Jusletter IT

Rechtsmodellierung: das Apriori beim Verwaltungs-Engineering

demonstriert am Beispiel der Datenschutzkontrolle

  • Authors: Falk Peters / Irene Krebs
  • Category: Short Articles
  • Region: Germany
  • Field of law: Wissensbasiertes Prozessmanagement in Verwaltungsnetzwerken
  • Collection: Conference proceedings IRIS 2012
  • Citation: Falk Peters / Irene Krebs, Rechtsmodellierung: das Apriori beim Verwaltungs-Engineering, in: Jusletter IT 29 February 2012
Im Folgenden wird die Notwendigkeit der informatischen Rechtsmodellierung beim Verwaltungs-Engineering – i.e. der möglichst weitgehende Einsatz der Informationstechnik (IT) bei der Anwendung von Rechtsnormen – rechtstheoretisch begründet und ein Realisierungsansatz am Beispiel der Datenschutzkontrolle aufgezeigt.

Inhaltsverzeichnis

  • 1. Zum Vorverständnis: Die Schwächen der Rechtssprache in der digitalen Welt
  • 2. Rechtsinformatik: Exaktheit im Recht
  • 3. Operatives Ziel der Rechtsmodellierung: Technisches Organisationsrecht
  • 4. Die Ratio technischen Organisationsrechts: Legitimation durch Verfahren
  • 5. Formallegistische Maßnahmen der Rechtsmodellierung: Linguistische Stufungen
  • 6. Ein Planspiel: Automatisierung der Datenschutzkontrolle
  • 6.1. Verbale Spezifikation eines Kontrollverfahrens
  • 7. Schlussbemerkung

1.

Zum Vorverständnis: Die Schwächen der Rechtssprache in der digitalen Welt ^

[1]
Heutzutage werden alle Vorgänge in jeglicher Verwaltung von rechtsnormativen, d.h. gesetzlichen und/oder vertraglichen Vorgaben beherrscht (Ubiquität des interessenbedingten Rechts). Jedoch: Die Ausführung der rechtsnormativen Vorgaben ist in der komplexen Massengesellschaft ohne Umsetzung in IT-gestützte Verfahren schon längst nicht mehr möglich (Ubiquität des informatikgesteuerten Computers). Soll die IT-Unterstützung rechtsnormzweckgerecht sein, was sie selbstverständlich sein muss – in der öffentlichen Verwaltung wegen des Vorbehalts des Gesetzes und in der Wirtschaftsverwaltung wegen deren Bindung zum einen an die staatlichen Gesetze und zum anderen an die Direktiven des Managements -, so muss die Gestaltung der rechtsnormativen Vorgaben und ihrer IT-gestützten Ausführung instantan und wechselwirkend erfolgen. Das ist die – mittlerweile unausweichliche – Interdependenz von rechtsnormativer und IT-modellierter Welt. Sie erfordert eine formale Aufbereitung der üblicherweise natürlichsprachlich gefassten und daher auslegungsfähigen rechtsnormativen Vorgaben; denn zunächst einmal ist die herkömmliche Rechtssprache ungenau, unverständlich und ideologisch.
[2]
Die Ungenauigkeit der Rechtssprache ist ein Problem der Juristen. Kein Gefüge von Rechtsvorschriften kann so präzise formuliert werden, dass alle Streitfälle, die später auftauchen, mühelos in dem einen oder anderen Sinn gelöst werden können.
[3]
Die Unverständlichkeit der Rechtssprache ist ein Problem der Rechtsunkundigen, die die Juristen in der Regel gerade dann nicht verstehen können, wenn diese sich besonders genau ausdrücken.
[4]
Die ideologische Verhaftung der Rechtssprache ist ein Problem für beide, für Juristen und Nichtjuristen. Es bedeutet, dass weder die einen noch die anderen systemrational verstehen, worum es in wichtigen Fragen des Rechts geht. Das ist meistens sogar dann der Fall, wenn diese Fragen für alle klar und verständlich formuliert sind1 .
[5]
Wegen dieser ihrer genuinen linguistischen Schwächen ist die Rechtssprache für eine präzise Fixierung des Normzwecks komplexer, insbesondere technikbezogener Rechtsregeln ungeeignet. Sie kann aus diesem Grunde nicht unmittelbare Grundlage für die IT-Unterstützung bei der Ausführung von Rechtsvorschriften sein. Daher müssen diese, soll das Recht seiner gesellschaftlichen Ordnungsfunktion auch in der digitalen Welt gerecht werden, einer Rechtsmodellierung mittels rechtsinformatischer Methoden unterzogen werden.

