English (Aktiv: Deutsch)

Calendar

CCC veröffentlicht Formulierungshilfe für Digitales im neuen Regierungsprogramm

2021-10-06 13:38:34, erdgeist

Endlich ein solides Regierungsprogramm für unsere digitalisierte Welt, wer wünscht sich das nicht? Wir machen hiermit einen Vorschlag. Kürzer konnten wir es leider nicht hinbekommen, denn es hat sich ja einiges aufgestaut.

Um den zukünftigen Regierungsparteien die vor ihnen liegenden Aufgaben in den Bereichen Digitalisierung, IT-Sicherheit, Bürgerrechte und Verbraucherschutz im Netz zu vereinfachen, publiziert der Chaos Computer Club (CCC) eine Liste von richtungsweisenden Vorschlägen. Ein phantasieloses „Weiter so!“ bedeutet Stillstand und letztlich Rückschritt, gefragt sind jetzt mutige, nachhaltige Schritte in eine bessere Zukunft.

Momentan sieht es düster aus: In vielen Feldern wurden in den letzten Legislaturperioden statt sinnvollem technischen Fortschritt lieber plakative Buzzword-Projekte (etwa ePA, De-Mail, beA, ID Wallet) vorangetrieben, die nunmehr als Investitionsruinen mahnen. Ehrenamtliche Hilfsangebote wurden ignoriert oder durch fehlende Open-Data-Konzepte aktiv blockiert. Software-Patente, Uploadfilter und der Hacker-Paragraph führen dazu, dass viele Experten aus Wissenschaft, Industrie und Zivilgesellschaft keine Lust verspüren, dem Staat aus der Patsche zu helfen.

Seit Jahrzehnten wurde versäumt, eigene belastbare technische Kompetenzen in Bund und Ländern aufzubauen, um IT-Projekte managen, deren Sinnhaftigkeit überhaupt einschätzen und sie später selber betreiben zu können. Eine zeitgemäße Internetversorgung wurde durch überteuerte UMTS-Frequenzversteigerungen, fehlgeleitete Industrieförderung, die Duldung von Massenabmahn-Modellen und den jahrelang durch Inkompetenz und Korruption verursachten Stau beim Glasfaserausbau verhindert.

Im Bereich der Bildung verharrt Deutschland in der digitalen Steinzeit – sowohl bei der technischen Ausstattung, der Netzversorgung der Bildungseinrichtungen als auch beim personellen Unterstützen digitalisierter Bildungsmethoden.

Gegen die explizite Entscheidung des Bundesverfassungsgerichts torpedieren staatliche Stellen in Deutschland aktiv die Sicherheit der Endgeräte aller. Statt zukunftssicherer Hardware verstopft tonnenweise schon beim Verkauf abgekündigter und nie wieder aktualisierter Elektroschrott die Regale der Händler, dessen Weiterbetrieb neben den Wohnungen und privaten Daten der Nutzer auch die Verfügbarkeit und Sicherheit der eh schon wackeligen Netze gefährdet.

Die Liste der Baustellen und der zu ihrer Bewältigung nötigen Maßnahmen ist lang. Im Folgenden führt der CCC die dringlichsten Punkte auf. Die vollständige Liste der nötigen Maßnahmen in den Themenfeldern Infrastruktur, Bildung, Verwaltung, Urheberrecht, Überwachung, IT-Sicherheit, Nachhaltigkeit, Außenpolitik und Menschrechte bei automatisierten Entscheidungen folgt darunter.

