Cybersicherheit von Gehirn-Computer-Schnittstellen

Zusammenfassung

Gehirn-Computer-Schnittstellen beflügeln die Hoffnung auf übermenschliche Kräfte: Sie versetzen Nutzer in die Lage, Prothesen und sonstige Geräte allein mit ihren Gedanken zu steuern. Je weiter die Entwicklung der neuen Technologie voranschreitet und in marktfähige Produkte mündet, desto sichtbarer rücken auch potenzielle Sicherheitsrisiken in den Fokus. Denn Angriffe auf Gehirn-Computer-Schnittstellen können neurologische Daten erspähen oder Gehirnaktivitäten manipulieren und dadurch verheerende Schäden verursachen. Der Beitrag geht der Frage auf den Grund, wie die Rechtsordnung den Risiken eines Angriffs auf Gehirn-Computer-Schnittstellen bislang begegnet – und wie sie ihnen künftig begegnen sollte.

Abstract

Brain-computer interfaces inspire visions of superhuman powers, enabling users to control protheses and other devices solely with their thoughts. But the rapid development and commercialization of this technology also brings security risks. Attacks on brain-computer interfaces may cause harrowing consequences for users, from eavesdropping on neurological data to manipulating brain activity. At present, data protection law, the regulation of medical devices, and the new rules on the sale of goods with digital elements all govern aspects of cybersecurity. There are, nevertheless, significant gaps. The article analyzes how the legal system currently addresses the risks of cyberattacks on brain–computer interfaces—and how policymakers could address such risks in the future.

1 Gehirn-Computer-Schnittstellen auf dem Weg vom Medizinlabor in die Anwendungspraxis

Im Jahr 2077 könnten Gehirn-Computer-Schnittstellen¹ so allgegenwärtig sein wie heute Smartphones: Wer seine kognitiven Fähigkeiten erweitern, Computersysteme mit Gedanken ansteuern und Prothesen intuitiv wie eigene Körperteile bewegen möchte, nimmt die Hilfe von „Cyberware“ in Anspruch. Dieses dystopisch anmutende Szenario malt jedenfalls das Computerspiel Cyberpunk 2077 an die Leinwand der Zukunft:² Als Bewohner der Metropole Night City kann sich jeder mit einem Neuroimplantat im Frontalkortex und einem Cyberdeck ausstatten.³ Die Spieler sind dadurch in der Lage, sog. „Quickhacks“ auszuführen: Diese infiltrieren gegnerische Netzwerke, um alle Personen und Geräte ausfindig machen, die damit verbunden sind. Das Arsenal der neuronalen Angriffe geht so weit, einem Gegner aus der Distanz Stromschläge zu versetzen, die Steuerung seiner Prothesen zu deaktivieren oder ihn gar zum „Selbstmord“ zu treiben.⁴

So futuristisch sich die virtuellen Welten in Cyberpunk 2077 auch präsentieren: Hinter der Technologie der Gehirn-Computer-Schnittstellen steht mehr als nur Science-Fiction. Bislang kommen sie primär als Medizinprodukte oder in der Forschung zum Einsatz – insbesondere um körperlich eingeschränkten Menschen (z. B. Paraplegiker)⁵ durch Sprachcomputer oder Prothesen [1, S. 112 ff., 189 ff.]⁶ Rehabilitationsleistungen zu erschließen. Unterdessen strömen auch die ersten Verbraucherprodukte auf den Markt.⁷ Als Teil der „Quantified Self“-Bewegung⁸ sind bspw. Kopfhörer verfügbar, die den Stress- oder Konzentrationslevel messen.⁹ EEG-basierte Schnittstellen ermöglichen es auch, Computerspiele zu steuern;¹⁰ pro futuro können sie gar die Spielerfahrung den emotionalen Reaktionen des Spielers anpassen [11, 12].

Es finden sich auch Schnittstellen, die Arbeitnehmer im Bereich der Arbeitssicherheit¹¹ und des Gesundheitsschutzes („Workplace Wellness, Safety & Productivity“¹²) unterstützen sollen. Optisch lassen sich die Geräte kaum von einem handelsüblichen Headset unterscheiden. Es entwickelt sich ein Milliardenmarkt mit erheblichem Wachstumspotenzial [15].

Neuere Varianten von Schnittstellen können nicht nur die neurologischen Signale der Nutzer auswerten, sondern auch gezielt Gehirnnerven stimulieren.¹³ Zudem lassen sich die individuellen Gehirnaktivitätsmuster jedes Menschen – wie Fingerabdrücke – als Authentifizierungsinstrument einsetzen [17]. Auch interaktive Kunstprojekte, wie dasjenige des Künstlers Yehuda Duenyas, integrieren die neue Technik in ihr kreatives Instrumentarium: „The Ascent“ ermöglicht es Personen, in einem Klettergurt zu schweben und sich – basierend auf ihren Gehirnsignalen – auf und ab zu bewegen [18].

Die Forschung bringt derweil immer beeindruckendere Entwicklungen der Neurotechnologie hervor. So hat anlässlich der Fußball-WM 2014 in Brasilien ein Querschnittsgelähmter via Gehirn-Computer-Schnittstelle ein Exoskelett gesteuert und damit symbolisch den Anstoß ausgeführt [19]. Auch Menschen mit einer Querschnittslähmung, die alle vier Gliedmaßen betrifft (Tetraplegiker), treten unterdessen mit Gehirn-Computer-Schnittstellen im virtuellen „Cybathlon“ gegeneinander an [20]. Besonders medienwirksam hat Elon Musk mit seinem Unternehmen Neuralink der Welt demonstriert, was alsbald Realität sein könnte: Es lässt Affen mithilfe ihrer Neuroimplantate „MindPong“ spielen – mit dem erklärten Ziel, das Modell einer Fernsteuerung durch Denkleistung auf den Einsatz am Menschen zu übertragen [21].

Schenkt man der Trendforschung Glauben, gilt für Gehirn-Computer-Schnittstellen: „The sky is the limit“. Künftig könnten Astronauten mit ihrer Hilfe Roboterarme bei Reparaturen verwenden, ohne einen Außenbordeinsatz durchführen zu müssen.¹⁴ Auch Smart-Home-Systeme oder gar humanoide Roboter lassen sich in Zukunft womöglich mit dem Gehirn steuern [1, S. 245 ff.]: Dann reicht ein Gedankenbefehl, damit der Hausroboter eine Pizza in den Ofen schiebt und im Arbeitszimmer serviert.

Das Ende der Fahnenstange ist aber auch damit noch nicht erreicht: Technik-Auguren spekulieren unterdessen darauf, dass Gehirn-Computer-Schnittstellen als Teil eines Cognitive Enhancement eine Art Mensch 2.0 hervorbringen oder die nächsten Generationen gar zu Cyborgs [23, S. 492 ff.; 24, S. 828 f.] mutieren lassen könnten: Eine Schnittstelle kann die menschlichen kognitiven Fähigkeiten in bislang unbekannte Höhen schrauben, z. B. das Gedächtnis optimieren oder Informationen direkt aus dem Internet als globaler Wissensbibliothek herauslesen und in „Denkprozesse“ einspeisen [1, S. 262 f.]. Transhumanisten träumen sogar davon, dass Menschen dank Neuroimplantaten mit Computern verschmelzen.¹⁵ Neuroimplantate koppeln sich dann mit einem KI-System, um rechenintensive Aufgaben auszulagern [25, S. 72 f.; 26, S. 192]. Ebenso scheint die Vision am Horizont auf, dass Nanoroboter biologische neuronale Netze durch synthetische ersetzen und dadurch neue Verbindungen und Netzwerke bilden, welche drahtlos mit anderen (Gehirnen) kommunizieren könnten.¹⁶ Die Grenze zwischen technisch Möglichem und einer Extrapolation falscher Annahmen über den menschlichen Geist verschwimmt dabei aber zuweilen [30, S. 32].

1.1 Erscheinungsformen von Gehirn-Computer-Schnittstellen

1.1.1 Technische Funktionsweise

So vielseitig die Funktionen und Einsatzgebiete der Technologie auch sind, so sehr folgen Gehirn-Computer-Schnittstellen einem einfachen technischen Bauprinzip: Sie verbinden das Gehirn mit einem Computer, z. B. mit einer mikroprozessorgesteuerten Prothese.¹⁷ Das zwischengeschaltete Kommunikationssystem erkennt die elektrophysiologischen Signale des Gehirns und übersetzt sie in Handlungsbefehle.

Da die Gehirnaktivitäten jedes Menschen individuell sind, muss das System die Signalmuster des Einzelnen in einem ersten Schritt lesen lernen.¹⁸ Seine Kernkomponente bildet daher die Software, die Gehirnsignale verarbeitet und dekodiert. Hinzu treten Apps, die z. B. neurologische Daten anzeigen und analysieren oder ihrem Nutzer Spiele anbieten.¹⁹

Die Handlungsmuster und -richtungen der Schnittstellen lassen sich im Grundsatz drei Gruppen zuordnen: passiven (a), aktiven (b) und stimulierenden (c) Schnittstellen.

a) Passive Schnittstellen

Passive Gehirn-Computer-Schnittstellen beschränken sich darauf, Gehirnaktivitäten zu messen,²⁰ um sie anschließend einem Verhalten, mentalen Zustand oder der kognitiven Bewältigung einer Aufgabe zuzuordnen [2, S. 782].²¹ Sie stehen vor der technischen Herkulesaufgabe, die Gehirnaktivitäten zu dekodieren und zu klassifizieren. Das System korreliert dafür gemessene neuronale Signalmuster mit einer Aktivität (z. B. dem Heben des linken Arms) oder mit einem neuronalen Zustand (bspw. Anzeichen eines epileptischen Anfalls, Stress oder Depressionen).²²

b) Aktive Schnittstellen

Aktive Gehirn-Computer-Schnittstellen können Gehirnaktivitäten nicht nur analysieren, sondern auch eine Aktion in der Außenwelt auslösen. Sie sind etwa dazu in der Lage, eine Prothese am Körper einer Person zu bewegen oder eine Mitteilung durch einen Sprachcomputer auszugeben [37]. Dafür muss der Nutzer ein spezifisches Gehirnaktivitätsmuster kognitiv (durch „Denken“) herbeiführen. Die aktive Schnittstelle dekodiert dieses (wie eine passive Gehirn-Computer-Schnittstelle) und löst darauf aufbauend den gewünschten Vorgang (z. B. eine Armbewegung) aus.

c) Stimulierende Schnittstellen

Anders als aktive erzeugen simulierende Gehirn-Computer-Schnittstellen elektrische Impulse „nach innen“, um bestimmte Gehirnareale – und dadurch spezifische Gehirnaktivitäten – zu beeinflussen, etwa mit dem Ziel, Muskelzittern (Tremores) bei der Parkinson-Krankheit oder Anfällen bei Epilepsiepatienten vorzubeugen [1, S. 210 ff.; 2, S. 806 ff.; 38, v. a. S. 361 f.].²³ Ähnlich wie aktive Gehirn-Computer-Schnittstellen induzieren auch hier spezifische neurologische Signalmuster diese Impulse. Ein Hauptanwendungsfall ist die sog. Deep Brain Stimulation: Sie versetzt dem Gehirn – ähnlich wie ein Herzschrittmacher – elektrische Impulse und lindert dadurch die Symptome mancher Krankheiten, wie Parkinson, Epilepsie oder Depressionen [1, S. 216 f.; 40].²⁴

Bidirektionale Gehirn-Computer-Schnittstellen gehen noch einen Schritt weiter, indem sie die Fähigkeiten aktiver und stimulierender Gehirn-Computer-Schnittstellen kombinieren: Sie stimulieren den Nutzer, um ihm eine Rückmeldung zu einer Aktion zu geben, die er mithilfe einer aktiven Gehirn-Computer-Schnittstelle ausgelöst hat [2, S. 809 f.]. So kann eine bidirektionale Schnittstelle bei einer Person, die eine Handprothese nutzt, taktile Empfindungen ersetzen und dadurch den Tastsinn simulieren [1, S. 221 ff.]. Der Nutzer kann fühlen, dass er etwas in der Hand hält und das Gewicht des Gegenstandes einschätzen [41].²⁵ Das versetzt ihn in die Lage, seine Prothese intuitiv und mit präziser Feinmotorik zu steuern.

