Technische Innovationen in der Verwaltung habens schwer, auch wegen des Datenschutzes. Sollte man Behörden erst machen lassen und erst danach Rechtsgrundlagen schaffen?

Der Staat (rein juristisch die Legislative) schafft eine gesetzliche Regelung, an die sich Bürgerinnen und Bürger, Unternehmen und Verbände halten müssen. Andernfalls gibt es eine Busse oder andere Sanktionen. Der selbe Staat (jetzt hier in der Rolle als Exekutive) ist dann immer wieder erstaunt, wenn ihm entweder Technologie­feind­lich­keit vorgeworfen wird, weil er neue Entwicklungen nicht sofort umsetzt oder aber durch eigene Gesetze in seiner Handlungsfähigkeit beschränkt wird.

Staatliches Handeln muss rechtmässig sein, auf einer gesetzlichen Grundlage beruhen und darf niemals den Eindruck erwecken, man würde es mit der Einhaltung der gesetzlichen Vorschriften nicht so ernst nehmen. Es zwingt ja keiner den Gesetzgeber, ein Gesetz so eng zu erlassen, dass neue Techniken später nicht erfasst sind. Der Gesetzgeber könnte auch eine Regelung erlassen, die generell abstrakt Sachverhalte umschreibt, technologieoffen ist und Verpflichtungen für das Inverkehrbringen von neuen Technologien regelt.

Auch die Nutzung von KI in der Verwaltung wäre heute ohne weiteres möglich. Aber nur, wenn es eine explizite gesetzliche Grundlage dafür gibt. KI muss als Technik generell abstrakt explizit genannt sein, sonst genügt die Grundlage nicht dem Bestimmheitserfordernis. Der Gesetzgeber hätte das längst regeln können. Beispielsweise auch mit Transparenzpflichten über die Offenlegung von Quellcode und dem Umfang der Datennutzung oder der Offenlegung dahinterstehende Technologie für wissenschaftliche Auswertungen.

Damit wäre es für Verwaltung (also den Staat) und Unternehmen möglich, neue Technologien einzuführen, die dann von Zivilgesellschaft, dem Gesetzgeber und der Wissenschaft evaluiert werden könnten. Die Risikodiskussion bei Cloud-Computing wie auch dem Einsatz Künstlicher Intelligenz kommt doch daher, dass kaum offengelegt ist, wie die Funktionsweise ist, welche Daten einbezogen wurden und wer den Zugriff auf die Daten hat (Unternehmen und Staaten).

Mit der Möglichkeit von Pilotversuchen zur digitalen Transformation der Bundesverwaltung im Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (Embag) wurde eine gute Möglichkeit geschaffen, technische Neuerungen einzusetzen, auch wenn noch nicht alle Einzelheiten bekannt sind. Das ist ein guter Weg.

Dem Datenschutz wird oft vorgeworfen, Bremser von Verwaltungshandeln zu sein oder auch nur vorgeschoben zu werden, wenn irgendwer irgendwas verhindern will. Wenn der Datenschutz Innovationen und staatliches Handeln ausbremst, dann ist das Datenschutzgesetz schlecht gemacht und muss überarbeitet werden.

Das Datenschutzrecht verfolgt das legitime Ziel, unsere Personendaten zu schützen. Wir werden eines Tages dankbar sein, in einem Land zu leben, wo der Datenschutz jedenfalls qua Gesetz noch gilt.

Keiner von uns will eine Massenüberwachung wie in China mit Social-Credits oder dass der Staat alle unsere Daten nach Gutdünken zusammenführen kann. Der Staat hat bei der Einhaltung des Datenschutzes eines Vorbildfunktion. Wenn grosse Digital-Anbieter sich nicht an das Gesetz halten oder es nur lieblos umsetzen, dann hilft es nicht, einen Politiker-Arbeitskreis zu gründen, sondern dann kann und muss die Exekutive handeln und Unternehmen auch mal büssen.

Jeder Bürger wird sofort gebüsst, wenn er falsch parkiert. Von der Verwaltung erwarte ich erst recht, dass sich diese an die Gesetze halten. Oder noch besser: Der Gesetzgeber erlässt gute und vorausschauende Gesetzte, die die Technik des 21. Jahrhunderts mitdenkt und es dann für Verwaltung und Wirtschaft einfacher macht, neue Technologien ohne Datenschutzbedenken einzuführen.

