Digitalisierung und Wandel des Rechts Soft Law statt Hard Law

 

Digitalisierung und Wandel des Rechts

Soft Law statt Hard Law

In den letzten zwei Jahren sind mehr Daten generiert worden als in der gesamten bisherigen Geschichte der Menschheit. Das herkömmliche Recht (Hard Law) ist zu langsam, zu alt, zu wenig international und zu konfrontativ, um mit diesen und disruptiven Entwicklungen der Digitalisierung Schritt halten zu können. Es sollte daher durch Soft Law flankiert werden, das auf freiwilligen und zeitgemäß adaptierbaren Verhaltensregeln beruht und oft effizienter funktioniert als Hard  Law.

Die Digitalisierung schreitet – wie allein die folgenden beiden Zahlen be- legen – mit schier unglaublicher Rasanz voran: In den letzten zwei Jahren wurden mehr Daten generiert als zuvor in der gesamten Geschichte der Menschheit und in den nächsten zehn Jahren sollen 40 % der Fortune- 500-Unternehmen verschwunden sein.1 Im Hinblick auf diese Entwicklungen und Prognosen ist es nicht verwunderlich, dass in letzter Zeit immer  öfter von den disruptiven Wirkungen der Digitalisierung gesprochen wird. Sie ver- oder bedrängt bestehende Branchen, indem sie – wie z. B. Airbnb2 oder Uber3  – etablierten Unternehmen in Bezug auf ihr Geschäftsmodell     an sich oder – wie z. B. sogenannte Fintechs4 – auf bestimmten Ebenen ih-  rer Wertschöpfungskette elektronische (und damit in der Regel auch güns- tigere) Konkurrenz macht. Vor allem Start-ups mit  ihren  geringen Perso- nal- und Raumkosten (oft genügt ein Server und das viel zitierte Büro in   der Garage, in der z. B. Steve Jobs Apple gründete5) treiben solche Entwick- lungen massiv an und ein Ende ist nicht in Sicht. Ganz im Gegenteil: Das bevorstehende Internet der Dinge (Internet of Things), das Web 3.0 mit sei- nen semantischen Komponenten, die fortschreitende Entwicklung künstli- cher Intelligenz und industrieller sowie privater Robotikanwendungen sind nur einige der Herausforderungen, die unmittelbar bevorstehen und einen grundlegenden Wandel vieler Lebens-, Wirtschafts- und Arbeitsbereiche mit sich bringen werden.

Vor diesem Hintergrund hat die Politische Akademie der ÖVP 2016 einen Expertenkreis ins Leben gerufen, der sich unter dem Arbeitstitel „Di- gitale Lebenswelten“ mit den An- und Herausforderungen, aber vor allem auch mit den Chancen der Digitalisierung in den verschiedensten Berei- chen beschäftigt und diesbezüglich Befunde, Perspektiven und Maßnah- menvorschläge erstellt hat. Dies hat letztlich zum   „#innovationsbericht_digital“ geführt, der am 15. Juni 2016 in Wien präsentiert wurde. Der Autor des vorliegenden Beitrags hat im Rahmen des Expertenkreises aufgezeigt,   dass das herkömmliche Recht („Hard Law“) den rasanten Entwicklungen   der Digitalisierung zunehmend hinterherhinkt und daher die verstärkte Entwicklung und Anwendung von „Soft Law“ (freiwillige  Verhaltensre- geln) vorgeschlagen – ein Ansatz, dem zuletzt auch der EU-Rat gefolgt ist (Details unten). Dieser Zugang, der die normativen und innovativen Lücken schließt, die durch die Digitalisierung im herkömmlichen Recht entstehen, soll im Folgenden vertieft und rechtspolitisch weiterentwickelt  werden.

Zu klären ist dabei vorab, warum das traditionelle Hard Law mit den neuen Herausforderungen der Digitalisierung nicht mehr  (allein)  fertig  wird. Dies kann vor allem auf vier Gesichtspunkte zurückgeführt werden:    Es ist zu langsam, zu alt, zu wenig international und zu konfrontativ.

