UPDATES

HOW WE CAN HELP

Regulierung im digitalen Zeitalter

Brauche ich für meine KI-Anwendung eine gesetzliche Grundlage und wenn ja, welcher Art?

Jedes staatliche Handeln braucht eine gesetzliche Grundlage. Dieser Beitrag liefert Hinweise dazu, wann und wie der staatliche Einsatz künstlicher Intelligenz in eine Rechtsnorm gegossen werden sollte.

Der Rahmen

Der Einsatz künstlicher Intelligenz (KI) – in einem sehr breiten Sinn verstanden als qualifizierte Automatisierungsprozesse[1] – ermöglicht es auch im öffentlichen Sektor, effizienter und effektiver zu arbeiten sowie aus grossen Datenmengen Nutzen zu ziehen.

Einige Anwendungen stellen lediglich eine alternative Weise dar, eine bereits zuvor erfüllte Aufgabe zu erledigen; so gibt etwa ein Chatbot Informationen zu Krankenkassen-Verbilligungen, die in der Vergangenheit jeweils von einem Mitarbeiter zusammengetragen wurde. Andere bringen jedoch neue Risiken mit sich – etwa sogenanntes «personenbezogenes Predictive Policing», das darauf fokussiert, vorab «gefährliche Personen, sog. ‘Gefährder’, zu identifizieren und durch eine frühzeitige Intervention insbesondere schwere Gewaltdelikte zu verhindern»[2]. Hier kann aus der Anwendung ein grosses Risiko für die Grundrechte derjenigen Personen entstehen, die als Gefährder identifiziert werden, weil Datenattribute basierend auf Typisierungen in der Vergangenheit zu einer Risikoprognose und damit polizeilichen Massnahmen führen können. In diesem Fall bietet die Anwendung Informationen (den errechneten Risikograd) und eröffnet basierend darauf Handlungsmöglichkeiten (die Polizeipatrouille wird basierend auf den Risikograd aktiv), wie sie vor dem Einsatz der neuen Technologie nicht möglich waren.

Wie bei jedem staatlichen Handeln taucht in diesem Kontext sogleich das Stichwort «Legalitätsprinzip» auf. Die Bundesverfassung fordert prominent (Art. 5 Abs. 1 BV): «Grundlage und Schranke staatlichen Handelns ist das Recht.» Wann brauche ich also eine gesetzliche Grundlage, um eine KI-Anwendung genügend rechtlich abzusichern, und wie hat sie auszusehen?

Was will das Legalitätsprinzip?

Das Legalitätsprinzip erfüllt folgende Funktionen[3]:

Erstens: Demokratische Funktionen

  • Mithilfe einer adäquaten Gesetzesgrundlage soll einerseits die Vorherrschaft des Volkswillens sichergestellt werden – in einer Demokratie entscheidet das Volk, welche Regeln gelten.
  • Andererseits soll die Gewaltenteilung aufrechterhalten werden – die Legislative ist die gesetzgebende Gewalt, die Exekutive hat sich auf ausführende Regelungen zu beschränken.

Aus diesen beiden Dingen lassen sich wiederum folgende Forderungen ableiten:

  • Vorherrschaft des Volkswillens: Dinge, die derart wesentlich sind, dass es einen offenen politischen Meinungsbildungs- und Entscheidungsprozess dafür braucht, müssen in einem parlamentarischen (d.h. «formellen») Gesetz abgebildet sein (in juristischer Terminologie ist die Rede vom «Erfordernis der genügenden Normstufe»). Wesentlich sind Themen u.a. dann, wenn schwere Grundrechtseingriffe damit verbunden sind, viele Personen von einer Regelung betroffen sein werden oder wenn ein Entscheid grosse finanzielle Konsequenzen mit sich bringt.[4]
  • Gewaltenteilung: Das Parlament als Vertreterin des Volks darf sich nicht damit begnügen, eine Thematik in Blankettform an die Exekutive abzudelegieren. Die Grundzüge einer Regelung gehören in ein formelles Gesetz, Rechtsetzung durch eine andere Gewalt als die Legislative muss gesetzlich vorgegeben und präzise umrissen werden.

