Umgang mit Unsicherheit und Befugnissen im digitalen Zeitalter
05/2026
I. Einleitung
Die Risikoregulierung hat in der europäischen Digitalpolitik an Bedeutung gewonnen. Vom Rechtsrahmen für personenbezogene Daten bis hin zu Inhalten und künstlicher Intelligenz (KI) stützt sich der europäische Ansatz in erster Linie auf Risikobewertungspflichten und -verfahren, die auf die Minderung von Risiken für die Grundrechte ausgerichtet sind. Insbesondere der Rahmen für Datenschutz, Plattformregulierung und künstliche Intelligenz unterstreicht diesen Fokus auf verfassungsrechtliche Rechte, wie in den Erwägungsgründen der Datenschutz-Grundverordnung (DSGVO), dem Gesetz über digitale Dienste (DSA) und dem Gesetz über künstliche Intelligenz (KI-Gesetz) zu sehen ist. Das Hauptmerkmal, das diese Verordnungen verbindet, ist die Ausrichtung auf europäische Verfassungswerte, die in Demokratie und Rechtsstaatlichkeit verankert sind, wie in Artikel 2 EUV, und die als Kernparameter für die Bewertung und Minderung von Risiken dienen.
Der an verfassungsrechtlichen Werten orientierte Ansatz war jedoch nicht immer charakteristisch für die europäische Risikoregulierung. Stattdessen war die Risikoregulierung in Europa enger mit der Wissenschaft und dem Vorsorgeprinzip verbunden. Seit dem letzten Jahrhundert war die Rationalisierung von Risiken die Antwort auf die unbekannte Landschaft, die transnationale und technologische Bedrohungen für gesellschaftliche Güter darstellen. Dieser Prozess basierte auf der quantitativen Kosten-Nutzen-Analyse und wurde durch das Vorsorgeprinzip untermauert. Dieser Grundsatz hat in der Tat eine grundlegende Rolle bei der Gestaltung europäischer Politik in vielen verschiedenen Bereichen gespielt, vom Umweltrecht bis zur Lebensmittelsicherheit. Verwurzelt in Risikobewertungen potenzieller Schäden auf der Grundlage einer Mischung aus wissenschaftlichen und statistischen Daten, diente dieser Grundsatz als Leitrahmen für politische Entscheidungsträger und begrenzte die Unsicherheit durch den Versuch, Risiken zu rationalisieren.
Die europäische Digitalpolitik scheint hingegen einen anderen Weg einzuschlagen. Anstatt direkt mit Ex-ante-Parametern oder wissenschaftlichen Risikobewertungen und Erkenntnissen verknüpft zu sein, betrachtet der europäische Ansatz zur Risikoregulierung in der Digitalpolitik Risiken nicht im Hinblick auf wissenschaftliche Unsicherheit, sondern vielmehr im Hinblick auf die Auswirkungen digitaler Technologien auf verfassungsrechtliche Werte, insbesondere Grundrechte, sowie auf das Ungleichgewicht der Kräfteverhältnisse zwischen öffentlichen und privaten Akteuren. Das Fehlen eines klaren Vorsorge-Rahmens in der Digitalregulierung wird besonders deutlich, wenn man wegweisende Rechtsinstrumente in verschiedenen Bereichen betrachtet. Zwar lassen sich im KI-Gesetz Elemente des Vorsorgeprinzips erkennen, wie im Fall der verbotenen Praktiken, und der technischen Schwelle für generative KI-Modelle mit systemischem Risiko, doch unterscheidet sich der allgemeine Regulierungsansatz zur Risikoregulierung in der europäischen Digitalpolitik weiterhin von anderen Bereichen, insbesondere dort, wo das Vorsorgeprinzip als Leitlinie diente.
