Legal Theory / Data Protection / E-Commerce / IP-Law / E-Procurement / Robotics / Security and Law

Dear Readers

With today's issue we complete the digital proceedings of the International Legal Informatics Symposium (IRIS) 2023, which was edited by Erich Schweighofer, Stefan Eder and Jakob Zanol.

The topics covered in this issue are:

  • Legal Theory
  • Data Protection
  • E-commerce
  • IP-Law
  • E-Procurement
  • Robots, machines and software agents
  • Security and law

The next issue is expected to be published at the end of June. By the way, we will be at Legal Revolution (May 3-4 in Nuremberg) and Weblaw Forum LegalTech (June 15 in Zurich) and would be happy to meet you there!

I wish you a stimulating read!

Philip Hanke
Director of Publishing

Legal Theory
Nontextual Notations as Syntactic Supplements
Vytautas Čyras
Vytautas Čyras
Friedrich Lachmayer
Friedrich Lachmayer
By the term nontextual notations, we mean legal visuals and formalizations that contribute to representing law in computers. The object to explore is the transformation of legal content and its syntax. This transformation takes place from textual to symbolic–formal expressions. The advantage of a non-strict visualization lies in the fact that the subject is not always distinguished and strictly structured. For the most part, the syntax is not set and can be changed to suit the topic. Visualizations help to bridge the gap between the textuality of law and logico-technical notations.
Einige Gesichtspunkte der Menschenwürde
Marijan Pavčnik
Marijan Pavčnik
The paper deals particulary with some aspects disclosed by the Decision of the Constitutional Court of the Republic Slovenia of 2011 in the matter Tito Street (U-I-109/10). The Decision repealed Art. 2 of the Ordinance, by which the Municipality Ljubljana decided that a street should be named Tito Street. The fundamental argument of the Decision was that the name of Josip Broz Tito (1892−1980) was a symbol of the totalitarian regime in the former Yugoslavia. − The Constitutional Court reasoned that the repealed Ordinance was issued in 2009, i.e. eighteen years after Slovenia had become independent and established a constitutional order »based on constitutional values contrary to the values of the regime before the independence«. Such new namings were contrary to the principle of respecting human dignity having its basis in the constitutional principle that Slovenia was a democratic republic (Art. 1 of the Constitution of the Republic Slovenia). − Human dignity and democracy are an important pair. Their connection does not lie in that humany dignity would necessarily result from the principle of democracy, but in that human dignity as the central element of constitutional democracy contentually binds the forms of democratic decision-making. The closer this connection is and the more intensively the democratic decision- making strengthens and deepens the dimensions of human dignity, the higher the quality of the democracy based on human dignity is.
Data Protection
Die Datenschutzbehörde im Strafprozess
Jonas Divjak
Jonas Divjak
In Umsetzung unionsrechtlicher Vorgaben hat der Gesetzgeber 2018 die Zuständigkeit der Datenschutzbehörde auf den Strafprozess erstreckt. Der Betroffene kann sich seither mit Beschwerde an die DSB wenden, wenn er sich durch Kriminalpolizei oder Staatsanwaltschaft in seinen Datenschutzrechten verletzt erachtet. Da auch die originär strafprozessualen Rechtsbehelfe eine Geltendmachung von Datenschutzrechten ermöglichen, besteht bei Handlungen der Staatsanwaltschaft nunmehr ein doppelter datenschutzrechtlicher Rechtsschutz.
Using Open-Source Image Datasets for Research
Jakob Zanol
Jakob Zanol
Jonas Pfister
Jonas Pfister
Jessica Fleisch
Jessica Fleisch
The application of AI-based Facial Recognition (FRT) raises various legal and ethical questions. A comprehensive analysis must take into consideration not only the creation and future use of facial recognition but has to start even earlier: namely with the selection of the underlying data sets. While it may seem practical to utilize open-source image datasets for the creation, training and testing of models, the compliant use of such data sets still represents a major legal hurdle, especially with regard to international aspects. This is mainly due the fact, that harmonization in the area of research and data protection is very limited and still largely left to national legislators, even within the European Union. In this article, the authors analyse key problems of the use of open-source datasets for research in the area of FRT based on AI.