Zu langsam

Während täglich neue Apps auf den Markt kommen und Start-ups oft bin- nen weniger Monate Millionen, manchmal sogar Milliarden wert sind,6 tickt die Uhr des Rechts in einem ganz anderen Takt; vor allem in der EU dau- ert es aufgrund des langwierigen Richtlinien- und Umsetzungsprozesses in der Regel viele Jahre, die zwischen dem Entdecken rechtlichen Handlungs- bedarfs und dem Inkrafttreten entsprechender Gesetze der Mitgliedsstaaten vergehen (EU-Rechtsakte gelten in der Regel nicht automatisch in den Mitgliedsstaaten, sondern müssen durch die nationalen Parlamente umge- setzt werden). In der Zwischenzeit gibt es das zu regelnde Problem oft gar nicht mehr und viele neue, aber noch nicht regulierte Themen sind entstan- den. Dadurch entstehen Regelungsfreiräume und damit Rechtsunsicherhei- ten – ein vor allem für das Internet fragwürdiger Zustand, denn das World Wide Web  kann  aufgrund  seiner  dezentralen  Kommunikationsarchitektur (es gibt keinen „Zentralrechner“) nicht mehr „abgeschaltet“ werden,  womit

  • schon jetzt, und nicht erst mit der bevorstehenden echten (lernfähigen) künstlichen Intelligenz – ein Szenario wahr geworden ist, vor dem sich der Mensch immer gefürchtet hat: von einer Technologie umgeben und abhän- gig zu sein, die er nicht mehr beherrschen Vor diesem Hintergrund wäre Rechtssicherheit essenziell.

Ein aktuelles Beispiel für unzureichende Rechtssicherheit und dafür, dass der Rechtssetzungsprozess so langwierig ist, dass aktuelle Themen  zu kurz kommen, bietet die neue EU-Datenschutz-Grundverordnung, die    am

  1. Mai 2018 in Kraft tritt und die bisherige Datenschutzrichtlinie 1995 ablöst. Dieses Reformprojekt begann bereits 2012 mit dem ersten Entwurf der EU-Kommission, also sechs Jahre vor dem Inkrafttreten. Wichtige und rechtlich komplexe Entwicklungen der jüngeren Zeit, wie etwa Big Data oder Cloud Computing, sind daher nicht speziell berücksichtigt, dafür aber Regelungen, die – wie etwa das sogenannte Recht auf Vergessenwerden7
  • ausgesprochen umstritten8 und unpraktikabel9 Auch neuere For- schungsergebnisse, wie der Wandel des Datenschutzes vom grundrechtlichen zum vertragsrechtlichen Ansatz (weil Datenverwendungen nicht mehr so sehr durch den Staat, sondern zunehmend durch private Unternehmen in Bezug auf Kundendaten erfolgen, siehe dazu unten), haben in das neue eu- ropäische Datenschutzrecht keinen Eingang gefunden.
  • Das Recht, von Dienstanbietern, in der Praxis vor allem von Google, die Löschung personen- bezogener Daten bzw der Links auf solche Daten zu verlangen, insbesondere dann, wenn diese nicht mehr aktuell sind (vgl. zur Problematik Zankl, EuGH: „Recht auf Vergessenwerden“, ecolex 2014, 676).
  • Wegen des Rechts auf Informationsfreiheit (Art 10 EMRK: „Jedermann hat Anspruch auf freie Meinungsäußerung. Dieses Recht schließt die Freiheit der Meinung und die Freiheit zum Empfang und zur Mitteilung von Nachrichten oder Ideen … ein“, Abs 1). Über dieses und damit darüber, welche Informationen verfügbar sind und welche nicht, werden bzw. müssen in Zukunft Anbieter wie Google entscheiden. Eine solche „Zensur“ von Suchmaschinen wurde bisher stets (zu Recht) abgelehnt.
  • Informationen, die einmal im Internet sind, können aufgrund der zahlreichen Links und Verknüpfungen kaum mehr restlos entfernt werden. Es ist auch nicht einzusehen, warum die Informationsquelle selbst im Netz bleiben kann, der Link darauf aber entfernt werden muss (so im Ergebnis die einschlägige EuGH-Entscheidung zum Recht auf Vergessenwerden (vgl. Zankl, EuGH:

„Recht auf Vergessenwerden“, ecolex 2014, 676).

Zu alt

Soweit es keine oder noch keine aktuellen EU-Richtlinien, EU-Verord- nungen oder nationalen Gesetze gibt, gilt das allgemeine Recht  (sogenannte

„Medienneutralität des Rechts“), z. B. im Bereich des Vertrags- und Haf- tungsrechts, das sich in Österreich nach dem Allgemeinen Bürgerlichen Ge- setzbuch aus dem Jahr 1811 richtet. Es liegt auf der Hand, dass solche his- torischen Regelungen oft nicht in der Lage sind, befriedigende Antworten auf hochkomplexe Transaktionen zu geben, die im Rahmen moderner In- formations- und Kommunikationstechnologie stattfinden. Auch dass das eu- ropäische Datenschutzrecht, das auf einer Richtlinie aus dem Jahr 1995 be- ruht (drei Jahre vor der Gründung von Google!), erst 2018 durch ein neues Regelwerk ersetzt wird (in Form der erwähnten Verordnung), hat zuletzt    zu zahlreichen Komplikationen und Rechtsunsicherheiten  geführt.