Dieser Perspektivwechsel verdeutlicht eine grundlegende Diskrepanz in der Art und Weise, wie Risiken in verschiedenen Bereichen konzeptualisiert und reguliert werden. Die Digitalpolitik agiert in einem Umfeld der Unsicherheit, in dem Risiken oft spekulativ und schwer quantifizierbar sind, und zudem der Einschätzung der Regulierten, wie etwa privater Akteure, überlassen bleiben. Dieser Unterschied lässt sich in der Tat auf die inhärenten Herausforderungen bei der Quantifizierung und Messung digitaler Risiken zurückführen, insbesondere in Bereichen wie der Verarbeitung personenbezogener Daten und der Verbreitung illegaler Inhalte. Themen wie algorithmische Verzerrungen, Fehlinformationen, Datenschutzverletzungen und Cybersicherheitsbedrohungen lassen sich mit traditionellen wissenschaftlichen Methoden nur schwer messen. Im Gegensatz zu Umweltgefahren oder Risiken für die Lebensmittelsicherheit, die durch empirische Tests und wissenschaftliche Methoden bewertet werden können, sind die Auswirkungen digitaler Risiken oft diffus, kontextabhängig und schwer vorhersehbar. In diesem Fall befasst sich die Digitalpolitik mit Risiken, die oft noch nicht vollständig verstanden sind, was zu Regulierungsrahmen führt, die Governance-Mechanismen Vorrang vor der Wissenschaft einräumen. Ebenso ist das Risikokonzept in der Digitalpolitik oft mit weiterreichenden gesellschaftlichen und ethischen Überlegungen verbunden und nicht mit einer direkten wissenschaftlichen Bewertung. Im Falle der KI-Regulierung beispielsweise stehen Bedenken hinsichtlich Voreingenommenheit, Diskriminierung und Autonomie im Mittelpunkt der regulatorischen Diskussionen, doch lassen sich diese nicht mit denselben Analyseverfahren untersuchen, die in der wissenschaftsbasierten Forschung zum Einsatz kommen. Stattdessen erfordern sie normative Urteile über Fairness, Rechenschaftspflicht und Grundrechte. Dies hat zur Entwicklung von Regulierungsmechanismen geführt, darunter Folgenabschätzungen und ethische Leitlinien, die darauf abzielen, Risiken durch Governance zu bewältigen, anstatt durch die wissenschaftliche Identifizierung und Minderung von Gefahren.
Dieser Mechanismus, der in der europäischen Digitalpolitik zentrale Bedeutung erlangt hat, spiegelt einen umfassenderen Wandel in der Risikoregulierung wider, der durch das wachsende Machtungleichgewicht zwischen öffentlichen und privaten Akteuren getrieben wird, das durch die Konsolidierung des Informationskapitalismus geprägt ist. Die Übertragung von Regulierungszuständigkeiten direkt auf private Akteure führt zu einer Ausweitung privater Governance-Bereiche beim wirksamen Schutz von Grundrechten und demokratischen Werten, wie durch die DSGVO unterstrichen wird, wo der Umfang der Pflichten in erster Linie von den für die Datenverarbeitung Verantwortlichen auf der Grundlage des Rechenschaftsprinzips gestaltet wird. Da öffentliche Behörden bei der Umsetzung und Durchsetzung regulatorischer Ziele zunehmend auf Marktakteure angewiesen sind, wird ein erheblicher Teil der Regulierungsverantwortung auf diese privaten Akteure übertragen, die damit beauftragt sind, den wirksamen Schutz der Grundrechte und demokratischen Werte durch Praktiken der Risikobewertung und -minderung sicherzustellen.
In diesem Rahmen untersucht dieser Beitrag, inwiefern die Risikoregulierung in der europäischen Digitalpolitik einer anderen Logik folgt als die Ansätze, die das Vorsorgeprinzip charakterisieren. Was sich geändert hat, ist nicht das Vertrauen in die Risikoregulierung, sondern der Ansatz zur Risikobewertung, dessen Schwerpunkt auf verfassungsrechtlichen Werten wie dem Schutz der Grundrechte und demokratischen Werten liegt. Im Gegensatz zum Vorsorgeprinzip, das sich eher auf empirische Risikobewertung und wissenschaftliche Erkenntnisse stützt, um drohende oder mögliche materielle Gefahren zu begründen und letztlich die Regulierung voranzutreiben, verlagert sich hier der Massstab der Risikobewertung von den Naturwissenschaften hin zu den Sozialwissenschaften und insbesondere zum Konstitutionalismus. Der in der europäischen Digitalpolitik umgesetzte risikobasierte Ansatz betrachtet den Konstitutionalismus als Wissenschaft und macht so Prinzipien wie Verhältnismässigkeit und Rechenschaftspflicht zum Kern des Systems, wodurch empirische Daten als Grundlage für die Risikobewertung ersetzt werden. Dieser Prozess hat zu einem Regulierungsrahmen geführt, in dem die Bewertung und Minderung von Risiken eher durch rechtliche und institutionelle Erwägungen als durch wissenschaftliche Prinzipien vermittelt werden.
