalenz“ ist dabei keine Erscheinung der zunehmenden Digitalisierung, sondern ist seit jeher mit neuen Innovationen verbunden, wie etwa die Umwelt- und Gesundheitsverhältnisse zur Zeit der ersten industriellen Revolution unter Beweis stellen. Heute zeigt sich diese technologische „Janusköpfigkeit“ dagegen in Gestalt von Flugzeugabstürzen, Chemieunfällen, Zwischenfällen in kerntechnischen Anlagen, Unfällen im Straßenverkehr sowie in Datenschutz- und IT-Sicherheits-GAUs. Dies führt im Ergebnis dazu, dass sich die gesellschaftliche Akzeptanz neuer Entwicklungen in einem ständigen Wechsel zwischen Technikeuphorie auf der einen und Technikfrustration oder Technikphobie auf der anderen Seite bewegt. II. Diese Technikambivalenz ist auch am Beispiel automatisierter und vernetzter unbemannter Luftfahrzeuge nachvollziehbar. 1. Chancen durch UAS ergeben sich unter anderem im Transportwesen (bspw. DHL Paketkopter, UPS HorseFly, Amazon Prime Air), im Rahmen der Industrie 4.0 (bspw. Fraunhofer IML Ball-Drohne, Fraunhofer IML InventAIRy), im Rahmen von Inspektion und Wartung (bspw. Siemens AG), zum Schutz und zur Rettung von Wildtieren (bspw. „fliegender Wildtierretter“ des DLR), zur Überwachung der Ernte (bspw. DJI Agras MG-1, Yamaha RMAX), zur Erkennung und Bekämpfung von Waldbränden und Buschfeuern (bspw. FUEGO) sowie im Polizei- und Sicherheitswesen (bspw. EMT Aladin, EMT Fancopter, INDECT). 2. Gefahren von UAS stellen dagegen insbesondere Kollisionen und Abstürze, der Vertrauensverlust in automatisierte Systeme, der Verlust von Rechtssicherheit, die Verletzung von Persönlichkeits- und Datenschutzrechten, Beeinträchtigungen
252
5. Teil: Zusammenfassung und Schlussbemerkung
des Natur- und Lärmschutz sowie technikethische Konflikte dar. Als Ursache dieser Gefahren kommt eine Vielzahl an Gefahrenquellen in Betracht, wobei die Komplexität von UAS und deren Operationsumgebungen, technische Abhängigkeiten und Abhängigkeiten von der Technik, Nichtdeterminismus und Techniksouveränität, menschliche Heuristiken sowie vernetzungsspezifische Ursachen von besonderer Relevanz sind. Festzustellen ist, dass sich gerade aufgrund der Automatisierung und Vernetzung auch neuartige oder gesteigerte Risiken ergeben, die im weiteren Fortgang als Unknown Causes of Trouble (Existenz noch unbekannter Produktfehler und -gefahren nach dem Zeitpunkt der Inverkehrgabe eines Produkts) und als Legal Causes of Trouble (Beweisschwierigkeiten im Haftungsfalle sowie Haftung ohne Regressmöglichkeit und Haftungslücken) bezeichnet wurden. Hierdurch stellen sich die Automatisierung und die Vernetzung zunächst als Verhinderer von IT- und Rechtssicherheit dar. III. Gleichwohl ergeben sich aufgrund der Automatisierung und Vernetzung paradoxerweise aber auch neuartige Möglichkeiten zur Steigerung der IT- und Rechtssicherheit. Besonders relevant sind hierbei das Event Data Recording zur Eliminierung oder zumindest Minimierung der Legal Causes of Trouble und die integrierte Produktbeobachtung zur Eliminierung oder zumindest Minimierung der Unknown Causes of Trouble. 1. Während die Idee eines Event Data Recordings generell nicht neu ist und Event Data Recorder etwa in der bemannten Luftfahrt bereits seit vielen Jahren zur Aufklärung von Störungen und Unfällen zum Einsatz kommen, ergeben sich aufgrund der Automatisierung und Vernetzung zukünftig neuartige Möglichkeiten, die einerseits eine Abkehr von der tradierten, alleserfassenden Ringspeicherung und andererseits eine externe Speicherung der beweiserheblichen Daten bei dem Hersteller, bei einer zentralen Stelle oder bei einem Dienstleister („Tracing-as-a-Service“), etwa auch unter Einsatz der Blockchain-Technologie, ermöglichen. Die hierdurch generierte „Trace“ kann bei Bedarf anschließend gerichtlich oder außergerichtlich zur Sachverhaltsaufklärung herangezogen werden und somit den Legal Causes of Trouble entgegenwirken. 2. Auch Produktbeobachtungspflichten sind bereits seit Jahrzehnten in Rechtsprechung und Schrifttum in Form von passiven und aktiven Verkehrssicherungspflichten anerkannt und verpflichten die Hersteller zur Überwachung auch bereits im Verkehr und beim Kunden befindlicher Produkte auf bislang unbekannte Produktfehler und -gefahren. Auch hierbei ermöglichen die Automatisierung und die Vernetzung künftig aber eine neue Generation an Produktbeobachtungspflichten, die eine unmittelbare Verhaltensüberwachung der einzelnen bereits im Verkehr befindlichen cyber-physischen Systeme zum Gegenstand haben. Diese „integrierte Produktbeobachtung“ soll hierbei imstande sein, bislang unbekannte Produktfehler und -gefahren automatisiert zu erkennen und im Fundfalle solche unverzüglich an den Hersteller zu melden. Dieser wiederum kann daraufhin schnellstmöglich entsprechende Gefahrabwendungsmaßnahmen (bspw. Übermittlung von Hinweisen
Kap. 1: Zusammenfassung
253
und Warnungen, Bereitstellung von Updates, Durchführung von Produktrückrufen) ergreifen. 3. Als Ergebnis gelten die Automatisierung und die Vernetzung damit zwar einerseits als Verhinderer, andererseits aber auch als Förderer von IT- und Rechtssicherheit. Gleichwohl stellt dies weniger ein Paradoxon, als vielmehr die Erkenntnis dar, dass neue Technologien oftmals selbst den Schlüssel zur Eliminierung oder Minimierung ihrer Risiken bereithalten.
C. Rechtspflicht zum Event Data Recording und zur integrierten Produktbeobachtung bei CPS I. Spezialgesetzliche Rechtspflichten zum Event Data Recording existieren nur für wenige spezifische cyber-physische Systeme. Ein „Event Data Recording Basis schutz“ für alle Kategorien von CPS kann dagegen auch aus dem allgemeinen, geltenden Recht abgeleitet werden. 1. Eine spezialgesetzliche Rechtspflicht zum Event Data Recording existiert zunächst in der bemannten Luftfahrt. Anstelle einer einzelnen „Black Box“ (wie oftmals angenommen), wirken hierbei gleich drei Systeme, der Flugdatenschreiber („Flight Data Recorder“), die Tonaufzeichnungsanlage für das Cockpit („Cockpit Voice Recorder“) und das Flugwegverfolgungssystem („Aircraft Tracking System“), zusammen. Eine Speicherung erfolgt dabei nach einem Ringspeichermodell, das kontinuierlich Daten erhebt und speichert sowie diese kontinuierlich nach Ablauf einer bestimmten Zeitspanne durch neuere Daten überschreibt. Eine Aufzeichnungsverpflichtung für UAS ergibt sich hieraus dagegen nicht, da etwa die Bestimmungen über Flugdatenschreiber nur auf Flugzeuge ab einer höchstzulässigen Startmasse von 5.700 kg Anwendung finden. 2. Seit dem 21.06.2017 sieht auch das Straßenverkehrsgesetz in §§ 63a f. StVG eine Pflicht zum Event Data Recording für hoch- und vollautomatisierte Kraftfahrzeuge vor. Gespeichert werden sollen hierbei die Zeit- und Positionsdaten, wenn ein Wechsel der Fahrzeugsteuerung zwischen Fahrzeugführer und Kfz erfolgt, der Fahrzeugführer zur Übernahme der Steuerung aufgefordert wird oder ein technischer Fehler eingetreten ist. Auch wenn hiernach bereits eine ereignisabhängige Speicherpflicht und damit eine Abkehr von der Ringspeicherung bezweckt wird, weist die Regelung mit der hier vertretenen Auffassung dennoch einige Defizite auf, sodass diese den neuartigen Möglichkeiten der Automatisierung und Vernetzung dennoch nicht umfassend gerecht wird. 3. Trotz Fehlens weiterer spezialgesetzlicher Rechtspflichten kann für alle Kategorien von CPS zumindest ein „Event Data Recording Basisschutz“ aus dem geltenden Recht hergeleitet werden. Für eine umfassende Ausschöpfung der sich aus der Automatisierung und Vernetzung für das Event Data Recording ergebenden Möglichkeiten ist dagegen eine gesetzgeberische Reformierung unabdinglich.
254
5. Teil: Zusammenfassung und Schlussbemerkung
a) Vereinfacht lässt sich Event Data Recording dabei als die gezielte Beschaffung bestimmter beweiserheblicher Daten (Datenbeschaffungsphase) mit anschließender Langzeitspeicherung dieser Daten (Datensicherungsphase) beschreiben. Festgestellt werden muss hierbei zunächst, dass automatisierte und vernetzte Systeme eine Vielzahl an internen und externen Daten (etwa Systemfehlermeldungen, Sensorwerte, M2M-Kommunikationsdaten) ohnehin aufgrund technischer Notwendigkeit erheben und zumindest kurzfristig speichern. Aus diesem Grund bedarf es für die Datenbeschaffungsphase bereits nicht zwingend einer Rechtspflicht. Lediglich im Rahmen der Datensicherungsphase muss sichergestellt werden, dass jedenfalls beweiserhebliche Daten nach Ende der technischen Erforderlichkeit nicht automatisiert wieder von dem CPS gelöscht werden (etwa aufgrund von Best PracticeGrundsätzen), sondern diese auch zum Zeitpunkt einer etwaigen späteren Beweisverwendung noch zur Verfügung stehen („Verbot der Datenlöschung“). b) Ein solches Verbot, Daten an denen eine fremde eigentümerähnliche Verfügungsbefugnis besteht, zu löschen, zu unterdrücken, unbrauchbar zu machen oder zu ändern, ergibt sich zunächst aus § 303a Abs. 1 StGB. Zuordnungskriterium der eigentümerähnlichen Verfügungsbefugnis ist dabei nach der h. M. der sog. „Skripturakt“. „Skribent“ wird hiernach, wer die Datenerhebung und -speicherung unmittelbar bewirkt hat. Entgegenstehende Datenschutzrechte oder Eigentumsrechte an dem die Daten verkörpernden Datenträger sind dagegen irrelevant (daher ist eine Abgrenzung zwischen Datenträgerebene, Datenebene und Inhaltsebene erforderlich). Sowohl nach dieser strikten Auffassung als auch nach alternativen (bspw. Annahme einer Mitverfügungsbefugnis) oder modifizierten (bspw. nach einer vom BMVI in Auftrag gegebenen Studie) Zuordnungsmodellen steht dem CPS-Hersteller zumindest nicht die alleinige Verfügungsbefugnis an den von dem CPS erhobenen Daten zu. Damit ist zumindest die herstellerseitige Löschung von beweiserheblichen Daten tatbestandsmäßig i. S. d. § 303a Abs. 1 StGB, wenngleich diese mangels Vorsatzes i. d. R. aber nicht strafbar ist. c) Ein „Verbot der Datenlöschung“ kann sich aber auch aus dem Zivilrecht ergeben. Zwar ist ein wortlautgetreues „Dateneigentum“ mangels Sacheigenschaft von Daten ebenso abzulehnen wie eine analoge Anwendung des § 903 Satz 1 BGB mangels planwidriger Regelungslücke. Gleichwohl ist mit der hier und auch im juristischen Schrifttum immer stärker vertretenen Auffassung ein „Recht am eigenen Datenbestand“ i. S. d. § 823 Abs. 1 BGB gut begründbar, solange es um den Schutz vor einem schreibenden Datenzugriff (Schutz der Datenintegrität – hier: Eingriff durch Datenlöschung) geht. Ergänzend kann eine unbefugte Datenlöschung laut ständiger Rechtsprechung aber auch einen mittelbareren Eingriff in das Sacheigentum an dem die Daten verkörpernden Datenträger darstellen. d) Da bei Embedded Systems i. d. R. ein direkter Zugriff des Nutzers auf die auf dem System gespeicherten Daten technisch nicht vorgesehen ist, kann eine herstellerseitige Pflicht zur Herausgabe der gespeicherten beweiserheblichen Daten zumindest aus straf- oder zivilprozessualen Vorschriften ergehen. Zudem werden
Kap. 1: Zusammenfassung
255
entsprechende Pflichten der Hersteller mittlerweile auch aufgrund vertraglicher oder außervertraglicher Anspruchsgrundlage bejaht. II. Mit passiven und aktiven Produktbeobachtungspflichten werden Hersteller bereits seit Jahrzehnten verpflichtet, ihre Produkte auch nach der Inverkehrgabe auf bislang unbekannte Produktfehler und -gefahren hin zu überwachen. Die „integrierte Produktbeobachtung“ stellt dagegen eine neue Generation dieser haftungsrechtlichen Verkehrssicherungspflichten für automatisierte und vernetzte CPS dar. 1. Während passive Produktbeobachtungspflichten schon vom Reichsgericht anerkannt wurden und die Hersteller seitdem zur Einrichtung eines Beschwerdemanagements, also zur (passiven) Entgegenahme und Überprüfung von Kundenbeschwerden, verpflichten, ergeben sich durch die vom BGH begründeten aktiven Produktbeobachtungspflichten zusätzlich auch eigene (aktive) Rechercheobliegenheiten der Hersteller. Hiernach haben diese regelmäßig öffentlich zugängliche Quellen auf Unfälle oder sonstige Probleme, die in Zusammenhang mit ihren Produkten stehen, zu durchsuchen, wobei neben der Auswertung der Ergebnisse wissenschaftlicher Fachveranstaltungen, des Fachschrifttums, von Zeitungs- und Testberichten oder von Polizei- und Unfallstatistiken zunehmend auch eine Verpflichtung zur „Online Produktbeobachtung“ (bspw. in Internetforen oder sozialen Medien) diskutiert wird. 2. Sowohl die passiven als auch die aktiven Produktbeobachtungspflichten unterliegen jedoch mehreren Defiziten und führen insbesondere zu einer hohen Dunkelziffer und zu einer großen Latenzzeit. Weiterhin ermöglichen die passiven und aktiven Produktbeobachtungspflichten aber auch keinen umfassenden Präventivschutz der Rechte und Rechtsgüter der gefährdeten Verkehrsteilnehmer, sondern lediglich eine ex-post Aufklärung, wenn ein konkreter Produktfehler bei mindestens einem Kunden bereits zu Tage getreten ist. An diese Defizite setzt die „integrierte Produktbeobachtung“ als neue herstellerseitige Verkehrssicherungspflicht an. 3. Die Verkehrssicherungspflichten des Haftungsrechts haben dabei spezifische Einstandspflichten für eine von dem Verpflichteten geschaffene Gefahrenquelle zum Gegenstand, um die Gefahren für die Rechte und Rechtsgüter Dritter zu eliminieren oder zumindest zu minimieren. Die Verkehrssicherungspflichten sind generell entwicklungsoffen, sodass hierfür jegliche Art an Vorkehrung in Betracht kommt, die für diesen Zweck geeignet sowie erforderlich und zumutbar ist. a) Die integrierte Produktbeobachtung muss vor diesem Hintergrund zunächst als geeignet gelten, den neuartigen oder gesteigerten Gefahren in Form der Unknown Causes of Trouble zu begegnen. b) Die Erforderlichkeit der integrierten Produktbeobachtung richtet sich dagegen nach der Gefährlichkeit des konkreten CPS, nach der objektiven Erkennbarkeit der hiervon ausgehenden Gefahr sowie nach dem Erwartungshorizont der gefährdeten Verkehrsteilnehmer. Zur Bestimmung der Gefährlichkeit (als Produkt aus Schadenshöhe und Eintrittswahrscheinlichkeit) kann dabei auf Risikomatri-
256
5. Teil: Zusammenfassung und Schlussbemerkung
