Dear Readers

From February 24-27, 2021, the 24th International Legal Informatics Symposium (IRIS) will be held under the theme "Cybergovernance" - this year completely virtually. The scope of the conference is very broad, with contributions on just about every topic in legal informatics.

Traditionally, Weblaw produces the printed conference proceedings, which this year include around 40 contributions. About half of the contributions – namely those on "Cybergovernance", "Corona-Pandemic and Legal Informatics" and "Data Protection and Privacy" – will be published in today's issue of Jusletter IT. The remaining articles will follow in the May issue. 

Apart from IRIS, this issue includes two articles by Fabian Teichmann and Léonard Gerber on website geoblocking in Switzerland and on artificial intelligence in the corporate sector

We are also pleased to have gained a new regular column for Jusletter IT. In The DPO View, the authors shed light on current issues in data and technology law from the perspective of a legal practitioner and look at how they are being implemented in everyday business. The kick-off article focuses on the legal framework for the use of artificial intelligence.

I wish you an exciting read

Philip Hanke
Director of Publishing

Vorwort
Vorwort
Erich Schweighofer
Erich Schweighofer
Franz Kummer
Franz Kummer
Ahti Saarenpää
Ahti Saarenpää
Stefan Eder
Stefan Eder
Philip Hanke
Philip Hanke
Zum Generalthema: Cybergovernance
Frames of Cybergovernance
Vytautas Čyras
Vytautas Čyras
Friedrich Lachmayer
Friedrich Lachmayer
Five societal frames of cybergovernance are discussed: (1) the frame of law; (2) the frame of legal interpretation; (3) the frame of societal sectors; (4) the frame of technological changes; and (5) the frame of evolution. A question that arises in the second frame is that of who, human or machine, interprets the fact and the norm in legal subsumption. The fifth frame relates to cybergovernance in the line of biological evolution. A question that is associated with the evolutionary step from humans to machines is whether machines reside in status civilis or status naturalis.
Cybergovernance aus geopolitischer Perspektive
Hanna Maria Kreuzbauer
Hanna Maria Kreuzbauer
Versteht man „Cybergovernance“ in einem sehr weiten Sinne, gibt es auch eine geopolitische Dimension. Grundkonstante ist, dass die Hegemonie des Westens zu Ende gehen und die geopolitische Gravitation noch mehr nach Asien verlagern wird. Genau diese Problematik wird in diesem Beitrag diskutiert, wobei zwischen den Aspekten der Digitalisierung, der Wirtschaft und der Politik unterschieden wird. Insbesondere wird dabei aber auch angesprochen, wie diese Entwicklung aus europäischer Sicht aussieht.
Hinweise und Massnahmen zur Non-Diskriminierung kleinerer Plattformen im Rahmen des aktuellen Kommunikationsplattformengesetz
Karl Pinter
Karl Pinter
Dominik Schmelz
Dominik Schmelz
Thomas Grechenig
Thomas Grechenig
Das Kommunikationsplattformengesetz richtet sich gegen hetzerische Beiträge im Netz. Betroffene Online Plattformen müssen Möglichkeiten der Meldung und Löschung zur Verfügung stellen. Dabei existiert keine einheitliche Meldestelle. Die Bürgerinnen und Bürger sollen in die Lage versetzt werden, Meldungen gesichert und nachvollziehbar nach einem zentralen Schema vorzunehmen. Den Kommunikationsplattformbetreibern soll es ermöglicht werden, fundierte Entscheidungen treffen zu können, um Overblocking zu vermeiden. Die Autoren schlagen eine Legal Technology, im Sinne von maßvoller Cybergovernance und bürgernahem eGovernment vor.
Duty of Co-Operation as New Cybergovernance Concept
Rolf H. Weber
Rolf H. Weber
Cybergovernance attempts at protecting information and data as well as the related assets and infrastructure. By way of overcoming a strict national sovereignty approach and of developing globally acceptable principles for the Internet, new substantive concepts for behavioural norms need to be developed. A promising approach consists in the implementation of a broadly interpreted duty of co-operation between the States as a general legal standard. Such an approach appears to be suitable for contributing to a cosmopolitan understanding of common interests leading to an improved cybergovernance and a higher level of Internet integrity.
Corona-Pandemie und Rechtsinformatik
Die Corona-Pandemie im Vergaberecht – Gedanken zur vereinfachten Vergabe in der Krise
Philipp Götzl
Philipp Götzl