Zweitens: Rechtsstaatliche Funktionen

Unter diesem Titel werden folgende Anliegen zusammengefasst:

  • Vorhersehbarkeit staatlichen Handelns: Das Individuum soll beim Lesen des Gesetzes verstehen können, wie ihm in einer bestimmten Situation geschehen wird und was es vom Staat erwarten kann.  
  • Schutz des Einzelnen vor staatlicher Willkür: Es ist das Gesetz, das vorschreibt, welche Zwangsmassnahmen in einem Strafverfahren möglich sind oder in welcher Frist ein Baugesuch zu bearbeiten ist. Diese Dinge sollen der Willkür eines möglicherweise launischen Staatsanwalts oder eines schlecht organisierten Amts entzogen werden.
  • Gleichbehandlung: Das Gesetz soll gleichförmiges staatliches Handeln sicherstellen, vergleichbare Situationen sollen die gleiche Behandlung erfahren.

Aus diesen rechtsstaatlichen Funktionen leitet die juristische Lehre wiederum ab, dass eine Norm genügend bestimmt zu sein hat und alle Elemente aufweisen muss, die notwendig sind, um die obigen drei Anliegen zu verwirklichen (sogenanntes «Erfordernis der genügenden Normdichte»).

Und was heisst dies jetzt?

Die Schritte der Analyse

Wer bis hierhin gelesen hat, wird sich fragen: Was heisst das jetzt? Es kommt natürlich (wie immer!) darauf an, und zwar darauf, in welchem Masse die fünf erwähnten Anliegen der Vorherrschaft des Volkswillens, der Gewaltenteilung, der Vorhersehbarkeit staatlichen Handelns, des Schutzes vor Willkür und der Gleichbehandlung im gegebenen Szenario zu finden sind. Die Ausgestaltung einer konkreten gesetzlichen Grundlage wird sich in folgenden zwei Schritten eruieren lassen:

  1. Die Identifikation derjenigen Anliegen bzw. Funktionen des Legalitätsprinzips, die im konkreten Fall von der KI-Anwendung tangiert werden.
  2. Eine genaue Analyse der bereits bestehenden Rechtslandschaft: Was gibt die Verfassung genau vor? Gibt es bereits spezialgesetzliche Grundlagen, die ganz oder teilweise eine Regelung enthalten? Kann/muss man Ergänzungen vornehmen, um den im ersten Schritt identifizierten Funktionen zur Geltung zu verhelfen? Hier erweist sich auch ein Blick zur Rechtsprechung als empfehlenswert, da diese bereits für gewisse Konstellationen (teilweise) konkretisiert hat, wie die Rechtsgrundlage auszusehen hat.

Chatbot: nein, personenbezogenes Predictive Policing: ja

Für die eingangs erwähnten Beispiele lässt sich so aufgrund der betroffenen Funktionen des Legalitätsprinzips Folgendes skizzenhaft behaupten:

Erstens: Ein Chatbot, der eine Behörde dabei unterstützt, eine ihrer Aufgaben dadurch zu erledigen, dass er eine Anfrage sprachlich analysiert und bestehende öffentliche Formulare (ohne Personendaten) herausgibt, braucht keine spezifische gesetzliche Grundlage. Seine Verwendung ist bereits von der allgemeinen Aufgabenerfüllung der Behörde gedeckt (die wiederum in einem Gesetz festgehalten sein sollte!), führt zu keinen Grundrechtseingriffen und weckt daher weder demokratische noch rechtsstaatliche Bedenken.