zen zurückgegriffen werden, wie diese etwa vom BSI oder im Rahmen der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO eingesetzt werden. Im Rahmen der Bewertung des Erwartungshorizonts der gefährdeten Verkehrsteilnehmer ist zudem die sog. „Vision Zero“ zu berücksichtigen, die etwa im Luft- und Straßenverkehr seit vielen Jahren als Sicherheits-Leitvision gilt. Als Zwischenergebnis muss dabei festgestellt werden, dass die Erforderlichkeit der integrierten Produktbeobachtung jedenfalls für spezifische, potentiell gefährliche CPS zu bejahen sein kann. c) Die Zumutbarkeit der integrierten Produktbeobachtung bestimmt sich dagegen erneut nach der Gefährlichkeit des konkreten CPS sowie nach der Höhe des zur Realisierung der integrierten Produktbeobachtung erforderlichen Aufwands. Dem Einstandspflichtigen ist dabei umso mehr zuzumuten, je gefährlicher ein spezifisches CPS ist, oder anders gesagt: Der zu betreibende Sicherheitsaufwand steht der Gefährlichkeit des CPS spiegelbildlich gegenüber, weswegen die Zumutbarkeit auch als eine Division aus Gefährlichkeit (Divisor) und zu betreibendem Sicherheitsaufwand (Quotient) darstellbar ist. Auch die Zumutbarkeit der integrierten Produktbeobachtung kann hiernach für spezifische CPS zu bejahen sein. 4. An den Fund eines Produktfehlers schließen sich verschiedene Gefahrabwendungspflichten an, um den Fehler auch bei bereits im Verkehr befindlichen Produkten zu beseitigen oder zumindest die hiervon ausgehenden Gefahren zu minimieren. a) Dies kann zum einen durch herstellerseitige Hinweise und Warnungen erfolgen, wobei sich aufgrund der Automatisierung und Vernetzung hierfür zukünftig auch neue Möglichkeiten ergeben. Eine unmittelbare herstellerseitige Verpflichtung, sicherheitskritische Mängel auch an die eigenen Mitbewerber zu melden („Teilenspflicht“), ist derzeit dagegen nicht ersichtlich. b) Weiterhin kommt als Gefahrabwendungsmaßnahme zum anderen auch der Produktrückruf in Betracht, wobei hierunter zunächst verschiedenste Maßnahmen gefasst werden (bspw. Rücknahme, Austausch, Nachbesserung, Stilllegung). Zur Vermeidung einer Aushöhlung des ausdifferenzierten Gewährleistungsrechts wird dabei nach der wohl h. M. aber lediglich das Integritätsinteresse (Gefahrenbeseitigung), nicht aber auch das Äquivalenzinteresse (Fehlerbeseitigung) geschützt. Dies führt dazu, dass sich auch eine herstellerseitige Verpflichtung zur Bereitstellung von Sicherheitsupdates („Patches“) derzeit nicht aus den Gefahrabwendungspflichten der Verkehrssicherungspflichten ergibt. Die zwangsweise herstellerseitige Stilllegung gefährlicher Produkte wurde vom BGH dagegen zwar bereits als Gefahrabwendungsmaßnahme anerkannt. Ob sich hieraus aber auch eine Verpflichtung der Hersteller von IT-Produkten zur Fernsperrung ergibt, ist eher zu bezweifeln, wenngleich ein solcher Eingriff in fremde Eigentumsrechte bei bestimmten Produktgefahren verfassungsrechtlich rechtfertigbar sein könnte. III. Bezüglich eines gesetzgeberischen Reformierungsbedarfs ist festzustellen, dass, obgleich sich die hier aufgezeigten Maßnahmen der IT-Risikominimierung zu einem gewissen Grad bereits aus dem geltenden Recht ergeben können, eine umfas-
Kap. 2: Schlussbemerkung
257
sende Wahrnehmung der neuartigen Möglichkeiten der Automatisierung und Vernetzung dennoch eine zumindest ergänzende gesetzliche Ausgestaltung erfordert. 1. Dies gilt insbesondere im Rahmen des Event Data Recordings, für welches das geltende Recht nur vereinzelte spezialgesetzliche Bestimmungen und ansonsten lediglich einen „Event Data Recording Basisschutz“ kennt. Als Regelungsort einer zukünftigen gattungsübergreifenden Pflicht zum Event Data Recording für CPS kommt dabei zunächst das ProdSG bzw. eine der konkretisierenden ProdSV sowie das ProdHaftG in Betracht. An Stelle einer nationalen Umsetzung ist jedoch vielmehr eine europaweit einheitliche Regelung, etwa in einer zukünftigen Reformierung der Produkthaftungsrichtlinie 85/374/EWG, zu bevorzugen. Hinsichtlich der inhaltlichen Ausgestaltung ist dabei insbesondere auf die Sicherstellung von Beweisverfügbarkeit, Beweiskräftigkeit und Beweisverwertbarkeit zu achten. 2. Anders als beim Event Data Recording ergibt sich eine Verpflichtung zur integrierten Produktbeobachtung zwar bereits umfassend aus dem geltenden Recht. Gleichwohl ist im Kontext des Internets der Dinge das derzeitige Defizit einer fehlenden außervertraglichen und über die Verjährung des Gewährleistungsrechts hinausgehenden herstellerseitigen Rechtspflicht zur Bereitstellung von Sicherheitsupdates aber nicht mehr hinnehmbar. Zudem könnte bei sicherheitskritischen Fehlern in potentiell gefährlichen IT-Produkten auch eine Verpflichtung der Hersteller zur Meldung an deren Mitbewerber zu fordern sein („Teilenspflicht“), um für solche Produktgattungen zukünftig eine schnellstmögliche, marktübergreifende Gefahrabwendung erzielen zu können. Diese Maßnahmen erfordern dabei ebenfalls eine gesetzgeberische Reformierung, etwa des ProdSG, einer der ProdSV oder einer der zugrundeliegenden europäischen Richtlinien. Kapitel 2
Schlussbemerkung „Wenn Drahtlosigkeit vollständig angewendet wird, wird sich die ganze Erde in ein riesiges Gehirn verwandeln, was bedeutet, dass alle Dinge Teile eines realen und rhythmischen Ganzen sein werden“1, so hat es der Physiker Nikola Tesla bereits im Jahr 1926 vorhergesagt. Heute, über 90 Jahre später, wird das Ausmaß dieser damals bereits prognostizierten, ubiquitären „Smartifizierung“ langsam erkennbar. Außer Frage steht dabei zwar, dass automatisierte und vernetzte Systeme unser Leben zukünftig auch bereichern werden. Trotz aller Euphorie darf dabei aber nicht beschönigt werden, dass diese aufgrund der mehrfachen Komplexitäten bei gleichzeitiger weitestgehender Unerschlossenheit auch zu zahlreichen, neuarti 1
Frei übersetzt ins Deutsche von: „When wireless is perfectly applied the whole earth will be converted into a huge brain, which in fact it is, all things being particles of a real and rhythmic whole“, Tesla, Nikola, Interview mit John B. Kennedy, http://www.businessinsider.com/teslapredicted-smartphones-in-1926-2015-7?IR=T.
258
5. Teil: Zusammenfassung und Schlussbemerkung
gen oder gesteigerten, IT-Sicherheitsrisiken sowie zu diffusen Haftungssituationen führen können. Vor dieser zunächst defizitären Sicherheitslage darf dabei jedoch nicht resigniert werden. Erkannt werden muss vielmehr, dass Automatisierung und Vernetzung, in gleichem Maße wie diese zu neuartigen oder gesteigerten Gefahren führen, auch mit neuartigen oder gesteigerten Möglichkeiten der IT-Risikominimierung einhergehen. Zwar bleibt eine absolute Sicherheit bei informationstechnischen Systemen auch zukünftig nur eine Utopie.2 Da das Recht nicht Verhinderer technischen Fortschritts ist,3 darf daher auch dieses getreu dem Rechtsgrundsatz ultra posse nemo obligatur keine überzogenen Sicherheitserwartungen vorsehen. Dennoch ist zu fordern, dass die sog. „Vision Zero“ zukünftig bei allen automatisierten und vernetzten cyber-physischen Systemen, also auch außerhalb des Straßen- und Luftverkehrs, zumindest „Leitstern“ bei der Implementierung von Sicherheitsvorkehrungen wird. Insbesondere im Rahmen alltäglicher Haushaltsgeräte ist dabei zu beobachten, dass das Internet der Dinge zunehmend auch bislang nicht-vernetzte Lebensbereiche und damit herkömmliche Produkte einnimmt, die einer Vernetzung zur Erbringung ihrer Kernfunktionalitäten gar nicht bedürfen. Die Spielzeugpuppe „My Friend Cayla“4, die beheizbare Bettdecke „Smartduvet“5, die intelligente Bratpfanne „SmartyPans“6, die vernetzte Trinkflasche „HidrateSpark“7 oder gar der smarte Eierbehälter für den Kühlschrank „EggMinder“8 sind nur eine Handvoll Beispiele lediglich fakultativ vernetzter Produkte. Bei Herstellern traditionellerweise nicht-vernetzter Produkte, bspw. also bei Herstellern von Waschmaschinen, Rasenmähern oder Küchengeräten, stellt sich dabei aber oftmals die Herausforderung, dass diese womöglich zwar über großes Know-how im Bereich der Funktionssicherheit, jedoch über noch wenig oder begrenzte Erfahrung im Bereich der Informationssicherheit verfügen. Hersteller, die, schlichtweg um auch morgen noch marktfähig bleiben zu können, in die „Smartifizierung“ getrieben werden, sind dabei zu ermahnen, dass die Vernetzung von Produkten zu fortwährenden und anspruchsvollen Verpflichtungen führt, deren finanzieller Aufwand den Wettbewerbsvorteil, der durch die Vernetzung des Produktsortiments entsteht, deutlich übersteigen kann. Diese Arbeit versteht sich als rechtswissenschaftliches Fundament zukünftiger Maßnahmen der IT-Risikominimierung bei automatisierten und vernetzten cyber-physischen Systemen. Aufgezeigt werden sollte, welche neuartigen oder ge 2
So hinsichtlich der Datensicherheit i.R.d. § 9 BDSG auch Karg, in: Wolff / Brink, BeckOK Datenschutzrecht, § 9 BDSG a. F. Rn. 107 m. w. N. 3 Albrecht / Schmid, in: Taeger, Smart World – Smart Law?, S. 167 mit Verweis auf Heckmann, in: Heckmann / Schenke / Sydow, Verfassungsstaatlichkeit im Wandel, S. 17 ff. 4 My Friend Cayla, http://myfriendcayla.com/. 5 Smartduvet, https://www.smartduvet.com/. 6 SmartyPans, https://smartypans.io/. 7 Hidrate Spark, https://hidratespark.com/. 8 Egg Minder, https://www.cnet.com/products/quirky-egg-minder/review/.
Kap. 2: Schlussbemerkung
259
steigerten Gefahren bei diesen Systemen zu erwarten sind und wie diesen per innovativer Technik- und Rechtsgestaltung entgegengewirkt werden kann. Dennoch kann diese Arbeit nur eines von vielen Forschungsvorhaben sein, die es für eine zukünftige sichere Integration von automatisierten und vernetzten CPS in unseren Alltag bedarf.
Begriffsbestimmungen Erläuterung der wesentlichen Begrifflichkeiten in alphabetischer Reihenfolge Artifizielle Intelligenz („AI“)
Artifizielle oder künstliche Intelligenz („AI“ oder „KI“) beschreibt die Fähigkeit eines technischen Systems, aus rohen Daten sinnvolle Informationen gewinnen, selbstständig Rückschlüsse ziehen1 und diese auf zukünftige ähnliche Situationen anwenden zu können. Zur Anwendung kommen hierbei selbstlernende Algorithmen („Machine Learning“), wodurch das IT-System durch Probehandeln, aber auch durch Erfolge und Misserfolge geeignete Handlungsalternativen eruieren kann.2 Im Rahmen automatisierter und vernetzter cyber-physischer Systeme könnte Machine Learning etwa zum Einsatz kommen, um anhand von Vergangenheitserfahrungen (bspw. Wind, Wetter, Verkehrsaufkommen) die effizienteste Verbindung zwischen einem Start- und einem Zielpunkt ausfindig zu machen, im drohenden Kollisionsfalle die sicherste Ausweichroute zu wählen oder aber die verbleibende Akkulaufzeit abhängig von dem zu transportierenden Liefergewicht und der Umgebungstemperatur präzise zu berechnen.
Assistenz
Mit Assistenz wird die Beihilfe, Mithilfe, Zuarbeit oder Unterstützung bei der Erledigung einer Aufgabe3 und damit die Teilübertragung von Aufgaben auf das IT-System verstanden. Ein Assistenzsystem wirkt unterstützend, nimmt dem Assistierten die Aufgabe jedoch nicht vollständig ab. Dieser muss weiterhin selbst tätig werden. Im Rahmen automatisierter und vernetzter cyber-physischer Systeme liegt eine Assistenz daher vor, wenn dieses teilweise, jedoch nicht vollständig, Aufgaben automatisiert ausführen kann.4
Automatisiertes cyber-physisches System („ACPS“)
Ein automatisiertes cyber-physisches System („ACPS“) ist im Kontext dieser Arbeit ein cyber-physisches System (siehe „CPS“), das mindestens auf den Stufen der Hoch- oder Vollautomatisierung oder aber autonom agiert und in spezifischen Situationen eine menschliche Steuerperson nicht mehr erfordert.
Automatisierung
Unter Automatisierung wird die Übertragung von Funktionen vom Menschen auf IT-Systeme verstanden.5 Im Rahmen automatisierter und vernetzter CPS wird mit Automatisierung die Steuerungsübernahme durch das System bezeichnet. Der Begriff der Automatisierung beinhaltet mehrere Automatisierungsstufen.6
1
Haun, Handbuch Robotik, S. 294. Haun, Handbuch Robotik, S. 294. 3 Open Thesaurus, Assistenz. 4 Zu den Automatisierungsstufen siehe 2. Teil, Kapitel 2, A. 5 Vgl. Gabler Wirtschaftslexikon, Automatisierung. 6 Zu den Automatisierungsstufen siehe 2. Teil, Kapitel 2, A. 2
Begriffsbestimmungen
261
Autonomie
Unter Autonomie wird generell die Unabhängigkeit und Selbstständigkeit7 einer Person, eines Staates oder eines technischen Systems bezeichnet. Im vorliegenden Kontext bezeichnet Autonomie die Möglichkeit eines IT-Systems, die vollständige Kontrolle in allen erdenklichen Situationen zu übernehmen.8 Autonome Systeme bedürfen selbst in Sondersituationen keiner menschlichen Überwachung und keines menschlichen Eingriffs mehr. Auch das autonome System wird aber nur auf externen Befehl hin tätig und ist an etwaige Weisungen der Steuerperson gebunden. Das autonome System verfügt demnach über keine eigene Souveränität.9
Betreiber
Unter einem Betreiber wird im Kontext dieser Arbeit diejenige natürliche oder juristische Person verstanden, die die Verfügungsbefugnis über ein Produkt innehat. Der Betreiber muss das Produkt nicht selbst unmittelbar nutzen, sondern kann dieses auch lediglich zur Nutzung für andere bereitstellen. Betreiber in diesem Sinne ist bspw. der Halter eines Straßen- oder Luftfahrzeugs.
Beweiserhebliche Daten
Beweiserhebliche Daten im Kontext dieser Arbeit sind Daten, die eine Erklärung beinhalten, die für rechtlich erhebliche Tatsachen Beweis erbringen kann.10 Der Begriff orientiert sich demnach an dem wortlautgleichen Begriff des § 269 Abs. 1 StGB. Ausreichend ist dabei, wenn eine Gesamtschau mehrerer Daten in Kombination die Schwelle zur Beweiserheblichkeit überschreitet.11 Im Kontext automatisierter und vernetzter CPS liegen beweiserhebliche Daten insbesondere dann vor, wenn diese entweder in Zusammenhang mit einer technischen Störung oder mit einem Unfallereignis nach § 7 Abs. 1 StVG stehen.
Cyber-physisches System („CPS“)
Ein cyber-physisches System („CPS“) ist ein komplexes und meist automatisiertes informationstechnisches System (siehe „ACPS“), das sowohl aus Software als auch aus mechanischen Komponenten besteht. Es ist befähigt, in physischer Form auf seine Umgebung einzuwirken oder mit dieser physisch in Interaktion zu treten und aufgrund seiner Vernetzung mit anderen CPS oder IT-Systemen Informationen auszutauschen bzw. Befehle von Steuerpersonen entgegenzunehmen.12 Neben Straßen- und Luftfahrzeugen stellen etwa auch Industrie- oder Pflegeroboter sowie Staudämme oder Atomkraftwerke CPS dar.