Aufgrund der aktuellen Pandemielage stellt sich die Frage der Zulässigkeit vereinfachter Vergabeverfahren bedingt durch und während der Corona-Pandemie. Im Schreiben des BMJ – StS VR (Stabstelle Bereich Vergaberecht) vom 30.03.2020 und in der Mitteilung der Kommission vom 01.04.2020 – betreffend Leitlinien der Europäischen Kommission zur Nutzung des Rahmens für die Vergabe öffentlicher Aufträge in der durch die COVID-19-Krise verursachten Notsituation – wurde zur Anwendung von vergaberechtlichen Regelungen im Zusammenhang mit der Covid-Krise darauf hingewiesen, dass Sonderverfahren im Zusammenhang mit neu eingeleiteten Vergabeverfahren zulässig sind. Da die unionsrechtlichen Regelungen der Vergaberichtlinien Sonderverfahren und Ausnahmevorschriften für Notsituationen vorsehen, zu denen auch die Covid-19-Pandemie zu zählen ist, wird analysiert, welche vergaberechtlichen Verfahren und welche besonderen Bestimmungen in der Krise zur Verfügung stehen um Vergaberecht in der Krise zu vereinfachen.
Strafjustiz und der Einsatz von Videotechnik in Corona-Zeiten – Krisenmanagement oder auch digitale Entwicklungshilfe?
Jochen Krüger
Jochen Krüger
Stephanie Vogelgesang
Stephanie Vogelgesang
Maximilian Leicht
Maximilian Leicht
Lena-Marie Adam
Lena-Marie Adam
In Corona-Zeiten wurde zur Aufrechterhaltung der Funktionsfähigkeit des Rechtsstaats u. a. Videotechnik vermehrt eingesetzt. Dies gilt auch für das Strafverfahren. Der Beitrag befasst sich mit der Frage, inwieweit strafprozessuale Digitalisierungsstrategien, die bereits in Normalzeiten konzipiert wurden, dadurch gefördert worden sind. Es geht also im Folgenden um den Einsatz von Videotechnik unter den besonderen Bedingungen des Strafverfahrensrechts.
Und dann kam Corona: Die Internet-Veröffentlichung von Wartezeiten für planbare Operationen in Österreich
Christian Szücs
Christian Szücs
Stefan Szücs
Stefan Szücs
Gemäß § 5a Abs 3 des österreichischen Kranken- und Kuranstaltengesetzes sind Personen, die zu bestimmten planbaren Operationen vorgemerkt werden, über die Wartezeiten für diese Operationen zu informieren. Dabei ist nach Maßgabe der technischen Möglichkeiten eine Auskunftseinholung tunlichst auf elektronischem Weg zu ermöglichen. Die österreichischen Krankenhausbetreiber haben diese Anforderung unterschiedlich, zumeist durch die Veröffentlichung der Wartezeiten im Internet realisiert. Diese Wartezeiten werden häufig lediglich sporadisch aktualisiert, sodass gerade während der Corona-Pandemie die dort veröffentlichten Zeiten kaum aussagekräftig sind. Zudem bietet sich eine Veröffentlichung der Wartezeiten gesammelt auf einer österreichweiten Plattform, nämlich auf www.kliniksuche.at, an, so wie dies z.T. schon auf www.spitalskompass.at geschehen war.
The Corona App, a Global Experiment in Contact Tracing: How are the Fundamental Rights of Citizens Guaranteed?
Robert van den Hoven van Genderen
Robert van den Hoven van Genderen
This article discusses the (emergency) measures introduced or activated by governments as a result of the Covid-19 pandemic, and which (un)lawfully restrict the fundamental freedoms of citizens to combat further spread of the virus. In this context, the focus is on the consequences of the introduction of tracking and contact identification, on the “corona-notification application”, legitimized as a “scaling tool”, and on the recommendations, guidelines and legislation surrounding the use of this corona app.
Datenschutz und Privacy
Data Protection of Employees – Certain Aspects of ECHR and GDPR Protection
Jasna Cosabic
Jasna Cosabic
Privacy issues of employees have been dealt with by some of the key judgments of the European Court of Human Rights (´the ECtHR´), giving as such an interpretation of the European Convention for the Protection of Human Rights and Fundamental Freedoms (´the ECHR´), in particular Article 8, the right to respect for private life. The General Data Protection Regulation (´the GDPR´), has managed to regulate in a unique way privacy issues in the European Union (´the EU´), but under certain conditions having wider territorial implications. Privacy issues regarding the employees cover very detailed aspects before the employment, during the employment and after the employment. This paper does not aim to give exhaustive explanations to overall privacy issues connected to a working place and in general employees, but rather to point out to certain aspects of possible privacy violations with regard to workers/employees. It shall give a short comparison between the two most successful systems in Europe that may give protection to data privacy issues, which are the European human rights system, with the case-law of the ECHR developed by the ECtHR in Strasbourg, and the system of the protection of privacy data that has been implemented since 25 May 2018 under the GDPR.
Medical Research Data Governance in the EU. Lessons Learned from the Case of UnityFVG
Federico Costantini
Federico Costantini
Francesco Crisci
Francesco Crisci
Giada Soncini
Giada Soncini