Zweitens: Personenbezogenes «Predictive Policing» bedarf einer gesetzlichen Grundlage. Werden Datenattribute einer Person zusammengeführt, analysiert und für eine Vorhersage genutzt, wonach die betreffende Person ein Delikt begehen könnte, so ruft dies die Anliegen des Schutzes vor Willkür, der Vorhersehbarkeit staatlichen Handelns und der Gleichbehandlung auf den Plan. Es ist zu vermuten, dass die Aufnahme auf eine Gefährderliste je nach Situation zu einer erhöhten polizeilichen Aufmerksamkeit führt und je nach Verlauf in einer späteren Festnahme münden kann, also unter Umständen zu gewichtigen Eingriffen in die Rechtsstellung der Person. Das demokratische Anliegen führt zum selben Schluss: Hier ist es allen voran die gesellschaftliche Dimension dieser neuen Vorgehensweise, die einer eingehenden politischen Diskussion und daher einer parlamentarischen Norm bedürfen. Werden damit der Polizei zusätzlich neue Aufgaben auferlegt und werden neue Möglichkeiten des Eingriffs in das Leben des Einzelnen geschaffen, müssen auf höchster gesetzlicher Ebene, also vom Parlament als Legislative in einem formellen Gesetz, Regelungen getroffen werden.

Und was muss konkret enthalten sein?

Diese Regelungen zum Predictive Policing müssten zudem Folgendes festhalten (genügende Normdichte):

  • zu welchen klar definierten Zwecken personenbezogenes Predictive Policing eingesetzt werden kann;
  • welche Aufgaben damit erfüllt werden;
  • exakt welche Datenattribute einer Person verwendet werden können (einzeln aufgeführt!), um eine Vorhersage zu machen,
  • auf welche weiteren Datenbanken allenfalls zugegriffen wird, um Daten abzugleichen oder zu kombinieren,
  • auf welchen Kriterien die Vorhersage beruht und
  • welche Rechtsfolgen für die betroffene Person damit verbunden sind.

Ist ein selbstlernendes System im Einsatz, ist auch sicherzustellen, dass die Nachvollziehbarkeit auf Dauer gewährleistet ist, u.a. um dem Recht der betroffenen Person auf Begründung eines behördlichen Entscheids (Teil des Anspruchs auf rechtliches Gehör, Art. 29 Abs. 2 BV) nachzukommen oder Diskriminierungen vorzubeugen (Art. 8 Abs. 2 BV). Daneben sind auch weitere grundrechtliche Anforderungen zu beachten.


Public Sector Law berät Gemeinwesen regelmässig bei gesetzgeberischen Projekten. Das Verfassen von Gesetzen im Wortlaut gehört zu unseren Kernkompetenzen. Kommen Sie mit uns ins Gespräch!


[1] Der Einfachheit halber basiert die hier verwendete Terminologie auf derjenigen der Studie «Einsatz Künstlicher Intelligenz in der Verwaltung: rechtliche und ethische Fragen», Schlussbericht vom 28. Februar 2021, Universität Basel, Prof. Nadja Braun Binder, in Zusammenarbeit mit AlgorithmWatch. Vgl. dazu S. 10-11 des Schlussberichts.

[2] Monika Simmler, Simone Brunner, Kuno Schedler, «Smart Criminal Justice – Eine empirische Studie zum Einsatz von Algorithmen in der Schweizer Polizeiarbeit und Strafrechtspflege», Studienbericht vom 10. Dezember 2020, S. 6. Gerne weisen wir darauf hin, dass diese Studie in einem Detailgrad auf verschiedene in Polizei- und Justizwesen aktuell eingesetzte Anwendungen eingeht und diese auch auf ihre Legalität einschätzt, wie es vorliegend nicht möglich ist. Entsprechend empfehlenswert ist die Lektüre des ganzen Studienberichts.

[3] Vgl. zum Ganzen Pierre Tschannen/Ulrich Zimmerli/Markus Müller, Allgemeines Verwaltungsrecht, 4. Aufl. Bern 2014, § 19 n. 12 ff. Zu den Funktionen des Legalitätsprinzips ebenfalls sehr aufschlussreich ist der folgende Aufsatz: Isabelle Häner, Die Einwilligung der betroffenen Person als Surrogat der gesetzlichen Grundlage bei individuell-konkreten Staatshandlungen, ZBl 103/2002, S. 57 ff.

[4] Vgl. dazu Tschannen/Zimmerli/Müller, § 19 n. 4.