Darüber hinaus argumentiert der Beitrag, dass dieser Wandel Teil der verfassungsrechtlichen Reaktionen Europas auf die Herausforderungen ist, die digitale Technologien für Grundrechte und demokratische Werte darstellen, und ein Weg, das Machtungleichgewicht zwischen öffentlichen und privaten Akteuren im digitalen Zeitalter anzugehen. Dieser Wandel wurde stark durch die Dominanz privater Akteure beeinflusst, insbesondere grosser Technologieunternehmen, die das digitale Ökosystem beherrschen. Die erhebliche Kontrolle über Daten, Algorithmen und digitale Infrastrukturen macht sie sowohl zu Quellen potenzieller Risiken als auch zu Schlüsselakteuren und Kooperationspartnern für die Risikominderung. Anstatt einen rein wissenschaftlich orientierten Ansatz zu verfolgen, berücksichtigt der europäische Ansatz zur Risikoregulierung in der Digitalpolitik verfassungsrechtliche Werte als Parameter, wodurch die Risikoregulierung zu einem Mittel für öffentliche Akteure wird, das Machtungleichgewicht zwischen öffentlichen und privaten Akteuren zu begrenzen und gleichzeitig Grundrechte, Demokratie und die Marktdynamik, die digitale Ökosysteme prägen, in Einklang zu bringen.
Dieser Beitrag untersucht zunächst die Entwicklung der europäischen Risikoregulierung unter besonderer Berücksichtigung des Vorsorgeprinzips. Zweitens analysiert er die Merkmale der Risikoregulierung in der europäischen Digitalpolitik und beleuchtet dabei Rechtsrahmen wie die DSGVO, den DSA und die KI-Verordnung. Drittens untersucht der Beitrag, wie die sich wandelnde, an verfassungsrechtlichen Werten orientierte Risikoregulierung das allgemeine Ungleichgewicht zwischen öffentlichen und privaten Akteuren im digitalen Zeitalter widerspiegelt.
II. Die Entwicklung der europäischen Risikoregulierung und der Vorsorge
Die zunehmenden Bedrohungen moderner Gesellschaften haben zu einem neuen Fokus auf das Verständnis und die Rationalisierung von Risiken geführt. Die Risikorationalisierung beruht auf der Prämisse, dass Wahrscheinlichkeit und, im weiteren Sinne, Quantifizierung Gefahren einer vergleichbaren Berechnung und damit einer „objektiv“ vertretbaren Entscheidungsfindung zugänglich machen. Auf dieser Grundlage wurden die quantitative Risikobewertung und die Kosten-Nutzen-Analyse als Instrumente entwickelt, die die Vielfalt technologischer Auswirkungen in vergleichbare Kennzahlen umsetzen und angeblich technische Unterstützung für regulatorische Entscheidungen bieten.
Doch durch die Homogenisierung ökologischer, gesundheitlicher, wirtschaftlicher und ethischer Dimensionen schliesst die quantitative Risikobewertung wesentliche qualitative Effekte aus und erweist sich als unzureichend unter Bedingungen der Unsicherheit, bei denen die Ergebnisse bekannt sind, ihre Wahrscheinlichkeiten jedoch nicht, oder unter Bedingungen der Unwissenheit, bei denen nicht einmal der Bereich der möglichen Ergebnisse abgegrenzt werden kann. In solchen Kontexten verliert die Regulierungswissenschaft ihre vermeintliche Neutralität. Ihre Urteile verflechten sich mit politischen Erwägungen und sozialen Werten, wodurch die traditionelle Trennung zwischen Risikobewertung (Fakten) und Risikomanagement (Werten) verwischt wird.