1.1.2 Nichtinvasive Methoden versus Neuroimplantate – verbesserte Reha oder Mensch 2.0?

Um eine Gehirn-Computer-Schnittstelle zu nutzen, ist es nicht zwingend notwendig, operativ in das menschliche Gehirn einzugreifen. Auch nichtinvasive Methoden, wie z. B. die Elektroenzephalographie (EEG), können Gehirnsignale über die Schädeldecke messen [1, S. 177 ff.; 2, S. 804].²⁶ Eine erwünschte Stimulierung lässt sich ebenfalls von außen durch den Schädel hindurch ins Werk setzen, bspw. mittels transkranieller Magnetstimulierung²⁷ oder Gleichstromstimulation.²⁸

In Zukunft werden aber voraussichtlich Neuroimplantate – als invasivste Form der Schnittstelle – das Bild prägen. Sie bestehen aus zwei Komponenten: Mikroelektroden, die in das Gehirn eingeführt werden, und einem Neurochip [1, S. 35 f.], der am Schädel angebracht ist. Dessen Aufgabe ist es, die neurologischen Signale aufzunehmen und (vor) zu verarbeiten; bei Deep Brain Stimulation generiert er das Muster der elektrischen Impulse, die dann die Mikroelektroden abgeben [45, S. 5]. Er kann auch mit anderen Geräten kommunizieren – etwa mit einer Armprothese, die Gehirnaktivitätsmuster in die Außenwelt transformiert, oder einem Computer, der die neurologischen Daten analysiert und speichert.²⁹

Den Reigen der technischen Möglichkeiten, um organische Denk- mit elektronischen Rechenprozessen zu verbinden, erweitern zahlreiche hochexperimentelle Innovationen aus den Forschungslaboren. So tüfteln Wissenschaftler z. B. an Mikrosensoren, die via Ultraschall neurologische Daten übertragen (sog. Neural Dust [2, S. 790; 47]) oder „Brain-to-Brain-Interfaces“, mit deren Hilfe sich mehrere Nutzer verbinden und so miteinander kooperieren können.³⁰

1.2 IT-Sicherheit von Gehirn-Computer-Schnittstellen

Hippokrates hat einmal pointiert: „Die Menschen sollten wissen, dass aus nichts anderem als dem Gehirn Freuden, Wonnen, Gelächter, Spott sowie Kummer, Leid, Verzweiflung und Wehklagen hervorkommen“, (zitiert nach [32, S. 4]). Zu Beginn des 21. Jahrhunderts liest sich die Aussage wie eine prophetische Warnung an potenzielle Nutzer einer Gehirn-Computer-Schnittstelle. Denn so segensreich das Leistungspotenzial der Technologie auch anmutet: Sie ist dem Risiko eines Angriffs von außen in gleicher Weise ausgesetzt wie jedes andere informationstechnische System. Es ist nur eine Frage der Zeit, bis sich Gehirn-Computer-Schnittstellen als sensibles Angriffsziel entpuppen.

Die Dystopie, andere Menschen durch neuronale Manipulation graduell fernzusteuern – bis hin zum Selbstmord wie im Computerspiel Cyberpunk 2077 – liegt zwar noch in ferner Zukunft. Doch bereits heute bestehen zahlreiche Angriffsvektoren mit zum Teil erheblichem Schadenspotenzial. Bei jeder Gehirn-Computer-Schnittstelle muss IT-Sicherheit³¹ daher von Anfang an mitgedacht werden, um die Vertraulichkeit, Integrität und Verfügbarkeit neurotechnologischer Produkte (Neurosecurity [52, S. 2]) zu gewährleisten.³²

1.2.1 Sicherheitslücken

a) Allgemeine Gefahren der IT-Sicherheit von Medizinprodukten

Schon bisher müssen Hersteller ihre Medizinprodukte zwar in der Regel eingehend prüfen, bevor sie in den Verkehr gelangen.³³ Dennoch befinden sich in nahezu jedem System Schwachstellen, die sich kompromittieren und für Cyberangriffe ausnutzen lassen [54,55,56,57]. Erst kürzlich hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) mehrere vernetzte Medizinprodukte überprüft: Bei allen Produkten entdeckte es – zum Teil gravierende – Sicherheitslücken [58].³⁴ Hacker haben wiederholt unter Beweis gestellt, dass sie sich die Kontrolle über sensibelste Medizinprodukte, wie Herzimplantate, verschaffen können [59, 60]. Ist z. B. ein Fernzugriff vorgesehen, öffnet sich unweigerlich ein Tor für einen unbemerkten und unbefugten Zugriff [61]. Aus diesem Grund hat bspw. der ehemalige US-Vizepräsident Dick Cheney seinen implantierten Kardioverter-Defibrillator modifizieren lassen, um einem Cyberangriff durch Terroristen vorzubeugen.³⁵

Angriffspunkte bietet aber nicht nur das Gerät selbst, sondern auch die digitale Infrastruktur, in die es eingebettet ist. Denn zwischen den IT-Systemen medizinischer Einrichtungen und den dort verwendeten Medizinprodukten bestehen Wechselwirkungen: Eine unsichere Gehirn-Computer-Schnittstelle kann ein Einfallstor in die gesamte IT eines Krankenhauses öffnen [63].³⁶

b) Neurosecurity

Während sich beschädigte klassische Computersysteme typischerweise durch neue austauschen lassen, können Schäden an Gehirn-Computer-Schnittstellen irreversible Folgen zeitigen: Der Angreifer kann nicht nur ein technisches Gerät, sondern mittelbar auch die körperliche sowie mentale Integrität und Gesundheit des Nutzers schädigen.³⁷ Die anfallenden neurologischen Daten teilen zudem wichtige Gemeinsamkeiten mit genetischen Daten: Ihnen wohnt ein hoher prognostischer Gehalt für menschliches Verhalten inne; sie legen intime Details frei, welche die betroffene Person häufig nicht einmal selbst kontrollieren kann.³⁸ Unbefugte Dritte könnten so Einblicke in emotionale Zustände und ggf. in das neurologische Krankheitsbild eines Nutzers erhalten, die auf anderem Wege nicht beobachtbar sind.³⁹

1.2.2 Angriffsszenarien

Wege, um Angriffe auf die Vertraulichkeit, Verfügbarkeit, Belastbarkeit und Integrität⁴⁰ von Gehirn-Computer-Schnittstellen zu verüben, gibt es genügend. So ist es denkbar, dass der Angreifer bereits den Stimulus beeinflusst, der beim Opfer bestimmte neuronale Signalmuster hervorruft [14, S. 36; 45, S. 8 f.; 73]. Während der Aufnahme kann er neuronale Signale stören⁴¹ oder die aufgenommenen Daten verfälschen.⁴² Ein Eindringling kann ebenfalls die Verarbeitung der Rohdaten beim Messen der Gehirnaktivitäten oder ihre Klassifizierung manipulieren.⁴³ Kontrolliert ein Angreifer etwa den Output der Klassifizierung, übernimmt er das mit der Gehirn-Computer-Schnittstelle gesteuerte Gerät: Ein Patient könnte z. B. die Gewalt über die Bewegungsrichtung und Geschwindigkeit seines Rollstuhls verlieren, den er via Gehirn-Computer-Schnittstelle bedient.⁴⁴ Auch mithilfe einer Schadsoftware lassen sich Geräte, die ein Patient mit einer aktiven Gehirn-Computer-Schnittstellen steuert, übernehmen.⁴⁵

a) Angriffsziele und -folgen

Die konkreten Spielarten hypothetischer Angriffs- und Schadensszenarien hängen entscheidend vom technischen Design der jeweiligen Gehirn-Computer-Schnittstelle ab – z. B. davon, ob sie „nur“ Gehirnaktivitäten messen und aufnehmen, auch stimulieren, oder ob sie ein Gerät, z. B. eine Prothese, bedienen kann [52, S. 3].

Aktive Gehirn-Computer-Schnittstellen und die mit ihnen vernetzten Prothesen erweisen sich als besonders vulnerables Angriffsziel.⁴⁶ Übernimmt ein Angreifer z. B. die Kontrolle über eine Armprothese, kann er dem Opfer sowie Dritten erhebliche Schäden zufügen. Im Falle einer stimulierenden Gehirn-Computer-Schnittstelle kann ein Angreifer sogar lebensbedrohliche Folgen auslösen,⁴⁷ wenn Neurostimulatoren dem Nutzer elektrische Impulse versetzen.

Generell gilt: Je mehr Funktionen eine Gehirn-Computer-Schnittstelle in sich vereint, desto reichhaltiger ist das Portfolio der denkbaren Angriffsszenarien. Während unbefugte Dritte bei aktiven Angriffen in die Funktion der Gehirn-Computer-Schnittstelle eingreifen [14, S. 33; 76, S. 644 ff.], tasten passive Angriffe die Vertraulichkeit⁴⁸ an, um private Informationen der Nutzer zu erspähen [76, S. 654 ff.]. Dabei können Angreifer zielgerichtet bestimmte Personen anvisieren oder eine bekannte Sicherheitslücke ausnutzen, um betroffene Gehirn-Computer-Schnittstellen „blind“ zu attackieren (sog. targeted und blind bzw. mass oder opportunistic attacks) [78, S. 221].

Sollten Schnittstellen es dem Nutzer in Zukunft etwa ermöglichen, nicht nur einen externen Computer zu bedienen, sondern darüber hinaus gleichsam telepathisch mit anderen Personen zu kommunizieren⁴⁹ oder kognitive Fähigkeiten, wie das Erinnerungsvermögen, zu verbessern, eröffnen sich zahlreiche weitere Ansatzpunkte für Beeinträchtigungen.⁵⁰

aa) Angriffe auf die Vertraulichkeit

Ein zentraler Angriffspunkt einer Gehirn-Computer-Schnittstelle ist der Neurochip, der die Messdaten verarbeitet sowie mit anderen Computern interagiert und kommuniziert.⁵¹ Er bündelt in der Regel sensible Daten, die Informationen über den Gesundheitszustand des Patienten an das Tageslicht spülen oder Rückschlüsse auf die Identität des Nutzers zulassen [39, S. 263 f.].⁵²

Der Angreifer kann den Nutzer einer aktiven Schnittstelle auch Stimuli aussetzen, um aus den resultierenden Gehirnaktivitäten Schlüsse auf private Informationen zu ziehen.⁵³ So haben Forscher in einem Experiment mithilfe frei verkäuflicher EEG-Headsets vierstellige Geheimzahlen (PINs) in Erfahrung gebracht [81, S. 147].⁵⁴ Künftig können Angreifer auf diese Weise womöglich Informationen über die politische oder religiöse Ausrichtung, Erinnerungen oder emotionale Reaktionen extrahieren [82, S. 387 ff.; 83, S. 3, 22 f.] sowie Lügen detektieren [84, S. 366 ff.] – es entstünde eine „Brain Spyware“ [14, S. 33; 85, S. 419 ff.; 86]. Das macht Daten, die Gehirn-Computer-Schnittstellen zutage fördern, für viele Anwendungen attraktiv – bis hin zu Maßnahmen der Terrorismusbekämpfung oder Strafermittlung [84, S. 351 ff.; 87].⁵⁵

Die Informationen, die ein Angreifer erlangt, lassen sich auf vielfältige Weise missbrauchen, insbesondere monetarisieren. Gesundheitsbezogene Informationen kann der Angreifer bspw. verwenden, um den Nutzer bzw. Patienten zu erpressen [76, S. 660; 89] oder um sie im Darknet feilzubieten.⁵⁶ Je nach Art der Informationen können sie für einen Identitätsdiebstahl oder Krankenversicherungsbetrug bzw. -missbrauch [90] zum Einsatz kommen.⁵⁷ Zudem lassen sich z. B. umfangreiche Aktivitätenprofile der betroffenen Person erstellen [92, S. 3].