7
Vgl. Duden, Autonomie. Zu den Automatisierungsstufen siehe 2. Teil, Kapitel 2, A. 9 Anders aber wohl Ball / Callaghan, in: Proceedings of the Eighth International Conference on Intelligent Environments, S. 114, die auf der zehnten und höchsten Autonomiestufe bereits von einer Souveränität des Systems ausgehen. Hierzu auch Reichwald / Pfisterer, CR 2016, 208, 210. 10 Weidemann, in: v. Heintschel-Heinegg, BeckOK StGB, § 269 StGB Rn. 5 m. w. N.; Heine / Schuster, in: Schönke / Schröder, StGB, § 269 StGB Rn. 9. 11 Heine / Schuster, in: Schönke / Schröder, StGB, § 269 StGB Rn. 10. 12 Hierzu auch Bendel, 300 Keywords Informationsethik, S. 208. 8
262
Begriffsbestimmungen
Drohne
Der Begriff Drohne bezeichnet ein unbemanntes Luftfahrzeug (siehe „UAS“) und geht auf den westgermanischen Begriff „dræno“ zurück,13 der wiederum lautmalerisch verwandt mit „dröhnen“ („brummen, surren“) ist. Wegen ihres Fluggeräusches wurden zunächst männliche Bienen als Drohnen bezeichnet.14 Da diese nicht in der Lage sind, Nahrung, also Nektar und Pollen, zu sammeln und daher stets auf die Zuarbeit anderer Honigbienen, also auf eine externe Versorgung, angewiesen sind, wurde bereits 1935 auch ein von der britischen Royal Navy entwickeltes ferngesteuertes Luftfahrzeug DH 82B Queen Bee genannt. Dieses wiederum wurde von der U. S. Navy als Vorbild für eigene ferngesteuerte Luftfahrzeuge herangezogen, die fortan, um die Abhängigkeit von einer externen Fernsteuerung zu signalisieren, „drones“ genannt wurden.15
Event Data Recording („EDR“)
Mit Event Data Recording wird die ereignisabhängige Protokollierung beweiserheblicher Daten (siehe beweiserhebliche Daten) auf einem geschützten Datenträger („Event Data Recorder“ / „EDR“) bezeichnet. Je nach konkretem System sind hierfür auch die Begriffe Unfalldatenspeicher, Unfalldatenrekorder16, Flugdatenschreiber, Flight Data Recorder oder Black Box geläufig. Zu beachten ist jedoch, dass diese Speichersysteme nur dann auch Event Data Recorder darstellen, wenn diese nicht eine kontinuierliche Ringspeicherung, sondern eine ereignisabhängige, punktuelle Datenspeicherung (etwa bei einem Unfallereignis oder beim Auftreten einer technischen Störung) vornehmen.17 Das Event Data Recording dient dabei dem Zweck, Beweisunsicherheiten und damit sog. „Legal Causes of Trouble“ (siehe Legal Causes of Trouble) entgegenzuwirken.
Flugmodell
Ebenso wie das UAS (siehe „Unmanned Aircraft System“) handelt es sich bei einem Flugmodell i. S. d. § 1 Abs. 2 Satz 1 Nr. 9 LuftVG um ein unbemanntes Fluggerät. Unbeachtlich ist, ob das Flugmodell ferngesteuert oder automatisiert betrieben wird sowie dessen Größe und Antriebsart.18 Eine Abgrenzung des Flugmodells zum Unmanned Aircraft System („UAS“) erfolgt gem. § 1 Abs. 2 Satz 3 LuftVG lediglich anhand des Verwendungszwecks: Soll das Fluggerät nur zu Zwecken des Sports oder der Freizeitgestaltung betrieben werden, handelt es sich um ein Flugmodell, anderenfalls um ein UAS.
Gefahrabwendungspflichten
Mit Gefahrabwendungspflichten werden im Kontext dieser Arbeit solche herstellerseitigen Handlungspflichten bezeichnet, die an den Fund eines bislang unbekannten Produktfehlers oder einer Produktgefahr anschließen und auf eine Gefahreneliminierung oder -minimierung ausgerichtet sind.
13
Wissen.de, Drohne. Wissen.de, Drohne. 15 Zimmer, The Wall Street Journal-Beitrag v. 26.07.2013, The Flight of ‚Drone‘ From Bees to Planes. 16 Vgl. Weber, in: Vieweg / Gerhäuser, Digitale Daten in Geräten und Systemen, S. 84. 17 Vgl. Brenner / Schmidt-Cotta, SVR 2008, 41, 43. 18 Lampe, in: Erbs / Kohlhaas, Strafrechtliche Nebengesetze, § 1 LuftVG Rn. 6. m. w. N. 14
Begriffsbestimmungen
263
Hersteller
Im Kontext dieser Arbeit wird auf den produkthaftungsrechtlichen Herstellerbegriff nach § 4 Abs. 1 ProdHaftG zurückgegriffen. Hersteller ist damit insbesondere diejenige (juristische) Person, die ein Endprodukt herstellt und in den Verkehr bringt.
Heteronomie
Der Begriff Heteronomie bringt eine Abhängigkeit, also eine Unselbstständigkeit, zum Ausdruck19 und meint im Rahmen dieser Arbeit daher ein IT-System, das nicht, auch nicht teilweise, selbstständig tätig werden kann. Ein heteronomes IT-System ist demnach stets auf eine externe, menschliche und manuelle Steuerung angewiesen und als Gegenstück zur Automatisierung zu verstehen. Im Kontext der Automatisierung des Straßen- oder Luftverkehrs sind hierfür auch die Begrifflichkeiten „Driver Only“ oder „Pilot Only“ verbreitet.20
Integrierte Produkt beobachtung
Mit dem Begriff der integrierten Produktbeobachtung soll eine neue Generation an Produktbeobachtungs-pflichten (siehe Produktbeobachtung) bezeichnet werden, die über die im Schrifttum und in der Rechtsprechung bereits anerkannten passiven und aktiven Produktbeobachtungspflichten hinausgeht und die Hersteller risikoreicher automatisierter und vernetzter CPS (siehe CPS) verpflichtet, Produkt-beobachtungsmechanismen direkt in die jeweilige Firmware des Systems zu implementieren. Hierdurch soll ermöglicht werden, dass sich automatisierte und vernetzte CPS zukünftig auch selbst auf bislang unbekannte Produktfehler und Produktgefahren hin überwachen sowie solche im Fundfalle an ihre Hersteller eigenständig übermitteln können. Die integrierte Produktbeobachtung dient dem Zweck, sog. „Unknown Causes of Trouble“ (siehe Unknown Causes of Trouble) entgegenzuwirken.
Internet der Dinge Das Internet der Dinge („Internet of Things“ / „IoT“) bezeichnet die Ver(„Internet of netzung bislang nicht-vernetzter elektronischer Geräte und IT-Systeme Things“ / „IoT“) über das Internet. Hierdurch wird es den Systemen ermöglicht, untereinander sowie mit Menschen Informationen auszutauschen, zu kommunizieren und zu kooperieren. Legal Causes of Trouble
Mit Legal Causes of Trouble werden im Kontext dieser Arbeit die bei einem automatisierten und vernetzten CPS bestehenden Beweisschwierigkeiten und Rechtsunsicherheiten bei einem Schadensereignis bezeichnet, die zu einer inadäquaten faktischen Haftung ohne Regressmöglichkeit zu Lasten des primär Haftenden oder aber zu Haftungslücken führen können.
Luftfahrzeug
Unter einem Luftfahrzeug wird ein Fluggerät verstanden, das die Eigenschaften (die Tragfähigkeit) der Luft bedarf, um sich in der Luft halten zu können.21 Nach der Definition des § 1 Abs. 2 Satz 1 LuftVG fallen hierunter neben den klassischen Flugzeugen (Nr. 1) etwa auch Segelflugzeuge (Nr. 4), die in der Luftfahrtpraxis eher überkommenen Luftschiffe
19
Duden, Heteronomie. Zu den Automatisierungsstufen siehe 2. Teil, Kapitel 2, A. 21 Giemulla, in: Giemulla / Schmid, LuftVG, § 1 LuftVG Rn. 27 m. w. N.; Lampe, in: Erbs / Kohlhaas, Strafrechtliche Nebengesetze, § 1 LuftVG Rn. 5 m. w. N. 20
264
Begriffsbestimmungen (Nr. 3), Ballone (Nr. 6) und Rettungsfallschirme22 (Nr. 8). Neben diesen bemannten Luftfahrzeugtypen zählen mit dem Flugmodell (Nr. 9) und dem unbemannten Fluggerät bzw. unbemannten Luftfahrtsystem („UAS“) (§ 1 Abs. 2 Satz 2 LuftVG) auch nicht-bemannte Luftfahrtgeräte zum Begriff des Luftfahrzeugs („unbemannte Luftfahrzeuge“).
Nutzer
Unter einem Nutzer wird im Kontext dieser Arbeit diejenige Person verstanden, die ein Produkt selbst unmittelbar nutzt und die Kontrolle über dieses ausübt. Der Nutzer hat i. d. R. die unmittelbare Sachherrschaft über das Produkt inne. Nutzer in diesem Sinne ist etwa der Straßen- oder Luftfahrzeugführer.
Produkt beobachtung
Mit Produktbeobachtung wird die herstellerseitige Überwachung bereits in den Verkehr gebrachter Produkte auf bislang unbekannte Produktfehler und Produktgefahren bezeichnet.
Quattro-, Hexa-, Oktokopter (Multikopter)
Die Begriffe Quattro-, Hexa- und Oktokopter geben die Antriebsart eines unbemannten Luftfahrzeugs, genauer dessen Motorenanzahl, an. So verfügt ein Quattrokopter über vier senkrecht aufgestellte Rotoren, die paarweise jeweils rechts und linksdrehend sind. Der Hexakopter verfügt über sechs Motoren und der Oktokopter über acht Motoren. Unter Vermischung der deutschen und der englischen Sprache sind hierbei oftmals abweichende Schreibweisen wie „Quadrokopter“, „Quadrocopter“ und „Quadcopter“ anzutreffen. Der Begriff Multikopter (auch: „Multicopter“) stellt einen Überbegriff über die verschiedenen mehrmotorigen Antriebsvarianten dar.
Risiko
Risiko bezeichnet das Vorhandensein einer objektiven Gefahr mit der Wahrscheinlichkeit, dass sich diese in einem konkreten Schaden realisieren wird: Risiko = Gefahr ∧ Eintrittswahrscheinlichkeit
Risikohöhe
Risikohöhe (bzw. Gefährlichkeit) bezeichnet die Intensität eines Risikos und setzt sich aus den Faktoren Schadenshöhe (bzw. Auswirkungen) und Eintrittswahrscheinlichkeit (bzw. Exposition) zusammen:23 Risikohöhe = Schadenshöhe × Eintrittswahrscheinlichkeit
Smartifizierung
Mit Smartifizierung24 (wörtlich übersetzt: „Intellektuierung“) wird die ubiquitäre und umgreifende Automatisierung und Vernetzung zahlreicher Lebensbereiche des Menschen bezeichnet. Sie umfasst als Querschnittsbegriff daher sowohl die Verselbstständigung einzelner IT-Systeme (Automatisierung) als auch deren Zusammenschaltung zu einem automatisierten
22 Andere Fallschirme, die nicht der Personenrettung dienen, zählen seit dem 10. Änderungsgesetz zum LuftVG (Gesetz v. 23.7.1992, BGBl. 1992 I, 1370) als Luftsportgeräte i. S. d. § 1 Abs. 2 Satz 1 Nr. 10 LuftVG, vgl. Lampe, in: Erbs / Kohlhaas, Strafrechtliche Nebengesetze, § 1 LuftVG Rn. 6. 23 Vgl. Jung, Bundesgesundheitsbl 2003, 542, 545. 24 Hierzu bereits Heckmann / Schmid, vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, S. 12; Heckmann / Schmid, Informatik-Spektrum 2017, 430, 431.
Begriffsbestimmungen
265
Gesamtsystem (Vernetzung). Die Smartifizierung bedient sich hierzu verschiedener Schlüsseltechnologien und führt zum sog. „Internet der Dinge“. Je nach konkretem Kontext sind verschiedene Unterbegriffe der Smartifizierung gebräuchlich. So etwa Smart Road Traffic für die Smartifizierung des Straßenverkehrs, Smart Home für die Smartifizierung des privaten Heims, Smart Factory oder Industrie 4.0 für die Smartifizierung der Industrie, Smart Grids für die Smartifizierung des Energienetzes und Smart Cities für die Smartifizierung ganzer Städte. Souveränität
Während unter Souveränität generell eine Unabhängigkeit bzw. eine Überlegenheit zum Ausdruck gebracht wird,25 wird mit dem Begriff im Kontext dieser Arbeit die höchste, aber zugleich aus sicherheitstechnischen und technikethischen Gesichtspunkten unerwünschte Automatisierungsstufe26 bezeichnet, bei der sich das IT-System über menschliche Steuerungsbefehle hinwegsetzen und einen eigenen Programmablauf verfolgen kann.27
Tracing
Mit Tracing wird im Kontext dieser Arbeit die Ablaufverfolgung eines IT-Systems, also eine Protokollierung dessen interner und externer Prozesse, bezeichnet. Der Begriff stammt ursprünglich aus der IT-Forensik und bezeichnet dort ein technisches Verfahren zur Zurückverfolgung eines Datenpakets über das Internet bis zu seinem Absender28 bzw. zur Zurückverfolgung urheberrechtswidriger Softwarekopien (Piraterie).29 Die Speicherung der erhobenen Informationen findet in einer sog. „Trace“ statt. Die spätere Auswertung der Trace wird als „Debugging“ bezeichnet. Das Tracing dient im Kontext dieser Arbeit der späteren Feststellung von Hard- oder Softwarefehlern bzw. externen Einflüssen auf das IT-System, die zu einer Gefährdung oder Verletzung der Funktions- oder Informationssicherheit führen können oder bereits geführt haben und im Ergebnis damit der Ursachenfeststellung.
Unknown Causes of Trouble
Mit Unknown Causes of Trouble werden im Kontext dieser Arbeit diejenigen Produktfehler und Produktgefahren bezeichnet, die sich bei automatisierten und vernetzten CPS nicht „am Reißbrett“30 eliminieren lassen und daher auch nach der Inverkehrgabe des Systems noch vorhanden sind.
Unmanned Aircraft System („UAS“)
Nach der International Civil Aviation Organization (ICAO) ist unter einem Unmanned Aircraft System („UAS“) „ein Luftfahrzeug und die dazugehörigen Elemente [zu verstehen], welches ohne Piloten an Bord betrieben wird“31. Neben dem Luftfahrzeug an sich umfasst dies auch
25
Duden, Souveränität. Zu den Automatisierungsstufen siehe 2. Teil, Kapitel 2, A. 27 Zu den Gefahren siehe 2. Teil, Kapitel 2, A., VI sowie 3. Teil, Kapitel 2, B., III., 1., d). 28 Sieber, in: Hoeren / Sieber / Holznagel, MMR-HdB, Teil 1 Rn. 71 f. 29 Wandtke / Ohst, in: Wandtke / Bullinger, Urheberrecht, § 95a UrhG Rn. 27. 30 Heckmann / Schmid, Informatik-Spektrum 2017, 430, 433; Schmid / Wessels, NZV 2017, 357, 359. 31 Frei übersetzt ins Deutsche von: „[a]n aircraft and its associated elements which are operated with no pilot on board“, ICAO, Cir 328, Unmanned Aircraft Systems (UAS), Glossary, S. X. 26
266
Begriffsbestimmungen etwaige zugehörige Bodenkontrollstationen („dazugehörige Elemente“).32 Wird dagegen nur das Luftfahrzeug an sich bezeichnet, ist hierfür auch der Begriff „Unmanned Aerial Vehicle“ („UAV“) geläufig. UAS entspricht dabei dem Begriff des „unbemannten Luftfahrtsystems“ im nationalen § 1 Abs. 2 Satz 2 LuftVG.33 In Abgrenzung zum „Flugmodell“ nach § 1 Abs. 2 Satz 1 Nr. 9 LuftVG werden von dem Begriff des UAS nur solche Systeme erfasst, die nicht zu Zwecken des Sports oder der Freizeitgestaltung, sondern insbesondere gewerblich betrieben werden.34 Da die Abgrenzung zum Flugmodell damit ausschließlich anhand des Verwendungszwecks erfolgt, ist demnach unerheblich, ob das UAS einer Fernsteuerung bedarf oder aber automatisiert operieren kann.35 Auch heteronome unbemannte Luftfahrzeuge können demnach als UAS bezeichnet werden. Für kleinere UAS ist auch der Begriff „Small Unmanned Aircraft System“ („sUAS“) gebräuchlich.
