Die Europäische Union (EU) hat in jüngster Zeit Regulierungen im digitalen Bereich verabschiedet und arbeitet aktiv an neuen. Vom Digital Services Act (DSA) und Digital Markets Act (DMA) bis zur frisch vom Parlament verabschiedeten KI-Verordnung (AI-Act) stehen wichtige Änderungen im EU-Raum bevor. Es stellt sich die Frage, wie sich diese Vielzahl an Regulierungen auf die Schweiz auswirken. Die Schweiz untersucht mit der Interdepartementalen Koordinationsgruppe EU-Digitalpolitik (IK-EUDP) aktiv die Auswirkungen der EU-Rechtssetzung im digitalen Bereich. Im neusten Report von März 2023 sieht die IK-EUDP noch keinen unmittelbaren Handlungsbedarf, erkennt aber dennoch an, dass die Massnahmen der EU weitreichend seien und die Schweiz betreffen würden.
In diesem Beitrag werden wir das Analysedokument der IK-EUDP näher betrachten und Auswirkungen relevanter EU-Rechtsakte für Sie zusammenfassen.
Im neuesten Report hält die IK-EUDP fest, dass es noch keine erheblichen Marktzugangshürden für die Schweiz im digitalen Bereich gäbe. Die IK-EUDP erkennt jedoch an, dass sich die EU zunehmend als globale, digital-politische Standardsetzerin positioniert und ausländische Unternehmen und somit auch Schweizer Unternehmen sich zwangsläufig den Regeln anpassen werden müssen.
Digital Services Act (DSA)
Der Digital Services Act ist am 16. November 2022 in Kraft getreten. Der DSA sieht eine einheitliche Regelung für Rechte und Verantwortlichkeiten von digitalen Diensten im Umgang mit illegalen oder schädlichen Online-Inhalten vor. Mitumfasst von dieser Regelung werden Online-Plattformen. Die auferlegten Pflichten bestimmen sich nach der Grösse und Reichweite des digitalen Dienstes.
Die IK-EUDP geht davon aus, dass dies sowohl direkte als auch indirekte Auswirkungen auf die Schweiz und Unternehmen mit Sitz in der Schweiz haben wird. Der DSA hat wie die Datenschutz-Grundverordnung (DSGVO) eine extraterritoriale Wirkung, sodass auch Unternehmen von dem DSA betroffen sind, die Dienste an Kunden in der EU anbieten. Der Ort der Niederlassung ist hierbei irrelevant. Eine Durchsetzung der Vorschriften wird durch die Pflicht zur Ernennung eines Rechtsvertreters innerhalb der EU garantiert. Die IK-EUDP wertet diese Pflicht als niederschwellige Marktzugangshürde, da eine Ernennung eines Rechtsvertreters keinen erheblichen Aufwand mit sich birgt und die Kosten für einen Rechtsvertreter nicht unverhältnismässig sind. Weitergehende Pflichten betreffen alle Adressaten des DSA, sodass keine diskriminierende Marktzugangshürde vorliegt.
Während es nach Ansicht des IK-EUDP möglich ist, dass Unternehmen EU-Standards auch in der Schweiz anwenden werden, kann es genauso gut sein, dass Kunden aus der Schweiz gegenüber EU-Kunden schlechter gestellt werden, sollte es zu keiner äquivalenten Schweizer Gesetzgebung kommen. Die auferlegten Pflichten stellen schliesslich einen Mehraufwand für die Unternehmen dar und würden nur aufgrund eines freiwilligen Engagements der Unternehmen in der Schweiz greifen.
Digital Markets Act (DMA)
Der Digital Markets Act ist am 1. November 2022 in Kraft getreten. Sinn des DMA ist es, digitale Märkte fairer und wettbewerbsorientierter zu gestalten. Grosse Online-Plattformen mit einer «Gatekeeper-Funktion» sollen stärker reguliert werden, um Missbrauch von Marktmacht zu verhindern.
Da es Stand März 2023 keine Unternehmen mit Sitz in der Schweiz gab, die als grosse Plattformen zu klassifizieren wären, ging der IK-EUDP von einer geringen direkten Auswirkung auf die Schweiz und Unternehmen in der Schweiz aus.
Im Falle des DMA geht der IK-EUDP jedoch davon aus, dass grosse ausländische Unternehmen mit «Gatekeeper-Funktion» auch in der Schweiz EU-Regeln anwenden werden, da sich in den meisten Fällen eine andere Behandlung finanziell nicht lohnen würde. Schweizer Nutzerinnen und Nutzer dürften nach Ansicht des IK-EUDP somit vom DMA profitieren.