  • Eine mit Bundesmitteln finanzierte langjährige Anstrengung zur Abschaffung des digitalen Analphabetentums in Schulen und Universitäten, Behörden und Ämtern, unter Politikern und Richtern. Technikkompetenz ist vermittelbar und muss wieder sexy werden.
  • Tatsächliche IT-Souveränität durch den Aufbau von Kompetenzen beim Bund und in den Ländern, um digitale Projekte evaluieren, deren Entwicklung begleiten und deren späteren Betrieb sicherstellen zu können, verbunden mit einer verpflichtenden Konsultation dieser Gremien schon vor der Projektvergabe.
  • Finanzierung für die stetige Förderung von Open-Source-Software-Infrastruktur (Erstellung, Audits und kontinuierliche Pflege), um eine sichere, wartbare digitale Infrastruktur zu schaffen, die Mindestanforderungen an Softwarequalität, IT-Sicherheit und energieeffizienter Programmierung genügt und deren Komponenten auch für die breitflächige Verwendung in der Industrie und Verwaltung geeignet sind.
  • Aufbau einer effektiven digitalen Verwaltung ohne Buzzword-Technologien, um die bürokratische Belastung von Bürgern und Firmen einzuhegen und auch Ämter und Behörden zu entlasten.
  • Verpflichtende Bereitstellung von Ergebnissen öffentlicher IT-Aufträge und -Forschung unter anderem durch das Prinzip „Public money, public code“ im Sinne einer grundsätzlichen Gemeinfreiheit der Ergebnisse steuerfinanzierter Forschung und Projekte.
  • Abschaffen des Hacker-Paragraphen und der Vorratsdatenspeicherung, Verbot der Entwicklung bzw. des Erwerbs offensiver Cyber-Werkzeuge durch den Staat zugunsten einer Verpflichtung zu einer defensiven Cyber-Außenpolitik.
  • Ein klares Bekenntnis zur Kryptographiefreiheit: Abkehr von Krypto-Verboten und der strategischen Schwächung kryptographischer Systeme. Dies ist nicht nur inhaltlich geboten, sondern auch eine dringend notwendige vertrauensbildende Maßnahme, um die in Deutschland reichlich vorhandene IT-Expertise für den Staat wieder zugänglich zu machen.
  • Einführung eines Verursacherprinzips bei IT-Sicherheitsproblemen, deren Kosten bisher durch die Hersteller externalisiert wurden: Haftung bei unkorrigierten oder gehäuften IT-Sicherheitsproblemen inklusive einer Versicherungspflicht, zwingender Angabe eines Verfallsdatums und einer minimalen Betriebsgarantie aller für die Funktion notwendigen Softwarekomponenten auf den Geräten und eventueller Backends.
  • Eine glaubhafte Nachhaltigkeitsinitiative inklusive Recht auf Reparatur, Endgerätefreiheit, die Entschärfung der „Radio Equipment Directive“, um ein Upcycling funkender Geräte mittels Open-Source-Software zu ermöglichen, eine Finanzierung von Grundlagenforschung im Bereich offener Hardware mit energieeffizienten Designs.
  • Betrieb hochautomatisierter Systeme, deren autonome Entscheidungen die Grundrechte von Menschen berühren, muss durch eine Datenethikkommission untersucht und genehmigt werden. Die Tötung von Menschen durch autonome Systeme ist in jedem Fall zu untersagen. Grundsätzlich muss es ein Recht auf Entscheidungen durch Menschen geben.

Der CCC hofft, dass sich die neue Regierung ihrer Verantwortung bewusst wird, die Fehlentwicklungen und Versäumnisse der letzten Jahre zügig anzugehen und mit einem umfangreichen Programm für nachhaltige, die Bürger- und Menschenrechte respektierende Digitalisierung den Weg in eine bessere Zukunft beschreitet.


Die nötigen Maßnahmen in den Themenfeldern Infrastruktur, Bildung, Verwaltung, Urheberrecht, Überwachung, IT-Sicherheit, Nachhaltigkeit, Außenpolitik, Tracking und Menschenrechte bei automatisierten Entscheidungen:

Infrastruktur

  • Finanzierung einer großzügig ausgestatteten Bundesstiftung für die Initiierung und stetige Förderung von Open-Source-Software-Infrastruktur (Erstellung, Audits und kontinuierliche Pflege), um eine sichere, wartbare digitale Infrastruktur zu schaffen, die Mindestanforderungen an Softwarequalität, IT-Sicherheit und energieeffizienter Programmierung genügt und deren Komponenten auch für die breitflächige Verwendung in der Industrie und Verwaltung geeignet sind.
  • Frequenzversteigerungen abschaffen. Leidtragende sind die Kunden und die Geschwindigkeit des Netzausbaus. Frequenzvergaben müssen primär an Bedingungen wie diskriminierungsfreiem Zugang und Flächendeckung geknüpft werden. Es sind Modelle für Standort-Sharing und nationales Roaming zu entwickeln, um mit weniger Aufwand schneller flächendeckende Netzversorgung bereitzustellen.
  • Korrektur der Anreize beim Breitband-Ausbau. Wer eine Trasse für Glasfaser legt, muss Andere auch Glasfaser in diese Trasse legen lassen. Die Kosten werden so verteilt, dass der Errichter deutlich weniger des Kostenanteils tragen muss als andere Interessenten. So wird das Schaffen von Infrastruktur belohnt und nicht Aussitzen und Trittbrettfahren.
  • Aufbau bzw. Förderung von einem Open-Access-Glasfasernetz zum Endkunden. Es ist Zeit für ein reguliertes und offenes Glasfasernetz.