 

Zu wenig international

Die digitale Welt  ist definitionsgemäß global, endet also nicht an nationa-  len Grenzen; genau umgekehrt verhält es sich mit dem Recht: Es gilt nur   im jeweiligen Staat bzw. kann nur in diesem durchgesetzt werden. Dieser Beschränkung sollte nicht durch (weitere) Restriktionen begegnet werden (wie z. B. durch das Recht auf Vergessenwerden oder protektionistische Maßnahmen der EU), sondern durch innovative Regelungsansätze. Natio- nales Hard Law ist demgegenüber nicht in der Lage, internationale Rechts- probleme zu lösen. Dies gilt auch für europäisches Recht, das zwar (mate- riell betrachtet) nicht mehr rein national ist, sondern vor allem im Bereich der Informations- und Kommunikationstechnologie, die von der Digitali- sierung am stärksten betroffen ist, durch Richtlinien und Verordnungen ei- nen gewissen Harmonisierungsgrad erreicht hat, aber dennoch zahlreiche Probleme mit sich bringt. Eines davon hat Angela Merkel in Bezug auf die erwähnte neue Datenschutzverordnung der EU auf den Punkt  gebracht:

„Die Europäische Union hat in einem relativ zügigen Verhandlungs- prozess die Datenschutz-Grundverordnung verabschiedet. Das ist sozusagen die Rechtsgrundlage für die Datenverarbeitung in allen Mitgliedsstaaten der Europäischen Union. Der Kompromiss hat aber dazu geführt, dass wir eine Vielzahl  unbestimmter  Rechtsbegriffe haben. Ich  hoffe, dass die Auslegung durch die jeweiligen Datenschützer nicht so restriktiv ausfallen wird, dass Europa bei der Art und Weise, wie große Datenmengen verarbeitet werden müssen, nicht mithalten kann“10.

Die damit angesprochene Kompromissthematik berührt ein Kern- problem europäischer Gesetzgebung, nämlich dass im Hinblick auf die oft divergierenden Interessen der zahlreichen Mitgliedsstaaten europäische Rechtsakte oft nur den kleinsten und  restriktivsten  Nenner  darstellen  – eine Rechnung, die bei den großen Herausforderungen, die sich gerade im Bereich der Digitalisierung stellen, nicht aufgehen wird. Dass Europa im Bereich der Informationstechnologie vor allem mit den innovativen Ent- wicklungen der US-amerikanischen Player nicht mithalten kann11, hängt nicht zuletzt auch mit dieser Problematik  zusammen.

Ein weiteres Problem im Verhältnis zwischen der EU und den USA ergibt sich im Bereich der Informationstechnologie aus der mangelnden Internationalität des einschlägigen Rechts. Es wird zwar – vor allem im Datenschutzrecht – immer wieder versucht, diese Fragen durch bilaterale Übereinkommen zu lösen (etwa durch das – mittlerweile durch den Eu- ropäischen Gerichtshof aufgehobene – Safe Harbor System, das durch den EU-US Privacy Shield ersetzt wurde.) Auch dies scheitert aber zumeist an den unterschiedlichen Denk- und Regelungsansätzen:Während sich das eu- ropäische Recht z. B. strikt am Legalitätsprinzip orientiert (vgl. etwa Art 18 Abs 1 der österreichischen Bundesverfassung: „Die gesamte staatliche Ver- waltung darf nur auf Grund der Gesetze ausgeübt werden“), ist das US- amerikanische Recht hier weniger streng. Vereinfacht gesagt: Während der Verwaltung in Europa alles verboten ist, was nicht ausdrücklich erlaubt ist,   ist es in den USA eher umgekehrt. Was der Verwaltung nicht ausdrücklich verboten ist, ist erlaubt. Dieser liberalere Ansatz macht sich auch in der Pri- vatwirtschaft bemerkbar: Während in den USA die Meinung vorherrscht, dass es am Markt keine Leistung ohne Gegenleistung geben sollte („there    is no such thing as free lunch“), steht Europa – tendenziell – auf dem Stand- punkt, dass seine Bürger amerikanische Technologien, wie etwa jene von Google und Facebook, nützen können sollen, ohne dafür (mit ihren Daten) zu bezahlen. Dies widerspricht nicht nur dem US-amerikanischen Ansatz, sondern auch allen Regeln des europäischen Vertragsrechts, das auf dem Prinzip „do ut des“,12 also auf der Grundlage der Leistungsäquivalenz be- ruht. Dieses vertragliche Gleichgewicht wird massiv gestört, wenn man von der Vorstellung ausgeht, dass Unternehmen wie Google und Facebook ihre Leistungen ohne Gegenleistung erbringen sollen (das oft zu hörende Argu- ment, dass diese Leistungen durch Werbung „finanziert“ werden, verfängt nicht, denn auch in herkömmlichen Medien, z. B. Zeitungen, findet sich Werbung, ohne dass die Zeitung selbst dadurch kostenlos  wird).