This contribution addresses, under three different profiles, the issue of governance of personal data in health research within the EU legal framework, analyzing how the current discipline of personal data protection, notably provided by the GDPR, represents an opportunity for all operators and for the healthcare system in general. It is noteworthy, on this regard, to point out that patients have a twofold rule, being on the one hand the source of the data and, on the other hand, the recipients of the benefits that can be drawn from them. To begin with, we describe how data governance becomes indeed proactive towards innovation, through the creation of a dynamic and flexible network of relationships between all the actors involved. Secondly, we show how it is possible, in light of the state-of-the-art of legal informatics, to automate GDPR compliance processes not only increasing efficiency and transparency in data processing, but also promoting an effective cultural revolution in terms of accountability. Thirdly, we describe how the compliance of the GDPR can trigger virtuous processes of aggregation between different organizations, and how paradoxically it is precisely by integrating heterogeneous resources that innovation can be triggered.
Forensic Data Governance in EU: a Certification Framework for IoT Devices
Fausto Galvan
Fausto Galvan
Federico Costantini
Federico Costantini
Addressing IoT (Internet of Things) technologies is becoming a crucial challenge in Digital Forensics, showing the limits of traditional approaches and data collection techniques. Our contribution envisages a “data governance” model based on third-party certification of forensic copies extracted from IoT devices. Within this framework, on the one hand, the certification establishes the technical standards to which manufacturers, distributors and service providers have to abide by in order to enter the EU market; on the other hand, it is eliminated the threefold conflict between the duties of investigating authorities, the interests of device manufacturers and the fundamental rights of the suspects. In conclusion are discussed benefits and disadvantages of our proposal, drawing a path for future research.
Datentransfer in das Vereinigte Königreich nach dem Brexit
Jan Hospes
Jan Hospes
Štefan Ziman
Štefan Ziman
Walter Hötzendorfer
Walter Hötzendorfer
Christof Tschohl
Christof Tschohl
Mit dem Austritt aus der EU wurde das Vereinigte Königreich zu einem Drittland. Somit müssen alle datenschutzrechtlichen Beziehungen neugestaltet werden, wobei der Datentransfer weiterhin den unionsrechtlichen Standards entsprechen muss. Insbesondere aufgrund der engen Zusammenarbeit des Vereinigten Königreichs mit den Vereinigten Staaten im Bereich der internationalen Überwachungsaktivitäten ist es fraglich, ob geeignete Rahmenbedingungen für Übermittlungen von Daten aus der EU in das Vereinigte Königreich geschaffen werden können.
Smart Home – Nutzung der Geräte in Österreich und Aspekte der Sicherheit und Regulation der Datensammlung
Edith Huber
Edith Huber
Bettina Pospisil
Bettina Pospisil
Walter Seböck
Walter Seböck
Peter Kieseberg
Peter Kieseberg
Albert Treytl
Albert Treytl
Es steht außer Zweifel, dass das Internet der Dinge (IoT) und seine Anwendung in Heimautomationssystemen (HAS) eine Vielzahl an neuen Diensten ermöglichen wird. Immer mehr österreichische Haushalte setzen daher vermehrt auf HAS-Geräte im Haushalt, dabei findet man Anwendungen vom internetfähigen TV bis hin zum Tierfutternapf. Aber wie sieht es mit der Aufklärung der Nutzer*innen über die Verwendung ihrer Daten und mit der Sicherheit dieser Systeme aus? Im Rahmen dieses Vortrags werden die Ergebnisse einer österreichweiten repräsentativen Studie dargestellt, die sich unter anderen dieser Forschungsfrage widmen.
VPN Services between a Rock and a Hard Place: The Freedome Case
Juhana Riekkinen
Juhana Riekkinen
Providers of commercial Virtual Private Network services are expected to protect the privacy of their customers, but also to co-operate with law enforcement in legitimate criminal investigations in accordance with the law. In a case concerning a commercial VPN service, the seizure of VPN user logs was challenged in court by the service provider, a Finnish cybersecurity company. Drawing on this case and the reasoning adopted by the national courts, this paper explores the dual role of VPN service providers and the fine line between subscriber data and traffic data in Finnish law and on the European level. Ultimately, it is argued that uncontrolled and unlimited law enforcement access to VPN user logs would jeopardize privacy rights and the business interests of legitimate VPN providers, and that it might additionally lead to undesirable consequences for law enforcement interests.
Human Error and Data Security
Ahti Saarenpää
Ahti Saarenpää