Einsatz von Künstlicher Intelligenz in den Tunnelanlagen
Jessica Fleisch
Jessica Fleisch
Jakob Zanol
Jakob Zanol
Lennard Alms
Lennard Alms
Daniel Demetz
Daniel Demetz
Lorenz Wickert
Lorenz Wickert
Der Einsatz von künstlicher Intelligenz in Tunnelanlagen insbesondere auch in Zusammenschau mit den Entwicklungen im Bereich der Mobilität 4.0. (v.a. C-ITS-Informationsaustausch) rückt zunehmend in den Vordergrund. Nicht nur von technischer Seite gibt es künftig noch einige Hürden zu bewältigen, sondern auch die Rechtslage de lege lata lässt einige Rechtsfragen offen. Wenig verwunderlich erscheint es deshalb, dass auf europäischer Ebene in den letzten Jahren regulatorische Instrumente vorgestellt wurden, die künftig Rechtsklarheit und -sicherheit schaffen sollen. In diesem Beitrag sollen deshalb die aktuellen Entwicklungen und die Auswirkungen auf die geplanten Vorhaben im Bereich der Tunnelsicherheit dargestellt werden.
Datenschutzrechtliche Stellung von Freelancern und Consultants
Markus Schröder
Markus Schröder
Das Arbeitsleben ist zunehmend von Flexibilisierung geprägt. Die Unternehmen können nicht jede Spezialisierung innerhalb der eigenen Belegschaft abdecken. Sie müssen aber gleichzeitig schnell auf spezielle Anforderungen in Projekten reagieren können. Dies ist insbesondere im IT-Bereich der Fall. Hier werden die notwendigen Kapazitäten häufig durch den Einsatz von externen Mitarbeitern hergestellt. Arbeits- und zivilrechtlich kann dies durch eine Arbeitnehmerüberlassung oder durch Werk-/Dienstverträge dargestellt werden. Die datenschutzrechtliche Abbildung dieser Konstellationen ist jedoch mitunter komplex.
Die Europäische Datenstrategie und das Datenschutzrecht
Simone Salemi
Simone Salemi
Nils Wiedemann
Nils Wiedemann
Mit der Europäischen Datenstrategie verfolgt die Europäische Union das Ziel, die Datenwirtschaft im Europäischen Wirtschaftsraum zu reformieren. Diese Reform soll durch den Erlass verschiedener Rechtsakte erreicht werden. Konkret wurden mit dem Datengesetz und dem Daten-Governance-Gesetz inzwischen zwei Gesetzestexte vorgestellt. Beide unterscheiden in ihrem Anwendungsbereich nicht hinsichtlich eines Personenbezugs von Daten, weshalb sich ihre Vorgaben teils mit denen der Datenschutzgrundverordnung überschneiden. Das wirft Fragen hinsichtlich der Abgrenzung zueinander auf, die in diesem Beitrag untersucht werden soll.
E-Commerce
Der Geldwäscher in der Datensammlung
Sabine Kilgus
Sabine Kilgus
Cordula Niklaus
Cordula Niklaus
Caroline Walser Kessel
Caroline Walser Kessel
Das revidierte Datenschutzgesetz (DSG) und das mehrfach revidierte Geldwäschereigesetz (GwG) stehen in einem Spannungsfeld. Während unter dem GwG umfangreiche Daten von Kunden und hinter den Kunden stehenden wirtschaftlich berechtigten Personen erfasst und strukturiert werden müssen, ohne dass diese über alles informiert werden, sieht das DSG grundsätzlich Transparenz bezüglich der eigenen Daten und die Limitierung der Datenerfassung unter dem Gesichtspunkt der Zweckmässigkeit und Verhältnismässigkeit vor. Obwohl das GwG grosse Bereiche des DSG derogiert, sind Finanzintermediäre auch unter dem DSG gehalten, dessen Grundsätze einzuhalten und insbesondere die organisatorischen und sicherheitstechnischen Aspekte zu wahren. Dazu eröffnete das DSG die Möglichkeit, mittels Selbstregulierung der Branche, transparente Verhaltenskodices zu schaffen und durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten prüfen zu lassen.