 

Zu konfrontativ

Das klassische Hard Law beruht auf kontradiktorischen Ansätzen. Mit ande- ren Worten: Wenn Unrecht geschieht, soll dagegen mit rechtlichen Mitteln vorgegangen werden können. Dieses Konzept funktioniert in der modernen Informations- und Kommunikationsgesellschaft nicht mehr ohne Weiteres. Sie verlangt zum einen oft nicht mehr nur gesetzeskonformes, sondern auch ethisch und rechtspolitisch „richtiges“ Vorgehen13 und lässt sich daher auch durch herkömmliche rechtliche Sanktionen oft nicht mehr in die Knie zwingen. Dies zeigt sich vor allem in Social Media durch das häufige Ent- stehen sogenannter „Shitstorms“14 als Reaktion der Community auf „miss- billigtes“ Verhalten. Solche Wellen der Empörung sind kommerziell vor al- lem deshalb (oft mehr als rechtliche Sanktionen) gefürchtet, weil sie in der Regel mit reputativen und damit wirtschaftlichen Konsequenzen, manch- mal sogar mit Boykottaufrufen einhergehen. Ein bekanntes Beispiel ist die Reaktion der Westbahn15  auf Sprayer, die ihre Züge mit Graffitis    versehen hatten. Für die Ergreifung der Sprayer wurden – rechtlich (§ 860 ABGB)     an sich zulässige – Prämien ausgesetzt und in einem anderen Fall (ebenso zulässige) strafrechtliche Konsequenzen angedroht, worauf die Wogen noch höhergingen. Die Internet- und speziell die Social-Media Community re- agiert auf den erwähnten Rechtsmechanismus nicht mehr durch Akzeptanz, sondern oft mit Spott und Häme. Dies wahrscheinlich vor allem auch des- halb, weil sie seit dem Web  2.0 mit eigenen Internet-Inhalten präsent ist  und sich damit auf Augenhöhe mit Unternehmen wähnt. Sie erwartet daher Verständnis für ihre Empörung anstelle der Ergreifung juristischer Konse- quenzen, die das traditionelle Recht vorsieht.

Dass Hard Law aufgrund der geschilderten Nachteile nicht mehr (al- lein) in der Lage ist, den Herausforderungen der Digitalisierung zu begeg- nen, wurde mittlerweile auch auf europäischer Ebene erkannt. So empfiehlt der EU-Rat neuerdings für das Internet die Entwicklung und Anwendung von Soft Law.16 Auch zur Bekämpfung von „Hate Speech“ wurde zuletzt    auf Soft Law gesetzt, und zwar durch eine (unverbindliche) Vereinbarung,   in der sich die Europäische Kommission und IT-Unternehmen, wie You- tube, Facebook, Twitter und Microsoft, auf einen Verhaltenskodex zur Be- kämpfung von verhetzenden Inhalten im Internet geeinigt  haben.17

Mit dem zuletzt erwähnten Begriff des Verhaltenskodex ist das zen- trale Element von Soft Law angesprochen: Es beruht nicht auf einer recht- lichen Verpflichtung, wie sie für Hard Law charakteristisch ist, sondern auf Freiwilligkeit. Erfasst davon sind also vor allem Corporate Rules und Self- binding Policies. Solche Regelungen haben zwei Vorteile: Sie können fle- xibel und zeitnah an neue Entwicklungen angepasst werden und sie bie-     ten Wettbewerbsvorteile gegenüber Konkurrenten, die solche Kodizes nicht verwenden. Zu beachten ist dabei aber, dass die Nichteinhaltung (Non- Compliance) keineswegs sanktionslos ist. Abgesehen von  Shitstorms,  die sich in solchen Fällen oft bilden, und § 9 Abs 2 E-Commerce-Gesetz, der den Diensteanbieter – bei sonstiger Verwaltungsübertretung – verpflichtet, einen  elektronischen  Zugang  zu  „freiwilligen  Verhaltenskodizes“ anzugeben, kann die Verletzung selbst auferlegter Verhaltensregeln auch Schaden- ersatzpflichten und/oder Verantwortlichkeiten wegen unlauteren Wettbe- werbs begründen.