Gerade weil unter diesen Umständen eine stabile epistemische Grundlage unerreichbar ist, tritt das Vorsorgeprinzip als normatives Gegengewicht in Erscheinung. Seine Logik besteht nicht darin, das Unquantifizierbare zu quantifizieren, sondern anzuerkennen, dass öffentliche Entscheidungen sich nicht allein auf quantitative Risikobewertungstechniken stützen können, wenn kausale Zusammenhänge unbekannt oder unberechenbar sind und der Spielraum für Überraschungen gross ist. Weit davon entfernt, die Wissenschaft abzulehnen, verlangt die Vorsorge einen pluralistischeren und offeneren Umgang mit ihr. Er basiert weiterhin auf der empirischen Untersuchung der relevanten beobachtbaren Realität, ist sich jedoch seiner Grenzen bewusst und offen für ausserwissenschaftliche Formen des Wissens. Während also die Risikorationalisierung ihre Legitimität durch probabilistische Berechnungen und das Versprechen von Objektivität sucht, verlagert der Vorsorgeansatz den Schwerpunkt auf den Umgang mit Unsicherheit und räumt dabei der Vorsicht, der Verteilung der Beweislast und der offenen politischen Deliberation Vorrang ein, um das öffentliche Interesse zu wahren, wenn die „Fakten“ unbeständig oder unvollständig sind.
Historisch gesehen diente das Vorsorgeprinzip den politischen Entscheidungsträgern als Instrument zur Risikosteuerung, vor allem in den Bereichen Gesundheit, Umwelt und Sicherheit. Seine Umsetzung erfolgte in der Regel durch staatliche Massnahmen, die darauf abzielten, wirtschaftliche Aktivitäten einzuschränken, beispielsweise durch die Beschränkung oder das Verbot des Inverkehrbringens von Produkten. Risiko entsteht durch das Zusammenspiel verschiedener Realitäten in einem Kontext der Unsicherheit. Jede Betrachtung von Risiko ist untrennbar mit der Auffassung verbunden, wie man das Verhältnis zwischen Staat und Gesellschaft versteht, insbesondere da sich dieses Verhältnis in technologiegetriebenen Wissensgesellschaften wandelt. Gleichzeitig spielt Risiko im regulatorischen Bereich mehrere unterschiedliche Rollen: Es kann der eigentliche Schwerpunkt der Regulierung sein, die Begründung für die Einführung von Vorschriften liefern, die Architektur und die Prozesse von Regulierungsbehörden prägen und die Mechanismen untermauern, durch die Regulierungsbehörden zur Rechenschaft gezogen werden.
Ein Beispiel hierfür ist die Finanzmarktregulierung, wo Risiko als die Wahrscheinlichkeit oder Möglichkeit von Ereignissen verstanden wird, die sich negativ auf die strategischen oder wirtschaftlichen Ziele von Finanzinstituten auswirken, insbesondere durch Verluste, Solvenzverschlechterung oder Reputationsschäden. Da die Finanzmärkte in der zweiten Hälfte des 20. Jahrhunderts immer komplexer und global vernetzter wurden, wurde das Risikomanagement zunehmend ausgefeilter, was zu einer Segmentierung der Risiken in verschiedene Kategorien wie Kreditrisiko, Marktrisiko, operationelles Risiko und Liquiditätsrisiko führte, wie jüngste Beispiele für die angebliche Übernahme des Vorsorgeprinzips im Finanzbereich sowie bei der Energiewende unterstreichen.
Die Konzeptualisierung des Vorsorgeprinzips wurde daraufhin auf andere Bereiche der Regulierung und Politikgestaltung übertragen, mit dem Ziel, der sich wandelnden Realität gerecht zu werden oder zumindest über Instrumente zu verfügen, um sie zu entschlüsseln. So entwickelte sich dieses Prinzip im 20. Jahrhundert zu einem intellektuellen und praktischen Leitfaden für die Reaktion auf Naturkatastrophen und drohende Umweltgefahren. Vorsicht wurde somit zu einem Leitprinzip der Entscheidungsfindung, wenn die eine Situation umgebenden Umstände ungewiss sind, wobei das verfügbare Wissen ausgewertet wird, um potenzielle Schäden für die Umwelt, die Unversehrtheit von Menschen und andere gesetzlich geschützte Interessen zu vermeiden, selbst wenn keine vollständigen Informationen über die damit verbundenen Risiken vorliegen.