Die rein virtuelle Hauptversammlung in Österreich
Stefan Szücs
Stefan Szücs
Christian Szücs
Christian Szücs
Eine Hauptversammlung, die an keinem physischen Ort mehr stattfindet, sondern ausschließlich im Cyberspace (sog. rein virtuelle Hauptversammlung) hat der österreichische Gesetzgeber angesichts der Corona-Pandemie mit dem COVID-19-GesG, BGBl I 2020/16, ermöglicht. Ursprünglich bis 31.12.2020 befristet, hat der österreichische Gesetzgeber das COVID-19-GesG wiederholt verlängert, zuletzt bis 30.06.2023. Die Veränderung der Corona-Pandemie (weitgehende Durchseuchung der Bevölkerung, Verfügbarkeit mehrerer Impfstoffe) und der veränderte Umgang mit der Pandemie (Vermeidung weiterer Lockdowns, In-die-Pflichtnahme der Bevölkerung im Sinne von mehr Eigenverantwortung, Tragen von Masken als effektiver Schutz vor Ansteckung) machen ein Auslaufen des COVID-19-GesG als pandemiebedingtem Sonderrecht absehbar. Somit stellt sich die Frage, ob es zu einer Rückkehr zum status quo ante und damit zur Unzulässigkeit der rein virtuellen Hauptversammlung kommen wird oder ob die rein virtuelle Hauptversammlung in Österreich – allenfalls unter strengen Voraussetzungen und mit im Vergleich zur virtuellen Hauptversammlung während der Corona-Pandemie spezifischen Modifikationen – ins Dauerrecht Eingang finden wird.
Aktuelle Rechtsaspekte des DNS
Michael Sonntag
Michael Sonntag
Im letzten Jahr gab es einige neue rechtliche Entwicklungen in Bezug auf Domainnamen bzw das DNS-System. So wurde durch die Entscheidung des OGH vom 29.3.2022, 4 Ob 44/22g, eine Prüfpflicht von Domain-Registrierungsstellen „eingeführt“ – analog zu Inhalten auf Webseiten, bei denen sich in den letzten Jahren eine reine Reaktionspflicht auf Meldungen zu einer gewissen Vorab-Prüfungspflicht zumindest nach Vorfällen hin änderte. Auch auf dem Gebiet der Sperren gibt es Neues – erstmals wurde nicht mehr nur ein bloßer ISP zu Domain-Sperren verpflichtet. Während Domaininhaber schon jetzt zumindest der Registrierungsstelle ihre Identität offenlegen müssen, wird dies mit der NIS2-RL explizit festgeschrieben – allerdings in weitgehend nutzloser Form.
Eine Internetseite, die nicht mehr hält, was der Gesetzgeber Verspricht: www.pflegedaheim.at
Christian Szücs
Christian Szücs
Stefan Szücs
Stefan Szücs
Das BPGG sieht in seinem § 33d vor, dass pflegebedürftige Personen und deren Angehörigen auf www.pflegedaheim.at zielgerichtete Auskünfte und Informationen zu Themen der Pflege und Betreuung zur Verfügung gestellt werden. Gibt man diese Adresse im Internet ein, so landet man gegenwärtig auf der Ministeriumshomepage inklusive entsprechender Information. Der dortige Hinweis auf die im Dezember 2021 neu geschaffene Informationsplattform pflege.gv.at ist für informationssuchenden Personen gewiss wichtig, entspricht gleichwohl nicht den Vorgaben des § 33d BPGG.
Certification of cloud computing services in the Czech Republic and in EU
Jakub Klodwig
Jakub Klodwig
The author provides an analysis of the legal regulation of cloud computing effective in the Czech Republic and its relationship to the certification of cloud computing services in the European Union. The article answers the question of how both legal regulations will co-applicate when EUCS will be finished. Although the Czech cloud computing regulation could be considered as the cloud computing certification scheme, it is argued why both legal regulations will be effective at the same time and how it will be possible to achieve one certification through the other.
Legislative pitfalls
Ondřej Woznica
Ondřej Woznica
The submission shall discuss general principles of good lawmaking and the role of RIA in employing modern economic theory and methodology by providing general background and case study of Article 17 DSM Directive implementation. The goal of submission is twofold. First, it shall, on an example of a case study, demonstrate the inadequacy of the Czech RIA application and observe possible improvements. Second, it shall employ the relevant theory of economic analysis of law to explain observed inadequacy and formulate general observations that would apply to RIA processes across various EU member states.