2.

Rechtsinformatik: Exaktheit im Recht ^

[6]
Seit etwa einem halben Jahrhundert bemühen sich Wissenschaftler der Jurisprudenz, aber auch der Algorithmik und der Informatik um die Anwendung exakter Methoden auch in der Rechtswissenschaft2 . So ist z.B. Computational Law ein hervorragender Befassungsgegenstand der KI-Forschung, bei dem Juristen und Formalwissenschaftler interdisziplinär zusammenarbeiten. Insgesamt lässt sich heute sagen, dass die methodischen Chancen und Möglichkeiten der Rechtsinformatik von den transdisziplinär denkenden Experten in Logik3 , Informationstheorie4 , juristischer Systemtheorie5 , und Algorithmik6 längst gründlich diskutiert sind, wie die hier herangezogene, notgedrungen ältere und gleichwohl zeitlos gültige Literatur beweist. Doch trotz der schon seit langer Zeit vorhandenen wissenschaftlichen Anerkennung der Rechtsinformatik als rechtstheoretische Spezialdisziplin und ihrer Bedeutung für jegliche Rechtsetzung7 sind ihre Perspektiven in der Praxis der Rechtsetzung, vor allem auch beim Gesetzgeber, bis heute viel zu kurz gekommen, wenn sie denn dort überhaupt schon wahrgenommen worden sind. Diesem Missstand konnten auch die engagierten Appelle der hervorragendsten Köpfe8 an die für die Rechtswissenschaft und Rechtspraxis Verantwortlichen bisher nicht abhelfen. Das Schattendasein der Rechtsinformatik ist (leider) auch heute noch Fakt9 . Die Hermeneutiker sind eben gegenüber den Logikern in erdrückender Überzahl. Der Grund dafür liegt auf der Hand.

3.

Operatives Ziel der Rechtsmodellierung: Technisches Organisationsrecht ^

[7]
Operativ geht es bei der Rechtsmodellierung um den Spagat von der rechtlichen Regelung zur informationstechnischen Reglementierung, also um die normzweckgerechte Transformation textlich gefassten Rechts in technisches Organisationsrecht10 als der entscheidenden Voraussetzung für rechtmäßiges Verwaltungs-Engineering. Dabei muss man sich das heterogene, manchmal sogar antinomisch anmutende Verhältnis zwischen dem Recht als solchem, bei dem der semantische Aspekt der Information die Hauptrolle spielt, und der informatisch gesteuerten IT, bei der der syntaktische Aspekt der Information die Hauptrolle spielt, stets bewusst halten. Immerhin spricht viel dafür, dass die IT-Unterstützung von juristischen Verfahren prinzipiell möglich ist, weil die IT klassischerweise zunächst einmal Verfahren zur Verfügung stellt und auch das juristische Verfahren als ein raumzeitliches Phänomen begriffen wird, das vor allem gesellschaftliche Ordnungsfunktion hat, deswegen weitgehend empirisch-deskriptiv, also verbal relativ präzise gefasst und somit (verglichen etwa mit dem materiellen Recht) von hoher intersubjektiver Assoziationssicherheit ist. Verfahrensrecht bietet sich also aufgrund seiner hohen verbalen Präzision und der durch sie garantierten Erwartungssicherheit zuvorderst für eine Übersetzung in eine unmittelbar IT- unterstützbare, letztlich also digitale Fassung an.
[8]
Beim materiellen Recht hingegen liegen die Dinge anders. Hier steht die Gerechtigkeitsfunktion im Vordergrund, weswegen materiellrechtliche Vorschriften in der Regel absichtlich präskriptiv-normativ, also auslegungsfähig gefasst sind, um dem zur Entscheidung Berufenen die Möglichkeit zu geben, gemäß den jeweils verschiedenen Umständen im Einzelfall Gerechtigkeit walten lassen zu können – natürlich aufgrund seiner eigenen höchstpersönlichen und für Dritte nicht nachvollziehbaren Wertvorstellungen. Diese Auslegungsfähigkeit, also Flexibilität des materiellen Rechts wird allgemein als Gnade angesehen und steht rechtspolitisch seit eh und je außer Frage.
[9]
Allerdings gibt es auch im materiellen Recht einige Regelungsgegenstände bzw. Vorschriften, die sich aufgrund ihrer – objektiven Sachzwängen gehorchenden – empirisch-deskriptiven Fassung hinsichtlich ihrer Ausführung für eine IT-Unterstützung eignen, so z.B. Teile des Straßenverkehrsrechts oder des Wertpapierrechts. Doch im bei weitem größten Teil der im materiellen Recht vorkommenden Regelungsgegenstände bzw. Vorschriften werden Begriffe verwendet, die wertausfüllungsbedürftig sind. Hier wird bei der Subsumtion eines Falles unter den zuständigen Rechtskontext gemäß den eigenen Wertvorstellungen teleologisch induziert und nicht logisch deduziert.