To err is human. This is perhaps one thing we can be sure about. And we can make mistakes in the widest variety of situations. Of course, we are quick to apologize, too: we have been taught it is good manners. Yet we readily invoke “human error” as an excuse even when we have made a mistake under rather unique circumstances. In such cases, the legal significance of the error should not be obscured by profuse apologies. Where IT and information systems are concerned, there is generally little or no tolerance for mistakes. And human error should have no real place in explaining why an information system fails, nor should it be possible for an error-prone human to use an important system incorrectly. Errare humanum est, perseverare autem diabolicum.
Maschinelle Daten(weiter)verarbeitung durch die Deutsche Finanzverwaltung – steuerlicher Datenschutz im Lichte unions- und verfassungsrechtlicher Vorgaben
Christoph Schmidt
Christoph Schmidt
Mit dem vorliegenden Beitrag wird die Bedeutung maschinell auswertbarer Datenbasen für die Funktionsweise der elektronischen Risikomanagementsysteme der deutschen Finanzverwaltung aufgezeigt. Die vorhandenen Datenbestände können für eine Vielzahl von Zwecken genutzt oder miteinander verknüpft werden. Daher stehen unter Berücksichtigung des datenschutzrechtlichen Grundsatzes der Zweckbindung die unions- und verfassungsrechtlichen Rechtsgrundlagen zur (Weiter-)Verarbeitung der Daten im Fokus der Ausführungen.
Datensicherheit: Änderungen durch Home-Office
Michael Sonntag
Michael Sonntag
In Corona-Zeiten verbreitete sich Home-Office innerhalb sehr kurzer Zeit sehr stark und vielfach überraschend – für MitarbeiterInnen ebenso wie für Unternehmen. Da hierbei vielfach auch personenbezogene Daten verarbeitet werden, ergeben sich Herausforderungen für eine rechtskonforme Umsetzung. Diese Modifikationen von Ort und Umständen erfordern Anpassungen der Sicherheitsmaßnahmen, doch welche Änderungen dürfen hierbei berücksichtigt werden? Dieser Artikel beschreibt weiters eine Hierarchie von Umsetzungsvarianten im Hinblick auf Ihre Datenschutz-Freundlichkeit und untersucht potentielle Sicherheitsprobleme.
Datenethikkonzept der Zukunftsstadt Ulm
Jörn von Lucke
Jörn von Lucke
Felix Becker
Felix Becker
Leoni Lübbert
Leoni Lübbert
Die Stadt Ulm engagiert sich seit vielen Jahren als Zukunftsstadt und als smarte Stadt, um sich über ihre E-Government-Aktivitäten hinaus als Vorreiter für eine verantwortungsbewusste Digitalisierung und intelligente Vernetzung zu positionieren. Sie geht dabei jetzt und in Zukunft auch viele neue Wege, mit denen sie sich zum Teil in unterregulierten Räumen bewegen wird. Aus diesem Grund hat sich die Stadt Ulm ein kommunales Datenethikkonzept erarbeitet. Dieses wurde vom Ulmer Gemeinderat im Oktober 2020 beschlossen. Damit positioniert sich die Stadt Ulm auch im Kontext von Datenethik als Vorreiter in Deutschland.
Beitrag
Approche au géoblocking de sites internet en Suisse
Fabian Teichmann
Fabian Teichmann
Léonard Gerber
Léonard Gerber
The EU Regulation on geo-blocking prohibits discriminatory and unjustified adaptations of online transaction conditions based on the nationality, the place of residence or the place of establishment of customers in the internal market. In Switzerland, practice employs art. 5 of the Swiss Federal Cartel Act to sanction, under certain conditions, contracts containing territorial discrimination clauses. The Competition Commission interprets this general legal framework in an extensive way as to include contracts providing geo-blocking measures. This contribution examines the Swiss approach to the problem of geoblocking and analyses whether there is need for new legislation, such as multiple parliament interventions and one federal initiative claim.
L’emploi de l’intelligence artificielle dans le domaine des CorpTech
Fabian Teichmann
Fabian Teichmann
Léonard Gerber
Léonard Gerber
This article illustrates recent trends of artificial intelligence in the corporate field. In a context of labor automation, AI applications are flourishing over the years. AI applications are being implemented at the level of management, human ressources and even directorial functions, notably since the nomination of an AI-algorithm in a hongkongese venture capital fund in 2014. Optimism in IA applications should nevertheless be restrained by the awareness of it’s technical as well as legal boundaries. Advanced knowledge about the potential and boundaries of AI should guide the legislator in his regulatory approach.
The DPO View
Guidelines für Künstliche Intelligenz (KI): Besteht aus rechtlicher Sicht Handlungsbedarf?
Michal Cichocki
Michal Cichocki
The article examines AI guidelines from a legal point of view focusing on data protection laws as well as the question of whether there is a need for action from the perspective of a legal practitioner.