Data Governance Act (DGA)
Der Data Governance Act wurde am 30. Mai 2022 veröffentlicht und ist ab dem 24. September 2023 anzuwenden. Er zielt darauf ab, den freien Fluss von Daten in allen Tätigkeitsbereichen des Binnenmarkts zu fördern. Es sollen Anreize für die Weiterverwendung von sensiblen Daten öffentlicher Stellen geschaffen werden, die unter eine Geheimhaltungspflicht fallen.
Der Data Governance Act findet direkt keine Anwendung auf die Schweiz. Allerdings unterliegen Schweizer Unternehmen, die als Datenintermediäre ihre Dienstleistungen in der EU anbieten, bestimmten Regeln, wie beispielsweise die Ernennung eines gesetzlichen Vertreters in einem EU-Mitgliedstaat.
Der DGA ist zudem relevant für den Transfer von vertraulichen, nicht-personenbezogenen Daten von öffentlichen Stellen der EU in die Schweiz. In diesem Fall müssen angemessene Schutzvorkehrungen für den Schutz von Geschäftsgeheimnissen und geistigem Eigentum gewährleistet sein. Die Kommission kann Durchführungsrechtsakte erlassen, um festzustellen, ob ein Drittland ein im Wesentlichen gleichwertiges Schutzniveau bietet. Dies kann nach der Einschätzung des IK-EUDP Unternehmen oder Einrichtungen in der Schweiz betreffen, die vertrauliche Daten von öffentlichen Stellen der EU erhalten und in die Schweiz übertragen möchten. Es ist wichtig, das Angemessenheitsbeschlussverfahren für den Transfer von vertraulichen Daten von öffentlichen Stellen vom Angemessenheitsbeschlussverfahren gemäß der DSGVO zu unterscheiden, das für den Transfer aller personenbezogenen Daten in Drittländer gilt.
Data Act
Der Data Act findet sich derzeit im Gesetzgebungsverfahren und soll regeln, wer die in den Wirtschaftssektoren der EU erzeugten personenbezogenen und nicht-personenbezogenen Daten nutzen darf und wer unter welchen Bedingungen darauf Zugriff hat.
In der Schweiz gibt es keine allgemeinen horizontalen Regeln oder Gesetze zur Daten-Governance für nicht-personenbezogene Daten. Es laufen jedoch verschiedene Projekte, darunter sektorspezifische Initiativen in den Bereichen Geodaten, öffentlicher Verkehr und Statistik.
Der Verordnungsvorschlag zum Data Act befindet sich noch im Gesetzgebungsprozess und wird kontrovers diskutiert. Es besteht der Vorschlag, dass der Data Act eine extraterritoriale Wirkung haben soll, was bedeuten würde, dass auch Schweizer Unternehmen den Verpflichtungen des Data Act folgen müssten, wenn sie im EU-Binnenmarkt tätig sind. Die vorgeschlagenen Einschränkungen für die grenzüberschreitende Datenübermittlung an Nicht-EU-Staaten könnten ein Hemmnis für grenzüberschreitende Aktivitäten darstellen, und die IK-EUDP wird gemeinsam mit anderen Behörden den Gesetzgebungsprozess aufmerksam beobachten, um mögliche Auswirkungen frühzeitig zu identifizieren.
KI-Verordnung (AI Act)
Die KI-Verordnung wurde am 14. Juni 2023 durch das EU-Parlament verabschiedet und befindet sich derzeit im Trilog (Verhandlungen zwischen der Europäischen Kommission, dem Rat der Europäischen Union und dem Europäischen Parlament). Die KI-Verordnung sieht abgestufte Verpflichtungen für Künstliche Intelligenz (KI) vor, abhängig von ihrem Risikoniveau. Je risikoreicher die KI ist, desto mehr Pflichten werden ihrem Betrieb auferlegt.
In der Schweiz gibt es derzeit keine spezifischen gesetzlichen Regulierungen für KI. Der Umgang mit KI basiert auf bestehenden nationalen und internationalen Rechtsvorschriften wie der Bundesverfassung (BV) und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK).
Während die IK-EUDP in spezifischen Sektoren Anpassungen bestehender Regelungen für unabwendbar hält, sieht sie den allgemeinen Rechtsrahmen als ausreichend an. Als Grundlage für diese Bewertung zieht sie die Evaluation des BAKOM zu diesem Thema aus dem Jahr 2022 heran.
Auswirkungen auf die Schweiz werden aufgrund der extraterritorialen Wirkung befürchtet, insbesondere für Schweizerische Unternehmen und Forschungseinrichtungen, die in der EU tätig sind. Die Entwicklungen würden nach Aussage des IK-EUDP beobachtet und die Schweiz bereite sich auf die Anwendung der Mechanismen der Produktzertifizierung für Hochrisikoprodukte aus der KI-Verordnung vor.