September 22nd, 2021
Webinar “Der digitale Staat” am 29. April 2021, 10:30 Uhr

Unter dem Titel “der digitale Staat” lassen wir am 29. April 90 Minuten lang ein Forum für Austausch, Wissenstransfer und Vernetzung entstehen. Zum Einen hören wir von der Eidgenössischen Zollverwaltung EZV, die ein umfassendes digitales Transformationsprogramm durchführt. Daraus wird uns ein konkretes Praxisbeispiel vorgestellt. Zum Anderen hat der Bundesrat Ende 2020 beschlossen, den Aufbau eines Kompetenznetzwerks für künstliche Intelligenz in der Bundesverwaltung an die Hand zu nehmen. Was darf man sich davon erhoffen und wohin führt die Reise? Danach bleibt Zeit für Fragen und Austausch. 

  • 10:30 Uhr: Begrüssung und Einführung – Dr. Esther Zysset
  • 10:45-11:15 Uhr: Mit Tempo 60 über die Grenze – Die Digitalisierung der Eidgenössischen Zollverwaltung am Praxisbeispiel – Doris Reber und Christine Vetsch, EZV, Transformationsprogramm DaziT
  • 11:20-11:35 Uhr: Das Kompetenznetzwerk KI: Business Case für künstliche Intelligenz in der Verwaltung? – Dieter J. Tschan, Kompetenznetzwerk KI Bundesverwaltung
  • 11:35-12:00 Uhr: Austausch und Q&A mit den Vortragenden


Der Anlass ist unentgeltlich und richtet sich primär an Mitarbeitende des öffentlichen Sektors jeglicher Ebene (nicht nur Juristinnen und Juristen) – aber auch andere interessierte Personen sind selbstverständlich willkommen. Anmeldungen sind bis 27. April unter webinar@publicsector.ch möglich. Wir freuen uns auf Sie!

March 10th, 2021
Liebe E-ID: Wie hast du’s mit dem Staat?

Die staatliche Aufsicht über die elektronischen Identifizierungsdienste (E-ID) wirkt beim Blick in das Gesetz, das am 7. März zur Abstimmung gelangt, nicht gerade schlagkräftig. Doch der Eindruck täuscht, denn zusammen mit den Befugnissen des eidgenössichen Datenschutzbeauftragten (EDÖB) könnte ein ansehnliches Arsenal an Aufsichtsmassnahmen bei Datenschutzmissbräuchen im Zusammenhang mit elektronischen Identitäten zur Anwendung kommen. 

Die Streitfrage


Die Debatte im Abstimmungskampf um das Bundesgesetz über die elektronischen Identifizierungsdienste (E-BGEID) tobt intensiv. Der grösste Stein des Anstosses der Gegner: Es ist der Staat selbst, der die E-ID herausgeben sollte; eine derart wichtige Aufgabe solle nicht in die Hand privater Anbieter gelegt werden. Ein Gegenargument der Befürworter: Staatliche IT-Projekte haben sich in der Vergangenheit nicht den besten Ruf eingeholt; es ist besser, wenn der Staat Rahmenbedingungen setzt und für die technische Umsetzung auf das Know-how der Privatwirtschaft setzt. Zudem wäre so oder so zu erwarten, dass der Staat Serverleistung einkaufen würde und somit auch eine “eigene” staatliche E-ID mithilfe privater Dienstleister herausgeben würde. 
Hinter dem Disput “Staat vs. nicht Staat” liegt die Frage, welche Rolle der Staat in Ausstellung und Betrieb einer digitalen Identität zukommen sollte – welche Rolle nötig ist, um die Ziele des Gesetzes zu erreichen, nämlich u.a. die sichere Identifizierung im elektronischen Geschäftsverkehr unter Privaten und mit Behörden und der Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 Abs. 2 lit. a und b E-BGEID). Die Position “pro staatliche E-ID”, die das Gesetz ablehnt, geht dabei von folgender Annahme aus: “staatliche E-ID” = gut kontrolliert und sicher, “private E-ID” = viel Missbrauchspotential.

