Einheit der Rechtsordnung?

KIR 2024, 113   Es war eine unangenehme Wahrheit, die Mario Draghi dem Europäischen Parlament am 17.9.2024 verkündete: „Das Kernproblem in Europa ist, dass in unserer Wirtschaft keine neuen Unternehmen mit neuen Technologien entstehen.“ Der Wirtschaftsprofessor und ehemalige Präsident der EZB fasste hier die Ergebnisse des sog. Draghi-Reports zusammen. Dieser soll einen Weg vorzeichnen, wie die EU in Zukunft wettbewerbsfähig bleibt. Draghi stellt darin der EU kein positives Zeugnis aus. Seine Kernbotschaft: Europa muss sich dringend ändern, um innovations- und wachstumsfreundlicher zu werden. Auch für Nicht-Expertinnen und Nicht-Experten lässt sich leicht beobachten, wo der Schuh drückt. Nach ungefähr zwei Jahren KI-Boom ist das Ergebnis aus europäischer Sicht ernüchternd: Nur wenige europäische Unternehmen sind bei dieser Schlüsseltechnologie in der Spitzengruppe. Europa droht einmal mehr abgehängt zu werden. Eine Führungsrolle hat Europa lediglich bei der Einführung der KI-Verordnung (KI-VO) übernommen. Eine nicht ganz untypische Situation.

Recht als Innovationsbremse

Besteht hier ein Zusammenhang: Ist Recht eine Innovationsbremse? Zu diesem Ergebnis kommt jedenfalls eine Studie des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE aus dem Jahr 2023. „Der aktuelle Rechtsrahmen reicht für eine sichere Verarbeitung von Big Data nicht aus und sorgt für Verunsicherung bei Bürgerinnen und Bürgern sowie Rechtsunsicherheit bei Unternehmen“ schreibt das Zentrum in Zusammenfassung einer von ihm durchgeführten Studie (Gutjahr et al., Systematic Privacy for large, real-life Data Processing Systems, Fraunhofer-Institut für Sichere Informationstechnologie SIT, Darmstadt, 2023). Kritisiert wird in der Studie insbesondere die große Rechtsunsicherheit bei der Anonymisierbarkeit von großen Datenmengen.

Und auch die Bundesregierung sieht es mittlerweile ähnlich: In einer im Juli 2024 beschlossenen „Wachstumsinitiative“ beschreibt sie, wie sie zukünftig bessere rechtliche Rahmenbedingungen für Wirtschaftswachstum schaffen will. „Unternehmerische Dynamik stärken: Unnötige Bürokratie abbauen“ ist die Überschrift des zweiten Abschnitts in diesem Papier. Es kritisiert „überbordende Bürokratie“ und nennt dann gleich als erstes Rechtsgebiet, in dem Bürokratie abgebaut werden soll, das Datenschutzrecht.

Fokus auf Wirtschaftswachstum

Viel kann die Bundesregierung in Bezug auf das Datenschutzrecht allerdings nicht tun. Dieses ist bekanntlich durch die DS-GVO auf EU-Ebene fast vollständig harmonisiert und damit dem Gestaltungswillen der Bundesregierung weitgehend entzogen. Dennoch ist es bemerkenswert, wie deutlich die Bundesregierung nun den Datenschutz als Innovations- und Wachstumsbremse anspricht. In den letzten zehn Jahren hat man aus Bonn und Berlin eher andere Töne gehört.

Für die Zukunft der Rechtsentwicklung in Europa und Deutschland ist damit die politische Richtung vorgegeben: Fokus auf Wachstum und Innovation. Dieser Ägide dürfte sich nicht nur die kommende EU-Kommission verschreiben, sondern auch die nächsten deutschen Bundesregierungen. Dafür haben vor allem die niederschmetternden Wahlergebnisse gesorgt – sowohl in den ostdeutschen Bundesländern als auch in unseren europäischen Nachbarstaaten. Die Inflation und steigenden Preise der letzten Jahre waren dabei für die Wählerinnen und Wähler das wichtigste wahlentscheidende Thema. Viele haben das Vertrauen in die etablierten Parteien verloren und geben ihnen die Schuld an ihrem gefühlten sozialen Abstieg. Wer dieses Problem nicht löst, wird auch weiterhin Wahlen gegen populistische und demokratiefeindliche Parteien verlieren. Damit ist der Weg vorgezeichnet: Mehr Priorität auf Wirtschaftswachstum und damit auch auf die Ermöglichung von Innovation.