4.

Die Ratio technischen Organisationsrechts: Legitimation durch Verfahren ^

[10]
Weil der Rechner (bisher) keine Wertentscheidungen treffen kann, ist technisches Organisationsrecht (bis auf weiteres) notwendigerweise Verfahrensrecht. Soweit es um – auch hier nie völlig zu eliminierende – Wertentscheidungen geht, die getroffen werden müssen, empfiehlt es sich aus Gründen der Zeit- bzw. Kostenersparnis, einen ethisch und fachlich kompetenten Entscheider (Schiedsrichter, Schlichter, Mediator) in das Verfahren einzubeziehen. Wie auch immer dessen Entscheidungen ausfallen, das Verfahren verkraftet sie; denn die Möglichkeit, verschiedene Handlungsalternativen zuzulassen, macht ja gerade den entscheidenden Unterschied des Verfahrens zum Ritual aus, bei dem jeweils nur eine Handlung richtig ist und jeglicher Handlungsverlauf stereotyp festliegt. Das Verfahren ist dynamisch, das Ritual ist starr.11
[11]
Die Rechtfertigung für die Bevorzugung des Verfahrensrechts vor dem materiellen Recht und für die instantane und wechselwirkende Gestaltung der Rechtsvorschriften und ihrer IT-unterstützten Ausführung (s. o. Zum Vorverständnis) ergibt sich aus der seit langem bewährten Erkenntnis, dass die aufgeklärte Gesellschaft ihr Recht nicht mehr durch invariant vorgefundene Wahrheiten, sondern nur oder doch wenigstens primär durch Teilnahme an Verfahren legitimiert.12 Die Ratio dieser Erkenntnis ist zwingend, weil es Wahrheit im naturwissenschaftlichen Sinne im Recht nicht gibt, sondern diese im Recht per Abstimmung ermittelt und aufgrund des korrekt eingehaltenen Abstimmungsverfahrens gültig wird. Die Korrektheit des Verfahrens indes kann intersubjektiv nachvollziehbar überprüft werden, weil der Verfahrensbegriff sich an den Kriterien von „richtig“ und „falsch“ bzw. „wahr“ und „unwahr“, also an binären Kriterien im formalwissenschaftlichen Sinne orientiert.13 Dieser Ratio folgt z.B. das anglo-amerikanische Strafrecht, bei dem der professionelle Jurist nur auf die korrekte Einhaltung des Verfahrens achtet und die materiellrechtliche Entscheidung einer Jury von Geschworenen (juristischen Laien) überlassen bleibt.
[12]
Insbesondere, wo es um rechtlich vorgeschriebene Kontrollen digital gesteuerter Vorgänge mit möglicherweise massenhaften oder globalen Auswirkungen geht, wird sich technisches Organisationsrecht in Zukunft vehement durchsetzen, weil das compliance management auf ein real time controlling, durch das allein präventive Aktionen ermöglicht werden, nicht mehr wird verzichten können. Das gilt z.B. für die Regelungsbereiche Umweltschutz, Datenschutz, Finanzwirtschaft, Korruptionsbekämpfung und dergleichen mehr. Wenn nämlich hier einmal Fehlentwicklungen in Gang gesetzt worden sind, egal ob fahrlässig oder vorsätzlich, können die Ereignisse nicht mehr zurückgeholt oder auch nur korrigiert werden.