Nicht zuletzt könnte der Angreifer in „Lauschangriffen“ die Kommunikation zwischen verschiedenen Komponenten der Gehirn-Computer-Schnittstelle „abhören“ und aufzeichnen [39, S. 263]. Denkbar ist es bspw., Menschen unbefugt zu scannen, um festzustellen, ob sie Implantate in sich tragen und welches Modell sie nutzen [4, S. 193; 39, S. 263].⁵⁸ Dadurch lassen sich Rückschlüsse auf den Gesundheitszustand einer Person ziehen oder passgenaue Angriffsszenarien entwickeln. Hat ein Angreifer etwa die Modell- oder Seriennummer des Geräts erspäht und bereits bekannte Sicherheitslücken ausfindig gemacht, kann er weitere (auch aktive) Angriffe auf die Gehirn-Computer-Schnittstelle leichter durchführen.⁵⁹

bb) Angriffe auf die Verfügbarkeit und Belastbarkeit

Angriffe auf die Verfügbarkeit⁶⁰ eines Systems beeinträchtigen die Funktionsfähigkeit einer Gehirn-Computer-Schnittstelle [52, S. 2; 72, S. 6; 77, Rn. 38].⁶¹ Die Neuroprothese eines beinamputierten Menschen funktioniert dann beim Gehen nicht mehr, der Nutzer stürzt und verletzt sich [52, S. 3]; eine stimulierende Schnittstelle kann einen Epilepsieanfall nicht mehr verhindern oder abmildern [52, S. 3; 78, S. 221.]. Ein Angreifer kann bspw. die Gehirn-Computer-Schnittstelle mit massenhaften Anfragen überlasten (sog. Denial-of-Service[DoS]-Angriffe), um sie gezielt unter der Last der Anfragen kollabieren zu lassen [51, S. 41; 72, S. 113].⁶² Dann kann sie legitime Anfragen und Prozesse nicht mehr durchführen. DoS-Angriffe können ebenfalls die Belastbarkeit einer Gehirn-Computer-Schnittstelle strapazieren: Das Gerät ist dann nicht hinreichend robust, um Gefahrenlagen zu bewältigen; insbesondere kann es die notwendige Leistungsfähigkeit nicht länger aufrechterhalten oder zügig wiederherstellen.⁶³

cc) Angriffe auf die Integrität

Die wohl schwerwiegendsten Attacken auf Gehirn-Computer-Schnittstellen sind solche, die auf ihre Integrität zielen: Ein Angreifer manipuliert in diesem Fall die Informationen bzw. die Kommunikation mit anderen Geräten oder beeinträchtigt die Funktionsfähigkeit des Systems insgesamt [14, S. 33; 72, S. 5 f.; 76, S. 644 ff.].⁶⁴ So lassen sich Geräteeinstellungen, Befehle oder Daten verändern [39, S. 264; 52, S. 2]⁶⁵ sowie von Angreifern manipulierte Updates injizieren [45, S. 10; 98, S. 132 f.], um die Steuerung einer Prothese zu übernehmen (Hijacking [74, S. 123 f.] bzw. Brainjacking [78]) oder ein fehlerhaftes Feedback an die Schnittstelle zu übermitteln [39, S. 265; 52, S. 3]. Besonders brenzlig wird es, wenn Angreifer in neurologische Abläufe eingreifen und dadurch Schmerzen, Emotionen oder einen Verlust der Impulskontrolle herbeiführen, die empfindliche Schäden nach sich ziehen [39, S. 266; 52, S. 3; 78, S. 221; 92, S. 3].⁶⁶ In ferner Zukunft könnte es gar möglich sein, dass ein Angreifer die Gedanken eines anderen Menschen beeinflusst und ihn so zu bestimmten Handlungen verleitet.

b) Angriffsvektoren und häufige Schwachstellen

Besonders groß sind Angriffsflächen für Cyberattacken,⁶⁷ wenn Geräte drahtlos⁶⁸ vernetzt sind [24, S. 829, 833 ff.; 100, S. 14 ff.; 101, S. 116 ff.]. Viele medizinische Implantate sind zwingend auf eine drahtlose Verbindung angewiesen, weil sie im Körper eingepflanzt und nicht effektiv auf anderen Wegen ansteuerbar sind.

Um die Informationen, die ein Implantat erhebt, speichern und analysieren zu können (z. B. um das Implantat auf seine Funktionsfähigkeit hin zu überprüfen oder den Therapieerfolg zu überwachen), interagiert die Schnittstelle mit einem PC oder Smartphone. Veraltete Software, insbesondere nicht mehr aktuelle Betriebssysteme,⁶⁹ können dann als Einfallstor dienen, um Geräte zu attackieren [104, S. 404 ff.; 105]. Zahlreiche Medizinprodukte senden Daten an einen Home-Monitor, der diese sammelt und drahtlos in ein Repositorium hochlädt, sodass der behandelnde Arzt diese auf einer Webseite einsehen kann [39, S. 256].⁷⁰ Bei Deep Brain Stimulation⁷¹ kommt das Gerät, das die Abgabe des elektrischen Pulses zur Stimulierung regelt, im Brustbereich zum Einsatz und kommuniziert mit den Mikroelektroden im Gehirn, die neuronale Aktivitäten messen [39, S. 256]. Übertragen Medizinprodukte Daten unverschlüsselt, wie etwa einige implantierte Kardioverter-Defibrillatoren⁷², können Unbefugte sie mit einer Funkausrüstung mitlesen [92, S. 5].⁷³

Wenn Gehirn-Computer-Schnittstellen perspektivisch Daten drahtlos mit einem Smartphone über eine App austauschen, potenziert sich das Risiko [92, S. 5].⁷⁴ Denn nicht nur von der Schnittstelle selbst gehen dann Gefahren aus, sondern auch von dem mit ihr verbundenen Gerät, z. B. einem Smartphone [24, S. 831].⁷⁵

2 Rechtsrahmen für Gehirn-Computer-Schnittstellen

Die berechtigte Sorge vor Cyberangriffen auf Medizinprodukte [108, 109]⁷⁶ ruft allerorten Regierungen und Behörden auf den Plan, effektive und handhabbare Regelungen und Anforderungen für die Cybersicherheit von Medizinprodukten zu entwickeln.⁷⁷

Auf den ersten Blick drängt sich das Strafrecht als Abschreckungswaffe par excellence auf, um Cyberangriffen entgegenzuwirken.⁷⁸ In praxi entpuppt es sich jedoch als vergleichsweise stumpfes Schwert. Da Angriffe für die Cybersicherheit örtlich entkoppelt erfolgen können, entziehen sich (international operierende oder sich gekonnt verschleiernde) Akteure bislang typischerweise erfolgreich dem Zugriff der Strafverfolgungsbehörden [111, S. 1129 ff.]:⁷⁹ Sie agieren meist von Orten aus, in denen sie keine Strafverfolgung fürchten müssen, oder unter der Obhut eines Staates.⁸⁰ Bei Gefahren für hochrangige Rechtsgüter wie Leben, Körper, Gesundheit und mentale Integrität, genügt die repressive Konzeption des Strafrechts ohnedies nicht als Schutzinstrument. Es sind zwingend auch präventive Ansätze und Strategien geboten: Wirksame Schutzmaßnahmen müssen Angreifern den Zugriff von vornherein unmöglich machen oder zumindest wesentlich erschweren.

2.1 Verfassungsrechtliche Schutzgüter

Ein Regelungskonzept gegen Cyberangriffe muss sich bruchfrei in den verfassungsrechtlichen Rahmen einbetten, den das Grundgesetz zieht. Dieses schützt den Einzelnen gegen den Zugriff Dritter auf seine Gehirn-Computer-Schnittstellen in unterschiedlichen grundrechtlichen Tatbeständen.

2.1.1 Betroffene Grundrechte

a) Schutz der Privatsphäre: personenbezogene Daten und IT-Systeme (Art. 7 und Art. 8 GRCh, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG); Telekommunikationsgeheimnis (Art. 10 Abs. 1 GG)

Erbeuten Cyberangriffe Informationen zum (neurologischen oder psychischen) Gesundheitszustand oder zu emotionalen Reaktionen, legt das intimste Bereiche der Privatheit des Nutzers offen⁸¹ und tangiert dadurch die informationelle Selbstbestimmung. Diese verbürgt jedem Grundrechtsträger das Recht, grundsätzlich selbst zu bestimmen, ob und innerhalb welcher Grenzen er persönliche Lebenssachverhalte offenbart (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG bzw. Art. 7 und 8 GRCh und Art. 8 EMRK).⁸² Die grundrechtliche Wertung wirkt auch in privatrechtliche Beziehungen hinein. Ihr Schutzgehalt versagt es Dritten, die Persönlichkeit der betroffenen Person zu registrieren, zu katalogisieren und ein umfassendes Persönlichkeitsprofil zu erstellen.⁸³

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-Grundrecht) gewährt einer anderen Komponente des Persönlichkeitsrechts besonderen grundrechtlichen Schutz: Es richtet seinen Schutzradius nicht nur auf einzelne Daten aus, sondern bewahrt das gesamte System davor, dass Unbefugte eindringen und es modifizieren; es schützt sowohl die Unversehrtheit der Daten als auch die Funktionsweise des Systems.⁸⁴ Soweit ein IT-System Kommunikationsinhalte an Dritte überträgt, tritt ergänzend das Telekommunikationsgeheimnis⁸⁵ als Schutzrecht hinzu: Es verbürgt die Vertraulichkeit der Inhalte und Umstände individueller Kommunikationsvorgänge,⁸⁶ solange sie aufgrund des Übertragungsvorgangs erhöhten Zugriffsgefahren ausgesetzt sind.⁸⁷

b) Angriffe auf die körperliche und „mentale“ Integrität

Fügt ein Cyberangriff den Nutzern einer Schnittstelle Schmerzen zu oder verursacht er Schäden im Gehirn, greift dies in die körperliche Integrität und ggf. das Recht auf Leben (Art. 2 Abs. 2 S. 1 GG) ein [24, S. 836 f.; 119, Rn. 116; 125, Rn. 55; 126, S. 467]⁸⁸ – ebenso, wenn ein Angreifer auf ein Neuroimplantat einwirkt, auf das ein Patient angewiesen ist [125, Rn. 56; 128, S. 236 ff.].⁸⁹

Manipulationen, welche die „mentale Integrität“⁹⁰ betreffen, lassen sich schwerer in das grundrechtliche Raster einordnen. Sie beeinflussen Gehirnaktivitäten und rufen emotionale Zustände oder sonstige Reaktionen hervor [83, S. 21 ff.]. Auch das Verhalten, die Persönlichkeit oder Identität können sie verändern [74, S. 125 ff.; 83, S. 24 ff.; 131]. Betrachtet man solche Steuerungen der Gehirnaktivitäten rein neurowissenschaftlich, handelt es sich um einen Eingriff in körperliche Vorgänge (Art. 2 Abs. 2 S. 1 GG).⁹¹ Berührt eine Gehirnmanipulation die Grundlage menschlicher Selbstwahrnehmung sowie die Konstituierung des Ichs, erschöpft sie sich nicht in einem körperlichen Eingriff.⁹² Sie kann einerseits die Menschenwürde⁹³ und andererseits das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) berühren.⁹⁴

c) Autonomie und Handlungsfreiheit

Wer die Kontrolle über seine Gehirn-Computer-Schnittstelle und ggf. über eine hierdurch gesteuerte Prothese verliert, büßt mehr ein als nur seine Daten und körperliche Integrität. Im Extremfall geht er seiner Fähigkeit verlustig, Entscheidungen im Einklang mit seinen Wünschen und Absichten zu treffen und diese selbstbestimmt in die Tat umzusetzen [78, S. 223; 134, S. 72].

Die Kategorie „Autonomie“⁹⁵ ist der deutschen Grundrechtsdogmatik zwar nicht als solche vertraut. Die allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) und das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG), das den Geltungsanspruch des Individuums in der sozialen Welt schützt,⁹⁶ decken allerdings zentrale Aspekte der menschlichen Autonomie ab. Dies gilt insbesondere für solche Konstellationen, in denen die Gehirn-Computer-Schnittstelle medizinisch notwendig bzw. rehabilitativ ist, der Patient also nur mit ihrer Hilfe überhaupt in der Lage ist, sein Leben selbstbestimmt zu führen.⁹⁷ Bei Schnittstellen, die motorische Fähigkeiten wiederherstellen, läuft der Patient bspw. Gefahr, seine Bewegungsfreiheit einzubüßen.⁹⁸

d) Eigentum

Schaltet ein Angreifer eine Gehirn-Computer-Schnittstelle aus oder zerstört ihre Funktionsfähigkeit,⁹⁹ beeinträchtigt das ihren Nutzer in seinem Eigentumsrecht (Art. 14 Abs. 1 GG).¹⁰⁰ Das Gleiche gilt, wenn Cyberangriffe die Gehirn-Computer-Schnittstelle mit Anfragen überlasten, bis sie ihre Funktionen nicht mehr erfüllen kann.¹⁰¹ Auch in diesen Fällen entzieht der Angreifer dem Eigentümer die Nutzungsmöglichkeit.