Nicht alle hierbei möglichen Maßnahmen haben mit Recht zu tun; Innovation braucht ein „Ökosystem“, zu dem viele Faktoren gehören. Eine innovationsfreundliche Rechtslage ist nur einer dieser Faktoren – aber ein wichtiger.

Wie man Innovationsbremsen vermeidet

Wie aber „geht“ nun innovationsfreundliches Recht? Wie kann die Politik ein rechtliches Ökosystem herstellen, in dem sich neue Ideen und Geschäftsmodelle schnell durchsetzen und skalieren können?

Als Rechtspraktikerinnen und Rechtspraktiker begegnen wir diesem Problem täglich. Wir stoßen dabei auf Gesetze, die undeutlich sind oder sich widersprechen. Wir erleben Situationen, in denen Unternehmen bei ihren Entscheidungen ganz erheblich ins Risiko gehen müssen – nicht, weil sie aus unternehmerischen Gründen Grauzonen ausreizen, sondern ganz einfach deshalb, weil keine der möglichen Varianten wirklich rechtssicher ist. Niemand, auch nicht die besten Berater, kann den Entscheiderinnen und Entscheidern an der Unternehmensspitze sicher sagen, wie es „richtig“ geht. Aus Sicht der Unternehmen, die die Innovation vorantreiben, ist das misslich. Eine Rechtslage, die selbst bei wichtigsten Grundsatzfragen keine belastbaren und eindeutigen Ergebnisse produziert, ist keine solide Basis für Innovation.

Die meisten der neuen europäischen „Digitalgesetze“ sind hier eher Teil des Problems als Teil der Lösung. Die EU-Kommission der letzten Legislaturperiode hat in einem hohen Tempo neues Digitalrecht gesetzt: Vom Data Act über die vielen neuen Cybersicherheitsregelungen und das neue digitale Verbraucherschutzrecht bis hin zur KI-VO. Und dies sind nur die wichtigsten Neuerungen. Die Liste ließe sich noch lange fortsetzen. Selbst hochspezialisierte Rechtsberater haben Mühe, in diesen umfangreichen Gesetzen den Überblick zu behalten. Wie sollen dies dann „normale“ Unternehmen tun, die sich keine großen Rechtsabteilungen oder teuren Rechtsanwälte leisten können? Oder Start-ups, die ihre gesamte Energie in Wachstum investieren?

Unbestimmte Rechtsbegriffe und hohe Bußgelder

Die neuen Daten- und Cybergesetze haben alle eines gemeinsam: Sie sind umfangreich, komplex und enthalten beim Vollzug einen explosiven Cocktail: Eine Kombination von unbestimmten Rechtsbegriffen mit hohen Bußgeld- und Schadensersatzrisiken. Für Unternehmen heißt das in der Praxis: Um die rechtlichen Anforderungen zu erfüllen, müssen sie „Interessenabwägungen“ durchführen oder aus Begriffen wie „vernünftig“ oder „angemessen“ konkrete Anforderungen für ihre Geschäftsmodelle und IT-Systeme ableiten. Was dabei richtig oder falsch ist, kann ihnen keine Behörde und kein Gericht vorab genehmigen. Nahezu der gesamte Vollzug des aktuellen EU-Digitalrechts erfolgt ex post, also im Nachhinein.