Bildung

  • Bereitstellung von kontinuierlichen Bundesmitteln für jede einzelne Schule und Bildungseinrichtung, um diese mit breitbandigem Internet und zeitgemäßer Netzwerk-und Computertechnik zu versorgen, sowie für angemessene Budgets für die Ausbildung und Bezahlung von IT-Systemadministratoren, zudem Fortbildung des Lehrkörpers.
  • Bundesfinanzierung von freiem offenen Bildungsmaterial zum Thema IT-Sicherheit und energiesparende Programmierung für Ausbildung, Fachhochschulen und Universitäten. Niemand, der später eventuell in seinem Beruf programmieren muss, soll ohne Grundlagen der IT-Sicherheit und energieeffizienter Programmierung seine Ausbildung abschließen. Zusätzlich dazu müssen fortwährende Fortbildungsangebote in der IT für Politiker, Verwaltungsmitarbeitende, Lehrpersonal, Richter etc. bereitgestellt werden.

Verwaltung

  • Public Money, Public Code: Jegliche von der öffentlichen Hand finanzierte Software muss quelloffen sein und aktuellen Sicherheitsstandards genügen.
  • Vermeidung von Hersteller-Abhängigkeiten. Die Beschaffung von Software für die öffentliche Verwaltung muss grundsätzlich ohne langfristige Abhängigkeiten von Oligopol-Herstellern und deren Cloud-Systemen erfolgen.
  • Von öffentlichen Einrichtungen in Auftrag gegebene oder mit Steuergeldern (mit-)finanzierte Studien dürfen nicht unter Verschluss gehalten werden, sondern sind unverzüglich zu veröffentlichen. Sie fallen als Verwaltungsdokumente nicht unter den Urheberschutz. Ein bundesweites Transparenzgesetz nach dem Vorbild der erfolgreichsten Ländergesetze ist nötig.
  • Mit Steuergeldern finanzierte Forschungsergebnisse sind automatisch gemeinfrei und müssen kostenlos und barrierefrei veröffentlicht werden. Dies beinhaltet auch etwaige Rohdaten wie zum Beispiel Bildmaterialien. Patente auf mit Steuergeldern finanzierter Forschung sind unzulässig.
  • Aufbau von Projektmanagement-Kompetenzen in Bund und Ländern für digitale Klein- und Großprojekte. Ein wesentlicher Grund für das fortgesetzte Scheitern staatlicher Digital-Projekte ist der eklatante Mangel an Kompetenzen für das zeitgemäße Management solcher Projekte – sowohl In-House als auch beim Outsourcing oder Beauftragungen. Dieser Mangel muss durch langfristig verstetigte Aus- und Fortbildungsprogramme und attraktive Arbeitsbedingungen für kompetentes Personal abgestellt werden, das Projekte auch schon in der Planungsphase evaluieren kann – und muss. Darauf aufbauend kann der schleunige Aufbau einer digitalen Verwaltung auf Basis langfristig betreib- und wartbarer Software realisiert werden.
  • Open-Data-Parlament und gläserne Regierung. Informationen über das Parlament und seine Abläufe sollen wo möglich digital, maschinenlesbar und zentral an einer Stelle als Open Data veröffentlicht werden. Gesetzestexte, Verwaltungsvorschriften und Standards/Normen müssen maschinenlesbar und frei verfügbar sein, idealerweise in einem Versionsmanagementsystem und auf Widerspruchsfreiheit geprüft. Gesetzesentwürfe sind in einem Versions-Management-System zu entwickeln, so dass nachvollzogen werden kann, wer wann welche Änderung unter Zuhilfenahme welcher Formulierungshilfen vorgenommen hat.