5.

Formallegistische Maßnahmen der Rechtsmodellierung: Linguistische Stufungen ^

[13]
Um Rechtsvorschriften IT-unterstützbar zu machen, benötigt man eine Modellierungssoftware. Diese Software muss in einer Legal Executive Language (LEL) geschrieben sein. Deren Entwicklung könnte sich am Beispiel der Entwicklung der Business Process Executive Languages (BPEL) orientieren.
[14]
Was die einzelnen operativen Schritte betrifft, geht es bei der in LEL zu schreibenden Modellierungssoftware darum, die Rechtsvorschriften nach den Regeln der Aussagen- und Prädikatenlogik, der Klassen- und Relationenlogik sowie der deontischen Logik zunächst in einer verbalen Spezifikation zu logifizieren (Phase der Disambiguierung), sie sodann durch Übertragung in eine semiformale (logik- oder graphenorientierte) Struktursprache oder gar in eine mathematische Version zu formalisieren14 und schließlich durch Programmierung zu automatisieren.15

6.

Ein Planspiel: Automatisierung der Datenschutzkontrolle ^

[15]
Aus der Erkenntnis, dass Rechtsvorschriften als Legitimationsgrundlagen im Rechtsstaat zwar unverzichtbar sind, allein aber keine präventiven Wirkungen entfalten, dass Naturalrestitution in der digitalen Welt nicht möglich ist und dass rechtliche Sanktionen nur symbolischen Charakter haben, hat man z.B. für die Datenschutzkontrolle bereits konkrete Überlegungen abgeleitet, die sich gerade auf die oben dargestellte Erkenntnis stützen, dass in der aufgeklärten Gesellschaft das Recht durch Teilnahme an Verfahren legitimiert ist.16
[16]
Beim personenbezogenen Datenhandel zum Beispiel kommt als Erlaubnisgrund, jedenfalls nach deutschem Recht, regelmäßig die Einwilligung des Betroffenen zum Zuge. Bei gesetzlich angeordneter bzw. erlaubter personenbezogener Datenverarbeitung ist in der Regel zunächst der Datenschutzbeauftragte dazu berufen zu prüfen, ob sich die Datenverarbeitung im Rahmen des gesetzlich Gebotenen bzw. Erlaubten hält. Um nun das Hauptanliegen des Datenschutzes, nämlich die informationelle Selbstbestimmung des Betroffenen, zu verwirklichen, ist die Einwilligung des Betroffenen bzw. die Zustimmung des Datenschutzbeauftragten als sog. Opt-in-Verfahren rechtlich, und zwar formallegistisch (s.o. Formallegistische Maßnahmen) zu etablieren und in einer partizipatorischen Informationsorganisation, einer sog. Public Key Infrastructure (PKI), zu automatisieren. Im Kern geht es also um die Automatisierung der Zweckbindung der personenbezogenen Datenverarbeitung; denn diese verfolgt immer einen Zweck und durch die Datenschutzkontrolle soll das Abweichen vom erlaubten Verarbeitungszweck verhindert werden. Genau darin besteht der Normzweck des Datenschutzrechts. Und so etwa könnte die automatisierte Zweckbindung bei personenbezogener Datenverarbeitung gestaltet werden:

6.1.

Verbale Spezifikation eines Kontrollverfahrens ^

 