2.1.2 Reichweite der Schutzpflicht

Das vielschichtige Gewährleistungspotpourri der Grundrechte vermittelt dem Einzelnen nicht nur ein Abwehrrecht gegen staatliche Zugriffe, sondern konstituiert auch eine staatliche Schutzpflicht gegen das Wirken Privater [120, S. 96 ff.; 142, S. 3535]: Kraft der objektivrechtlichen Dimension der Grundrechte ist der Staat verpflichtet, sich „schützend und fördernd“ vor sie zu stellen.¹⁰² Das gilt für die Integrität und Vertraulichkeit von IT-Systemen in besonderer Weise: Der Staat kann diese nur dann angemessen gewährleisten, wenn er dem Schutzgehalt auch gegenüber Privaten zur Wirksamkeit verhilft [120, S. 96 ff.; 142, S. 3535; 144, S. 114 ff.].¹⁰³

Seinem Ausgestaltungsauftrag ist der Gesetzgeber im Ansatz bspw. durch die Strafvorschriften für unbefugtes Ausspähen (§ 202a StGB) und Abfangen von Daten (§ 202b StGB)¹⁰⁴ sowie durch die Tatbestände der Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB)¹⁰⁵ nachgekommen.¹⁰⁶ Mit Blick auf die elementaren Risiken, die von Angriffen auf Gehirn-Computer-Schnittstellen ausgehen, ist die Rechtsordnung jedoch auch aufgerufen, hohe Anforderungen an die Cybersicherheit¹⁰⁷ zu stellen, um dystopische „Brainhacks“ möglichst zu verhindern, oder wenigstens zu erschweren bzw. schnellstmöglich zu unterbinden. Das Datenschutz- und IT-Sicherheitsrecht bis hin zu den Vorgaben im Medizinprodukterecht sind Ausdruck dieses Schutzauftrags.¹⁰⁸

Die staatliche Schutzpflicht ist aber nicht grenzenlos. Sie stößt an ihre Schranken, wenn sich Nutzer einer Gehirn-Computer-Schnittstelle eigenverantwortlich selbst gefährden, um die eigene Leistungsfähigkeit zu optimieren (sog. Neuroenhancement). Die Freiheitsrechte (und damit die Schutzpflicht des Staates) sind nicht als ein aufgedrängtes Schutzgut konzipiert, das den Einzelnen vor sich selbst schützt:¹⁰⁹ Der Staat darf sie dem Einzelnen nicht ohne Weiteres aufnötigen, soweit die Selbstgefährdung nicht zugleich die Allgemeinheit intensiv beeinträchtigt [125, Rn. 84; 126, S. 469], z. B. weil sie dem Gemeinwesen hohe Gesundheitskosten aufbürdet.¹¹⁰ Dem Einzelnen bleibt es deshalb im Grundsatz unbenommen, sich selbst durch Neuroenhancement zu gefährden oder zu schädigen sowie in Einwirkungen einzuwilligen [126, S. 467].¹¹¹ Das Recht, Neuroenhancement zu betreiben, ist Teil des Schutzgehalts der allgemeinen Handlungsfreiheit.¹¹²

Umgekehrt darf das Gemeinwesen seine Hilfe dem Einzelnen nicht ohne Weiteres deshalb vorenthalten, weil er sich zum Zwecke der Selbstoptimierung selbst gefährdet hat. Wer sich selbst in Gefahr gebracht hat, den darf der Staat nicht gleichsam fallen lassen und ihn seinem Schicksal überlassen. So greift die staatliche Schutzpflicht auch für denjenigen, der Drogen konsumiert¹¹³ oder sich einer nicht medizinisch indizierten Schönheitsoperation unterzogen hat.¹¹⁴ Die Schutzpflicht endet erst, wenn der sich selbst Gefährdende wider besseres Wissen handelt und auf die Hilfe anderer spekuliert [125, Rn. 85].¹¹⁵

Als Ausdruck seiner Schutzpflicht ist der Staat im Ergebnis gehalten, bei nichtmedizinischen Neurotechnologieprodukten,¹¹⁶ welche die Gesundheit beeinträchtigen können, durch Regulierung für ein hinreichendes Maß an IT-Sicherheit zu sorgen. Wenn der Einzelne die Risiken seiner Selbstgefährdung durch sog. „Do-it-yourself“-Produkte, die Privatpersonen zusammenbasteln und anwenden [10],¹¹⁷ zu spät erkennt und sich von den Folgen befreien möchte, hat der Staat ihm ein Hilfsangebot zu machen.¹¹⁸

2.2 Einfachrechtliche Anforderungen

Ein spezifisches einfachgesetzliches Rechtsregime für Gehirn-Computer-Schnittstellen hat der Gesetzgeber bislang nicht entfaltet. Das Datenschutzrecht (1.), das Medizinprodukterecht (2.) als auch allgemeine Vorschriften des IT-Sicherheitsrechts (3.) stecken jedoch einen groben normativen Rahmen ab.

2.2.1 Das Datenschutzrecht als allgemeiner IT-sicherheitsrechtlicher Überbau

a) Verarbeitung personenbezogener Daten

Gehirnsignale, die Gehirn-Computer-Schnittstellen aufnehmen, machen eine Person identifizierbar. Als personenbezogene Daten (Art. 4 Nr. 1 DSGVO) unterliegen sie dem Regelungsanspruch der DSGVO [157, S. 388 f.; 158, S. 107 ff.; 159, S. 5]. Sie gehören zudem einer besonderen Sensibilitätskategorie des Datenschutzrechts an. Denn sie geben typischerweise Auskunft über die körperliche und geistige Gesundheit einer natürlichen Person und sind damit Gesundheitsdaten (Art. 4 Nr. 15 DSGVO), die den besonders hohen Rechtfertigungshürden des Art. 9 Abs. 1 DSGVO unterliegen.¹¹⁹ So werten manche Apps oder Spiele, die mit Gehirn-Computer-Schnittstellen interagieren, bspw. Informationen zum Stresspegel aus¹²⁰ und schließen hieraus auf die (psychische) Gesundheit des Nutzers. Selbst bei Geräten, die nicht im medizinischen Bereich zum Einsatz kommen, können neurologische Daten ggf. Informationen über den gegenwärtigen oder künftigen körperlichen oder psychischen Gesundheitszustand des Nutzers preisgeben.¹²¹ Darüber hinaus lassen sich Gehirnaktivitätsmuster als physiologische Merkmale einsetzen, um Personen automatisiert zu identifizieren und zu authentifizieren.¹²² Auch die Verarbeitung solcher biometrischer Daten (Art. 4 Nr. 14 DSGVO) muss sich an Art. 9 Abs. 1 DSGVO messen lassen.

b) Datensicherheit

Der Regelungsanspruch der DSGVO erschöpft sich keineswegs in datenschutzrechtlichen Geboten. Sie formuliert vielmehr auch Anforderungen an die Datensicherheit: Der Verantwortliche muss (ebenso wie der etwaige Auftragsverarbeiter) geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Sicherheitsschutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO).¹²³ Er hat insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der datenverarbeitenden Systeme sicherzustellen (Art. 32 Abs. 1 Hs. 2 lit. b). Nach einem Zwischenfall muss der Verantwortliche ferner in der Lage sein, die Verfügbarkeit der Daten rasch wiederherzustellen (lit. c). Er muss (ähnlich der Datenschutzfolgenabschätzung nach Art. 35 DSGVO) ein Konzept zum Datensicherheitsmanagement erarbeiten [77, Rn. 59 ff.; 167, Rn. 23].¹²⁴ Dieses Schutzkonzept hat er im Anschluss regelmäßig zu überprüfen (lit. d). Das einzuhaltende Schutzniveau muss sich an dem Risiko ausrichten, das sich mit der Verarbeitung verbindet.¹²⁵

Da Gehirn-Computer-Schnittstellen in der Regel hochsensible biometrische und Gesundheitsdaten verarbeiten, geht von ihnen selbst dann ein hohes Risiko aus, wenn die Wahrscheinlichkeit eines Angriffs gering ist.¹²⁶ Sie müssen daher höchsten Ansprüchen genügen, um Zugriffe möglichst zu vermeiden. Die zu ergreifenden Maßnahmen müssen dem Stand der Technik entsprechen, d. h. auf gesicherten Erkenntnissen der Wissenschaft und Technik beruhen, die sich in der Praxis bewährt haben [77, Rn. 56a; 96, Rn. 18]. Seine Anforderungen entwickeln sich im Gleichschritt mit technologischen Innovationen dynamisch fort [77, Rn. 56b, 57]. Einen ersten Konkretisierungsversuch wagen etwa die ISO 27000-Normenreihe¹²⁷ sowie das IT-Grundschutz-Kompendium¹²⁸ des BSI [77, Rn. 57; 170].

aa) Verschlüsselung

Eine Basismaßnahme, um sicherzustellen, dass eine Gehirn-Computer-Schnittstelle mit anderen Geräten vertraulich kommuniziert, ist deren Verschlüsselung [24, S. 829; 76, S. 653; 100, S. 16]: Daten sind während der Übertragung („in motion“) und im ruhenden Zustand („at rest“) mit einer geeigneten Verschlüsselungsmethode zu schützen (Art. 32 Abs. 1 lit. a DSGVO) [77, Rn. 34 ff.; 171, S. 74 ff.].¹²⁹

bb) Authentifikationserfordernis und Zugriffsverwaltung

Um einen unbefugten Fremdzugriff zu verhindern, sollte das System den Zugriff auf eine Gehirn-Computer-Schnittstelle nur nach vorheriger Authentifikation ermöglichen [77, Rn. 35d].¹³⁰ Eine Benutzerzugriffsverwaltung sollte den Berechtigten (restriktiv) Privilegien und Befugnisse einräumen [92, S. 7].

Während bei EEG-Headsets häufig eine individuelle Nutzername-Passwort-Kombination¹³¹ ausreicht, ist bei Neuroimplantaten und Neurostimulatoren eine Zwei-Faktor-Authentifizierung¹³² geboten. Wer seinen Rollstuhl per Gehirn-Computer-Schnittstelle lenkt, sollte sich nicht einfach via Bluetooth „koppeln“ können, sondern diesen z. B. durch seine Gehirnwellen in Verbindung mit einer Smartphone-App ansteuern können.

cc) Angriffserkennung

Um die Gefahren zu minimieren, die von dem Gerät ausgehen, das mit der Schnittstelle verbunden ist, sollten Anbieter die Gehirn-Computer-Schnittstelle mit einer Detektions-Software ausstatten [76, S. 652; 77, Rn. 36a].¹³³ Auf diese Weise lassen sich untypische Aktivitäten oder Schadsoftware erkennen.¹³⁴ Hilfreich ist es zudem, alle Aktivitäten und Zugriffe auf die Gehirn-Computer-Schnittstelle in einer Logdatei festzuhalten und diese regelmäßig auf Unregelmäßigkeiten zu überprüfen [92, S. 7]. Insbesondere sicherheitsrelevante Ereignisse sind zu protokollieren [77, Rn. 39].¹³⁵ DoS-Angriffe kann die Gehirn-Computer-Schnittstelle bspw. bewältigen, indem sie als Gegenmaßnahme Anfragen filtert¹³⁶ bzw. zurückstellt und ihre Kernfunktionen (das Aufnehmen und Auswerten von Gehirnsignalen) priorisiert.

dd) Security by Design

Die Gehirn-Computer-Schnittstelle sollte sich bei ihren Datenzugriffen entsprechend dem Gebot der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) auf die notwendigen Informationen und Verarbeitungsschritte beschränken [100, S. 16; 174, S. 89 ff.; 175; 176, Rn. 34 ff.]. Das verkleinert die Angriffsfläche. Bspw. kann die Gehirn-Computer-Schnittstelle neuronale Signale, die für die spezifische Aufgabe erforderlich sind, selbst vorverarbeiten, bevor sie bspw. auf IT-Systeme Dritter übertragen werden (sog. Edge Computing) [177, v. a. S. 642]. Rohdaten oder Daten, die nicht explizit für die jeweilige Aufgabe erforderlich sind, muss sie dann nicht übermitteln oder speichern (und sie dadurch Sicherheitsrisiken exponieren).¹³⁷ Kraft ihres technischen Zuschnitts („by Design“) sollte die Gehirn-Computer-Schnittstelle so weit wie möglich vermeiden, personenbezogene Daten zu übermitteln: IP-Adressen oder die Modell- bzw. Device-ID sollte das Gerät standardmäßig entfernen, bevor es Daten an eine Plattform übermittelt [100, S. 16].

ee) Defense in Depth und Vorfallsmanagement

IT-Sicherheit ist kein Produkt, sondern ein Prozess [178]: Softwaresysteme sind dynamisch und verändern sich stetig. Hacker¹³⁸ finden zudem immer neue Schlupfwege in vermeintlich sichere Systeme. Durch technischen Datenschutz allein wird es daher nicht gelingen, Angriffe auf vernetzte Geräte zuverlässig abzuwehren.¹³⁹ Kein IT-System genießt überdies absoluten Schutz [171, S. 2 f.; 174, S. 94; 181]. Eine gute Sicherheitsarchitektur besteht daher aus vielen, stetig weiterzuentwickelnden Komponenten und Schichten, die einen hinreichenden Schutz sicherstellen (Defense in Depth).¹⁴⁰

Einem Angreifer genügt bereits eine Schwachstelle. Eine effektive Verteidigungsstrategie muss daher rundum schützen [51, S. 71]. Die Schutzmaßnahmen sollten auch aus diesem Grund nicht nur unmittelbar an der Schnittstelle selbst, sondern ggf. auch an den mit ihr verbundenen Geräten ansetzen.¹⁴¹