32
Hierzu auch Kornmeier, Der Einsatz von Drohnen zur Bildaufnahme, S. 10. Vgl. BR-Drs. 571/11 S. 15; Lampe, in: Erbs / Kohlhaas, Strafrechtliche Nebengesetze, § 1 LuftVG Rn. 7. 34 Vgl. Lampe, in: Erbs / Kohlhaas, Strafrechtliche Nebengesetze, § 1 LuftVG Rn. 6. 35 So auch der Gesetz- und Verordnungsgeber, der zwar richtigerweise erkannt hat, dass ein unbemanntes Luftfahrtsystem meist über eine hochentwickelte Elektronik verfügt und in der Lage ist, selbstständig Flugmanöver auszuführen, der aber als entscheidendes Abgrenzungskriterium auf den Verwendungszweck abstellt, vgl. BT-Drs. 17/8098, S. 14 sowie BR-Drs. 571/11 S. 15. 33
Literaturverzeichnis Alle Internetquellen wurden zuletzt abgerufen am 27.04.2018. 3sat: Beitrag v. 20.06.2017, Der Datenschutz kommt unter die Räder, abrufbar unter: http:// www.3sat.de/page/?source=/nano/technik/192306/index.html. Abadie, Richard / Babicz, Agnieszka / Boguszewska, Ewa / Czerkies, Bartosz / Głąb, Adam / Hołoga, Rozalia / Huff, Vicki / Jagiełło, Jakub / Jankowska-Tofani, Weronika / Kramza, Arkadiusz / Krasoń, Adam / Kuprijaniuk, Sandra / Lulkowska, Paulina / Mazur, Michał / McMillan, Jeffery / Orliński, Filip / Piwowarski, Remigiusz / Romanowski, Piotr / Smith, Julian / Stroh, Stefan / Sygutowski, Jacek / Urban, Grzegorz / Walczak, Marek / Wiśniewski, Adam / Wolski, Marek / Zdrojowy, Ewa: pwc-Studie, Clarity from Above, abrufbar unter: https:// www.pwc.pl/pl/pdf/clarity-from-above-pwc.pdf (zitiert als: Abadie/Babicz/Boguszewska u.a., pwc-Studie, Clarity from Above). Albrecht, Florian / Schmid, Alexander: Der Einsatz von Videodrohnen bei der Bundespolizei, in: Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Tagungsband Herbstakademie 2016, Edewecht 2016, S. 155–170. Amazon: Amazon Prime Air, abrufbar unter: https://www.amazon.com/Amazon-Prime-Air/ b?ie=UTF8&node=8037720011. – Determining Safe Access with a Best-Equipped, Best-Served Model for Small Unmanned Aircraft Systems, abrufbar unter: https://images-na.ssl-images-amazon.com/images/G/01/ 112715/download/Amazon_Determining_Safe_Access_with_a_Best-Equipped_Best-Served _Model_for_sUAS.pdf. – Revising the Airspace Model for the Safe Integration of Small Unmanned Aircraft Systems, abrufbar unter: https://images-na.ssl-images-amazon.com/images/G/01/112715/download/ Amazon_Revising_the_Airspace_Model_for_the_Safe_Integration_of_sUAS.pdf. – Video-Beitrag, First Prime Air Delivery, abrufbar unter: https://www.amazon.com/Amazon- Prime-Air/b?ie=UTF8&node=8037720011. Amelung, Knut: Grundsätzliches zur Freiwilligkeit der Einwilligung des Verletzten, in: NStZ 2006, 317–320. Arkenau, Judith / Wübbelmann, Judith: Eigentum und Rechte an Daten – Wem gehören die Daten?, in: Taeger, Jürgen (Hrsg.), Internet der Dinge, Tagungsband Herbstakademie 2015, Edewecht 2015, S. 95–109. Armbrüster, Christian: Automatisiertes Fahren – Paradigmenwechsel im Straßenverkehrsrecht?, in: ZRP 2017, 83–86. Asimov, Isaac: I, Robot, London 2018 (Neuausgabe des Originals von 1950). auto.de: ABS: Wer hat’s erfunden?, abrufbar unter: http://www.auto.de/magazin/abs-wer-hats-erfunden/.
268
Literaturverzeichnis
AV Test: Security Report 2016/2017, abrufbar unter: https://www.av-test.org/fileadmin/pdf/ security_report/AV-TEST_Security_Report_2016-2017.pdf. Ball, Matthew / Callaghan, Vic: Explorations of Autonomy: An Investigation of Adjustable Autonomy in Intelligent Environments, in: Proceedings of the Eighth International Conference on Intelligent Environments, S. 114–121. Balke, Rüdiger: Automatisiertes Fahren, in: SVR 2018, 5–8. Balzer, Thomas / Nugel, Michael: Das Auslesen von Fahrzeugdaten zur Unfallrekonstruktion im Zivilprozess, in: NJW 2016, 193–199. Bamberger, Heinz Georg / Roth, Herbert / Hau, Wolfgang / Poseck, Roman (Hrsg.): Beck’scher Online-Kommentar BGB, 47. Edition, München 2018 (zitiert als: Bamberger / Roth / Hau / Poseck, BeckOK BGB). Bartelt, Andreas / Eisenmann, Susanne / Ihle, Markus: Langzeitabsicherung von Automobilen, in: DuD 2017, 211–216. BASt: Rechtsfolgen zunehmender Fahrzeugautomatisierung, in: Berichte der BASt, Heft F83 2012. Baumann, Jürgen / Weber, Ulrich / Mitsch, Wolfgang: Strafrecht Allgemeiner Teil, 11. Auflage, Bielefeld 2003. BDL: Chancen und Risiken ziviler Drohnen, abrufbar unter: https://www.bdl.aero/download/ 2239/umfrage_chancen_und_risiken_ziviler_drohnen.pdf. Bendel, Oliver: 300 Keywords Informationsethik, Wiesbaden 2016. Benkler, Yochai: From Consumers to Users: Shifting the Deeper Structures of Regulation Toward Sustainable Commons and User Access, in: Federal Communications Law Journal 2000, 561–579. Berberich, Matthias / Golla, Sebastian: Zur Konstruktion eines „Dateneigentums“ – Herleitung, Schutzrichtung, Abgrenzung, in: PinG 2016, 165–176. Berger, Christian: Beweisführung mit elektronischen Dokumenten, in: NJW 2005, 1016–1020. BEUC: Review of Product Liability Rules, abrufbar unter: http://www.beuc.eu/publications/ beuc-x-2017-039_csc_review_of_product_liability_rules.pdf. Beurskens, Michael: Virtuelles Eigentum – Absolute Rechte an Daten?, in: Domej, Tanja / Dörr, Bianka / Hoffmann-Nowotny, Urs / Vasella, David / Zelger, Ulrich (Hrsg.): Einheit des Privatrechts, komplexe Welt: Herausforderungen durch fortschreitende Spezialisierung und Interdisziplinarität, Jahrbuch Junger Zivilrechtswissenschaftler, Tübingen 2009. Biermann, Kai / Wiegold, Thomas: Drohnen – Chancen und Gefahren einer neuen Technik, Berlin 2015. Bischof, Claudia: Drohnen: Chancen und Regulierung, in: Taeger, Jürgen (Hrsg.), Chancen und Risiken von Smart Cams im öffentlichen Raum, Mannheim 2017, S. 75–100. BITKOM: Risk Assessment & Datenschutz-Folgenabschätzung, abrufbar unter: https://www. bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/ FirstSpirit-1496129138918 170529-LF-Risk-Assessment-online.pdf.
Literaturverzeichnis
269
BMVI: Bericht der Ethik-Kommission automatisiertes und vernetztes Fahren, abrufbar unter: https://www.bmvi.de/SharedDocs/DE/Publikationen/DG/bericht-der-ethik-kommission. pdf?__blob=publicationFile. – Runder Tisch automatisiertes Fahren – Bericht zum Forschungsbedarf, abrufbar unter: https://www.bmvi.de/SharedDocs/DE/Anlage/Digitales/bericht-zum-forschungsbedarfrunder-tisch-automatisiertes-fahren.pdf?__blob=publicationFile. BMW: Pressemitteilung v. 20.12.2016, Neues Entwicklungszentrum für autonomes Fahren, abrufbar unter: https://www.press.bmwgroup.com/deutschland/article/detail/T0266778DE/ neues-entwicklungszentrum-fuer-autonomes-fahren?language=de. BMWi: Autonomik für Industrie 4.0, abrufbar unter: https://www.bmwi.de/Redaktion/DE/ Publikationen/Digitale-Welt/autonomik-fuer-industrie-4-0.pdf?__blob=publicat ionFile &v=13. – IT-Sicherheit für die Industrie 4.0, abrufbar unter: https://www.bmwi.de/Redaktion/DE/ Publikationen/Studien/it-sicherheit-fuer-industrie-4-0.pdf?__blob=publicationFile&v=4. Bodewig, Theo: Der Rückruf fehlerhafter Produkte, Tübingen 1999. v. Bodungen, Benjamin: Automatisiertes Fahren (Automotive), in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 361–384. v. Bodungen, Benjamin / Hoffmann, Martin: Autonomes Fahren – Haftungsverschiebung entlang der Supply Chain? (2. Teil), in: NZV 2016, 503–509. Börding, Andreas / Jülicher, Tim / Röttgen, Charlotte / v. Schönfeld, Max: Neue Herausforderungen der Digitalisierung für das deutsche Zivilrecht, in: CR 2017, 134–140. Borges, Georg: Haftung für selbstfahrende Autos, in: CR 2016, 272–280. – Rechtliche Rahmenbedingungen für autonome Systeme, in: NJW 2018, 977–982. Borsdorff, Anke / Kastner, Martin: Modulwissen Einsatzrecht 1, Lübeck 2011. bpb: Souveränität, abrufbar unter: http://www.bpb.de/nachschlagen/lexika/pocket-europa/16 944/souveraenitaet. Braun, Nikolaus: airliners.de-Beitrag v. 03.11.2015, Kann ein Flugzeug automatisch landen?, abrufbar unter: http://www.airliners.de/kann-flugzeug-antworten-cockpit-15/37085. – airliners.de-Beitrag v. 06.04.2017, Was kann eigentlich der Autopilot?, abrufbar unter: http://www.airliners.de/was-kann-eigentlich-der-autopilot/33438. Brenner, Michael / Schmidt-Cotta, Ralf-Roland: Der Einsatz von Unfalldatenspeichern unter dem Brennglas des Europarechts, in: SVR 2008, 41–49. Brisch, Klaus / Müller-ter Jung, Marco: Autonomous Driving – Von Data Ownership über Blackbox bis zum Beweisrecht, in: CR 2016, 411–416. Brockmeyer, Henning: Treuhänder für Mobilitätsdaten – Zukunftsmodell für hoch- und vollautomatisierte Fahrzeuge?, in: ZD 2018, 258. Brüggemann, Sebastian: M2M-Kommunikation, Industrie 4.0 und das Internet der Dinge – Rechtliche Fallstricke, in: AnwZert ITR 20/2015, Anm. 2.
270
Literaturverzeichnis
BSI: BSI-Standard 100–4, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standa rd_1004.pdf?__blob=publi cationFile&v=1. – BSI-Standard 200–3, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Grundschutz/Kompendium/standard_200_3.pdf?__blob=publicationFile&v=6. – IT-Grundschutz-Schulung – 4.3 Risiken bewerten, abrufbar unter: https://www.bsi.bund. de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/Webkurs1004/4_RisikenA naly sieren/2_Risiken%20bewerten/RisikenBewerten_node.html. – Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT, abrufbar unter: https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Risiko analyseKrankenhaus.pdf?__blob=publicationFile&v=4. BÜNDNIS 90/DIE GRÜNEN / SPD Baden-Württemberg: Koalitionsvertrag 2011–2016: Der Wechsel beginnt, abrufbar unter: https://www.gruene-bw.de/wp-content/uploads/2015/10/ Koalitionsvertrag-Der-Wechsel-beginnt.pdf. Burrer, Steffen: Prozessrecht, in: Bräutigam / Klindt (Hrsg.), Digitalisierte Wirtschaft / Industrie 4.0, 2015, S. 146–152. CEFIC: Risiko und Gefahr – Was der Unterschied ist?, Brüssel 2008. Cenciotti, David: The Aviationist-Beitrag v. 16.12.2013, Hacker releases kit to make aerial drone capable to hijack other flying drones, abrufbar unter: https://theaviationist.com/ 2013/12/16/skyjack-drones-hack/. Datenschutzbehörden des Bundes und der Länder / VDA: Gemeinsame Erklärung Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und nicht vernetzter Kraftfahrzeuge, Berlin / Schwerin 2016. DAV: Stellungnahme Nr.: 75/2016 zur Frage des „Eigentums“ an Daten und Informationen, Berlin 2016. – Stellungnahme Nr. 29/2017 zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/ EG (Verordnung über Privatsphäre und elektronische Kommunikation), Berlin 2017 (zitiert als: DAV, Stellungnahme Nr. 29/2017 zur ePrivacyVO). Denker, Philipp / Friederici, Florian / Goeble, Thilo / Graudenz, Dirk / Grote, Rafael / Hoffmann, Christian / Hornung, Gerrit / Jöns, Johanna / Jotzo, Florian / Radusch, Ilja / Schiff, Laura / Schulz, Sönke E.: „Eigentumsordnung“ für Mobilitätsdaten? (Studie im Auftrag des BMVI), abrufbar unter: http://www.bmvi.de/SharedDocs/DE/Publikationen/DG/eigen tums ordnung-mobilitaetsdaten.pdf?__blob=publicationFile (zitiert als: Denker/Goeble/ Graudenz u.a.: „Eigentumsordnung“ für Mobilitätsdaten?) derStandard.at: Beitrag v. 18.02.2017, Experten warnen vor Einsatz von Chemiewaffen per Drohne, abrufbar unter: http://derstandard.at/2000 052826846/Experten-warnen-vor-Ein satz-von-Chemiewaffen-per-Drohne. Deutsche Post DHL Group: DHL Paketkopter 3.0, abrufbar unter: http://www.dhl.de/paket kopter.
Literaturverzeichnis
271
– Factsheet DHL Paketkopter, abrufbar unter: http://www.dp-dhl.com/de/presse/specials/ paketkopter/_jcr_content/mainpar/cols2_1/rightcolpar/downloadarticle/daitems/down loadarticleitem_2.download. – Pressemitteilung v. 09.05.2016, Einbindung des DHL-Paketkopters in die Logistikkette erfolgreich getestet, abrufbar unter: http://www.dpdhl.com/de/presse/pressemitteilungen/ 2016/einbindung_dhl_paketkopter_logistikkette_erfolgreich_getestet.html. Die Presse: Beitrag v. 21.12.2016, 7-Eleven hebt ab: Lieferungen per Drohne, abrufbar unter: http://diepresse.com/home/wirtschaft/unternehmen/5137157/7Eleven-hebt-ab_Lieferungenper-Drohne. Dieners, Peter / Reese, Ulrich (Hrsg.): Handbuch des Pharmarechts, München 2010. Dietborn, Christof / Müller, Alexander: Beschränkung der deliktischen Herstellerpflichten: Kein Produktrückruf und kostenloser Austausch, in: BB 2007, 2358–2360. Dietrich, Robert / Nugel, Michael: Unfallrekonstruktion mit Hilfe des Event Data Recorder, in: ZfS 2017, 664–667. Dix, Alexander: Daten als Bezahlung – Zum Verhältnis zwischen Zivilrecht und Datenschutzrecht, in: ZEuP 2017, 1–5. DJI: How to use DJI’s Return to Home (RTH) Safely, abrufbar unter: https://store.dji.com/ guides/how-to-use-the-djis-return-to-home/. Dombert, Matthias / Witt, Karsten (Hrsg.): Münchener Anwaltshandbuch Agrarrecht, 2. Auflage, München 2016. Donath, Andreas: Golem-Beitrag v. 15.12.2016, Amazon liefert Pakete mit Drohnen aus, abrufbar unter: http://www.golem.de/news/belieferung-aus-der-luft-amazon-liefert-paketemit-drohnen-aus-1612-125078.html. – Golem-Beitrag v. 22.02.2017, UPS-Lieferwagen liefert mit Drohne Pakete aus, abrufbar unter: https://www.golem.de/news/mobiler-startplatz-ups-lieferwagen-liefert-mit-drohnepakete-aus-1702-126315.html. – Übergizmo-Beitrag v. 04.04.2016, Schwups, die Drohne wurde im Flug vom Hacker entführt, abrufbar unter: http://de.ubergizmo.com/2016/04/04/schwups-die-drohne-wurde-imflug-vom-hacker-entfuehrt.html. Dorner, Michael: Big Data und „Dateneigentum“, in: CR 2014, 617–628. – Schutz von Unternehmensdaten, in: CMS, BUJ Studie Digital Economy & Recht, S. 164–171. DPDgroup: DPDgroup startet den weltweit ersten Drohnenverkehr im Linienbetrieb, abrufbar unter: https://www.dpd.com/portal_de/home/news/a ktuelle_neuigkeiten/dpdgroup_startet _den_weltweit_ersten_drohnenverkehr_im_linienbetrieb. Droste, Johannes: Produktbeobachtungspflichten der Automobilhersteller bei Software in Zeiten vernetzten Fahrens, in: CCZ 2015, 105–110. Duden: Autonomie, abrufbar unter: http://www.duden.de/rechtschreibung/Autonomie. – Heteronomie, abrufbar unter: http://www.duden.de/rechtschreibung/Heteronomie. – Souveränität, abrufbar unter: http://www.duden.de/rechtschreibung/Souveraenitaet.