Für Unternehmen mit innovativen Technologien und Geschäftsmodellen heißt das: Sie selbst müssen ihre Entscheidungen häufig auf Basis einer unsicheren, manchmal regelrecht nebelhaften Rechtslage treffen. Wenn sich später aber herausstellt, dass eine Behörde oder ein Gericht einen der unbestimmten Rechtsbegriffe anders auslegt, gilt die alte Lebensweisheit „Hinterher ist man immer schlauer“ und es drohen Sanktionen. Nach nahezu allen neuen Gesetzen drohen den Unternehmen Bußgelder in Höhe von Prozentpunkten ihres weltweiten Jahresumsatzes. Zunehmend häufig kommen außerdem Massen-Schadensersatzprozesse hinzu. Die Risiken, die hier drohen, sind sogar noch höher als die Risiken aufgrund von Bußgeldern.

Eine Wanderung im Nebel

Unternehmen reagieren auf diese Herausforderung unterschiedlich. Manche innovieren einfach trotzdem. Gelegentlich prallen sie im rechtlichen Nebel auf ein rechtliches Hindernis und holen sich eine blutige Nase. Andere bleiben einfach stehen oder tasten sich nur langsam voran. Oft werden sie dabei von den Unternehmen, die schneller voranschreiten, auch wenn sie dabei rechtliche Grenzen überschreiten, überholt. Aus Sicht der Rechtslage ist das keine gute Diagnose. Unser Recht soll nicht nur Innovation in sozial gerechte Bahnen lenken, es soll auch einen fairen Wettbewerb ermöglichen. Aktuell gelingt uns das nicht immer.

Entbürokratisierung heißt: Klarheit und Eindeutigkeit

Wie aber vertreibt man den Nebel? Wie kann unser Recht europäischen Unternehmen (und auch nichteuropäischen Unternehmen, die hier investieren) besser aufzeigen, auf welchen Wegen sie sich bewegen dürfen und wo nicht?

Die gute Nachricht ist: Ein Rückbau von rechtlichen Anforderungen ist dafür gar nicht unbedingt erforderlich. Die meisten Regelungen des aktuellen europäischen Digitalrechts haben einen guten Existenzgrund: Sie werden gebraucht. Die soziale Marktwirtschaft in Europa kann nur dann gut funktionieren, wenn alle Bürgerinnen und Bürger fair an ihr teilhaben können. Und dazu gehört natürlich auch ein starker Verbraucherschutz und ein solider und verlässlicher Schutz der Bürgerrechte.

Mehr Fokus auf das „Wie“

Es besser zu machen, wäre eigentlich gar nicht so schwierig. Es wäre schon viel gewonnen, wenn bei der Formulierung europäischer und deutscher Gesetze darauf geachtet würde, dass sie auch ohne großen Aufwand (und ohne spezialisierte Rechtsberater) verstanden werden können. Als einfache Daumenprobe kann gelten, ob die Personen, die die Gesetze schreiben, sie eigentlich selbst verstehen. Man könnte meinen, dass dies immer gewährleistet ist, aber in der Praxis ist es teils anders. Um dies zu ändern, könnten die Politikerinnen und Politiker, die über Gesetzesvorhaben entscheiden, zB ihre Gesetzentwürfe in einer Art „Testumgebung“ auf aktuell existierende Sachverhalte anwenden. Wenn die Ergebnisse zufriedenstellend sind, kann der Entwurf beschlossen werden. Wenn nicht, dann ist dies ein Indiz dafür, dass man die Fachabteilungen zurück an den Zeichentisch schicken sollte.

Wie man den Nebel vertreibt

Manche Probleme der aktuellen Rechtslage sind eher handwerklicher Natur und wären eigentlich leicht behebbar, zB lange Verweisketten oder die doppelte Verwendung von Rechtsbegriffen. Als anschauliches Beispiel für das Problem kann dienen, wie die Rechtslage derzeit mit dem Begriff „Digitaler Dienst“ umgeht: Der offizielle deutsche Titel des DSA (Gesetz über digitale Dienste) ist kaum unterscheidbar vom deutschen Digitale-Dienste-Gesetz (DDG). Der DSA bezieht sich außerdem, trotz seines Namens, gar nicht auf „Digitale Dienste“ sondern auf „Dienste der Informationsgesellschaft“ bzw. „Vermittlungsdienste“. Das deutsche DDG demgegenüber verwendet den Begriff des „Digitalen Dienstes“, gemeint sind damit aber wieder die Dienste der Informationsgesellschaft. Nicht zu verwechseln sind die Digitalen Dienste iSd DDG außerdem mit den Digitalen Diensten iSd Art. 2 Abs. 11 BSIG. Hierbei handelt es sich um eine zweite Art von „Digitalen Diensten“ die gänzlich anders definiert ist, anderen Rechtspflichten unterliegt und auf einer anderen europarechtlichen Vorgabe beruht (vgl. Art. 4 Nr. 5 NIS1-RL). Klingt verworren? Ist es auch. Normenklarheit sieht anders aus.