Eine entscheidende Rolle bei dem Schutzmaßnahmenpaket kommt dem Vorfallsmanagement zu. Insbesondere Sicherheitsupdates¹⁴² tragen dazu bei, Sicherheitslücken so schnell wie möglich zu erkennen und zu beheben. Ein besonderes Augenmerk sollte dem verwendeten Open-Source-Code und Programmbibliotheken gelten, die Schwachstellen enthalten könnten bzw. unter Umständen einer Aktualisierung bedürfen [71, S. 22 f.; 101, S. 131]. Regelmäßige Penetrationstests¹⁴³ und Red-Team-Einsätze¹⁴⁴ helfen, die Sicherheitsmaßnahmen zu überprüfen und zu bewerten (vgl. Art. 32 Abs. 1 Hs. 2 lit. d DSGVO).¹⁴⁵

Ist das Kind der IT-Sicherheit erst einmal gleichsam in den Brunnen gefallen, ist es also zu einem Sicherheitsvorfall gekommen, der Unbefugten Zugriff auf die personenbezogenen Daten eröffnet hat, muss der Verantwortliche dies der Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO, § 65 BDSG) sowie der betroffenen Person¹⁴⁶ (Art. 34 Abs. 1 DSGVO, § 66 BDSG) melden. Er sollte zudem ein Vorfalls- und Notfall-Management einrichten, das darauf gerichtet ist, die Schwachstelle zu untersuchen und zu beheben [51, S. 153 ff.], um im Ernstfall rasch auf Vorkommnisse reagieren zu können (Art. 32 Abs. 1 Hs. 2 lit. c DSGVO).¹⁴⁷

c) Adressat der Pflichten

Am zuverlässigsten kann der Hersteller des Produkts ein hohes Sicherheitsniveau der Gehirn-Computer-Schnittstelle verbürgen. Die sicherheitsrechtlichen Pflichten der Art. 32 ff. DSGVO treffen allerdings nicht den Hersteller eines Produkts, sondern alleine den datenschutzrechtlich Verantwortlichen, also denjenigen, der tatsächlich oder rechtlich über die Zwecke und Mittel der Datenverarbeitung entscheidet (Art. 4 Nr. 7 DSGVO) [185, Rn. 170].

Verantwortlicher im datenschutzrechtlichen Sinn ist der Hersteller nur dann, wenn er für die Schnittstelle eine App oder eine Cloud vorhält, die Daten auf die Server des Anbieters hochlädt und dort z. B. analysiert, sodass er die relevanten personenbezogenen Daten verarbeitet. Seine Pflichten aus Art. 32 ff. DSGVO erstrecken sich in diesem Fall aber nur auf den Verarbeitungsvorgang selbst, nicht auf die Herstellungseigenschaften des Produkts, insbesondere die technischen Eigenschaften der Schnittstelle [77, Rn. 27; 186, S. 77].¹⁴⁸ Diese sind nicht Gegenstand des datenschutzrechtlichen Pflichtenradars. Das Regulierungsportfolio der DSGVO hat an dieser wichtigen Stelle eine Lücke: Denjenigen, der die Weichenstellungen für die Gehirn-Computer-Schnittstelle trifft, adressiert sie grundsätzlich nicht. Effektiv anonymisieren, pseudonymisieren sowie verschlüsseln kann aber nur derjenige, dem dafür überhaupt die technischen Möglichkeiten zur Verfügung stehen. Ein App-Anbieter muss seine Software als Verantwortlicher mithin so gestalten, dass sie Datensicherheit gewährleistet, selbst wenn er keinen unmittelbaren Einfluss auf die eingesetzte Hardware hat. Im Bereich der „Do-it-yourself“-Produkte und Analysetools entscheidet dagegen der Nutzer als Verantwortlicher typischerweise selbst, welche Daten seine Gehirn-Computer-Schnittstelle erhebt und verarbeitet.

2.2.2 Medizinprodukterecht

Kommen Gehirn-Computer-Schnittstellen im Gesundheitswesen zum Einsatz, zieht die Medizinprodukte-Verordnung (MPVO) ergänzende normative Leitplanken ein, die Sicherheitsanforderungen etablieren.¹⁴⁹ Seit dem 26. Mai 2021 ist sie in der gesamten EU unmittelbar anwendbar.¹⁵⁰

a) Gehirn-Computer-Schnittstellen als Medizinprodukte

Die MPVO erstreckt sich grundsätzlich auf Produkte, die für Menschen bestimmt sind und einen spezifischen medizinischen Zweck erfüllen: Sie sollen Krankheiten oder Behinderungen diagnostizieren, überwachen, behandeln oder lindern (Art. 2 Nr. 1 MPVO).

Sofern eine Gehirn-Computer-Schnittstelle eine medizinische Zweckbestimmung aufweist, fällt sie daher typischerweise in den Anwendungsbereich der Verordnung. Diese Voraussetzungen erfüllen etwa dauerhaft implantierte¹⁵¹Deep-Brain-Stimulatoren oder andere Neuroimplantate, die Parkinson-Tremores oder Epilepsie behandeln sollen.¹⁵² Auch EEG-Headsets mit medizinischer Zweckbestimmung sind Medizinprodukte.¹⁵³ Die dazugehörige Software ist Teil des Produkts, da sie dieses steuert und dessen Anwendungen beeinflusst.¹⁵⁴ Ein eigenständiges Medizinprodukt ist Software demgegenüber nur dann, wenn sie Informationen zu Entscheidungen für diagnostische oder therapeutische Zwecke liefert oder physiologische Prozesse kontrolliert.¹⁵⁵ Dies gilt bspw. für Apps [192, S. 198], welche die Funktionen und Anwendungsmöglichkeiten der Gehirn-Computer-Schnittstelle erweitern. Apps oder Anwendungen, die Daten lediglich speichern, archivieren, kommunizieren oder anzeigen, erfasst die MPVO hingegen nicht [192, S. 198].

aa) Medizinische Zweckbestimmung

Ob ein Produkt eine medizinische Zweckbestimmung aufweist, bestimmt sich (anders als man auf den ersten Blick vermuten könnte) nicht danach, welchen Zweck die Verbraucher einer Gehirn-Computer-Schnittstelle im Rahmen ihres Konsumverhaltens unterlegen. Entscheidend ist allein die Zweckbestimmung des Herstellers („dem Hersteller zufolge“).¹⁵⁶

Es verwundert deshalb nicht, dass viele Hersteller ihre EEG-Headsets unter ausdrücklichem Ausschluss einer medizinischen Zweckbestimmung verkaufen.¹⁵⁷ Solche Freizeit- bzw. Verbraucherprodukte, die u. a. dazu dienen, Konzentration oder Stress zu überwachen, sind keine Medizinprodukte i. S. der MPVO.¹⁵⁸ Diese „Wellness“-Sparte von EEG-Headsets, mit denen Nutzer ihre Gehirnaktivitäten (i. S. des „Quantified Self“¹⁵⁹) ohne medizinische Indikation selbst überwachen, dient der allgemeinen Gesundheitsförderung, die sich auf Lifestyle-Optimierung und kleinere Befindlichkeitsstörungen bezieht [194, Rn. 4].¹⁶⁰

bb) Produkte ohne medizinische Zweckbestimmung

Auf Gehirn-Computer-Schnittstellen ohne medizinische Zweckbestimmung erstreckt sich die MPVO ausnahmsweise dann, wenn diese das Gehirn (nichtinvasiv) transkraniell (also durch die Schädeldecke hindurch) stimulieren (Art. 1 Abs. 2 MPVO i. V. m. Anhang XVI Nr. 6 MPVO). Damit will der Unionsgesetzgeber den Risiken begegnen, die von einer solchen besonderen Art der Stimulation ausgehen, und Produkte, die manchmal zu medizinischen Zwecken und manchmal für Enhancement zur Anwendung kommen, im Ergebnis den gleichen Anforderungen unterwerfen [44, S. 78 ff.].¹⁶¹ Bei ihnen legt es die MPVO also bewusst nicht in die Hand der Hersteller, durch eigene Zweckbestimmung darüber zu befinden, ob die strengen Vorschriften des Rechts der Medizinprodukte zur Anwendung kommen.

Mit Blick auf Produkte, die sich derzeit noch im Forschungsstadium befinden, zeigen sich indes die ersten normativen Lücken der MPVO. So möchte Neuralink ein multifunktionales Neuroimplantat anbieten, das nicht nur neuronale Aktivitäten aufnehmen, sondern auch Neuronen-Cluster stimulieren kann. Solche (futuristischen) Neuroimplantate kämen weder zwingend zu medizinischen Zwecken zum Einsatz [194, Rn. 5] noch nähmen sie eine transkranielle (sondern eine intrakranielle, innerhalb des Gehirns erfolgende) Stimulierung des Gehirns vor.¹⁶² Der Normgeber hatte scheinbar nur die (nichtmedizinischen) Stimulierungen durch die Schädeldecke im Blick, nicht aber die invasivere Stimulierung innerhalb des Schädels. Da die Liste in Anhang XVI Ausnahmecharakter hat, lässt sie sich auch nicht durch teleologische Extension um die risikoreichere intrakranielle Stimulierung erweitern.

Anhang XVI Nr. 2 MPVO erstreckt das Regelungsregime der MPVO zwar auch auf solche Produkte, „die dazu bestimmt sind, durch chirurgisch-invasive Verfahren zum Zwecke der Modifizierung der Anatomie […] in den menschlichen Körper eingeführt zu werden“.¹⁶³ Implantierte Mikroelektroden, wie sie z. B. Neuralink anvisiert, verändern die Gehirnanatomie oder -struktur jedoch nicht – abgesehen von neuroplastischen Veränderungen bei der Implantation und „Bedienung“ der Schnittstelle, die es erfordert, dass der Nutzer wiederholt bestimmte neuronale Signalmuster erzeugt [44, S. 74].¹⁶⁴ Sie sollen Gehirnfunktionen oder -aktivitäten vielmehr messen, um z. B. Computer oder Smartphones „mit Gedanken“ zu steuern.¹⁶⁵

Spätestens wenn der Markt nichtmedizinischer Neuroimplantate in den nächsten Jahrzehnten breite Teile der Bevölkerung erreicht,¹⁶⁶ sind der nationale und der europäische Normgeber dringend dazu aufgerufen, die regulatorische Lücke zu schließen [44, S. 74 f.; 128, S. 231 ff.] und die normative Architektur auf kommende technologische Innovationen auszurichten.¹⁶⁷

b) Allgemeine Anforderungen der MPVO an die IT-Sicherheit von Medizinprodukten und unverbindliche Leitlinien

Anders als etwa Arzneimittel unterliegen Medizinprodukte keiner allgemeinen Zulassungspflicht als Sicherheitsmaßnahme.¹⁶⁸ Die Hersteller sind vielmehr in eigener Verantwortung gehalten, die einschlägigen Sicherheits- und Leistungsanforderungen zu erfüllen. Dazu gehören auch Anforderungen an die IT-Sicherheit der Systeme (Art. 5 Abs. 1, Abs. 2 i. V. m. Anhang I Nr. 1 und Nr. 17 MPVO) [198, S. 701; 199]. Die Verordnung trägt ihnen aber auf, ein Konformitätsverfahren (Art. 52 MPVO) durchzuführen, um sicherzustellen, dass die Medizinprodukte den Sicherheits‑, Leistungs- und sonstigen rechtlichen Anforderungen entsprechen. In dessen Rahmen hat ggf. auch eine klinische Bewertung (Art. 61 MPVO) zu erfolgen.¹⁶⁹ Bei dem Konformitätsverfahren wirken sog. Benannte Stellen mit, die von staatlichen Stellen akkreditiert und vom Hersteller beauftragt sein müssen [199, S. 531 f.].¹⁷⁰ Sie führen Audits durch und bewerten das implementierte Qualitätsmanagementsystem, insbesondere dessen Umsetzung und die technische Dokumentation.¹⁷¹ Bei Implantaten ist zudem die Koordinierungsgruppe Medizinprodukte zu beteiligen („Scrutiny Verfahren“, Art. 54 MPVO) [199, S. 532].

Für die Besonderheiten vernetzter Geräte ist das Medizinprodukterecht indes noch nicht vollständig gewappnet: Die Sicherheits- und Leistungsanforderungen für Medizinprodukte beziehen sich vor allem auf die Produktsicherheit (Safety) – nicht (unmittelbar) auf die Sicherheit des Geräts als IT-System (Security) [70, S. 16 ff.].¹⁷² Dieser Missstand ist ein Relikt aus jener Zeit, als Medizinprodukte über kaum bis keine Softwarekomponenten verfügten und nicht vernetzt waren [70, S. 16 f.].