Im Folgenden soll untersucht werden, wie das staatliche “Involvement” in die E-ID gemäss E-BGEID ausgestaltet ist und welche Aufsichtsmechanismen vorgesehen sind. Ob diese genügend ausfallen oder nicht, darf dann jede Stimmbürgerin und jeder Stimmbürger selbst entscheiden. 


Welche Behörden sind in die E-ID involviert und wie?


a) Die Kommission


Zentrale Aufsichtsbehörde gemäss E-BGEID ist die Eidgenössische E-ID-Kommission (EIDCOM). Sie ist es, die Identity Providers (IdPs), die basierend auf dem E-BGEID Identitäten ausstellen wollen, anerkennt (Art. 13 E-BGEID). Die EIDCOM wird aus fünf bis sieben unabhängigen Sachverständigen zusammengestellt und ist weisungsunabhängig von der Zentralverwaltung (Art. 25 E-BGEID). Ihre Rolle ist es, die Einhaltung des Gesetzes zu überwachen und Entscheide zu treffen, bzw. Verfügungen zu erlassen, die für den Vollzug notwendig sind. Bevor die Befugnisse der EIDCOM etwas genauer unter die Lupe genommen werden, ist zuerst die Liste aller weiteren gemäss Gesetzesentwurf involvierten Bundesbehörden zu erstellen: 

b) Das fedpol


Das Bundesamt für Polizei (fedpol) hat u.a. folgende Aufgaben: 

  • Es stellt die E-IDs zuhanden der IdPs (und auf Antrag derselben) aus (Art. 6 Abs. 1 E-BGEID). Es kann die initiale Identitätsprüfung an diejenige Stelle delegieren, die auch gemäss Ausweisgesetz für die Erstellung von Ausweisen zuständig ist. Diese Stellen werden jeweils von den Kantonen (bzw. vom Bund für Ausweisdokumente, die im Ausland ausgestellt werden) designiert (im Aargau ist dies das Ausweiszentrum Aargau. Bitte, gern geschehen!)
  • Es übermittelt die nötigen Personendaten an den IdP, falls die gesetzlichen Voraussetzungen erfüllt sind (Art. 6 Abs. 2 E-BGEID sowie auch Art. 23 E-BGEID), protokolliert diese Datenübermittlungen (Art. 6 Abs. 3 E-BGEID) und führt ein Informationssystem zur Erfüllung seiner Aufgaben im Zusammenhang mit der E-ID (Art. 24 E-BGEID).

c) Der Bundesrat


Der Bundesrat ist der Superstar des E-BGEID: Er ist diejenige Behörde, die mittels Verordnung viele ausführende Bestimmungen zum Gesetz erlässt. Wenn ich richtig gezählt habe, enthält das E-BGEID dreizehn (13) Delegationsbestimmungen in 35 Artikeln, zu allen möglichen Themen, u.a. genauere Vorschriften zum Ausstellungsprozess, nähere Vorschriften zu den Voraussetzungen für die Anerkennung von IdPs oder zur Ausgestaltung von E-ID-Systemen und Meldepflichten der IdPs. Betrachtet man die lange Liste an Delegationsbefugnissen, so ist tatsächlich zu bedauern, dass der Verordnungsentwurf noch nicht ersichtlich ist. 

Zusätzlich zu seiner Verordnungskompetenz wählt der Bundesrat die Mitglieder der EIDCOM sowie die Direktion des EIDCOM-Sekretariats (Art. 25 und 28 E-BGEID). Er genehmigt das Organisationsreglement der EIDCOM (Art. 25 Abs. 6 E-BGEID) und kann bei Marktversagen entscheiden, ein eigenes E-ID-System zu betreiben oder sich an einem IdP beteiligen (Art. 10 Abs. 1 E-BGEID). 

Was versteht man unter staatlicher Aufsicht?