Cloud Computing and IT-Law
Sabine Prossnegg
Sabine Prossnegg
Johannes Feiner
Johannes Feiner
The outsourcing of IT services is a widespread trend. Cloud solutions offer advantages such as simple scalability, access, and an up-to-date service. Large US providers are unrivaled market leaders. But are these US companies really a good choice? Do the providers‘ terms hold what they promise? European authorities and courts are critical of this, and a brief survey through contract and data protection law makes it clear why. This paper shows the growing gap between legal requirements European companies have to adhere to while at the same time their negotiating power diminishes. We argue that European interests cannot be implemented without European providers or at least new solutions.
IP-Law
Gegendemonstration
Clemens Thiele
Clemens Thiele
In einer rezenten Entscheidung hat der Oberste Gerichtshof Österreichs (öOGH) festgehalten, dass die Veröffentlichung und vergütungsfreie Nutzung eines Werkes (hier: vorbestehendes Plakat des politischen Gegners durch Überkleben mit „Nie wieder Faschismus“ für den eigenen Gegendemonstrationsaufruf) als Zitat nach der Generalklausel des § 42f Abs. 1 öUrhG wegen der Ausübung des Grundrechts auf freie Meinungsäußerung gemäß Art. 10 EMRK gerechtfertigt sein kann, wobei eine einzelfallbezogene Interessenabwägung vorzunehmen ist. In einer politisch brisanten (aufgeheizten) Stimmung von Demonstration und Gegendemonstration zu Corona & Co hat der OGH auch die juristische Debatte zum Verhältnis zwischen Art. 10 EMRK (Art. 11 GRC) und der Zitatfreiheit neu befeuert. Nach den EuGH-Urteilen in den Rs Spiegel Online (C-516/17) und Funke Medien (C-516/17) bedarf es einer besonderen rechtsdogmatischen Begründung für diese verfassungsrechtliche Schranke des Urheberrechts. Der Beitrag versucht neben dem Problemaufriss eine erste ansatzweise Lösung und einen Blick auf „the road ahead“ aus rechtsvergleichender (dt. und öst.) Urheberrechtsperspektive, zumal die UrhG Nov 2021 in beiden Rechtsordnungen neben dem Zitat die positivrechtliche Verankerung von Parodie, Karikatur und Pastiche gebracht hat.
AI as a violator of patent rights: determining liability
Anna Didyk
Anna Didyk
Due to the quick technological progress the AI which is capable of autonomous decision-making is becoming more prevalent. As AI is now capable of self-learning, the legal system needs to address the questions previously not considered. One of such questions is the potential of self-learning AI to develop in such a way that it infringes on IPR, including potential patent infringement. This infringement does not have to be foreseeable by any human involved in the making and using the AI, therefore sometimes, there will be no human to provide compensation. Without any laws or standards in place applicable to AI directly, current liability rules need to be changed to address this challenge.
E-Procurement
Vergaberechtliche Methoden zur Umsetzung krisenbedingter Vertragsänderungen
Philipp Götzl
Philipp Götzl
Eine möglichste vergaberechtliche Flexibilität in der Krise bedeutet auch, einmal vergaberechtlich richtig abgeschlossene Verträge ausreichend anpassen zu können. § 365 BVergG 2018 legt nun fest, dass eine wesentliche Änderung eines Vertrages grundsätzlich ein neues Vergabeverfahren erforderlich macht. Diese Bestimmung gründet auf. Art. 72 der RL 2014/24/EU, der ein komplexes System möglicher Auftragserweiterungen ohne vergaberechtliche Ausschreibungspflicht iZm mit sog. „unwesentlichen“ Vertragsänderungen grundlegt. Diese Ausnahmebestimmungen sollen hier diskutiert sein und damit auch in praktischer Hinsicht analysiert werden, welche vergaberechtlichen Verfahren und welche besonderen Bestimmungen in der Krise zur Verfügung stehen, um die Anwendung von Vergaberecht gerade bei unwesentlichen Vertragsänderungen zu vereinfachen.