Urheberrechte und Patente

  • Grundlegende Neuordnung des Urheberrechts für das Internet-Zeitalter mit dem Ziel der Beendigung der drastisch einseitigen Bevorteilung der Verwerter, einfacher und risikofreier Verwendbarkeit für Bildung und Lehre, tatsächliche und nachhaltige Beendigung der Verfolgung von nichtkommerziellen Filesharing-Usern.
  • Abschaffen von Uploadfiltern, dazu Druck auf EU-Ebene aufbauen: Die Verschärfung des Urheberrechts bedroht eine komplette Kultur, die auf dem Zitieren, Kommentieren und Referenzieren urheberrechtlich geschützten Materials aufbaut. Es ist illusorisch zu glauben, ein automatisiertes Verfahren könne zuverlässig etwa zwischen einem Mem und einer unzulässigen Kopie unterscheiden. Darüber hinaus lassen sich Filter jederzeit an weitere Begehrlichkeiten anpassen und für Zensur missbrauchen.
  • Softwarepatente (Algorithmen und mathematische Modelle) und Patente auf DNA-Sequenzen müssen unzulässig werden, um eine dynamische Entwicklung zu erreichen, ohne kleinen und mittelständischen Unternehmen durch die Patentmühlen der Großkonzerne auszusperren.

Überwachung

  • Verbot biometrischer Überwachung im öffentlichen Raum. Die Verwendung von Systemen zur biometrischen Überwachung muss im öffentlichen Raum grundsätzlich und ausnahmslos untersagt sein.
  • Abschied von der Vorratsdatenspeicherung: Die Vorratsdatenspeicherung hat sich als weitgehend ungeeignet herausgestellt und wurde immer wieder von Höchstgerichten wegen des unverhältnismäßigen Grundrechtseingriffs gekippt. Statt gebetsmühlenartig bei jeder sich bietenden Gelegenheit für die Einführung einer weitgehend unwirksamen und verfassungsrechtlich bedenklichen Methode zu plädieren, sollte von weiteren Bestrebungen in dieser Richtung endgültig Abstand genommen werden. Die Vorratsdatenspeicherung ist und bleibt ein zivilisatorischer Rückschritt und wird eine gefährliche Vorbildwirkung entfalten, die es zu verhindern gilt.
  • Abschied von Kryptoverboten: Wer Verschlüsselung kriminalisiert, sorgt dafür, dass nur noch Kriminelle Verschlüsselung nutzen. Der Versuch, diese Technik künstlich zu schwächen oder Zweitschlüssel hinterlegen zu lassen, hebelt die Sicherheit Millionen gesetzestreuer Menschen aus, während Kriminelle weiterhin starke Verschlüsselung nutzen. Künftige Regierungen sollten sich für die Stärkung von Verschlüsselung und damit die Erhöhung der weltweiten IT-Sicherheit einsetzen. Formelle oder informelle Verpflichtungen von Betreibern von Systemen zur Aushebelung von Verschlüsselung dürfen grundsätzlich nicht stattfinden.
  • Beachtung der Überwachungsgesamtrechnung. Die vom Bundesverfassungsgericht mehrfach angemahnte Beachtung der Gesamtheit der Überwachungsmaßnahmen und Datenerfassung muss Eingang in die konkrete Rechtssprechung finden.