Natürlich haben Staat und Verwaltung eine Vorbildfunktion. Und selbstverständlich müssen sie sich gesetzestreu verhalten. Und nein: Ohne rechtliche Grundlage darf der Staat nicht handeln. Aber das ist doch gar nicht die Frage.

Es geht darum, ob KI oder "die Cloud" als Mittel zum Erreichen eines berechtigten Ziels eingesetzt werden darf, auch wenn das Gesetz "KI" oder "die Cloud" nicht ausdrücklich erwähnt.

Es geht um die Frage, wie detailliert die Rechtsgrundlage sein muss – juristisch gesprochen. Was verlangt das sogenannte Erfordernis des Rechtssatzes denn genau?

"Das Erfordernis des Rechtssatzes ist wichtig, aus drei Gründen:

Wenn ich höre, dass man neue Technologien ohne eine explizite Nennung der Technologie selber im Rechtssatz nicht einführen darf, hört es für mich auf. Man muss sich vor Augen halten, worüber wir reden: Ein Szenario, wo die Verwaltung eine gesetzliche Grundlage zum Handeln hat. Sie verhält sich somit gesetzestreu. Und jetzt kommt der Datenschutz und sagt: "Nein, mit dieser Technologie nicht!"

Es würde die Verwaltungstätigkeit gelähmt, wenn auch die Technologie im Rechtssatz stehen muss. Dies wäre undemokratisch: Das Parlament hat ja schon gesagt, dass die Verwaltung handeln soll; warum soll man sie jetzt bremsen dürfen? Nota bene: Die Minderheit, die bremst, hat nicht dieselbe demokratische Legitimation (und muss auch keine Verantwortung übernehmen; die Verwaltung schon).

Art. 1 des neuen Datenschutzgesetzes (nDSG) sagt, worum es gehen muss: Die Freiheit der Bürgerin im Staat beziehungsweise vor dem Staat. Man muss vor neuen Auswertungen und Verwendungszwecken schützen, die nicht zum (bereits gesetzlich genehmigten) Verwaltungshandeln gehören. Kurz: Die Zieldefinition der Verwaltungstätigkeit (Verwendungszweck) gehört ins Gesetz, der Weg ins Ziel (Technologie) nicht.

Beispiele für erlaubte Nutzungen, auch wenn im Gesetz nichts dazu steht:

Sprechen wir über Gefahren. Dass jede Datenbearbeitung ein Risiko mit sich bringen kann, wenn sie nicht gut verwaltet wird, ist klar. Dies allein ist aber kein Grund, die Anforderungen an den Rechtssatz zu weit zu formulieren. Im Rahmen einer abstrakten Prüfung kann ohnehin kaum je über Rechtmässigkeit beziehungsweise Rechtswidrigkeit einer Technologie geurteilt werden (das hat der Entscheid von Oktober 2022 in Sachen Bundes-Cloud gezeigt). Entscheidend ist, wie das Umsetzungsprojekt ausgeführt wird. Dort trennt sich dann das gut umgesetzte Projekt (rechtmässig) vom fehlerhaft umgesetzten Projekt (rechtswidrig). Im Rahmen des Umsetzungsprojekts ist das nDSG einzuhalten. Der Edöb beaufsichtigt (Art. 49 ff. nDSG): Es besteht somit bereits ein genügender Schutz durch das nDSG.

Wenn eine Technologie ausnahmsweise per se notwendigerweise und unvermeidbar neue Datenbearbeitungen mit sich brächte, könnte es anders aussehen.

Denkbar: Wenn (a) einer Ausweitung der Datennutzung ohne Regelung im Rechtssatz Tür und Tor geöffnet würde und (b) die Verwendungszwecke der Datennutzung nicht limitiert wären. Das wäre aber ein Ausnahmefall.

Und zuletzt: Was bringt's denn überhaupt? In der Praxis wird der Datenschutz im Gesetz stets mitgeregelt. Faktisch bringt das Ganze keine Verbesserung im Verhältnis zu Art. 6 nDSG, der ohnehin schon gilt.

Darum meine Frage: Zielt man hier nicht einfach nur auf Verlangsamung? Verlangsamung ist kein Selbstzweck. Jedenfalls ist es kein Ziel des neuen Datenschutzgesetzes.