Robotics
New legal framework for AI-based facial recognition
Jonas Pfister
Jonas Pfister
Jessica Fleisch
Jessica Fleisch
Jakob Zanol
Jakob Zanol
In 2021 the European Commission proposed a new framework for Artificial Intelligence made in Europe. Within the consortium of the XAIface project, which aims to analyze the legal and ethical framework for AI-based Facial Recognition (FRT), the team at University at Vienna dissect the new proposals and demonstrates their implications for FRTs. The following article will examine selected provisions of the proposal for an AI-Act.
Security and Law
Unlawfully obtained evidence, cross-border law enforcement operations and borderless networks
Juhana Riekkinen
Juhana Riekkinen
In certain jurisdictions, national evidence law rules may prohibit the use of illegally or unlawfully gathered evidence in criminal proceedings, or at least give the court the possibility to exclude illegally gathered evidence under certain circumstances. However, when it comes to cross-border investigative measures in the global and borderless network environment, it may not always be clear what “unlawfully obtained” or “illegally obtained” actually means. This paper discusses the different possible meanings of illegality/unlawfulness in the context of such investigative operations. The discussion is based on the examples of Finnish law and case law pertaining to evidence derived from the supposedly secure ANOM messaging application, widely used by criminals, in the international law enforcement operation known as Operation Trojan Shield/Greenlight.
Multi party signatures and electronic evidence in criminal proceedings
Václav Stupka
Václav Stupka
Pavel Loutocký
Pavel Loutocký
Antonín Dufka
Antonín Dufka
Petr Švenda
Petr Švenda
This paper is devoted to a legal analysis of the possible use of multiparty threshold cryptographic protocols in the handling of electronic evidence in criminal proceedings. In contrast to standard digital signing, multiparty protocols require participation of more than one party to create resulting electronic signature. In the context of criminal proceedings, such signatures can be used to sign documents or data multilaterally to ensure confidentiality and reliability of the chain of custody, in procedural acts and in the transmission of documents. In this article, we describe the functioning of the technology and the technical limits of its use, analyse the nature of signatures generated by it from the perspective of EU law and the possibilities of using this technology in criminal proceedings, taking into account the specifics, practices and limitations of the Czech legal environment.
EU – US comparison of approaches to cybersecurity certification and standardization
Václav Stupka
Václav Stupka
Jakub Vostoupal
Jakub Vostoupal
Pavel Loutocký
Pavel Loutocký
The increasing dependence of the information society on the confidentiality, availability and integrity of information and communication systems is forcing countries to introduce regulations to protect key infrastructures and systems. One of the tools of this regulation is the standardization and certification of ICT products and services. This area has undergone dynamic development in recent years, both in terms of the method of regulation and the approach to defining security requirements. This paper compares approaches to cybersecurity standardization and certification in the US and the EU, particularly in the context of new and pending legislation in the EU in the form of the Cybersecurity Act and the forthcoming Cyber Resilience Act. The paper aims to identify the differences between these regimes and their compatibility from the perspectives of certification providers, vendors and users.
Rechtsvisualisierung IT-forensischer Prozesse
Thomas Hrdinka
Thomas Hrdinka
Die IT-Forensik ist eine sehr junge Wissenschaft. Demzufolge sind erst vor wenigen Jahren taugliche Werkzeuge, auch in Bezug auf forensische Prozesse, geschaffen worden. Die Fachliteratur ist auf technisch-organisatorische Methoden fokussiert, weniger auf die Prozesse, welche schließlich die jeweils im betroffenen Staat geltenden rechtlichen Normvorschriften abbilden müssten. Der Strafprozess nach österreichischem Recht beinhaltet auch Iterationen, sodass bspw. ein Rechtsmittelverfahren erneut zu Ermittlungen und einem zweiten Rechtsgang führen kann. Unter den Beteiligten können auch Sachverständige nach §§ 126, 127 StPO1 bestellt werden, was i.d.R. auch erfolgt, da vielfach „besonderes Fachwissen“ erforderlich ist. Das Vorgehen durch Sachverständige bei der Erhebung und Prüfung insb. strafrechtlicher Sachverhalte soll daher in visueller Form, beispielhaft für ein Strafverfahren dargestellt werden.