Anforderungen an die Cybersicherheit für Medizinprodukte mit digitaler Komponente gibt die MPVO lediglich durch allgemeine Bestimmungen vor: Neben der Wiederholbarkeit, Zuverlässigkeit und Leistung (Anhang I Nr. 17.1. MPVO) nach Maßgabe der bestimmungsgemäßen Verwendung des Produkts muss der Produzent es „entsprechend dem Stand der Technik entwickelt und hergestellt“ haben. Dabei sind „die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen“ (Anhang I Nr. 17.2. MPVO).¹⁷³ Der Stand der Technik schließt hinreichend sichere Schutzmaßnahmen gegen Sicherheitsangriffe auf sensible Bausteine ein.

Konkretere Leitlinien zu der Frage, wie ein Hersteller die Anforderungen des Anhangs I der MPVO an Cybersicherheit erfüllen kann, gibt die Guidance on Cybersecurity for Medical Devices der Koordinierungsgruppe Medizinprodukte vor.¹⁷⁴ Sie empfiehlt u. a. Mindestanforderungen zur Gewährleistung der IT-Sicherheit – mit einem klaren Augenmerk auf Cybersicherheitsrisiken, die sich auf die Patientensicherheit auswirken können [71, S. 9 f.].¹⁷⁵ Rechtsverbindlich sind diese Leitlinien indes nicht [201, Rn. 82 f.].¹⁷⁶ Sie fungieren vielmehr als Auslegungshilfe für die allgemein gehaltenen Sicherheitsanforderungen der MPVO.

Die Leitlinie gibt den Herstellern von Medizinprodukten insbesondere vor, eine Defense-in-Depth-Strategie zu entwerfen, die den gesamten Produktlebenszyklus abdeckt [71, S. 15]: Sie soll u. a. Maßnahmen zum sicheren Design und Einsatz, zur Überprüfung und Validierung,¹⁷⁷ zum Sicherheitsmanagement sowie Spezifikationen der Sicherheitsanforderungen enthalten [71, S. 14 ff.].¹⁷⁸

Der Anhang der Guidance hält eine Liste mit Maßnahmen und Sicherheitsfunktionen vor, die IT-Sicherheit gewährleisten sollen, z. B. Verschlüsselung, persönliche Authentifizierung, automatisches Abmelden, Hardening („Härten“, also Eliminieren nicht benötigter Funktionen, um die Angriffsfläche zu verkleinern [171, S. 146 ff.; 203, S. 248; 204]) und Programme, die vor Schadsoftware schützen oder diese erkennen [71, S. 18, 21 f.].¹⁷⁹

Darüber hinaus weist die Guidance aus gutem Grund an, Zugriffsrechte restriktiv zu vergeben und sichere Authentifizierungsmöglichkeiten vorzuhalten [71, S. 11, 14 f., 21, 37]. So offensichtlich dies klingt, ist es in der bisherigen Praxis doch keine Selbstverständlichkeit. Manche auf dem Markt vertriebenen Medizinprodukte verfügen über keine oder eine unsichere Methode der Authentifizierung [39, S. 264; 64, S. 424 f.],¹⁸⁰ z. B. Standardpasswörter¹⁸¹ oder im Klartext auf dem Gerät gespeicherte Passwörter [104, S. 403]. Es kann außerdem sinnvoll sein, den Zugriff auf ein vernetztes Medizinprodukt auf eine spezifische Raumdistanz zu beschränken, um Fernzugriffe auszuschließen [92, S. 9]. Alternativ zu einer Internetverbindung ist es etwa möglich, die Gehirn-Computer-Schnittstelle z. B. via Bluetooth mit einem anderen System zu koppeln, um die Sicherheit zu erhöhen.¹⁸²

Zudem gibt die Guidance den Herstellern auf, im Rahmen eines Verfahrens zum Sicherheitsrisikomanagement das Risiko (insbesondere vorhersehbare¹⁸³ Schwachstellen) zu evaluieren und mögliche Maßnahmen zu dessen Kontrolle und ggf. verbleibenden Restrisiken in Betracht zu ziehen [71, S. 11, 16 f.]. Denn dann fällt es den Herstellern im „Ernstfall“ leichter, einem geregelten Verfahren zu folgen, bei dem Zuständigkeiten und Abläufe vorab geklärt sind [51, S. 153 ff.; 206, S. 2581 f.]. Um langfristige Sicherheit zu gewährleisten, haben Hersteller ihre Medizinprodukte zudem fortlaufend zu testen [71, S. 22 f.].

c) Pflichten nach Inverkehrbringen

Viele Sicherheitslücken gängiger IT-Systeme treten erst nach einiger Zeit in Erscheinung; fortwährend entstehen bzw. zeigen sich neue Angriffsvektoren [71, S. 23]. Der Hersteller muss daher den gesamten Lebenszyklus des Medizinprodukts, insbesondere der Softwarekomponenten, auch im Blick behalten, nachdem er es in den Verkehr gebracht hat, um das Restrisiko zu begrenzen [207]. Für stark softwaregesteuerte und ggf. lernfähige Systeme [208, S. 19 ff.], wie Gehirn-Computer-Schnittstellen, ist dies mit Blick auf die vielen Angriffsvektoren und -szenarien unentbehrlich.¹⁸⁴ Die Hersteller müssen ihre Medizinprodukte überwachen,¹⁸⁵ im Ernstfall die zuständigen Behörden informieren und Präventiv- oder Korrekturmaßnahmen ergreifen (Art. 10 Abs. 12 UAbs. 1, Art. 83 Abs. 4 MPVO). Im Einzelfall können sie auch dazu angehalten sein, ein fehlerhaftes Produkt vom Markt zu nehmen oder zurückzurufen (Art. 95 Abs. 1 MPVO).

aa) Schwerwiegendes Vorkommnis

Im Falle sog. schwerwiegender Vorkommnisse muss der Hersteller Sicherheitskorrekturmaßnahmen im Feld vornehmen, um Schäden abzuwenden und Risiken für Patienten zu verringern (Art. 2 Nr. 68, Art. 83 Abs. 4 MPVO) [67, S. 29 f.; 207, S. 301].¹⁸⁶ Dafür kann er bspw. Sicherheitsupdates aufspielen bzw. zur Verfügung stellen.¹⁸⁷ Bei schwerwiegenden Vorkommnissen, die auf Sicherheitslücken der IT-Sicherheit beruhen, ist das BSI zu beteiligen (§ 85 Abs. 5 Nr. 1 Medizinprodukte-Durchführungsgesetz). Darüber hinaus treffen den Hersteller – ähnlich wie den datenschutzrechtlich Verantwortlichen (Art. 33 und 34 DSGVO) – Meldepflichten gegenüber den zuständigen Behörden (sog. Vigilanz, Art. 87 MPVO).

Ein „schwerwiegendes Vorkommnis“ ist eingetreten, wenn eine Fehlfunktion oder Verschlechterung des Medizinprodukts zur Folge haben kann, dass eine Person stirbt, sich ihr Gesundheitszustand vorübergehend oder dauerhaft schwerwiegend verschlechtert oder dass eine schwerwiegende Gefahr für die öffentliche Gesundheit eintritt (Art. 2 Nr. 65 MPVO). Nicht schwerwiegend sind demgegenüber Sicherheitslücken, die es ermöglichen, die Kommunikation eines Medizinprodukts mit einem anderen Gerät¹⁸⁸ abzuhören oder auf dem Medizinprodukt gespeicherte Daten¹⁸⁹ auszuspähen oder zu exportieren. Dies gilt gleichfalls für Konstellationen, in denen die Gesundheit des Patienten nur geringfügig, z. B. durch eine verspätete Behandlung oder langsamere Ausführung, beeinträchtigt ist.¹⁹⁰

Für Gehirn-Computer-Schnittstellen sind schwerwiegende Vorkommnisse deshalb a priori nur bei Varianten denkbar, die das Gehirn exzessiv stimulieren und schwer schädigen können.¹⁹¹ Sind dagegen nur leichtere Manipulationen ohne tödliche oder schwerwiegende gesundheitliche Folgen zu gewärtigen, entsteht selbst dann keine Vigilanz-Pflicht, wenn der Patient selbst im Einzelfall die Konsequenzen – vom Vertrauensverlust und Ängsten bis zu leichten Schäden und Schmerzen – als gravierend empfindet.

bb) Einfaches Vorkommnis

Auch bei „einfachen“ Vorkommnissen, die unter der Schwelle des Art. 2 Nr. 65 MPVO bleiben, ist der Hersteller nicht von seiner Verantwortung entbunden, für ein Mindestmaß an Sicherheit zu sorgen. Er bleibt verpflichtet, die Konformität des Produkts im Störungsfall (wieder)herzustellen und Korrekturmaßnahmen vorzunehmen (Art. 10 Abs. 12; Art 83 Abs. 4 MPVO). Er muss die Ursache eines potenziellen oder vorhandenen Konformitätsmangels (oder einer sonstigen unerwünschten Situation, vgl. Art. 2 Nr. 67 MPVO) beseitigen.

Aufsichtsrechtliche Maßnahmen ergreifen die zuständigen Behörden in solchen Fällen nur, wenn Medizinprodukte mutmaßlich ein unvertretbares Risiko auslösen oder aus anderen Gründen nicht rechtskonform sind (Art. 94 MPVO). Dann bewerten sie das Produkt in Hinblick auf die Anforderungen der MPVO und fordern den Hersteller z. B. zu Korrekturmaßnahmen auf.¹⁹² Allerdings muss hierfür ein unvertretbares Gesundheits- und Sicherheitsrisiko für Patienten, Anwender oder andere Personen eintreten (vgl. Art. 95 Abs. 1 MPVO). Insbesondere Schwachstellen, die die Vertraulichkeit von Daten betreffen, erreichen diese kritische Schwelle regelmäßig nicht.¹⁹³

d) Sicherheit durch Datenbanken und Register?

Zu dem Pflichtenheft der Überwachung und Vigilanz gesellt sich im unionsrechtlichen Regulierungsregime eine europäische Datenbank für Medizinprodukte (Eudamed, Art. 33 MPVO; aa) und ein Implantateregister hinzu (§ 1 Abs. 2 Nr. 4 IRegG; bb).

aa) Eudamed

Eudamed hält Informationen über alle Medizinprodukte vor. Die Datenbank ist u. a. mit dem elektronischen System für Vigilanz und für die Überwachung nach dem Inverkehrbringen verknüpft (Art. 33 Abs. 2 lit. f i. V. m. Art. 92 MPVO).¹⁹⁴ Sie speichert u. a. Vigilanz- und klinische Prüfungsdaten sowie wie Informationen über die Hersteller.¹⁹⁵ Ihre Daten sind aber nicht öffentlich zugänglich: Nur die EU-Kommission und die Mitgliedstaaten¹⁹⁶ dürfen auf sie zugreifen (Art. 33 Abs. 5 MMPVO), um auf Sicherheitsrisiken rasch reagieren zu können.¹⁹⁷

bb) Implantateregister

Anders als Eudamed erfasst das Implantateregister (künftig¹⁹⁸) auch Informationen über Patienten mit spezifischen Implantattypen, u. a. Cochleaimplantate¹⁹⁹ und Neurostimulatoren (§ 2 Nr. 1 i. V. m. Anlage IRegG).²⁰⁰ Der Unionsgesetzgeber will dadurch Implantatrisiken abwehren sowie die Gesundheit und Sicherheit der Patienten schützen (§ 1 Abs. 2 Nr. 1 IRegG). Deshalb muss die Gesundheitseinrichtung, die für die implantatbezogene Maßnahme verantwortlich zeichnet, in Zukunft u. a. technisch-organisatorische Daten zum Versorgungsprozess, implantatrelevante Befunde sowie individuelle Parameter zum Implantat melden (§ 16 Abs. 1 IRegG). Darunter fallen etwa sicherheitsbezogene Änderungen eines Implantats oder Sicherheitsupdates (§ 2 Nr. 4 IRegG). Mithilfe des Registers können verantwortliche Gesundheitseinrichtungen und Hersteller Patienten ausfindig machen, die unsichere Geräte nutzen,²⁰¹ und sicherstellen, dass sie verfügbare Updates aufspielen (§ 4 Abs. 4, § 29 Abs. 1 Nr. 1, Nr. 3 lit. c IRegG).