Ziel der Aufsicht ist es, die Einhaltung der anwendbaren rechtlichen Vorschriften, hier also des E-BGEID, zu überwachen und durchzusetzen. Wie gut und schlagkräftig diese Aufsicht effektiv ist, bemisst sich an den Instrumenten, das der Behörde im konkreten Fall zur Verfügung steht. Zu denken ist an Auskunfts- und Inspektionsrechte, Widerruf von Bewilligungen, Bussen, etc.; die Liste theoretisch möglicher Aufsichtsinstrumente ist lang. Nur gilt für alles staatliche Handeln das Legalitätsprinzip, d.h. gerade bei Sanktionen ist zu verlangen, dass eine möglichst solide Verankerung in einem vom Parlament erlassenen Gesetz erfolgt (auch wenn hier gewisse Ausnahmen möglich sind). 


Welche Aufsichtsmassnahmen sind genau vorgesehen?


a) E-BGEID


Nun zu den eigentlichen Aufsichtsmassnahmen, denn hier wird es interessant. Der Entwurf sieht vor, dass die EIDCOM insbesondere für die Anerkennung von IdP und den Entzug der Anerkennung zuständig ist sowie für die “Anordnung von Massnahmen” (Art. 26 Abs. 2 lit. a i.V.m. Art. 19 E-BGEID). Ferner kann sie im Streitfall über Fragen des Zugangs zur E-ID und zur Interoperabilität entscheiden (Art. 26 Abs. 2 lit. c E-BGEID). Einigermassen explizit wird das Gesetz mit einer Art Massnahmen-Generalklausel in Art. 19, wo die EIDCOM befähigt wird, Massnahmen anzuordnen “zur Wiederherstellung des rechtmässigen Zustandes”, wenn ein IdP Gesetz, Ausführungsbestimmungen oder von der EIDCOM auferlegte Pflichten missachtet. Der Entzug der Anerkennung ist dabei die einzige explizit im Gesetz ausformulierte Sanktion, was aus gesetzgeberischer Sicht durchaus etwas heikel erscheint. Der EIDCOM werden weder der Erlass von Bussen noch spezifische Untersuchungs-, Inspektions- oder Auditbefugnisse eingeräumt; das Sekretariat der Kommission erhält aber die Befugnis, selbständig Verfügungen zu erlassen und in den Betrieb eines IdP einzugreifen, “sofern die Verhältnisse es erfordern” (Art. 27 Abs. 3 und 4 E-BGEID). 


Was die im E-BGEID fehlenden Untersuchungsbefugnisse anbelangt, so dürfte das Verwaltungsverfahrensgesetz (Bundesgesetz über das Verwaltungsverfahren VwVG, SR 172.021) zumindest teilweise in die Bresche springen: Es ist anwendbar auf Verfahren in Verwaltungssachen, die durch Verfügungen eidgenössischer Kommissionen zu erledigen sind (Art. 1 Abs. 1 und 2 lit. d VwVG). Es sieht vor, dass die Behörde den Sachverhalt von Amtes wegen abklären kann und dazu verschiedene Beweismittel, darunter immerhin Dokumente (“Urkunden”) und den “Augenschein”, beiziehen kann (Art. 12 VwVG). Die Mitwirkungspflicht von IdPs dürfte vorliegend im Rahmen des VwVG aber beschränkt ausfallen.  
Daneben werden der EIDCOM vor allem beratende und informelle Instrumente in die Hand gelegt (Art. 26 E-BGEID). 


b) Datenschutzgesetz


Was allerdings in der Praxis bedeutsam werden könnte – und in diesem langen Text bisher gänzlich ignoriert wurde – ist die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Auch der Entwurf des E-ID-Gesetzes gibt sich dazu eher wortkarg; namentlich bei der Anerkennung von IdPs sieht es vor, dass der EDÖB vorgängig anzuhören ist (Art. 13 Abs. 1 E-BGEID). Da die Bestimmungen des Bundesgesetzes über den Datenschutz (DSG) auch auf den Betrieb der E-ID-Systeme anwendbar sein werden, sind für die Frage nach der Aufsicht auch die Kompetenzen des EDÖB einzuberechnen. 