272
Literaturverzeichnis
Ebers, Martin: Autonomes Fahren: Produkt- und Produzentenhaftung, in: Oppermann, Bernd H. / Stender-Vorwachs, Jutta (Hrsg.), Autonomes Fahren, München 2017. Ebert, Christof: Risikomanagement kompakt, Berlin / Heidelberg 2013. Eckert, Claudia: IT-Sicherheit, 9. Auflage, Berlin 2014. Eckert, Vicki Huff / Curran, Chris / Bhardwaj, Sahil Chander: pwc-Studie, Tech breakthroughs megatrend: how to prepare for its impact, abrufbar unter: https://www.pwc.com/gx/en/ issues/technology/tech-breakthroughs-megatrend.pdf. Ehmann, Eugen / Selmayr, Martin (Hrsg.): Datenschutz-Grundverordnung, München 2017 (zitiert als: Ehmann / Selmayr, DS-GVO). Eichendorf, Walter: Vision Zero − Strategie oder Utopie?, in: DGUV (Hrsg.), 20 Jahre Hochschule der Gesetzlichen Unfallversicherung, S. 52–62. Eifert, Martin: Einführung, in: Eifert, Martin (Hrsg.), Produktbeobachtung durch Private, Berlin 2015, S. 9–26. EMT Penzberg: Aladin, abrufbar unter: http://www.emt-penzberg.de/uploads/media/ALADIN _de.pdf. – Fancopter, abrufbar unter: http://www.emt-penzberg.de/uploads/media/FANCOPTER_de. pdf. Engeler, Malte / Felber, Wolfram: Entwurf der ePrivacy-VO aus Perspektive der aufsichts behördlichen Praxis, in: ZD 2017, 251–257. Enisa: Baseline Security Recommendations for IoT, 2017, abrufbar unter: https://www.enisa. europa.eu/publications/baseline-security-recommendation s-for-iot/at_download/full Report. Epping, Volker / Hillgruber, Christian (Hrsg.): Beck’scher Online-Kommentar Grundgesetz, 38. Edition, München 2018 (zitiert als: Epping / Hillgruber, BeckOK GG). Eser, Albin (Gesamtredaktion): Schönke / Schröder, Strafgesetzbuch, 29. Auflage, München 2014 (zitiert als: Schönke / Schröder, StGB). Euler, Thorsten / Cobus, Vanessa / Koelle, Marion: Nummernschilder für Drohnen, in: DuD 2017, 147–151. Europäische Kommission: Draft Agenda for the Liability Workshop, abrufbar unter: http:// ec.europa.eu/newsroom/document.cfm?doc_id=45700. – INDECT, abrufbar unter: https://cordis.europa.eu/project/rcn/89374_en.html. – INDECT Report Summary, abrufbar unter: https://cordis.europa.eu/result/rcn/175782_ en.html. – Summary report of the public consultation on Building a European Data Economy, abnews/summary-report-publicrufbar unter: https://ec.europa.eu/digital-single-market/en/ consultation-building-european-data-economy. – Vehicle Event Recording based on Intelligent Crash Assessment (VERONICA II), Final Report, abrufbar unter: https://ec.europa.eu/transport/road_safety/sites/roadsafety/files/pdf/ projects_sources/veronica2_final_report.pdf.
Literaturverzeichnis
273
Faust, Florian: Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, in: NJWBeil 2016, 29–32. – Gefahrabwendungspflicht des Herstellers von Produkten mit Sicherheitsmängeln, in: JuS 2009, 377–379. Faustmann, Jörg: Der deliktische Datenschutz, in: VuR 2006, 260–263. FAZ: Beitrag v. 06.08.2016: Airbus entgeht nur knapp Kollision mit Drohne, abrufbar unter: http://www.faz.net/aktuell/gesellschaft/ungluecke/airbus-entgeht-nur-knapp-kollision-mitdrohne-14374936.html. – Beitrag v. 27.08.2015: Polizei in North Dakota darf bewaffnete Drohnen einsetzen, ab rufbar unter: http://www.faz.net/aktuell/neues-us-gesetz-erlaubt-bewaffnete-drohnen-fuerpolizei-13771094.html. FDA: Safety Communication v. 09.01.2017, Cybersecurity Vulnerabilities Identified in St. Jude Medical’s Implantable Cardiac Devices and Merlin@home Transmitter, abrufbar unter: http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm535843.htm. Fezer, Karl-Heinz: Dateneigentum, in: MMR 2017, 3–5. – Dateneigentum der Bürger, in: ZD 2017, 99–105. Fischer, Thomas: Strafgesetzbuch mit Nebengesetzen, 65. Auflage, München 2018. Fleig, Jürgen: business-wissen.de-Beitrag v. 19.01.2017, Die Phasen im Produktlebenszyklus, abrufbar unter: https://www.business-wissen.de/hb/die-phasen-im-produktlebenszyklus/. Focus Online: Beitrag v. 23.03.2018: Nach tödlichem Unfall: Uber wird keine autonomen Autos in Deutschland testen, abrufbar unter: https://www.focus.de/auto/ratgeber/sicherheit/volvoerkannte-fussgaenger-nicht-nach-toedlichem-unfall-uber-wird-keine-autonomen-autos-indeutschland-testen_id_8655173.html. Foerste, Ulrich: Neues zur Produkthaftung – Passive Beobachtungspflicht und Äquivalenz interesse, in: NJW 1994, 909–911. Foerste, Ulrich / Graf v. Westphalen, Friedrich: Produkthaftungshandbuch, 3. Auflage, München 2012. Fraunhofer IML: Pressemitteilung v. 08.03.2016, Ein „R2D2“ für die Logistik, abrufbar unter: http://www.iml.fraunhofer.de/de/presse_medien/pressemitteilungen/ein_r2d2_fuer_ die_logistik.html. Gajek, Henning: Golem-Beitrag v. 19.12.2016, Vernetztes Fahren – Da funkt sich was zusammen, abrufbar unter: https://www.golem.de/news/vernetztes-fahren-da-funkt-sich-waszusammen-1612-124758.html. Gartner: Gartner Hype Cycle, abrufbar unter: http://www.gartner.com/technology/research/ methodologies/hype-cycle.jsp. – Gartner Hype Cycle 2016, abrufbar unter: https://www.gartner.com/newsroom/id/3412017. – Gartner Hype Cycle 2017, abrufbar unter: https://www.gartner.com/newsroom/id/3784363. GDV: Übernahmezeiten beim hochautomatisierten Fahren, in: Unfallforschung kompakt Nr. 57, 2016.
274
Literaturverzeichnis
Gersdorf, Hubertus / Paal, Boris (Hrsg.): Beck’scher Online Kommentar Informations- und Medienrecht, 21. Edition, München 2017/2018 (zitiert als: Gersdorf / Paal, BeckOK Informations- und Medienrecht). Giemulla, Elmar / Schmid, Ronald (Hrsg.): Luftverkehrsgesetz Band 1.1, 77. Aktualisierungslieferung, Köln 2017. Gierschmann, Sibylle / Schlender, Katharina / Stentzel, Rainer / Veil, Winfried (Hrsg.): Kommentar Datenschutz-Grundverordnung, München 2017. Glaser, Hermann: Das deutsche Bürgertum – Zwischen Technikphobie und Technikeuphorie, in: Salewski, Michael / Stölken-Fitschen, Ilona (Hrsg.), Moderne Zeiten – Technik und Zeitgeist im 19. und 20. Jahrhundert, Stuttgart 1994, S. 25–42. Gola, Peter: Datenschutz bei der Kontrolle „mobiler“ Arbeitnehmer – Zulässigkeit und Transparenz, in: NZA 2007, 1139–1144. Gola, Peter / Schomerus, Rudolf (Hrsg.): Bundesdatenschutzgesetz, 12. Auflage, München 2015 (zitiert als: Gola / Schomerus, BDSG). Gomille, Christian: Herstellerhaftung für automatisierte Fahrzeuge, in: JZ 2016, 76–82. Goodrich, Michael / Morse, Bryan S. / Humphrey, Curtis M.: Supporting Wilderness Search and Rescue using a Camera-Equipped Mini UAV, in: Journal of Field Robotics 25(1), 8 9–110. Gortan, Markus: Unterlassenstrafbarkeit geschäftsleitender Personen des Softwareherstellers selbstfahrender Fahrzeuge durch Produktbeobachtungspflichtverletzung, in: CR 2018, 546–552. Graeger, Uwe: Unfalldatenspeicher, in: NZV 2004, 16–19. Graf, Jürgen-Peter (Hrsg.): Beck’scher Online-Kommentar StPO mit RiStBV und MiStra, 29. Edition, München 2018 (zitiert als: Graf, BeckOK StPO). Graux, Hans: Emerging issues of data ownership, interoperability, (re)usability and access to data, and liability, abrufbar unter: http://ec.europa.eu/information_society/newsroom/ image/document/2017-30/hans_graux_-_the_study_emerging_issues_of_data_owner ship_interoperability_reusability_and_access_to_data_and_liability_6213FA9A-FB1408A4-31F51A564C60F2A7_46146.pdf. Greenberg, Andy: wired-Beitrag v. 21.07.2015, Hackers remotely kill a jeep on the highway – with me in it, abrufbar unter: https://wired.com/2015/07/hackers-remotely-killjeep-highway/. Grenzdörffer, Görres / Engel, Angela / Jütte, Kai: Low-cost UAV’s in der Land- und Forstwirtschaft – Eine vergleichende Untersuchung von zwei Mini-UAV’s, in: DGPF (Hrsg.), Tagungsband 17 / 2008, S. 27–36. Grunwald, Armin: Technikethik, in: Heesen, Jessica (Hrsg.), Handbuch Medien- und Informationsethik, Berlin / Heidelberg 2016. Grützmacher, Malte: Dateneigentum – ein Flickenteppich, in: CR 2016, 485–495. Grützmacher, Malte / Horner, Susanne / Kilgus, Martin: Haftungsfragen im Kontext der Digital Economy – Sorgfaltsanforderungen an Hersteller und Betreiber autonomer Systeme, in: CMS, BUJ Studie Digital Economy & Recht, S. 172–180.
Literaturverzeichnis
275
Grützner, Thomas / Jakob, Alexander (Hrsg.): Compliance von A-Z, 2. Auflage, München 2015. Gsell, Beate / Krüger, Wolfgang / Lorenz, Stephan / Reymann, Christoph (Gesamt-Hrsg.): beckonline.GROSSKOMMENTAR, Kommentierung zu § 1008 BGB Stand von 15.01.2018, Kommentierung zu § 90 BGB Stand von 15.02.2018, Kommentierung zu § 823 BGB Stand von 01.08.2017 und 01.05.2017, Kommentierung zu § 1 ProdHaftG Stand von 15.01.2018, Kommentierung zu § 2 ProdHaftG Stand von 01.02.2018, München 2018 (zitiert als: Gsell / Krüger / Lorenz / Reymann, BeckOGK). Haag, Kurt (Hrsg.): Geigel, Der Haftpflichtprozess, 27. Auflage, München 2015 (zitiert als: Geigel, Haftpflichtprozess). Häberle, Peter (Hrsg.): Erbs / Kohlhaas, Strafrechtliche Nebengesetze, 220. Auflage, München 2018. Hahn, Hans-Werner: Die industrielle Revolution in Deutschland, 3. Auflage, München 2011. Haid, Michael: IMI-Standpunkt 2015/026, Überblick: Drohnen im Polizeieinsatz in Deutschland, abrufbar unter: http://www.imi-online.de/2015/07/24/ueberblick-drohnen-im-polizei einsatz-in-deutschland/. Hammer, Ulrich / Büttner, Andreas: Achtung, Lebensgefahr!, in: Rechtsmedizin 2011, 441–444. Hannich, Rolf (Hrsg.): Karlsruher Kommentar zur Strafprozessordnung, 7. Auflage, München 2013 (zitiert als: KK StPO). Hans, Armin: Automotive Software 2.0: Risiken und Haftungsfragen, in: GWR 2016, 393–396. Härting, Niko: „Dateneigentum“ – Schutz durch Immaterialgüterrecht?, in: CR 2016, 646–649. Hartmann, Volker: Big Data und Produkthaftung, in: DAR 2015, 122–126. – Der Kfz-Hersteller im Spannungsfeld zwischen Produkthaftungsrecht und UWG, in: BB 2012, 267–273. Hauck, Ronny: Nießbrauch an Rechten, München 2015. Haun, Matthias: Handbuch Robotik, Berlin / Heidelberg / New York 2007. Hauschka, Christoph / Klindt, Thomas: Eine Rechtspflicht zur Compliance im Reklamationsmanagement?, in: NJW 2007, 2726–2729. Hauschka, Christoph / Moosmayer, Klaus / Lösler, Thomas: Corporate Compliance, 3. Auflage, München 2016. Häuser, Markus: Haben Roboter Rechte, in: Deutscher AnwaltSpiegel 5/2017, 3–5. Heckmann, Dirk: Cloud Computing im Zeitgeist, in: Heckmann, Dirk / Schenke, Ralf P. / Sydow, Gernot (Hrsg.), Verfassungsstaatlichkeit im Wandel (Festschrift für Thomas Würtenberger), Berlin 2013, S. 17–42. – Editorial: Die ePerson – Phänomen oder Phantom?, in: NJW-aktuell 20/2016. – juris Praxiskommentar Internetrecht, 5. Auflage, Saarbrücken 2017 (zitiert als: jurisPK-Internetrecht).
276
Literaturverzeichnis
– vbw Studie Blockchain und Smart Contracts – Recht und Technik im Überblick, abrufbar unter: https://www.vbw-bayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/ Planung-und-Koordination/2017/Downloads/2017-09-12-NH-vbw-Blockchain-und-SmartContracts_ChV-Fu%C3%9Fnoten.pdf. Heckmann, Dirk / Schmid, Alexander: Rechtliche Aspekte automatisierter Systeme, in: Informatik-Spektrum 2017, 430–439. – vbw Studie Datenschutz, IT-Sicherheit und Haftung bei automatisierten Systemen, abrufbar unter: https://www.vbw-bayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/ Planung-und-Koordination/2017/Down loads/04.07.2017_Automatisierte-Systeme_v5_ ChV-Finale-Version-zum-Druck.pdf. Heckmann, Dirk / Specht, Louisa: vbw Studie Daten als Wirtschaftsgut, abrufbar unter: https:// www.vbw-bayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/Wirtschafts politik/2018/Downloads/Studie-Daten-als-Wirtschaftsgut_final.pdf. v. Heintschel-Heinegg, Bernd (Hrsg.): Beck’scher Online Kommentar Strafgesetzbuch, 39. Edition, München 2018 (zitiert als: v. Heintschel-Heinegg, BeckOK StGB). Helmbrecht, Udo: Redebeitrag: Security and Liability in the Internet of Things, abrufbar unter: https://www.enisa.europa.eu/publications/ed-speeches/security-and-liability-in-theinternet-of-things. Herbrich, Tilman: Der Vorschlag für eine ePrivacy-Verordnung-EU (Teil 1): Anwendungsbereich und Verhältnis zur DS-GVO und zum nationalen Recht, in: jurisPR-ITR 18/2017 Anm. 2. – Der Vorschlag für eine ePrivacy-Verordnung-EU (Teil 2): Fernmeldegeheimnis, Zulässigkeit der Datenverarbeitung, Privacy by Default, in: jurisPR-ITR 23/2017 Anm. 2. Herrmann, Harald: Die Rückrufhaftung des Produzenten, in: BB 1985, 1801–1812. Herzog, Roman / Scholz, Rupert / Herdegen, Matthias / Klein Hans H. (Hrsg.): Maunz / Dürig, Grundgesetz Kommentar, 81. Ergänzungslieferung, München 2017 (zitiert als: Maunz / Dürig, GG). Heussen, Benno / Hamm, Christoph (Hrsg.): Beck’sches Rechtsanwalts-Handbuch, 11. Auflage, München 2016. Heuzeroth, Thomas: Welt-Beitrag v. 02.12.2017, Überzieht Brüssel beim Datenschutz?, abrufbar unter: https://www.welt.de/wirtschaft/article171191916/Ueberzieht-Bruessel-beimDatenschutz.html. Heymann, Thomas: Rechte an Daten, in: CR 2016, 650–657. Hilgendorf, Eric: Grundfälle zum Computerstrafrecht, in: JuS 1996, 890–894. Hinrichs, Ole / Becker, Moritz: Connected Car vs. Privacy – Teil 1, in: ITRB 2015, 164–168. Hoeren, Thomas: Dateneigentum, in: MMR 2013, 486–491. – Ein Treuhandmodell für Autodaten? – § 63 a StVG und die Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion, in: NZV 2018, 153–155. – IT- und Internetrecht – Kein Neuland für die NJW, in: NJW 2017, 1587–1592.