IT-Sicherheit

  • Es bedarf einer grundlegenden Erhebung des Zustands von IT-Systemen in kritischen Infrastrukturen. Darauf aufbauend muss ein konkreter und zeitnaher Plan zum Beheben der vorgefundenen Probleme und Schwachstellen entwickelt und umgesetzt werden
  • Unabhängiges BSI: Solange das BSI dem Innenministerium untersteht, kann es seinem Auftrag wegen konträrer Interessen nicht kompromisslos gerecht werden. Wenn das BSI nicht vollständig von allen Aufgaben und Abhängigkeiten im Bereich der inneren Sicherheit befreit wird, kann es keine vertrauenswürdige Instanz, z. B. für die Bearbeitung von gemeldeten Sicherheitslücken oder Überprüfungen von Software sein.
  • Der Staat und seine Organe müssen alle IT-Sicherheitslücken, die ihm bekannt werden, sofort den Herstellern melden und unmittelbar zu ihrer zeitnahen Schließung beitragen.
  • Verbot der Verwendung von Bundesmitteln zur Beschaffung von Angriffswerkzeugen (Staatstrojaner) durch Sicherheitsbehörden.
  • Entkriminalisierung von IT-Sicherheitsforschung: Abschaffen des Hackerparagraphen § 202c StGB
  • Wer IT-Sicherheitslücken aufdeckt und veröffentlicht, bleibt grundsätzlich straffrei, selbst wenn die Aufdeckung in Form eines Proof-of-Concept-Exploits passiert. Zur Inanspruchnahme dieser Regelung genügt die gleichzeitige Meldung der Sicherheitslücke an das BSI oder eine andere geeignete Stelle.
  • Produkthaftung für Softwareentwicklung. Hersteller von softwarebasierten Systemen dürfen nicht länger de facto von Haftung für die Qualität und Funktionsfähigkeit ihrer Produkte ausgenommen sein.
  • Herstellerhaftung für das Verschleppen der Behebung von IT-Sicherheitslücken: Nach einer kurzen Frist haftet der Hersteller für Schäden, solange kein Patch verfügbar ist.
  • Wer verfügbare Security-Patches nicht einspielt, haftet für Schäden, die dadurch verursacht werden. Schäden gegenüber Dritten müssen erstattet werden. Dafür ist eine Trennung von Security- und Funktionsupdates notwendig.
  • Hersteller von notorisch unsicherer Software müssen von der Beschaffung durch den Bund ausgeschlossen werden. Kein weiterer Einkauf von Komponenten aus öffentlicher Hand bei Herstellern, die keine adäquate IT-Sicherheitskultur pflegen.
  • Software, die im Umfeld gesellschaftlich kritischer Vorgänge Verwendung findet (z. B. Software zur Auszählung von Wahlstimmen), bedarf einer expliziten Freigabe nach Audit durch das BSI und muss grundsätzlich quelloffen sein.

Nachhaltigkeit

Ein Weg zu mehr Nachhaltigkeit ist es, die effektive Nutzbarkeitsdauer von Computern und Geräten zu verlängern und den Energieverbrauch von Digitalgeräten und -Infrastruktur zu senken. Daher sind folgende Maßnahmen nötig:

  • Langfristig angelegte Förderung der Entwicklung von offener Hardware mit energieeffizienten Designs (z. B. RISC-V-CPUs, Elektronik, Software-Treiberinfrastruktur) durch dauerhaft angelegte Programme mit dem Ziel einer Fertigung in Europa.
  • Grundlagenforschung und Förderung der Aus- und Weiterbildung im Bereich energieeffizientes und sicheres Programmieren.
  • Verpflichtung von Herstellern von vernetzten Geräten zur Trennung von Sicherheits- und Funktions-Updates, um die Update-Bereitschaft zu erhöhen.
  • Verpflichtung von Herstellern, Geräte mit Zugang zum Internet nur mit einer klar deklarierten Lebens- und Support-Dauer zu verkaufen, bei Verstößen Rückgaberecht.
  • Verpflichtung zur Veröffentlichung von Firmwares und zwingend benötigter Netzwerkkomponenten als Open Source nach Ende der Pflege durch die Hersteller von Hardware, um Weiterbetrieb und die Sicherheit der Hardware auch nach Abschalten von Diensten zu ermöglichen (Hardwareschrottvermeidung).
  • Recht auf Reparatur und Recht am Basteln am eigenen Gerät. Dazu gehört: Hersteller dürfen nicht Ersatzteile zurückhalten oder durch Verträge mit Zulieferern künstlich verknappen oder ein Angebot verhindern. Für Geräte, von denen noch mindestens 10% der verkauften Exemplare in Benutzung sind, müssen die Hersteller Ersatzteile anbieten, damit sie repariert werden können.
  • Hersteller dürfen für ihre Produkte (auch für digitale Güter) nicht den Wiederverkauf etwa durch Accountbindung einschränken.
  • Richtlinie 2014/53/EU: Verbot von Open-Source-Software in funkenden Geräten abschaffen, 3.3i streichen.
  • Hersteller müssen für ihre Produkte Security Patches bereitstellen. Die Laufzeit der Bereitstellung muss dem Doppelten der erwarteten Lebensdauer des Produktes durch den Kunden entsprechen (damit der Wiederverkauf nicht beeinträchtigt wird). Hersteller dürfen für diese Updates weder Geld noch Hürden wie das Erstellen eines Accounts verlangen.