Mehr Fokus auf die Schnittstellen

Ein anderes Beispiel für eine problematische Regelungstechnik sind Klauseln, laut denen sich Rechtsakte des EU-Rechts gegenseitig „unberührt lassen“. In der Rechtspraxis sind solche Formulierungen ein stetiger Quell von Rechtunsicherheit, weil sie häufig keine klare Deutung zulassen. Was genau soll es bedeuten, wenn der eine Rechtsakt einen anderen angeblich „unberührt“ lässt? Handelt es sich um eine Konkurrenzregelung? Oder soll die Regelung nur besagen, dass beide Rechtsakte nebeneinander (kumulativ) zur Anwendung kommen? Bereits diese Grundfrage ist ungeklärt.

Im Übrigen führen solche Formulierungen auch am Ziel vorbei. Regelungen des Digitalrechts können sich nicht gegenseitig „unberührt“ lassen. Digitalrecht wird auf konkrete Sachverhalte angewendet. Und diese konkreten Sachverhalte lösen in aller Regel die Wirkungen mehrerer Gesetze aus, nicht nur von einem. Diese Gesetze stehen dann nicht wie monolithische Blöcke nebeneinander, sondern interagieren miteinander.

Ein typisches und aktuelles Beispiel für eine solche ungeklärte Schnittstellenfrage ist die Aufzeichnungspflicht des Art. 12 KI-VO. Wie lange sollen Daten, die über Hochrisiko-KI-Systeme erhoben wurden, aufbewahrt werden? Hier trifft die Dokumentationspflicht des Art. 12 KI-VO – einen Personenbezug der Daten unterstellt – auf den Speicherbegrenzungsgrundsatz des Art. 5 Abs. 1 lit. e DS-GVO. Für KI-Anbieter stellt sich damit die Frage, welche Datenkategorien wie lange aufbewahrt werden müssen. Zwischen den beiden Vorschriften besteht dabei zwar kein echter Widerspruch, aber doch ein Spannungsverhältnis. Denn der Anbieter muss zwischen den beiden Vorschriften genau die zulässige Mitte treffen. Speichert er zu kurz, verletzt er die KI-VO; speichert er zu lange, verletzt er die DS-GVO.

Die Anforderungen an die Datenhaltung werden dabei aber von unterschiedlichen Behörden formuliert. Für die KI-VO wird wohl voraussichtlich die Bundesnetzagentur zuständig sein, für die DS-GVO gibt es in Deutschland eine Aufsichtsstruktur mit (je nach Zählweise) 18 unterschiedlichen und voneinander unabhängigen Datenschutzaufsichtsbehörden.

Öl statt Sand im Getriebe

Wenn Europa sein Wachstum aufrechterhalten will, dann muss es an der Operationalisierbarkeit seiner Rechtslage arbeiten. Unsere Rechtsordnung muss klarer, verständlicher und eindeutiger werden. Wir brauchen mehr Rechtssicherheit, vor allem an den „Schnittstellen“ der Gesetze. Für die Behörden stellt sich die schwierige Aufgabe, einerseits angesichts der häufig undeutlichen Rechtslage nicht zu aggressiv vorzugehen, andererseits aber durch justiziable Entscheidungen auch Gerichtsurteile zu ermöglichen – und damit eine Klärung rechtlicher Zweifelsfragen.

Eine „Einheit der Rechtsordnung“ im Digitalrecht ist nicht nur eine Vision, sie ist auch eine Notwendigkeit. Es ist noch viel zu tun. Gehen wir es an.