Als Beispiel dafür, wie Soft Law in der Praxis bereits erfolgreich ent- wickelt und angewendet wird, kann das Thema Data Privacy angesehen werden (das Schlüsselthema der digitalen Welt). Wie bereits erwähnt, be- stehen hier aufgrund unterschiedlicher Denkweisen und datenschutzrecht- licher Ansätze markante Spannungsverhältnisse zwischen  den  verschiede- nen Rechtsordnungen (speziell im Verhältnis zwischen der EU und den USA). Dieser Problematik versuchen die sogenannten „International Data Privacy Principles“ Rechnung zu tragen. Sie wurden vom Autor des vor- liegenden Beitrags ausgearbeitet, 2014 an der Harvard  University  präsen- tiert und zuletzt  vom  Data Trust  Center18  weiterentwickelt  und  lanciert. Sie werden Unternehmen weltweit empfohlen, um Kundendaten rechtlich und technisch sicher zu handhaben, und beruhen auf einem neuen Zugang zu Fragen der Data Privacy, indem sie berücksichtigen, dass Daten heutzu- tage in der Regel freiwillig, aufgrund vertraglicher Vereinbarungen, aus der Hand gegeben werden (z. B. gegenüber Facebook). Das bisherige und auch das zukünftige europäische Datenschutzrecht (Europäische Datenschutz- Grundverordnung) tragen dem nicht ausreichend Rechnung, insbesondere nicht der Tatsache, dass das Vertragsrecht auf dem bereits erwähnten Prinzip der Leistungsbalance beruht; wer daher für Leistungen (z. B. von Facebook, Google, Apple) nicht mit Geld zahlt, zahlt mit Daten. Aus dem vertraglichen Ansatz folgt im Einzelnen auch, dass der Datenverwendung zugestimmt werden muss, und zwar je nach Beschaffenheit der Daten (besonders strenge Zustimmungserfordernisse daher bei sensiblen Daten). Dem grenzüber- schreitenden Charakter der Thematik entsprechend berücksichtigen diese Principles nicht nur europäisches, sondern auch amerikanisches, asiatisches uns internationales (OECD) Datenschutzrecht. Die Einhaltung der Inter- national Data Privacy Principles kann zertifiziert werden, was vor allem im Hinblick auf die Datenschutz-Grundverordnung Bedeutung erlangen wird. Dies deshalb, weil diese Verordnung drakonische Strafen bei    Data-Privacy-Verletzungen vorsieht: Bis zu 20 Millionen Euro oder (je  nachdem, was höher ist) vier Prozent des Jahresumsatzes. Hinzu können Haftungen der betroffenen Unternehmen und Unternehmensleitungen kommen. Entsprechende Zertifizierungen, welche die Einhaltung von Datenschutzstandards bestätigen, bieten einen gewissen Schutz vor diesen existenzbedrohenden Sanktionen.19

Dieses Beispiel zeigt, wie das Recht in Zeiten zunehmender Digitali- sierung zeitgemäß und aktuell funktionieren kann und verleiht damit auch einem Statement von Mark Zuckerberg aus dem Jahr 2012 neue Bedeu- tung: „The internet is the most powerful tool we have for creating a more open and connected world. We can’t let poorly thought out laws get in the way of the internet’s development.“20 Ersetzt man in diesem Zitat das In- ternet durch den – damals noch nicht so allgegenwärtigen – Begriff der Digitalisierung (die vor allem über das Internet stattfindet), gelangt man zur Bedeutung von Soft Law. Es ist in der Lage, fehlende oder „poorly thought out laws“ – wie etwa die EU-Datenschutz-Grundverordnung – durch zeit- gemäße und flexible Verhaltenskodizes zu ergänzen, die in ihrer Umsetzung und Beachtung (Stichwort Wettbewerbsrecht und Shitstorms) überdies oft effizienter sind als Hard Law.

 

 

 

 

 

 

 

 

 

 

 

 

 

Beitrag als PDF öffnen