1)     Datenverarbeitende Stelle X (Unternehmen oder Behörde) möchte bestimmte Daten einer Person P rechtmäßig verarbeiten.
2)     Autorisierende Stelle A (z.B. Datenschutzbeauftragter) legt die Zweckbindung Z fest.
3)     A stellt für X eine Chipkarte zur Verfügung mit
1.     einem üblichen Zertifikat zum Identitätsnachweis (mit einem öffentlichen und einem privaten Schlüssel zum Signieren und Verschlüsseln) und
2.     einem Autorisierungszertifikat. Dieses enthält einen an den Zweck Z gebundenen öffentlichen Schlüssel.
4)     A führt eine öffentlich zugängliche Liste, die zu jedem erlaubten Zweck den zugehörigen öffentlichen Autorisierungsschlüssel enthält.
5)     X sendet an P, deren Daten Dp rechtskonform verarbeitet werden sollen, unter Nennung von Z und der Autorisierung von Z durch A, die Aufforderung, die Daten Dp an X zu übermitteln. X signiert diese Aufforderung elektronisch.
6)     P besitzt ebenfalls eine Chipkarte, die ihre Identität bestätigt und ihr die Möglichkeit zum elektronischen Signieren und Verschlüsseln gibt.
7)     P ist anhand der elektronischen Unterschrift von X in der Lage, die Identität von X zu verifizieren und anhand des Attributzertifikats i.V.m. der von A bereitgestellten Liste (siehe 4) die Autorisierung von X für den Verarbeitungszweck Z zu überprüfen und zu bestätigen.
8)     P verschlüsselt nun zunächst die Daten Dp mit dem öffentlichen Autorisierungsschlüssel für den Verarbeitungszweck Z (das Ergebnis ist Dp’) und mit dem öffentlichen Schlüssel von X (das Ergebnis ist Dp’’). Sie signiert anschließend Dp’’ elektronisch und übermittelt diese Daten mit ihrem Zertifikat an X.
9)     X kann durch Überprüfung der elektronischen Unterschrift feststellen, ob die Daten von P stammen und während der Übermittlung verändert wurden oder nicht.
10)Ist 9) der Fall, so kann X durch Anwendung ihres privaten Schlüssels anschließend die Daten Dp’ zurückgewinnen. Niemand anders ist dazu in der Lage.
11)X hat nun die Wahl zwischen zulässiger DV (nämlich Z) und nicht zulässiger DV (-Z). Dabei wird Z durch eine Software SWz repräsentiert.
12)Die Daten Dp’ werden nun der Software SWz zur Verfügung gestellt. Zwischen der Software SWz und der Chipkarte von X läuft ein Authentisierungsprotokoll ab, sodass „beide Seiten“ erkennen können, dass die jeweils andere Seite die entsprechende Berechtigung besitzt. Der Einfachheit halber soll angenommen werden, dass das geheime Gegenstück zum öffentlichen Autorisierungsschlüssel (nämlich der private Autorisierungsschlüssel) für den Verarbeitungszweck Z in zwei Teile zerlegt worden ist: Eine Hälfte ist auf der Chipkarte von X mit dem Attribut Z gespeichert, die andere ist in der Software SWz integriert. Nur durch Zusammenwirken beider Hälften ist es möglich, die Daten Dp zu gewinnen.
13)Die Daten Dp werden nunmehr durch SWz zulässigerweise verarbeitet.
14)Vor irgendeiner Speicherung oder Übertragung müssen die Daten Dp wieder verschlüsselt werden und zwar stets mit
1.     dem öffentlichen Autorisierungsschlüssel (hierfür benötigt die SWz die Chipkarte von X nicht) und
2.     dem öffentlichen Identitätsschlüssel von X (hierfür wird das entsprechende Zertifikat auf der Chipkarte benötigt).
15)Durch das Autorisierungsprotokoll ist also sichergestellt, dass
1.     die Daten Dp nun von X gelesen werden können,
2.     X sicher sein kann, dass die Daten tatsächlich von P kommen,
3.     X keine Chance hat, von der Zweckbestimmung Z abzuweichen,
4.     Dritte keine Möglichkeit zu irgendeiner Verarbeitung von Dp haben.
16)Ergebnis: Damit ist die Zweckbindung gegeben.

7.