Außenpolitik

  • Verpflichtung zu einer defensiven Cyber-Außenpolitik. Deutschland muss eine Vorreiter-Rolle bei der Etablierung eines internationalen Systems des multilateralen Verzichts auf offensive Cyber-Operationen einnehmen. Abschreckung durch den Aufbau von Offensiv-Kapazitäten funktioniert nicht, wie die letzten Jahre deutlich demonstriert haben. Wenn die Welt nicht in einem fortwährenden Jeder-gegen-jeden-Cyberkonflikt versinken soll, müssen Wege gefunden und etabliert werden, die auf vertrauensbildenden Maßnahmen und Abkommen kombiniert mit dem langfristigen Aufbau angriffsresistenter Infrastrukturen beruhen. Deutschland ist gut positioniert, um hier eine Vorreiterrolle zu übernehmen.

Tracking

  • Recht auf Anonymität etablieren. Anonymität ist ein wichtiges Gut, sowohl in der realen Welt als auch im Internet. Für die politische Willensbildung ist es wichtig, dass Bürger sich informieren und diskutieren können, ohne sich beobachtet oder verfolgt zu fühlen. Authentizität im Internet darf nicht zu Lasten der Anonymität gehen und nicht durch erkennungsdienstliche Behandlung erkauft werden. Betreiber anonymer Kommunikationsmöglichkeiten wie etwa Tor oder VPNs dürfen nicht weiter Verfolgung und Repressalien ausgesetzt werden. Dazu muss eindeutig gesetzlich geklärt werden, dass sie grundsätzlich nicht für über ihre Dienste getätigte Äußerungen belangt werden dürfen.
  • Profilbildung über Menschen verhindern. Im Internet verbreitete Daten lassen das Erstellen umfangreicher Persönlichkeitsprofile zu. Sie müssen daher stark geschützt werden. Dies betrifft sowohl die Nutz- als auch die Bewegungsdaten. Die Zusammenführung von Daten ermöglicht zusätzliche Einblicke in die Privatsphäre der Bürger. Daher soll datenschutzrechtlich dafür gesorgt werden, dass aus dem legalen Zugriff auf mehrere Datenquellen nicht das Recht auf Zusammenführung der Daten folgt.
  • Datenverschlüsselung als Mittel zum informationellen Selbstschutz ist ein Grundrecht und darf nicht beschnitten werden. Dazu gehört auch, dass niemand gezwungen werden kann, seine Passwörter oder Schlüssel offenzulegen.
  • Webseitenbetreiber dürfen Benutzer nicht zum Anlegen eines Accounts nötigen, um damit ein Trackingverbot via Cookies zu umgehen. Wenn Benutzer einen Account anlegen, dürfen Betreiber nicht über die Account-Anmeldung tracken, was der Benutzer tut, außer in dem für eine Abrechnung nötigen Umfang. Diese so erhobenen Daten dürfen nicht für Tracking oder Werbe-Targeting verwendet werden.
  • Webseiten dürfen nicht die Einwilligung zu Cookie- oder anderem Tracking zur Voraussetzung für den lesenden Zugriff auf ihre Daten machen oder diese mit unlauteren Mitteln erzwingen bzw. herbeiführen (Bsp: Pur-Abos, Dark-Patterns). Wenn der Zugriff mit kostenlosem Account möglich ist, muss er auch kostenlos ohne Account oder Tracking möglich sein.

Menschenrechte bei automatisierten Entscheidungen (vgl. Art. 22 DSGVO)

  • Der Betrieb hochautomatisierter Systeme, deren autonome Entscheidungen die Grundrechte von Menschen berühren, muss durch eine Datenethikkommission untersucht und genehmigt werden. Die Tötung von Menschen durch autonome Systeme ist in jedem Fall zu untersagen. Grundsätzlich muss es immer ein Recht auf Entscheidungen durch Menschen geben.
  • Bürger, die von Entscheidungen betroffen sind, die auf Basis von Methoden des maschinellen Lernens getroffen wurden, haben ein Anrecht auf Einblick in die zugrundeliegenden Daten, die vom Hersteller bzw. Betreiber intendierten Zielsetzungen, Optimierungs- und Trainingsparameter und den daraus abgeleiteten Modellen. Sie haben zudem ein Anrecht auf eine nachvollziehbare Erklärung des Entscheidungsvorgangs. Die Beweislast im Streitfall liegt grundsätzlich beim Betreiber des KI-Systems.