Ob sich das neue Implantateregister als geeignetes Instrument entpuppt, um Reaktionen auf schwerwiegende Sicherheitslücken in Implantaten zu koordinieren und die Gefahren für Patienten abzuwehren, steht derzeit aber noch in den Sternen. Als Crux könnten sich zwei Aspekte erweisen: Bislang ist es Patienten zum einen verwehrt, selbst Probleme mit ihren Implantaten zu melden; weder sie noch ihre Ärzte haben Zugang zu den Daten des Registers [209, S. 82; 210, S. 13].²⁰² Zum anderen beschränkt sich der Schutz – ähnlich wie die Überwachung nach Inverkehrbringen und die Vigilanz – auf die Gesundheit und (körperliche) Sicherheit der Patienten. Wenn Sicherheitslücken „nur“ eine Einsicht in Daten, die das Implantat erhebt oder verarbeitet, ermöglichen, knüpft sich daran keine Meldepflicht des Herstellers. Dies ist allenfalls dann der Fall, wenn der Hersteller oder die verantwortliche Gesundheitseinrichtung zugleich datenschutzrechtliche Verantwortliche sind (Art. 33, 34 DSGVO).²⁰³

2.2.3 Das (allgemeine) Recht der Cybersicherheit als Lückenschließer?

Jenseits des Rechts der Medizinprodukte und des Datenschutzrechts hält die bestehende Rechtsordnung nur wenige Pflichten vor, welche die IT-Sicherheit in den Verkehr gebrachter Gehirn-Computer-Schnittstelle adressieren.

a) Recht der Sicherheit in der Informationstechnik

Die Anforderungen an Betreiber Kritischer Infrastrukturen, die das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) statuieren,²⁰⁴ finden auf Gehirn-Computer-Schnittstellen keine Anwendung. Denn bei der Technologie handelt es sich nicht um unmittelbar lebenserhaltende Medizinprodukte. Sie gehört daher nicht zu den Kritischen Infrastrukturen.²⁰⁵ Selbst wenn die Anbieter einer Schnittstelle auf Cloud-Computing-Dienste zurückgreifen, um Daten zu speichern oder zu verarbeiten, werden sie nicht selbst zu Anbietern digitaler Dienste (§ 2 Nr. 11 BSIG):²⁰⁶ Lediglich Anbieter der Rechenressourcen und Betreiber der Serverfarmen [212, S. 618] müssen Maßnahmen treffen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu bewältigen, die sie benutzen (§ 8c Abs. 1 BSIG).²⁰⁷

Allerdings darf das BSI informationstechnische Produkte und Systeme untersuchen, die auf dem Markt bereitgestellt sind oder werden sollen (§ 7a Abs. 1 BSIG). Von seiner Kompetenz hat das BSI bereits in Kooperation mit mehreren Herstellern Gebrauch gemacht und zahlreiche Medizinprodukte geprüft: Bei jedem Produkt konnte es dabei Sicherheitsmängel feststellen.²⁰⁸

b) Produktrecht

Anforderungen für nichtmedizinische Gehirn-Computer-Schnittstellen ergeben sich allenfalls aus dem Produktsicherheits-²⁰⁹ und Produkthaftungsrecht.²¹⁰ Denn Sicherheitslücken können durchaus Produktfehler i. S. d. § 1 ProdHaftG sein [4, S. 195]. Wann insoweit die kritische Schwelle überschritten ist, dekretiert der unbestimmte Rechtsgriff „Stand der Technik“.²¹¹ Ihn konkretisieren Empfehlungen, Leitlinien²¹² und technischen Standards (z. B. DIN- oder ISO-Normen) [215, S. 522].

Allerdings schützt das Produktrecht nur das Eigentum sowie Körper, Gesundheit und Leben – nicht jedoch Persönlichkeits- und Vermögensinteressen [216, Rn. 2; 217, Rn. 8]. Mit Blick auf die drohenden Beeinträchtigungen der Datensicherheit und Privatheit, die von Cyberangriffen ausgehen, wäre das aber erforderlich. Zudem sind Sicherheitslücken in der Regel beim Inverkehrbringen nicht vorhersehbar, sondern werden erst im Nachhinein erkennbar (§ 1 Abs. 2 Nr. 2, Nr. 5 ProdHaftG).²¹³

c) Verbrauchervertragsrecht

Eine ausdrückliche Pflicht, digitale Produkte durch Updates aktuell und sicher zu halten, kannte das deutsche Recht lange Zeit nicht [218, 220]. Mit Art. 7 Abs. 3 der neuen Warenkauf-Richtlinie²¹⁴ hält eine solche jedenfalls aber für Verbraucherprodukte in die Rechtsordnung Einzug. Den Weg in das nationale Recht ebnet § 475b Abs. 4 BGB [221, S. 1707; 222, S. 315 ff.; 223, S. 455 f.; 224, S. 2890 f.].²¹⁵ Auch die Vertragsmäßigkeit einer gekauften Ware soll sich künftig – je nach den Umständen des Einzelfalls – auf Anforderungen an Datenminimierung, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen erstrecken.²¹⁶ So ist bspw. ein Verschlüsselungsprogramm vertragswidrig, wenn es konzeptionell nicht geeignet ist, einen unbefugten Zugriff auf die Daten zu verhindern.²¹⁷ Ausschlaggebend ist, was ein Verbraucher vernünftigerweise erwarten kann.²¹⁸ Die Anforderungen, an denen sich digitale Produkte messen lassen müssen, harren indes einer Konkretisierung [223, S. 454].

d) Ausblick auf die unionale Verordnung zur Regulierung Künstlicher Intelligenz

Für Gehirn-Computer-Schnittstellen wird in absehbarer Zeit die Verordnung für Künstliche Intelligenz (KI-VO)²¹⁹, welche die EU-Kommission kürzlich als Entwurf vorgelegt hat, normative Rahmenbedingungen vorgeben. Gehirn-Computer-Schnittstellen unterfallen dem Begriff „Künstliche Intelligenz“.²²⁰ Denn sie verwenden verschiedene statistische Methoden und maschinelles Lernen, um Gehirnsignale zu klassifizieren.²²¹ Gehirn-Computer-Schnittstellen, die der MPVO unterfallen,²²² stuft der Verordnungsentwurf als Hochrisiko-KI ein, sofern ihre Klassifizierungsalgorithmen Sicherheitskomponenten sind.²²³ Darunter fallen etwa Neurostimulatoren, die ihren Nutzer schädigen können, wenn sie fälschlicherweise elektrische Impulse abgeben oder ausfallen und z. B. epileptische Anfälle nicht verhindern oder lindern. Hochrisiko-KI spannt der Gesetzesvorschlag in ein engmaschiges Regulierungskorsett: Die Anbieter müssen die Genauigkeit, Robustheit und Cybersicherheit des KI-Systems gewährleisten²²⁴ sowie ein Risiko‑, Qualitäts- und Überwachungsmanagement einführen.²²⁵ Insbesondere müssen solche Systeme gegen Versuche Dritter, Systemschwachstellen auszunutzen, widerstandsfähig sein.²²⁶ Während des Betriebs sollen die KI-Systeme Ereignisse in Logs festhalten, damit sie nachvollziehbar und überprüfbar sind.²²⁷ Werden Gehirn-Computer-Schnittstellen zur biometrischen Identifikation oder Emotionserkennung eingesetzt, sind die Nutzer hierüber zu informieren (Art. 52 (2) KI-VO).

2.2.4 Das Recht der Cybersicherheit von Gehirn-Computer-Schnittstellen als lückenhaftes Regulierungsmosaik

Das Medizinprodukterecht reguliert die Cybersicherheit von Gehirn-Computer-Schnittstellen bisher nur fragmentarisch. Es erfasst einerseits keine Verbraucher- bzw. nicht medizinische Geräte – und zwar selbst dann nicht, wenn ein solches Gerät (in der Zukunft) unmittelbar in den menschlichen Schädel implantiert wird; damit teilen Gehirn-Computer-Schnittstellen das Schicksal vieler anderer Geräte im „Internet der Dinge“.²²⁸ Zum anderen fallen Cyberangriffe auf Medizinprodukte, die „nur“ die Privatsphäre des Nutzers verletzen, nicht in das Regelungsregime der Vigilanz und unterliegen daher nicht der Meldepflicht.

Das Datenschutzrecht schließt diese Lücke nicht. Denn es hält nur Pflichten für die personenbezogene Datenverarbeitung durch den Verantwortlichen und den Auftragsverarbeiter, also die Prozesse einer Software, bereit. Den Hersteller der Hardware adressiert die DSGVO demgegenüber nicht unmittelbar. Das neue Verbrauchervertragsrecht erhöht aber im Gefolge der neuen Warenkauf-Richtlinie die IT-Sicherheit von Verbraucherprodukten: Sie knüpft die Vertragsmäßigkeit eines Produkts auch an dessen IT-Sicherheit und etabliert Aktualisierungspflichten.

3 Vorschläge für ein Regelungsregime der Cybersicherheit von Gehirn-Computer-Schnittstellen

Heute mag Neuroenhancement noch wie ein Subkulturphänomen wirken. In den nächsten Jahren werden sich jedoch mehr und mehr Menschen seinen vielfältigen technischen Möglichkeiten öffnen. Damit können weitreichende und bislang nicht absehbare Auswirkungen auf die Gesellschaft sowie die Menschheit als Ganzes einhergehen. Um der Gefahren Herr zu werden, die von Angriffen auf Gehirn-Computer-Schnittstellen ausgehen, ist der Staat aufgerufen, normative Lücken zu schließen und Vorsorgemaßnahmen zu ergreifen. Ansatzpunkte können nicht nur neue Vorschriften für Hersteller und Betreiber (I.), sondern auch eine Intensivierung bzw. Effektivierung der behördlichen Aufsicht (II.) sowie Haftungs- und Aufklärungspflichten für Hersteller, Betreiber und medizinisch-technisches Personal (III.) sein.

3.1 Regulierung von Gehirn-Computer-Schnittstellen

3.1.1 Ausweitung des Medizinprodukterechts

Bislang erfasst die Rechtsordnung Neuroimplantate nur bei medizinischer Zweckbestimmung (Art. 1 Abs. 2 i. V. m. Anhang XVI MPVO).²²⁹ Um den Sicherheitsrisiken implantierter Gehirn-Computer-Schnittstellen schlagkräftig zu begegnen, sollte der Unionsgesetzgeber den normativen Radius der MPVO pro futuro auf Implantate zu Enhancement-Zwecken ausweiten.²³⁰ Er könnte entweder konkrete Ausgestaltungen wie „Neuroimplantate“ oder den abstrakten Zweck des Enhancements in die Liste des Anhangs XVI MPVO aufnehmen. Konkrete Produktarten in die Liste aufzunehmen, hat den Nachteil, dass die Liste der dynamischen technischen Entwicklung ständig hinterherhinkt. „Cognitive Enhancement“ als normativer Anknüpfungspunkt hat demgegenüber den Charme auch künftige, noch nicht bekannte Technologien zu erfassen und mitzuregulieren [44, S. 81]. Dadurch fallen dann aber auch jegliche EEG-Headsets in den Anwendungsbereich der MPVO. Nichtmedizinische EEG-Headsets gehen in ihrer Invasivität typischerweise über Wearables wie Fitness-Tracker, Smartwatches oder Datenbrillen nicht hinaus: Sie erheben außerhalb des Körpers Daten, auch über physiologische Vorgänge (z. B. messen sie die Herzfrequenz oder – im Fall von EEG-Headsets – Gehirnwellen) [225]. Alle EEG-Headsets der MPVO zu unterwerfen, ist daher nicht angezeigt. Es mag zwar seltsam anmuten, die gleichen EEG-Systeme, die mal medizinischen, mal „privaten“ Zwecken dienen, unterschiedlichen Standards zu unterwerfen [44, S. 77]. Allerdings stellen die höheren Anforderungen an Medizinprodukte neben der Sicherheit auch die Leistung, insbesondere den klinischen Nutzen, sicher.²³¹ Das Kardinalproblem privat genutzter EEG-Headsets liegt dagegen schwerpunktmäßig im Datenschutz und der datenschutzkonformen Ausgestaltung des Produkts [226, S. 9; 227].

Mit Blick auf diese Risiken empfiehlt es sich, den Begriff des Medizinprodukts so zu verändern, dass er gleichermaßen Enhancement umfasst, z. B. indem die MPVO auf die Interaktion des Produkts mit dem Körper oder auf die Risiken für den Nutzer abstellt [44, S. 80 ff.]. Hierdurch schlüpfen jegliche stimulierende und implantierte Gehirn-Computer-Schnittstellen unter den Schirm des Medizinprodukterechts, ohne rein messende, nicht invasive EEG-Geräte miteinzubeziehen.