Schlussbemerkung ^

[17]
Das Planspiel zeigt, wie Verwaltungs-Engineering heute aussehen kann. Wie häufig beim IT- Einsatz erscheinen anfangs die Aufwendungen – gemessen am verfolgten Zweck – hoch und werden nicht selten als unwirtschaftlich bezeichnet. Wird aber der Einführung bzw. Anwendung effektiver Kontrollen beim Einsatz von – unausweichlich ambivalenter – Großtechnik von deren Nutzern Anerkennung gezollt und ist erst einmal – sich folglich auch wirtschaftlich positiv auswirkende – Routine eingekehrt, sind alle wieder zufrieden.
  1. 1 Vgl. Wesel, Uwe, FAST ALLES WAS RECHT IST – Jura für Nicht-Juristen, Eichborn Verlag, Frankfurt am Main, (1992).
  2. 2 Vgl. Seegers, Hermann/Haft, Fritjof (Hersg.), Rechtsinformatik in den achtziger Jahren – wissenschaftliches Symposium der IBM Deutschland –, Arbeitspapiere Rechtsinformatik Heft 20, J. Schweitzer Verlag, München, Vorwort u. S. 243 ff. (1984).
  3. 3 Vgl. Herberger, Maximilian/Simon, Dieter, Wissenschaftstheorie für Juristen, Alfred Metzner Verlag, Frankfurt am Main, S .7 ff., 17 ff. (1980).
  4. 4 Vgl. Steinmüller, Wilhelm, EDV und Recht – Einführung in die Rechtsinformatik, Juristische Arbeitsblätter – Sonderheft 6, J. Schweitzer Verlag, Berlin, S. 22 ff. (1970).
  5. 5 Vgl. Reisinger, Leo/Peklo, Günter, In: Öhlinger, Theo (Hersg.), Gesetzgebung und Computer, DVR Beiheft 17, J. Schweitzer Verlag, München, S. 5-65 (1984).
  6. 6 Vgl. Steinmüller, Wilhelm, EDV und Recht – Einführung in die Rechtsinformatik, Juristische Arbeitsblätter – Sonderheft 6, J. Schweitzer Verlag, Berlin, S. 27 f. (1970).
  7. 7 Vgl. Schäffer, Heinz/Triffterer, Die Multidisziplinarität der Themen und ihrer Autoren, In: Schäffer, Heinz/Triffterer, Otto (Hersg.), Rationalisierung der Gesetzgebung – Jürgen Rödig Gedächtnissymposion- , Nomos Verlagsgesellschaft, 1. Auflage, Baden-Baden, S. 7-13(1984).
  8. 8 Statt vieler vgl. Fiedler, Herbert, Juristenausbildung und Informatik – Warnungen vor einem Missstand und Vorschläge der Rechtsinformatik, CR 11/1986, S. 756 ff. (1986).
  9. 9 Vgl. http://de.wikipedia.org/wiki/Rechtsinformatik, aufgerufen 14.12.2011.
  10. 10 Zum Begriff vgl. Peters, Falk, Technischer Datenschutz, CR 12/1986, S. 792 (1986) sowie Peters, Falk/Kersten, Heinrich, Technisches Organisationsrecht im Datenschutz – Bedarf und Möglichkeiten, CR 9/2001, S. 577 f. (2001).
  11. 11 Vgl. Luhmann, Niklas, Legitimation durch Verfahren, Suhrkamp Taschenbuch Wissenschaft 443, 1. Auflage, Frankfurt am Main, S. 38 ff. (1983).
  12. 12 Vgl. Luhmann, Niklas, Legitimation durch Verfahren, Suhrkamp Taschenbuch Wissenschaft 443, 1. Auflage, Frankfurt am Main, Vorwort et passim (1983).
  13. 13 Zur Entwicklung des Wahrheitsbegriffs im Recht vgl. Luhmann, Niklas, Legitimation durch Verfahren, Suhrkamp Taschenbuch Wissenschaft 443, erste Auflage, Frankfurt am Main, S. 15 f., S. 17 ff. (1983).
  14. 14 Reisinger/Peklo, Fallstudie Studienförderungsgesetz, In: Öhlinger, Theo (Hersg.), Gesetzgebung und Computer, DVR Beiheft 17, J. Schweitzer Verlag, München, S. 18 ff. (1984) .
  15. 15 Zur automationsgerechten Normsetzung vgl. Steinmüller, Wilhelm, EDV und Recht – Einführung in die Rechtsinformatik, Juristische Arbeitsblätter – Sonderheft 6, J. Schweitzer Verlag, Berlin, S. 56 ff. (1970).
  16. 16 Vgl. FN. 9.