Literaturverzeichnis
277
– Vorratsdaten und Urheberrecht – Keine Nutzung gespeicherter Daten, in: NJW 2008, 3099–3102. Hoeren, Thomas / Sieber, Ulrich / Holznagel, Bernd (Hrsg.): Handbuch Multimedia-Recht, 45. Ergänzungslieferung, München 2017. Hoeren, Thomas / Völkel, Jonas: Eigentum an Daten, in: Hoeren, Thomas (Hrsg.), Big Data und Recht, S. 11–37. Horner, Susanne / Kaulartz, Markus: Haftung 4.0, in: CR 2016, 7–14. – Rechtliche Herausforderungen durch Industrie 4.0, in: Taeger, Jürgen (Hrsg.), Internet der Dinge, Tagungsband Herbstakademie 2015, Edewecht 2015, S. 501–518. Hornung, Gerrit: Verfügungsrechte an fahrzeugbezogenen Daten, in: DuD 2015, 359–366. Hornung, Gerrit / Desoi, Monika: „Smart Cameras“ und automatische Verhaltensanalyse, in: K&R 2011, 153–158. Hornung, Gerrit / Goeble, Thilo: „Data Ownership“ im vernetzten Automobil, in: CR 2015, 265–273. Humphries, Matthew: Geek.com-Beitrag v. 29.04.2016, Would you pay $3 to be lazy and have a drone deliver your cup of coffee?, abrufbar unter: https://www.geek.com/news/would-youpay-3-to-be-lazy-and-have-a-drone-deliver-your-cup-of-coffee-1653649/. ICAO: Circular 328, Unmanned Aircraft Systems (UAS), abrufbar unter: https://www.icao. int/Meetings/UAS/Documents/Circular%20328_en.pdf. IMI: Drohnenforschungsatlas, abrufbar unter: http://www.imi-online.de/download/drohnen forschungsatlas_2013_web.pdf. INDECT: Specification of Requirements for Security and Confidentiality of the System (D8.1). Jänich, Volker M. / Schrader, Paul T. / Reck, Vivian: Rechtsprobleme des autonomen Fahrens, in: NZV 2015, 313–318. Jaume-Palasí, Lorena / Matzat, Lorenz / Spielkamp, Matthias / Zweig, Katharina Anna: Algorithm Watch-Beitrag, Lieber Rechte als Verbote. Eine Antwort auf Steven Hill, abrufbar unter: https://algorithmwatch.org/lieber-rechte-als-verbote-eine-antwort-auf-steven-hill/. Joecks, Wolfgang / Miebach, Klaus (Hrsg.): Münchener Kommentar zum StGB, 2. Auflage, München 2014 (zitiert als: MüKo StGB). John, Robert: Haftung für künstliche Intelligenz, Münster 2007. Jung, Thomas: Der Risikobegriff in Wissenschaft und Gesellschaft, in: Bundesgesundheitsbl 2003, 542–548. v. Kaler, Matthias / Wieser, Sylvia: Weiterer Rechtsetzungsbedarf beim automatisierten Fahren, in: NVwZ 2018, 369–373. Kamkar, Samy: SkyJack, abrufbar unter: http://samy.pl/skyjack/. Kettler, Christian: Renaissance der Rückrufkostendiskussion: Ist die Rückrufpflicht mit kostenloser Reparatur ein – teurer – Irrtum?, in: PHI 2008, 52–67.
278
Literaturverzeichnis
Kinast, Karsten / Kühnl, Christina: Telematik und Bordelektronik – Erhebung und Nutzung von Daten zum Fahrverhalten, in: NJW 2015, 3057–3061. Kindhäuser, Urs / Neumann, Ulfrid / Paeffgen, Hans-Ullrich: Strafgesetzbuch, 5. Auflage, Mannheim 2017. Kleen, Andro Torben: Beherrschbarkeit von teilautomatisierten Eingriffen in die Fahrzeugführung (Dissertation). Klett, Detlef / Redelfs, Kirsten: Millennium Bug: Ansprüche des Softwareanwenders gegen Softwarelieferanten oder -hersteller, in: BB Beilage 1999, Nr. 10, 2–9. Klindt, Thomas: Produktbeobachtung zwischen Produktsicherheitsrecht und Social Media, in: Eifert, Martin (Hrsg.), Produktbeobachtung durch Private, Berlin 2015, S. 55–60. – Produktrückrufe und deren Kostenerstattung nach der Pflegebetten-Entscheidung des BGH, in: BB 2009, 792–795. – (Hrsg.): Produktsicherheitsgesetz, 2. Auflage, München 2015. Klindt, Thomas / Wende, Susanne: Produktbeobachtungspflichten 2.0 – Social-Media-Monitoring und Web-Screening, in: BB 2016, 1419–1421. – Rückrufmanagement, 3. Auflage, Berlin / Wien / Zürich 2014. Żdanowiecki, Klindt, Thomas / Wende, Susanne / Burrer, Steffen / Schaloske, Henning / Konrad: (Produkt-) Haftung / Haftung für Softwaremängel und versicherungsrechtliche Aspekte, in: Bräutigam / Klindt (Hrsg.), Digitalisierte Wirtschaft / Industrie 4.0, S. 76–99. Kloepfer, Michael: Informationsrecht, München 2002. Kluge, Vanessa / Müller, Anne-Kathrin: Autonome Systeme – Überlegungen zur Forderung nach einer „Roboterhaftung“, in: Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Tagungsband Herbstakademie 2016, Edewecht 2016, S. 989–1006. Knauer, Christoph / Kudlich, Hans / Schneider, Hartmut (Gesamt-Hrsg.): Münchener Kommentar zur Strafprozessordnung, Band 1, München 2014 (zitiert als: MüKo StPO). Kochheim, Dieter: Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, München 2015. König, Carsten: Die gesetzlichen Neuregelungen zum automatisierten Fahren, in: NZV 2017, 123–128. – (Vorerst) Keine Haftungsbefreiung für Halter und Fahrer automatisierter Kraftfahrzeuge, in: JR 2017, 323–332. Kornmeier, Claudia: Der Einsatz von Drohnen zur Bildaufnahme, Berlin 2012. Kranig, Thomas / Sachs, Andreas / Gierschmann, Markus: Datenschutz-Compliance nach der DS-GVO, 2017. Kraus, Michael: Telematik – Wem gehören Fahrzeugdaten?, in: Taeger, Jürgen (Hrsg.), Big Data & Co, Tagungsband Herbstakademie 2014, Edewecht 2014, S. 377–390. Krauß, Christoph / Waidner, Michael: IT-Sicherheit und Datenschutz im vernetzten Fahrzeug, in: DuD 2015, 383–387.
Literaturverzeichnis
279
Krieger-Lamina, Jaro: Vernetzte Automobile, abrufbar unter: https://media.a rbeiterkammer. at/wien/PDF/studien/Vernetzte_Automobile.pdf. Kühl, Eike: Zeit Online-Beitrag v. 17.02.2017, Vernichten Sie diese Puppe, abrufbar unter: http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetz agentur. Kullmann, Hans Josef: Produkthaftung für Verkehrsmittel – Die Rechtsprechung des Bundesgerichtshofes, in: NZV 2002, 1–10. Kunnert, Gerhard: Die datenschutzkonforme Vernetzung des Automobils, in: CR 2016, 509–516. Kunz, Jürgen: Die Produktbeobachtungs- und die Befundsicherungspflicht als Verkehrssicherungspflichten des Warenherstellers, in: BB 1994, 450–454. Lange, Paul (Hrsg.): Internationales Handbuch des Marken- und Kennzeichenrechts, München 2009. Lange, Ulrich: Automatisiertes und autonomes Fahren – eine verkehrs-, wirtschafts- und rechtspolitische Einordnung, in: NZV 2017, 345–352. Lardinois, Frederic: Techcrunch-Beitrag v. 10.05.2016, Amazon Prime Air opens Austrian outpost with focus on sense-and-avoid tech, abrufbar unter: https://techcrunch.com/2016/05/10/ amazon-prime-air-opens-austrian-outpost-with-focus-on-sense-and-avoid-tech/. Lehmann, Michael: Produkt- und Produzentenhaftung für Software, in: NJW 1992, 1721–1725. Leipold, Dieter: BGB I – Einführung und allgemeiner Teil, 9. Auflage, Tübingen 2017. Lessig, Lawrence: The Future of Ideas, New York 2001. Levin, Alan: Bloomberg-Beitrag v. 19.11.2015, Toy drones pose more risk to planes than birds, study says, abrufbar unter: https://www.bloomberg.com/news/articles/2015-11-19/ toy-drones-pose-greater-risk-to-planes-than-birds-study-says. v. Lewinski, Kai: Überwachung, Datenschutz und die Zukunft des Informationsrechts, in: telemedicus e. V. (Hrsg.), Überwachung und Recht, Berlin 2014, S. 3–30. v. Lewinski, Kai / Herrmann, Christoph: Cloud vs. Cloud – Datenschutz im Binnenmarkt, in: ZD 2016, 467–474. Lexikon der Fernerkundung: Phänologie, abrufbar unter: http://www.fe-lexikon.info/lexikon- p.htm. Lin, Patrick: Why Ethics Matters for Autonomous Cars, in: Maurer, Markus / Gerdes, Chris / Lenz, Barbara / Winner, Hermann (Hrsg.), Autonomes Fahren, Berlin / Heidelberg 2015, S. 69–85. Lipiec, Karolina: Geolino-Beitrag, Roboterauto, abrufbar unter: http://www.geo.de/geolino/ forschung-und-technik/4913-rtkl-roboterauto-das-automatische-auto. Lorenz, Heike: Das Unternehmerhandbuch-Beitrag v. 20.02.2013, Risikomanagement für kleine Unternehmen, abrufbar unter: https://das-unternehmerhandbuch.de/risikomanagementfuer-kleine-unternehmen/. Lüdemann, Volker: Connected Cars, in: ZD 2015, 247–254.
280
Literaturverzeichnis
Lüftenegger, Klaus: Der Fall Volkswagen – (k)ein Rückruf wie jeder andere?, in: DAR 2016, 122–125. Maggi, Kelly: FUEGO – Fire Urgency Estimator in Geosynchronous Orbit – A Proposed Early-Warning Fire Detection System, in: Remote Sensing 2013, 5173–5192. Mantz, Reto: Haftung für kompromittierte Computersysteme – § 823 Abs. 1 BGB und Gefahren aus dem Internet, in: K&R 2007, 566–572. Marques, Hernani: INDECT-Forschungsergebnisse der Europäischen Union (Seminararbeit), abrufbar unter: https://vecirex.net/docs/SOZ_140515--marques.hernani-indect_web.pdf. Martinek, Michael / Semler, Franz-Jörg / Flohr, Eckhard (Hrsg.): Handbuch des Vertriebsrechts, 4. Auflage, München 2016. May, Elisa: Robotik und Arbeitsschutzrecht, in: Hilgendorf, Eric (Hrsg.), Robotik im Kontext von Recht und Moral, Mannheim 2013, S. 99–119. Meier, Klaus / Wehlau, Andreas: Die zivilrechtliche Haftung für Datenlöschung, Datenverlust und Datenzerstörung, in: NJW 1998, 1585–1591. Meyer, Oliver / Harland, Hanno: Haftung für softwarebezogene Fehlfunktionen technischer Geräte am Beispiel von Fahrerassistenzsystemen, in: CR 2007, 689–695. Michalski, Lutz: Produktbeobachtung und Rückrufpflicht des Produzenten, in: BB 1998, 961–965. Mielchen, Daniela: Verrat durch den eigenen PKW – wie kann man sich schützen?, in: SVR 2014, 81–87. Mienert, Heval / Gipp, Bela: Dashcam, Blockchain und der Beweis im Prozess, in: ZD 2017, 514–519. Mitterer, Katharina / Wiedemann, Markus / Zwissler, Thomas: BB-Gesetzgebungs- und Rechtsprechungsreport zu Industrie 4.0 und Digitalisierung, in: BB 2017, 3–13. Monroy, Matthias: Telepolis-Beitrag v. 13.01.2010, Fliegende Kameras für Europas Polizeien, abrufbar unter: http://www.heise.de/tp/artikel/31/31855/1.html. Möstl, Markus / Weiner, Bernhard (Hrsg.): Beck’scher Online-Kommentar Polizei- und Ordnungsrecht Niedersachsen, München 2015 (zitiert als: BeckOK Polizei- und Ordnungsrecht Niedersachsen). Müller, Klaus: Objektlokalisierung auf landwirtschaftlichen Flächen unter Verwendung autonomer Roboter in Luft-Boden-Kooperation (Diplomarbeit), abrufbar unter https://www.eti. uni-siegen.de/ezls/lehre/studiendiploma rbeiten/agrisearcher/diplomarbeit_klausmueller. html?lang=de. Müller-Hengstenberg, Claus D. / Kirn, Stefan: Rechtliche Risiken autonomer und vernetzter Systeme, Berlin / Boston 2016. Musielak, Hans-Joachim / Voit, Wolfgang: Zivilprozessordnung, 15. Auflage, München 2018 (zitiert als: Musielak / Voit, ZPO). Nash, Jay B.: Spectatoritis, New York 1932. Neckenbürger, Detlev: Die Zukunft der Sicherung von Unfallspuren, in: SVR 2009, 373–375.
Literaturverzeichnis
281
Neuwald, Nils: Drohnen – unbemannte Flugobjekte, in: DPolBl 03/2016, 20–23. Nowack, Timo: Aero Telegraph-Beitrag v. 20.11.2017, Alles, was Sie zur Black Box wissen müssen, abrufbar unter: https://www.aerotelegraph.com/was-sie-zur-black-box-wissen-muessen. Nugel, Michael: Das Auslesen von Fahrzeugdaten für die Gutachtenerstellung, in: DS 2018, 231–235. Open Thesaurus: Assistenz, https://www.openthesaurus.de/synonyme/Assistenz. Ostthüringer Zeitung: Beitrag v. 02.03.2017, Drohnen-Alarm an Schule: Unbekannter droht mit gefährlichen Stoffen, abrufbar unter: http://www.otz.de/startseite/detail/-/specific/ Drohnen-Alarm-an-Schule-Unbekannter-droht-mit-gefaehrlichen-Stoffen-1379650864. Paal, Boris P. / Hennemann, Moritz: Big Data im Recht, in: NJW 2017, 1697–1701. Paeger, Jürgen: Die Folgen der Industriellen Revolution, abrufbar unter: http://www.oeko system-erde.de/html/folgen_industrielle_revolution.html. Paxmann, Stephan A. / Fuchs, Gerhard: Der unternehmensinterne Businessplan, 2. Auflage, Frankfurt a. M. 2005. Peschel, Christopher / Rockstroh, Sebastian: Big Data in der Industrie – Chancen und Risiken neuer datenbasierter Dienste, in: MMR 2014, 571–576. Peukert, Alexander: Das Sacheigentum in der Informationsgesellschaft, in: Ohly, Ansgar / Bodewig, Theo / Dreier, Thomas / Götting, Horst-Peter / Haedicke, Maximilian / Lehmann, Michael, Perspektiven des geistigen Eigentums und Wettbewerbsrechts (Festschrift für Gerhard Schricker), S. 149–163. Pieper, Fritz-Ulli: Die Vernetzung autonomer Systeme im Kontext von Vertrag und Haftung, in: InTeR 2016, 188–194. – Vertrags- und haftungsrechtliche Fragen der Vernetzung autonomer Systeme, in: Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Tagungsband Herbstakademie 2016, Edewecht 2016, S. 971–987. Pieper, Helmut: Verbraucherschutz durch Pflicht zum ‚Rückruf‘ fehlerhafter Produkte?, in: BB 1991, 985–992. Piltz, Carlo / Reusch, Philipp: Internet der Dinge: Datenschutzrechtliche Anforderungen bei der Produktbeobachtung, in: BB 2017, 841–846. Pogue, David: Yahoo Finance-Beitrag v. 18.01.2016, Exclusive: Amazon Reveals Details About Its Crazy Drone Delivery Program, abrufbar unter: https://www.yahoo.com/tech/exclusiveamazon-reveals-details-about-1343951725436982.html?src=rss. Pohle, Jan: EU-Datenschutz: Entwurf einer ePrivacy-VO, in: ZD-Aktuell 2017, 05452. Prognos AG / Heckmann, Dirk: vbw Studie Big Data im Freistaat Bayern. Putzki, Anna: Datenaufzeichnung im automatisierten Fahrzeug, in: MMR-Aktuell 2017, 388288. Qualcomm: Leading the world to 5G: Cellular Vehicle-to-Everything(C-V2X) technologies, abrufbar unter: https://www.qualcomm.com/media/documents/files/cellular-vehicle-to-every thing-c-v2x-technologies.pdf.