3.1.2 Security by Design

Über den Anwendungsradius der MPVO hinaus sollte der Normgeber auch in materieller Hinsicht nachjustieren – sowohl an den Anforderungen an Produkte sowie an den Herstellerpflichten.²³²

Die bisher erarbeiteten, feinteiligen Leitlinien der Koordinierungsgruppe Medizinprodukte zur Gewährleistung der Cybersicherheit von Medizinprodukten erfüllen zwar eine wichtige Orientierungsfunktion. Ihre Steuerungswirkung leidet aber unter ihrem Empfehlungscharakter: Die Hersteller sind nicht verpflichtet, ihnen Folge zu leisten.²³³ Die wichtigsten Mindestanforderungen (z. B. Verschlüsselung, sichere Authentifizierung und Angriffserkennungssoftware) sollte die Richtlinie in den Anhang I (Nr. 17) aufnehmen und ihnen hierdurch normative Bindungswirkung verleihen.²³⁴ Bspw. sollte sie als Grundsatz ausdrücklich und verbindlich festlegen, dass Medizinprodukte ruhende Daten verschlüsseln müssen und nur verschlüsselt mit anderen Geräten kommunizieren dürfen.²³⁵

Im Rahmen der MPVO sollte die Koordinierungsgruppe Medizinprodukte weitergehende Anforderungen an die Technikgestaltung formulieren und – ggf. in Abstimmung mit Datenschutzbeauftragten und Cybersicherheitsbehörden²³⁶ – Basismaßstäbe für Security by Design festlegen. Dieser Katalog muss sich dynamisch an aktuelle Bedrohungen anpassen. Bspw. reicht es dann nicht mehr, nur den Benutzerzugriff sicher zu gestalten. Wenn sich Medizinprodukte automatisiert aktualisieren, sollten sie zudem verifizieren, dass die Updates tatsächlich vom Hersteller stammen und unverfälscht sind [45, S. 10 f.].²³⁷

Für Apps, die via Gehirn-Computer-Schnittstelle (oder auf andere Weise) Gesundheitsdaten verarbeiten, ließen sich integrierte Filter vorschreiben, die nur bestimmte Gehirnsignale zur Auswertung gelangen lassen. Medizinprodukte können dann nur solche Daten verarbeiten und speichern, die erforderlich sind, um ihre Funktion zu erfüllen – und gerade nicht das gesamte Spektrum der gemessenen neuronalen Aktivitäten. Denkbar ist auch die Vorgabe, Gehirnsignale (soweit sie nicht für den jeweiligen Einsatzzweck zwingend erforderlich sind) erst dann auswerten zu dürfen, nachdem sie einen Anonymisierungsmechanismus durchlaufen haben.²³⁸ Zusätzlich könnte der Gesetzgeber Betreiber von App-Plattformen für Gehirn-Computer-Schnittstellen dazu verpflichten, die dort angebotenen Anwendungen auf ihre Sicherheit und Vertrauenswürdigkeit hin zu überprüfen, bevor sie zum Download freistehen [14, S. 37].

Als Ausdruck eines digitalen Verbraucher- und Patientenschutzes sollten die Aufklärungs- und Informationspflichten der Hersteller und Ärzte [4, S. 194] verstärkt die Risiken und Besonderheiten der IT-Sicherheit einbeziehen, namentlich zusätzlich zu den besonderen Aufklärungspflichten über die gesundheitlichen Risiken [4, S. 194 f.] auch zur Aufklärung über die IT-Sicherheit verpflichten. Wer eine Schnittstelle nutzt, sollte z. B. einen Hinweis erhalten, was bei ihrer Kopplung mit einem Smartphone zu beachten ist.

3.1.3 Konsequenzen von Vorkommnissen

Bislang ziehen nur schwerwiegende Vorkommnisse mit gravierenden Gefahren für die Patientensicherheit strenge Vigilanz-Pflichten der Hersteller nach sich. Auch unterhalb dieser Schwelle können Medizinprodukte, insbesondere Neurostimulatoren,²³⁹ im Fall eines Cyberangriffs aber gefährliche Folgen zeitigen.²⁴⁰ Statt es den Herstellern zu überlassen, solche Sicherheitslücken zu beheben, sollten sie auch hier die zuständigen Behörden über Vorkommnisse und Sicherheitskorrekturen informieren müssen, damit diese das Produkt überprüfen und ggf. Maßnahmen (Art. 94, 95 MPVO) einleiten können.

Insgesamt kommt im Medizinprodukterecht der Schutz der Privatsphäre im Vergleich zum Schutz der Patientensicherheit derzeit zu kurz:²⁴¹ Gefährdet eine Sicherheitslücke die Vertraulichkeit des Medizinprodukts, löst dies nur Korrektur-, nicht aber Meldepflichten des Herstellers aus. Es greifen lediglich die Meldepflichten aus Art. 33 DSGVO gegenüber der datenschutzrechtlichen Aufsichtsbehörde – allerdings nur, sofern der Hersteller einer Gehirn-Computer-Schnittstelle zugleich auch datenschutzrechtlicher Verantwortlicher ist.²⁴² Die datenschutzrechtlichen Pflichten und das Medizinprodukterecht verdichten sich mithin nicht zu einem vollständigen Schutzportfolio: In Fällen, in denen der Hersteller nicht Verantwortlicher ist, erfasst weder das Medizinprodukte- noch das Datenschutzrecht die Gewährleistung der Vertraulichkeit. Hier sollte der Normgeber dringend nachbessern. Die MPVO sollte im Einzelnen konkretisieren, welche Pflichten bestehen, wenn die Privatheit und informationelle Selbstbestimmung der Patienten gefährdet sind.

Dass Medizinprodukte zunehmend vernetzt sind und – nicht zuletzt aufgrund des demografischen Wandels – immer stärker zum Einsatz kommen, macht es unerlässlich, auf Sicherheitslücken schnell zu reagieren. Die Leitlinien der Koordinierungsgruppe Medizinprodukte formulieren bereits Vorgaben für die Abläufe, Prozesse und Organisation des Managements von Vorkommnissen. Das Anforderungstableau sollte künftig in Gestalt eines delegierten Rechtsaktes verbindliche Regeln formulieren, bedarf dafür aber zugleich noch weiterer und konkreterer Vorgaben.²⁴³

Im Anschluss an ein Vorkommnis kann es erforderlich sein, das Medizinprodukt erneut zu prüfen und zu bewerten, jedenfalls aber sollte es verpflichtend sein, den Mangel aufzuarbeiten und forensisch zu analysieren [101, S. 132]. Zur Konkretisierung sollten auch insoweit delegierte Rechtsakte entstehen. Eine Blaupause liefert das Recht der IT-Sicherheit: Betreiber Kritischer Infrastrukturen müssen mindestens alle zwei Jahre einen Nachweis gegenüber dem BSI darüber erbringen, dass sie alle Anforderungen an die IT-Sicherheit erfüllen (§ 8a Abs. 3 BSIG). Das BSI kann prüfen, ob die Betreiber die Vorgaben tatsächlich einhalten (§ 8a Abs. 4 BSIG). Eine ähnliche turnusmäßige Überprüfung bietet sich – jedenfalls für risikoreiche Produktklassen – an. Bislang sieht die MPVO lediglich die Prüfung von Sicherheitsberichten (Art. 86 Abs. 2 MPVO) und Stichproben-Kontrollen vor (Art. 93 Abs. 1 MPVO).

3.2 Behördliche Aufsicht

Neben der Regulierung von Gehirn-Computer-Schnittstellen gilt es, eine wirksame behördliche Aufsicht über die Einhaltung der Vorgaben sicherzustellen. Bislang teilt sich ein kleinteiliges Mosaik unterschiedlicher Behörden die Zuständigkeit auf: neben den Datenschutzbehörden vor allem das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und das BSI. Zusätzlich bestehen sporadische Zuständigkeiten des Bundesamts für Verbraucherschutz und Lebensmittelsicherheit (BVL) und der Marktüberwachungsbehörden.²⁴⁴

Die verschiedenen Behörden verfügen jeweils über einen eng begrenzten Kompetenz- und Erfahrungsschatz. Fragmentierte Zuständigkeiten erschweren es, die Risiken von Gehirn-Computer-Schnittstellen ganzheitlich zu erfassen. Schon aus verfassungsrechtlichen Gründen lassen sich die Zuständigkeiten der Behörden aber nicht ohne Weiteres in den Händen einer einzelnen Bundesbehörde bündeln. Empfehlenswert ist es jedenfalls, die Zusammenarbeit der Behörden im Kooperationsgruppen zu optimieren [101, S. 129 ff.].²⁴⁵ Z. B. könnten Mitarbeiter des BfArM, die Erfahrung bei der Aufsicht über Medizinprodukte gesammelt haben, gemeinsam mit IT-Sicherheitsexperten des BSI im Tandem Produkte auswählen und überprüfen oder Konzepte zur Fortentwicklung der IT-Sicherheit (ggf. gemeinsam mit den Herstellern) erarbeiten.

Die Exekutive könnte überdies noch stärker eine Schlüsselrolle beim Vorfallsmanagement übernehmen: Sie kann eine zentrale Meldestelle einrichten, die Vorkommnisse – ähnlich der National Vulnerability Database in den USA – in Datenbanken aufnimmt und öffentlich zugänglich macht.²⁴⁶ Das BSI könnte unmittelbar an der Beseitigung von Störungen mitwirken, Maßnahmen hierzu anordnen oder (auf Ersuchen des Herstellers oder Verantwortlichen) diese Maßnahmen selbst treffen.²⁴⁷

4 Fazit

Gehirn-Computer-Schnittstellen beflügeln nicht nur die Vision, die kognitiven Möglichkeiten des Menschen zu erweitern, seine Gedanken zu lesen sowie ihn eines Tages gar mit künstlicher Intelligenz zu verschmelzen. Als Kehrseite machen sie es in Zukunft auch technisch möglich, gehirnbasierte Lügendetektoren zu verwenden,²⁴⁸ Daten einer Gehirn-Computer-Schnittstelle als Beweismittel heranzuziehen²⁴⁹ oder ähnlich einer Telekommunikations- oder Quellentelekommunikationsüberwachung Neuroenhancement-Produkte des Terrorismus Verdächtigter zu überwachen.²⁵⁰

Je stärker nicht nur Smartphones, Wearables und Smart-Home-Produkte, sondern auch Neurotechnologien unser Privat- und Intimleben steuern, umso mehr müssen Gehirn-Computer-Schnittstellen nicht nur im physischen Sinne sicher sein, sondern auch ihre Integrität und Vertraulichkeit als IT-Systeme gewährleisten.

Einzelne Anforderungen an die Cybersicherheit von Gehirn-Computer-Schnittstellen formuliert die Rechtsordnung bereits. Ein vollständiges Regelungskonzept, das die Sicherheit der Anwendungen hinreichend verbürgt, lässt sie aber vermissen. Während das Medizinprodukterecht die IT-Sicherheit jedenfalls mit Blick auf die Patientensicherheit reguliert, gilt für nichtmedizinische Gehirn-Computer-Schnittstellen das gleiche (niedrige) Schutzniveau, das auch alle anderen vernetzten Geräte im Internet der Dinge erfüllen müssen. Die offenen Regelungslücken bei (nichtmedizinischen) Gehirn-Computer-Schnittstellen legen einen grundlegenden Mangel des gesamten Regelungsgeflechts offen: Der Gesetzgeber versteht Cybersicherheit trotz allgegenwärtiger Vernetzung noch nicht als integralen Bestandteil und notwendige Anforderung an digitale Produkte.²⁵¹

Nur das Datenschutzrecht fängt bislang sicherheitsrelevante Verletzungen der Privatsphäre auf einer allgemeinen Ebene ab. Es ist allerdings nicht auf die spezifischen Gefahren von Gehirn-Computer-Schnittstellen zugeschnitten. Sein Fokus richtet sich seinem Wesen nach nur auf Datenverarbeitungsprozesse, erfasst aber nicht unmittelbar die Anforderungen für sichere datenverarbeitende Produkte, die Hersteller einzuhalten haben.

Die neuen EU-Richtlinien zu digitalen Produkten können die klaffenden Lücken immerhin ein Stück weit schließen. Der Unternehmer ist verpflichtet, Software-Updates bereitzustellen, um die Vertragsmäßigkeit aufrechtzuerhalten. Auch der Verordnungsentwurf der EU-Kommission zur KI-Regulierung sieht strenge Anforderungen an jene Sicherheitskomponenten vor, die auf KI-Systemen basieren.

Hinter den Idealanforderungen bleibt der rechtliche Status quo indes weit zurück – anders als bspw. im Spiel Cyberpunk 2077. Dort ist das medizinisch-technische Personal des Konzerns Trauma Team perfekt darauf vorbereitet, Menschen zu retten, die physischen Verletzungen oder Cyberangriffen zum Opfer gefallen sind: Implantate wählen bei einer Fehlfunktion eigenständig den Notruf und Trauma Team repariert das Gerät oder tauscht es in Windeseile aus – sofern hierfür der erforderliche (und teure) Versicherungsschutz besteht.²⁵² Eine Vollkaskoabsicherung für Gehirn-Computer-Schnittstellen wird es in der Realwelt der Zukunft nicht geben. Für ein adäquates Sicherheitsniveau sollte der Gesetzgeber aber zeitnah sorgen. Sonst erfasst das vielbeschworene Internet der Unsicherheiten [236] nicht nur das Internet der Dinge, sondern auch unsere Körper – und Gehirne.