Gemäss dem neuen DSG, das voraussichtlich 2022 in Kraft treten dürfte, wird der EDÖB von Amtes wegen oder auf Anzeige hin Untersuchungen durchführen können, bei denen auch diejenigen Massnahmen angeordnet werden können, die im E-BGEID fehlen: Zugang zu allen relevanten Unterlagen und Personendaten, zu Räumlichkeiten und Anlagen, Zeugeneinvernahmen, Begutachtungen durch Sachverständige (Art. 49-50 DSG neu). Er kann Verwaltungsmassnahmen (Art. 51 DSG neu) und einschneidende Bussen anordnen (Art. 60-64 DSG neu). Das DSG sieht im Gegensatz zum E-BGEID auch eine Koordinationsbestimmung vor, wonach auch Aufsichtsbehörden des Bundesrechts den EDÖB zur Stellungnahme einladen, bevor sie in datenschutzrechtlichen Angelegenheiten eine Verfügung erlassen. Wenn sowohl gemäss E-BGEID und DSG Verfahren laufen, sind beide zu koordinieren (Art. 53 DSG neu).


Eine Art Fazit: Wird es schlussendlich der EDÖB richten?


Aus gesetzgeberischer Sicht ist zu bedauern, dass nicht präzisere Verhaltenspflichten und Sanktionen bereits auf Gesetzesstufe im E-BGEID verankert werden, denn die weitgehende Delegation auf Verordnungsebene bringt gewisse Abstriche in der demokratischen Abstützung und in der Rechtssicherheit mit sich. Dies liegt gerade hinsichtlich der Befugnisse der EIDCOM wohl am Gesetzgebungsprozess, bei dem das Parlament in den Beratungen die EIDCOM nachträglich eingefügt hat – eine Ergänzung, die wiederum hinsichtlich der staatlichen Aufsicht und Kontrolle klar zu begrüssen ist. Umso wichtiger wird es sein, dass die Verordnung(en) des Bundesrats präzise verfasst werden und dass im Ausüben der Aufsichtsinstrumente die Verhältnismässigkeit hochgehalten wird. 


Der Umweg über das Datenschutzgesetz zeigt, dass die allgemeine Aufsicht bei Annahme des Gesetzes eingehender ausfallen dürfte, als dies das E-BGEID selbst vermuten lässt. Sofern es sich also um allgemeine Datenschutzverstösse bei IdPs handelt (und nicht um spezifische Pflichten aus dem E-BGEID), sind ab Inkrafttreten des neuen DSG schlagkräftige staatliche Aufsichtsinstrumente vorhanden, um diese zu ahnden. 

February 18th, 2021
EU plant Leitplanken für Google & Co.

Vor Weihnachten durfte ich (Esther Zysset) mich in der Zeitschrift “Die Volkswirtschaft” / “La vie économique” (herausgegeben durch das SECO) zum neuen EU-Regulierungspaket “Digital Services Act” und “Digital Markets Act” äussern. Der Artikel findet sich hier auf Deutsch und hier auf Französisch.

Das neue Gesetzespaket ist interessant — u.a. deswegen, weil die EU damit eine umfassende, allgemeine Regulierung gewisser Aspekte der Onlinewelt beabsichtigt. Was offline illegal ist, soll es auch online sein und grosse Plattformen sollen neuen Verhaltensregeln unterworfen werden. Insbesondere will der EU-Regulator aktuelle Phänomene wie benutzerdefinierte Werbung (“targeted advertising”) oder das Ausnutzen grosser Datenmengen und Algorithmen zum Erlangen von Wettbewerbsvorteilen rechtlich einfassen. Auch die Schweiz unternimmt kleine Schritte in dieselbe Richtung. So befindet sich zurzeit die sogenannte “Lex Booking” in der Vernehmlassung — eine kleine Bestimmung im Bundesgesetz gegen den unlauteren Wettbewerb (UWG), die Online-Buchungsplattformen verbieten soll, Preisbindungsklauseln zu verwenden. Der neue Entwurf der EU wird viele Diskussionen auslösen; er könnte auch in der Schweiz zumindest als Diskussionsgrundlage dafür dienen, wie man das Internet regulieren könnte — oder eben nicht.

January 4th, 2021