282
Literaturverzeichnis
Raue, Benjamin: Haftung für unsichere Software, in: NJW 2017, 1841–1846. Rauscher, Thomas / Krüger, Wolfgang (Gesamt-Hrsg.): Münchener Kommentar zur Zivilprozessordnung mit Gerichtsverfassungsgesetz und Nebengesetzen, Band 1, 5. Auflage, München 2016 (zitiert als: MüKo ZPO). Redeker, Sandra Sophia / Klett, Katharina / Michel, Ulrich: IP-Recht in der digitalen Welt, in: Bräutigam / Klindt (Hrsg.), Digitalisierte Wirtschaft / Industrie 4.0, 2015, S. 58–75. Reed, Nikolai: Der Autopilot – eine kurze Einführung, abrufbar unter: https://wuecampus2. uni-wuerzburg.de/moodle/pluginfile.php/123614/mod_ resource/content/1/Autopilot.pdf. Reese, Jürgen: Produkthaftung und Produzentenhaftung für Hard- und Software, in: DStR 1994, 1121–1127. Regenfus, Thomas: Elektronische Daten in Geräten aus zivilprozessualer Sicht, in: Vieweg, Klaus / Gerhäuser, Heinz (Hrsg.), Digitale Daten in Geräten und Systemen, Köln 2010, S. 243–267. Reichwald, Julian / Pfisterer, Dennis: Autonomie und Intelligenz im Internet der Dinge, in: CR 2016, 208–212. Rempe, Christoph: Smart Products in Haftung und Regress, in: Taeger, Jürgen (Hrsg.), Internet der Dinge, Tagungsband Herbstakademie 2015, Edewecht 2015, S. 819–831. Renn, Ortwin: Eine kulturhistorische Betrachtung des technischen Fortschritts, in: Lübbe, Hermann (Hrsg.), Fortschritt der Technik – gesellschaftliche und ökonomische Auswirkungen, Heidelberg 1987. Rieger, Frank: FAZ-Beitrag v. 22.09.2010, Der digitale Erstschlag ist erfolgt, abrufbar unter: http://www.faz.net/aktuell/feuilleton/debatten/digitales-denken/trojaner-stuxnet-der-digi tale-erstschlag-ist-erfolgt-1578889.html. Riehm, Thomas: Updates, Patches & Co. – Schutz nachwirkender Qualitätserwartungen, in: Schmidt-Kessel, Martin / Kramme, Malte Friedrich (Hrsg.), Geschäftsmodelle in der digitalen Welt, Jena 2017, S. 207–222. Rieß, Joachim / Greß, Sebastian: Privacy by Design für Automobile auf der Datenautobahn, in: DuD 2015, 391–396. Rockstroh, Sebastian / Kunkel, Hanno: IT-Sicherheit in Produktionsumgebungen, in: MMR 2017, 77–82. Roggan, Fredrik: Der Einsatz von Video-Drohnen bei Versammlungen, in: NVwZ 2011, 590–595. Rombach, Wolfgang: Killer-Viren als Kopierschutz, in: CR 1990, 101–106. Rondinella, Giuseppe: Horizont-Beitrag v. 26.08.2016, Diese Drohne soll euch zukünftig die Pizza liefern, abrufbar unter: http://www.horizont.net/tech/nachrichten/Dominos-DieseDrohne-soll-euch-zukuenftig-die-Pizza-liefern-142331. Roßnagel, Alexander: Fahrzeugdaten – wer darf über sie entscheiden?, in: SVR 2014, 281–287. – Rechtsfragen eines Smart Data-Austauschs, in: NJW 2017, 10–15.
Literaturverzeichnis
283
Roßnagel, Alexander / Schnabel, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, in: NJW 2008, 3534–3538. Rouse, Margaret: TechTarget-Beitrag, Single-Level Cell (SLC), abrufbar unter: http://www. searchstorage.de/definition/Single-Level-Cell-SLC. – Wear Leveling, abrufbar unter: http://www.searchstorage.de/definition/Wear-Leveling. Runte, Christian / Potinecke, Harald W.: Software und GPSG, in: CR 2004, 725–729. Saarbrücker Zeitung: Beitrag v. 03.01.2017, Siemens-Konzern will Pipelines künftig per Drohne überwachen, abrufbar unter: http://www.saarbruecker-zeitung.de/sz-spezial/internet/art37 1089,6345338. Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut / Limperg, Bettina (Gesamt-Hrsg.): Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 6, 7. Auflage, München 2017 (zitiert als: MüKo BGB). Saenger, Ingo (Hrsg.): Zivilprozessordnung, 7. Auflage, Mannheim 2017 (zitiert als: Saenger, ZPO). Salje, Peter: Zivilrechtliche Aspekte des Datencontents beim Sacherwerb – Hersteller-Produkthaftung für elektronische Bauteile, in: Vieweg, Klaus / Gerhäuser, Heinz (Hrsg.), Digitale Daten in Geräten und Systemen, Köln 2010, S. 221–236. Sander, Günther M. / Hollering, Jörg: Strafrechtliche Verantwortlichkeit im Zusammenhang mit automatisiertem Fahren, in: NStZ 2017, 193–206. Sattler, Andreas: Schutz von maschinengenerierten Daten, in: Sassenberg, Thomas / Faber, Tobias (Hrsg.), Rechtshandbuch Industrie 4.0 und Internet of Things, München 2017, S. 27–52. Schabacker, Michael / Vajna, Sándor: Wirtschaftlichkeitsaspekte im IDE, in: Vajna, Sándor (Hrsg.), Integrated Design Engineering, Berlin / Heidelberg 2014, S. 539–560. Schaefer, Christoph: Drittschäden durch Drohnen, in: VersR 2017, 849–855. Schapp, Jan / Schur, Wolfgang: Sachenrecht, 4. Auflage, München 2010. Schirmer, Jan-Erik: Augen auf beim automatisierten Fahren! Die StVG-Novelle ist ein Montagsstück, in: NZV 2017, 253–257. Schlanstein, Peter: Nutzung von Fahrzeugdaten zur Optimierung der Verkehrsunfallaufnahme, in: NZV 2016, 201–209. Schmid, Alexander: Ausschließlichkeitsrechte an Daten: Straf- und zivilrechtliche Abwehr vor unbefugtem Datenzugriff, in: AnwZert ITR 13/2017 Anm. 2. – „Blackbox Light“ für hoch- und vollautomatisierte Straßenfahrzeuge nach dem Gesetz zur Änderung des Straßenverkehrsgesetzes, in: jurisPR-ITR 12/2017 Anm. 2. – Der vollständig automatisierte Erlass eines Verwaltungsakts (§ 35a VwVfG) sowie die Bekanntgabe eines Verwaltungsakts über öffentlich zugängliche Netze (§ 41 Abs. 2a VwVfG) (Teil 1), in: jurisPR-ITR 3/2017, Anm. 2. – Die Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten, in: jurisPR-ITR 8/2018 Anm. 2.
284
Literaturverzeichnis
– Unterlassungsanspruch: Überfliegen eines Grundstücks mit Flugdrohne, in: jurisPR-ITR 9/2016, Anm. 2. Schmid, Alexander / Heudecker, Claudia: Der vollständig automatisierte Erlass eines Verwaltungsakts (§ 35a VwVfG) sowie die Bekanntgabe eines Verwaltungsakts über öffentlich zugängliche Netze (§ 41 Abs. 2a VwVfG) (Teil 2), in: jurisPR-ITR 8/2017, Anm. 2. Schmid, Alexander / Wessels, Ferdinand: Event Data Recording für das hoch- und vollautomatisierte Kfz – eine kritische Betrachtung der neuen Regelungen im StVG, in: NZV 2017, 357–364. Schmidl, Michael: IT-Recht von A bis Z, 2. Auflage, München 2014. Schmidt-Cotta, Ralf-Roland: Der Unfalldatenspeicher gehört auf die rechtspolitische Agenda, in: ZRP 2000, 518–520. – Event-Data-Recording – Fluch oder Segen?, in: Hilgendorf, Eric / Hötitzsch, Sven / Lutz, Lennart S. (Hrsg.), Rechtliche Aspekte automatisierter Fahrzeuge, Mannheim 2015. Schmidt-Salzer, Joachim: Anmerkung 2 zu BGH, Urt. v. 11.07.1972 – VI ZR 194/70, in: NJW 1972, 2217, 2222. Schopenhauer, Johanna: Reise durch England und Schottland, Stuttgart u. a. 1980 (Neuausgabe des Originals). Schrader, Paul T.: Haftungsfragen für Schäden beim Einsatz automatisierter Fahrzeuge im Straßenverkehr, in: DAR 2016, 242–246. Schrader, Paul T. / Engstler, Jonathan: Anspruch auf Bereitstellung von Software-Updates?, in: MMR 2018, 356–361. Schuivens, Mario Josef Gerhard: Die historische Entwicklung der Cockpit-Instrumentierungen von Verkehrsflugzeugen (Dissertation), abrufbar unter: https://mediatum.ub.tum.de/ doc/1245318/1245318.pdf. Schulz, Thomas: Sicherheit im Straßenverkehr und autonomes Fahren, in: NZV 2017, 548–553. – Verantwortlichkeit bei autonom agierenden Systemen, Mannheim 2015. Schulze, Reiner (Schriftleitung): Bürgerliches Gesetzbuch, 9. Auflage, Mannheim 2017 (zitiert als: Schulze, BGB). Schulze, Reiner / Grziwotz, Herbert / Lauda, Rudolf (Hrsg.): Kommentiertes Vertrags- und Prozessformularbuch, 3. Auflage, Mannheim 2017. Schulze-Heiming, Ingeborg: Der strafrechtliche Schutz der Computerdaten gegen die Angriffsformen der Spionage, Sabotage und des Zeitdiebstahls, Münster / New York, 1995. Sieger, Heiner: pwc-Beitrag, Die gewaltigen Acht, abrufbar unter: http://www.next.pwc.de/ 2016-03/tech-mega-trends.html. Simitis, Spiros (Hrsg.): Bundesdatenschutzgesetz, 8. Auflage, Mannheim 2014. Singler, Philipp: Die Kfz-Versicherung autonomer Fahrzeuge, in: NZV 2017, 353–357. Söldner, Michael: PC Welt-Beitrag v. 17.01.2017, IS wirft Bomben im Irak per Drohne ab, abrufbar unter: http://www.pcwelt.de/news/IS-wirft-Bomben-im-Irak-per-Drohne-ab-10107519. html.
Literaturverzeichnis
285
Solmecke, Christian / Jockisch, Jan: Das Auto bekommt ein Update! – Rechtsfragen zu Software in Pkws – Zulassungs- und Haftungsfragen zu softwarebasierten Fahrzeugsystemen, in: MMR 2016, 359–364. Sosnitza, Olaf: Das Internet der Dinge – Herausforderung oder gewohntes Terrain für das Zivilrecht?, in: CR 2016, 764–772. Specht, Louisa: Ausschließlichkeitsrechte an Daten – Notwendigkeit, Schutzumfang, Alternativen, in: CR 2016, 288–296. – Das Verhältnis möglicher Datenrechte zum Datenschutzrecht, in: GRUR Int. 2017, 1040–1047. – Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, Köln 2011. Specht, Louisa / Rohmer, Rebecca: Zur Rolle des informationellen Selbstbestimmungsrechts bei der Ausgestaltung eines möglichen Ausschließlichkeitsrechts an Daten, in: PinG 2016, 127–132. Spectair: Wildtierschutz mit Drohnenaufnahmen, abrufbar unter: http://spectair.com/anwen dungen/monitoring/wildtierschutz/. Spiegel Online: Beitrag v. 05.08.2003, Stottern für die Sicherheit, abrufbar unter: http://www. spiegel.de/auto/werkstatt/25-jahre-abs-stottern-fuer-die-sicherheit-a-260008.html. – Beitrag v. 13.01.2016, Mensch, greif ein!, abrufbar unter: http://www.spiegel.de/auto/ aktuell/google-auto-13-kritische-situationen-auf-680-000-testkilometern-a-1071800.html. – Beitrag v. 03.03.2016, Dritte können Steuerung von Polizei-Drohne übernehmen, abrufbar unter: http://www.spiegel.de/netzwelt/gadgets/polizei-drohne-hacker-kann-25-000-euro- gadget-uebernehmen-a-1080409.html. – Beitrag v. 13.05.2017, „WannaCry“-Attacke – Fakten zum globalen Cyberangriff, abrufbar unter: http://www.spiegel.de/netzwelt/web/wannacry-attacke-fakten-zum-globalen-cyberangriff-a-1147523.html. Spindler, Gerald: Haftung und Verantwortlichkeit im IT-Recht, in: CR 2005, 741–747. – IT-Sicherheit und Produkthaftung – Sicherheitslücken, Pflichten der Hersteller und der Softwarenutzer, in: NJW 2004, 3145–3150. – IT-Sicherheitsgesetz und zivilrechtliche Haftung, in: CR 2016, 297–312. – Roboter, Automation, künstliche Intelligenz, selbst-steuernde Kfz – Braucht das Recht neue Haftungskategorien?, in: CR 2015, 766–776. – Zivilrechtliche Fragen beim Einsatz von Robotern, in: Hilgendorf, Eric (Hrsg.), Robotik im Kontext von Recht und Moral, Mannheim 2013, S. 63–80. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, 3. Auflage, München 2015. Starnecker, Tobias: Videoüberwachung zur Risikovorsorge, Berlin 2017. Statistisches Bundesamt: Polizeilich erfasste Unfälle (2014–2017), abrufbar unter: https://www. destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/TransportVerkehr/Verkehrsunfaelle/ Tabellen/UnfaelleVerunglueckte.html.
286
Literaturverzeichnis
v. Staudinger, Julius (Begr.): J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch, Neubearbeitung 2017, Berlin 2017. Stürner, Rolf (Hrsg.): Jauernig, Kommentar zum BGB, 17. Auflage, München 2018. Süddeutsche Zeitung: Beitrag v. 30.01.2017, A 99: Auto kollidiert mit Drohne, abrufbar unter: http://www.sueddeutsche.de/muenchen/germering-auto-kollidiert-mit-drohne-1.3354687. Taeger, Jürgen / Pohle, Jan (Hrsg.): Kilian / Heussen, Computerrechts-Handbuch, 33. Ergänzungslieferung, München 2017. Thalhofer, Thomas: Recht an Daten in der Smart Factory, in: GRUR-Prax 2017, 225–227. Thürmann, Dagmar: Rückruf und Haftpflichtversicherung nach AHB oder ProdHB, in: NVersZ 1999, 145–153. U. S. Department of Defense: Department of Defense Announces Successful Micro-Drone Demonstration, abrufbar unter: https://www.defense.gov/News/News-Releases/News-Re lease-View/Article/1044811/department-of-defense-announces-successful-micro-dronedemonstration. Umwelt Bundesamt: Kühlschrank, abrufbar unter: https://www.umweltbundesamt.de/umwelt tipps-fuer-den-alltag/elektrogeraete/kuehlschrank#textpart-2. UPS: Pressemitteilung v. 21.02.2017, UPS Tests Residential Delivery Via Drone Launched From Atop Package Car, abrufbar unter: https://pressroom.ups.com/pressroom/Content DetailsViewer.page?ConceptType=PressReleases&id=1487696215515-866. vbw: vbw Position Automatisiertes Fahren – Datenschutz und Datensicherheit, abrufbar unter: https://www.vbw-bayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/Recht/ 2018/Downloads/vbw-Position-Automatisier tes-Fahren-Datenschutz-und-DatensicherheitMa%CC%88rz-2018.pdf. – vbw Position Automatisiertes Fahren – Infrastruktur, abrufbar unter: https://www.vbwbayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/Wirtschaftspolitik/ 2016/Downloads/160418-Automatisiertes-Fahren-Infrastruktur.pdf. VCD: VCD Masterplan Vision Zero (Kurzfassung), abrufbar unter: https://www.vcd.org/ fileadmin/user_upload/Redaktion/Publikationsdatenbank/Verkehrssicherheit/VCD_ Masterplan_Vision_Zero_Kurzfassung_2009.pdf. VDA: Automatisierung – Von Fahrerassistenzsystemen zum automatisierten Fahren, abrufbar unter: https://www.vda.de/dam/vda/publications/2015/automatisierung.pdf. Viehmann, Sebastian: Stern-Beitrag v. 13.02.2008, Happy Birthday, Cruise Control, abrufbar unter: http://www.stern.de/auto/fahrberichte/50-jahre-tempomat-happy-birthday--cruisecontrol-3092786.html. Voigt, Kai-Ingo: Gabler Wirtschaftslexikon, Automatisierung, abrufbar unter: http://wirtschafts lexikon.gabler.de/Definition/automatisierung.html. Vorwerk, Volkert / Wolf, Christian (Hrsg.): Beck’scher Online-Kommentar Zivilprozessordnung, 29. Edition, München 2018 (zitiert als: Vorwerk / Wolf, BeckOK ZPO). vzbv: Diskussionspapier: „Safety by Design“ – Produkthaftungsrecht für das Internet der Dinge, abrufbar unter: https://ec.europa.eu/docsroom/documents/ 24561/attachments/11/ translations/de/renditions/pdf.
Literaturverzeichnis
287
Wagner, Bernd / Goeble, Thilo: Freie Fahrt für das Auto der Zukunft?, in: ZD 2017, 263–269. Wagner, Gerhard: Privatrechtliche Haftung und öffentlich-rechtliche Produktbeobachtung, in: Eifert, Martin (Hrsg.), Produktbeobachtung durch Private, Berlin 2015, S. 115–148. Wandt, Manfred: Gesetzliche Schuldverhältnisse, 8. Auflage, München 2017. Wandtke, Artur-Axel: Ökonomischer Wert von persönlichen Daten, in: MMR 2017, 6–12. Wandtke, Artur-Axel / Bullinger, Winfried: Praxiskommentar zum Urheberrecht, 4. Auflage, München 2014 (zitiert als: Wandtke / Bullinger, Urheberrecht). Warnecke, Hans-Jürgen: Revolution der Unternehmenskultur, 2. Auflage, Berlin Heidelberg 1993. Weber, Michael: Die Auswertung digitaler Fahrzeugdaten bei der Unfallanalyse – Nutzen bei der Unfallrekonstruktion, in: Vieweg, Klaus / Gerhäuser, Heinz (Hrsg.), Digitale Daten in Geräten und Systemen, Köln 2010, S. 83–94. Weber, Philipp: Dilemmasituationen beim autonomen Fahren, in: NZV 2016, 249–254. Weichert, Thilo: Datenschutz im Auto – Teil 1, in: SVR 2014, 201–207. – Datenschutz im Auto – Teil 2, in: SVR 2014, 241–248. – Der Personenbezug von Kfz-Daten, in: NZV 2017, 507–513. Wellenhofer, Marina: Sachenrecht, 32. Auflage, München 2017. Welp, Jürgen: Datenveränderung (§ 303a StGB) – Teil 1, in: IuR 1988, 443–449. Wende, Susanne: Haftungsfragen bei vernetzten und autonomen Systemen, in: Sassenberg / Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, S. 69–84. Wendt, Kai: Autonomes Fahren und Datenschutz – eine Bestandsaufnahme, in: ZD-Aktuell 2018, 06034. Wendt, Janine / Oberländer, Marcel: Produkt- und Produzentenhaftung bei selbstständig veränderlichen Systemen, in: InTeR 2016, 58–65. Werner, Sascha: Private Produktbeobachtung im Chemikalienrecht, in: Eifert, Martin (Hrsg.), Produktbeobachtung durch Private, Berlin 2015, S. 89–104. Westphal, Chris: drohnen.de-Beitrag v. 05.08.2015, Waypoints, Follow Me, POI (Point of Interest) und IOC: Neue Sonderfunktionen für DJI Inspire 1 und DJI Phantom 3, abrufbar unter: http://www.drohnen.de/6373/waypoints-follow-me-und-poi-point-of-interest-djibereitet-sonderfunktionen-fuer-inspire-1-und-phantom-3-vor/. Wicker, Magda: Haftet der Cloud-Anbieter für Schäden beim Cloud-Nutzer? – Relevante Haftungsfragen in der Cloud, in: MMR 2014, 715–718. Wiebe, Andreas: Protection of industrial data – a new property right for the digital economy?, in: GRUR Int. 2016, 877–884. – Von Datenrechten zu Datenzugang – Ein rechtlicher Rahmen für die europäischen Datenwirtschaft, in: CR 2017, 87–93. Willand, Achim: Private Produktbeobachtung im Gentechnikrecht, in: Eifert, Martin (Hrsg.), Produktbeobachtung durch Private, Berlin 2015, S. 61–78.
288
Literaturverzeichnis
Wimmer, Tilman / Israel, Martin / Haschberger, Peter / Weimann, Anita: Rehkitzrettung mit dem Fliegenden Wildretter: Erfahrungen der ersten Feldeinsätze, in: Bornimer Agrartechnische Berichte, Heft 81, S. 85–95. Winkle, Thomas: Sicherheitspotenzial automatisierter Fahrzeuge: Erkenntnisse aus der Unfallforschung, in: Maurer, Markus / Gerdes, Chris / Lenz, Barbara / Winner, Hermann (Hrsg.), Autonomes Fahren, Berlin / Heidelberg 2015, S. 351–376. Wissen.de: Drohne, abrufbar unter: http://www.wissen.de/wortherkunft/drohne. Woger, Hans-Christian: Der Entwurf für die ePrivacy-Verordnung – neue Regeln für die elektronische Kommunikation, in: PinG 2017, 80–84. Wolff, Heinrich Amadeus / Brink, Stefan (Hrsg.): Beck’scher Online-Kommentar Datenschutzrecht, 25. Edition, München 2018 (zitiert als: Wolff / Brink, BeckOK Datenschutzrecht). Zandonella, Bruno: Pocket Europa – EU-Begriffe und Länderdaten, 2. Auflage, Bonn 2006. Żdanowiecki, Konrad: Recht an den Daten, in: Bräutigam / Klindt (Hrsg.), Digitalisierte Wirtschaft / Industrie 4.0, S. 19–29. Zech, Herbert: Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, in: CR 2015, 137–146. – „Industrie 4.0“ – Rechtsrahmen für eine Datenwirtschaft im digitalen Binnenmarkt, in: GRUR 2015, 1151–1160. – Information als Schutzgegenstand, Tübingen 2012. Zeit Online: Beitrag v. 28.05.2014, Sie wissen, wer du bist, Seite 2, abrufbar unter: http://www. zeit.de/2014/23/datenschutz-ueberwachung-privatsphaere/seite-2. – Beitrag v. 13.09.2017, Ermittler machen Autopilot für tödlichen Unfall mitverantwortlich, abrufbar unter: http://www.zeit.de/wirtschaft/unternehmen/2017-09/tesla-unfall-autopilotmitverantwortlich. Ziegler, Michael: Drohnen Journal-Beitrag v. 16.11.2016, Drohne stürzt aus 181 Metern neben Familie zu Boden, abrufbar unter: http://www.drohnen-journal.de/drohne-stuerzt-aus-181metern-neben-familie-zu-boden-697. Zimmer, Ben: The Wall Street Journal-Beitrag v. 26.07.2013, The Flight of ‚Drone‘ From Bees to Planes, abrufbar unter: https://www.wsj.com/articles/SB1000142412788732411040 4578625803736954968. Zöller, Mark A. / Ihwas, Saleh R.: Rechtliche Rahmenbedingungen des polizeilichen Flugdrohneneinsatzes, in: NVwZ 2014, 408–414. Zöller, Richard (Begr.): Zivilprozessordnung, 32. Auflage, Köln 2018 (zitiert als: Zöller, ZPO).
Stichwortverzeichnis ABS siehe Antiblockiersystem Abstandswarner 26 Adaptive Cruise Control 37, 250 Agras MG-1 65 Air Traffic Service 109 Aircraft Tracking System 106, 110, 253 Aktive Produktbeobachtung 28, 187, 206, 225, 255 Amazon Prime Air 59, 251 Android 248 Antiblockiersystem 26, 37, 47, 50, 250 Antriebsschlupfregelung 47, 250 Äquivalenzinteresse 239 Artifizielle Intelligenz 26 Assistenz 46, 50, 251 ATS 109 Augmented Reality 26 Auswirkungen 72, 210 Authentizität 246 Automatischer Notbremsassistent 250 Automatisierungsstufen 251 Autonomie 48, 51, 251 Autopilot 37 B2C 241 Ball-Drohne 61, 251 Best-Effort-Prinzip 246 Beweiserhebliche Daten 146 Beweiskräftigkeit 246, 257 Beweisverfügbarkeit 245, 257 Beweisverwertbarkeit 246, 257 Binary Digits 170 Bitcoin 94 Black Box 28, 253 Blockchain 26, 246, 252 Boden-Luft-System 65 Bremsassistent 37, 47, 250 BSI 100 Burzyk 69 BVCP 211
Car-to-Car (Kommunikation) 40 Club of Rome 54 Cockpit Voice Recorder 97, 106, 108, 253 Code-Ebene 142 Computer Generated Works 131 Computer Vision 60 Cronjob 123 CVR 106 Datenbeschaffungsphase 120 Datenebene 142 Dateneigentum 28, 153, 154, 156 Datenschutz-Folgenabschätzung 256 Datensicherungsphase 120 Datensparsamkeit 247 Datenträgerebene 141 Datenvermeidung 247 Debugging 102 DFS 100 DHL Paketkopter 58, 251 DHL Parcelcopter Skyport 58 Digitale Dienste 204 Digitale Transformation 25 Distributed Computing 101 DJI Agras MG-1 251 Doppeltürprinzip 114 Drohnen-Verordnung 57, 71 Drohnenführerschein 76 Drone-as-a-service 64 Eigentümerähnliche Verfügungsbefugnis 134 Eintrittswahrscheinlichkeit 72, 210, 222 Elektronische Fahrtenregistrierung 118 Elektronisches Stabilitätsprogramm 26, 37, 47, 50 Embedded Software 196 EMT Aladin 66, 251 EMT Fancopter 66, 251 Entwicklungsphase 184 ePerson 82
290
Stichwortverzeichnis
ePrivacy-Verordnung 31 Ernteüberwachungs-UAS 64 ESP siehe Elektronisches Stabilitätsprogramm Ethik-Kommission 29, 77, 85 Event Data Recorder 28, 81, 97, 105, 245, 253 Event Data Recording Basisschutz 180, 245, 246 Exposition siehe Eintrittswahrscheinlichkeit Fahren im Stau 38, 47 Fahren in der Stadt 48 Fahrtschreiber 118 FDR siehe Flugdatenschreiber Fernsperrung 242, 256 Feuerpräventions-UAS 65 Firewall 94 Fliegender Wildtierretter 251 Flight Data Recorder siehe Flugdaten schreiber Flugdatenschreiber 28, 106, 107, 253 Flugwegverfolgungssystem 253 Follow Me 43, 50 Forstwirtschafts-UAS 63 Fraunhofer IML 61 FUEGO 65, 251 Funktionssicherheit 182 Gartner Hype Cycle Report for Emerging Technologies 55 Gefahr 71 Gefahrabwendungspflichten 103, 180, 227, 247 Gefahrenarten 74 – Absturz 76 – Datenschutzrecht 82 – Kollision 75 – Natur- und Lärmschutz 84 – Persönlichkeitsrecht 82 – Rechtssicherheit 78 – Technikethik 84 – Vertrauensverlust 77 Gefahrenquellen 86 – Abhängigkeit 89 – Automatisierung 87 – Heuristiken 92 – Hijacking 93
– Komplexität 88 – Nichtdeterminismus 91 – Souveränität 91 – Technische Eigenheiten 87 – Vernetzung 93 Gefährlichkeit 72, 210, 222 Gemeinsame Verantwortlichkeit 130, 203 Global Positioning System 43, 69 Global System for Mobile Communications 69 Google Self Driving Car 39 GPS siehe Global Positioning System GSG 9 66 GSM siehe Global System for Mobile Communications Haftung ohne Regressmöglichkeit 81, 95, 105, 165 Haftungslücken 81 Harmless-Schwelle 75, 77 Hinweispflichten 228 Hochautomatisierung 46, 47, 50, 251 ILS 42 INDECT 68, 251 Industrie 4.0 36, 61, 250 Industrie-UAS 61 Industrielle Revolution 30, 35, 54 Informationssicherheit 182, 193, 202 Inhaltsebene 143 Inhärente Gefahren 73 Inspektions-UAS 62 Integrierte Produktbeobachtung 29, 102, 103, 181, 205, 247, 252 Integrität 246 Integritätsinteresse 239 Intendierte Gefahren 73 Internet der Dinge 26, 36, 94, 197, 247 Internet of Things siehe Internet der Dinge Intrusion Detection System 94 InventAIRy 62, 251 IoT siehe Internet der Dinge Isaac Asimov 5, 92 IT-Grundrecht siehe Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme IT-Schutzziele 246 IT-Sicherheitsrecht 204
Stichwortverzeichnis Janusköpfigkeit 251 JARUS 211 Jeep Cherokee 27 Joint Controllership siehe Gemeinsame Verantwortlichkeit Kritische Infrastrukturen 204 Künstliche Intelligenz 26
291
Physische Ebene 141 Point of Interest 50 Polizei-UAS 66 Private Open Data 231 Produkt 195 Produktbeobachtung 28, 180, 186, 191, 252 Produkthaftungsgesetz 195 Qualifizierte elektronische Signatur 246
Landwirtschafts-UAS 63 Legal Causes of Trouble 80, 81, 95, 165 Lehre des Erfolgsunrechts 163 Lehre des Handlungsunrechts 163 Logfile 123 LTE 41 M2M siehe Machine-to-Machine (Kommunikation) MAC-Adresse 33 Machine-to-Machine (Kommunikation) 30, 40 Marktbeobachtung 188 Maschinelles Sehvermögen 60 MDP siehe Mobilitätsdiensteplattform Meldepflichten 231, 248, 257 Miner 101 Mobilitätsdiensteplattform 40 My Friend Cayla 27 Netzneutralität 246 Nichtabstreitbarkeit 246 Nikola Tesla 257 Node 101 Notbremsassistent 37 Nullvision 218 OBD siehe On-Board-Diagnose-System On-Board-Diagnose-System 39, 114 Online-Durchsuchung 164 Online Produktbeobachtung 188, 255 Paketkopter 58 Parklenkassistent 26, 38, 46, 250 Parkmanöverassistent 38, 47, 250 Passive Produktbeobachtung 28, 186, 206, 225, 255 Patching 103, 240, 247, 256, 257 Pharmakovigilanz 188
Ransomware 94 Recht am eigenen Datenbestand 28, 158 Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 164 Recht auf informationelle Selbstbestimmung 164 Ringspeichermodell 107, 109, 127, 253 Risiko 71 Risikohöhe 72, 210 Risikomatrix 211 RMAX 64 Robot Operating System 124 Robotergesetz 92 Rückrufpflichten 233 SAA 60, 192 SAE-Standard 49 Safety siehe Funktionssicherheit Schadenshöhe 72, 210, 222 Schlüsselparken 38 Security siehe Informationssicherheit Semantische Information 144 Sense-and-Avoid 60, 76, 192 Sensorfusion 34 Shodan 94 Sicherheitsupdates 240, 247, 257 Signatur 246 Single-Level-Cells 141, 171 Skribent 254 Skripturakt 136, 254 SkyJack 93 Small Unmanned Aircraft System 60 Smart Air Space 42 Smart Air Traffic 42 Smart Cameras 68 Smart Cities 25 Smart Contracts 25
292
Stichwortverzeichnis
Smart Devices 30 Smart Factory 25, 36, 61, 250 Smart Grids 25 Smart Home 25 Smart Road Infrastructure 41 Smart Road Traffic 36 Smart Wearables 25, 98 Smartifizierung 25, 30, 250, 257 Social-Media-Monitoring 187 SORA 211 Souveränität 49, 51, 251 Spiegelbildtheorie 104, 221, 226 Spurhalteassistent 38, 47, 250 Spurverlassenswarner 46 Stauassistent 38, 47, 250 Staufolgefahren 250 Strukturelle Information 141 Stuxnet 27 sUAS siehe Small Unmanned Aircraft System Synergieeffekte 69 Syntaktische Information 142 Technikambivalenz 251 Technikeuphorie 53 Technikfolgenabschätzung 49 Technikfrustration 53 Technikphobie 53 Teilautomatisierung 46, 47, 50, 251 Teilenspflicht 232, 248, 257 Tempomat 26, 46 Tonaufzeichnungsanlage für das Cockpit 253 Totwinkelüberwachung 46 Trace 252 Tracing 97, 246, 252 Tracing-as-a-Service 245, 252 Tracing-Cloud 245 Transport-UAS 58 UAS siehe Unmanned Aircraft System UAS-Pol 66
UAV siehe Unmanned Aerial Vehicle Unbemanntes Luftfahrzeug 26 Unfalldatenspeicher 28 Unique Device Identifier 34 Unknown Causes of Trouble 89, 95, 102 Unmanned Aerial Vehicle 55 Unmanned Aircraft System 26 Updates 240, 247, 257 UPS HorseFly 59, 251 V2V 40 Valet Parking 38, 48, 250 VDA 49 Vehicle-to-Vehicle (Kommunikation) 40 Verbot der Datenlöschung 125, 254 Verfügbarkeit 100 Verkehrssicherungspflichten 29, 189, 207, 228, 234 Vernetzte Verkehrsinfrastruktur 41 Vernetzung 30 Veronica-Projekt 98 Verordnung zur Regelung des Betriebs von unbemannten Fluggeräten 71 Verteilte Systeme 101 Virtual Reality 26 Vision Zero 218, 256, 258 Vollautomatisierung 46, 48, 51, 251 WannaCry 27 Warnpflichten 228 Wartungs-UAS 62 Waypoint 43, 50 Wear-Leveling 155 Web-Screening 187 Wildtier-UAS 63 WLAN 41 World Health Organization 72 Yamaha RMAX 251 Zeichenebene 142 Zurechenbarkeit 100