Der erste rechtliche Ausdruck des Vorsorgeprinzips tauchte in nationalen Rechtssystemen auf, wie beispielsweise in Deutschland und Schweden. Die deutsche Umweltpolitik, bekannt als „Vorsorge“ (Umsicht und Weitsicht), und schwedische Rechtsnormen zur Bekämpfung der Umweltverschmutzung begründeten bereits 1981 die Legitimität, zu handeln, bevor vollständige Gewissheit über eine konkrete Situation vorlag, veranschaulichen diese Entwicklung. Zudem erklärt Mary Stevens, dass dieser Ansatz auf internationaler Ebene an Bedeutung gewann und sich auf das Umweltrecht ausweitete, insbesondere durch die Nordseeschutzkonferenzen. Deutschland führte diesen bereits etablierten innerstaatlichen Ansatz ein, um die Diskrepanz zu beleuchten, ob man vor dem Handeln auf den Nachweis schädlicher Auswirkungen warten sollte. Bereits auf der zweiten Konferenz wurde der Begriff „Vorsorgeansatz“ übernommen.
Bis 1990 wurde der Grundsatz in supranationalen Foren wie der Bergen-Erklärung, und dem OSPAR-Übereinkommen, ausdrücklich anerkannt, wobei seine Rolle bei der Bewältigung wissenschaftlicher Unsicherheiten hervorgehoben wurde, die präventive Massnahmen auch ohne schlüssige Beweise zulässt. In einem breiteren internationalen Kontext wurde das Prinzip auf internationaler Ebene in der Rio-Erklärung von 1992, die auf der Konferenz der Vereinten Nationen über Umwelt und Entwicklung verabschiedet wurde, formell verankert. Ziel war es, sicherzustellen, dass wissenschaftliche Unsicherheit nicht länger als Vorwand für Untätigkeit dienen würde, wenn ernsthafte oder irreversible Schadensgefahren bestehen. Daher hat sich dieses Prinzip, das aus der internationalen Umweltschutzgesetzgebung hervorgegangen ist, seitdem auf verschiedene sicherheitsrelevante Bereiche ausgeweitet, wie beispielsweise die Gesundheit von Menschen, Tieren und Pflanzen.
Ebenso wurde das Vorsorgeprinzip etwa zur gleichen Zeit in die Rechtsordnung der EU aufgenommen. Darüber hinaus sollte jeder Schritt in der Entwicklung der EU-Regulierung einen Fortschritt für die Umweltpolitik darstellen und nachhaltige Entwicklung zu einem zentralen Massstab für den Abschluss supranationaler und nationaler Abkommen machen. Das Vorsorgeprinzip hat sich zunehmend zu einem allgemeinen Rechtsgrundsatz entwickelt, und zu einem Leitrahmen für Situationen, in denen politische Massnahmen nicht auf vollständig bekannten oder „erkennbaren“ Informationen beruhten, insbesondere wenn die Entscheidungsfindung mit wissenschaftlicher Unsicherheit hinsichtlich der potenziellen Risiken schädlicher Ereignisse verbunden war. Um die Kriterien für seine Anwendung zu vereinheitlichen, verabschiedete die Europäische Kommission im Jahr 2000 die Mitteilung zum Vorsorgeprinzip. Dieses Dokument legte die Bedingungen dar, unter denen das Prinzip geltend gemacht werden kann:
In den spezifischen Fällen, in denen wissenschaftliche Erkenntnisse unzureichend, nicht schlüssig oder unsicher sind und vorläufige objektive wissenschaftliche Bewertungen darauf hindeuten, dass begründete Bedenken bestehen, dass die potenziell gefährlichen Auswirkungen auf die Umwelt, die Gesundheit von Menschen, Tieren oder Pflanzen mit dem für die Gemeinschaft gewählten hohen Schutzniveau unvereinbar sein könnten.
Darüber hinaus unterscheidet die Mitteilung zwischen der auslösenden Situation (wissenschaftliche Unsicherheit hinsichtlich eines potenziellen Schadens), den Studien, die die Vermutung eines potenziellen Schadens untermauern, und den Merkmalen der Vorsorgemassnahmen. Was die auslösende Situation betrifft, geht die Kommission davon aus, dass politische Entscheidungen über das Handeln oder Nicht-Handeln auf der Grundlage der Auslöser für die Anwendung des Vorsorgeprinzips getroffen werden, insbesondere der Feststellung potenziell negativer Auswirkungen, der Durchführung einer wissenschaftlichen Bewertung und schliesslich des Vorliegens wissenschaftlicher Unsicherheit. Das Prinzip kann nicht allein auf der Grundlage einer Vermutung geltend gemacht werden, sondern erfordert eine umfassende Analyse des spezifischen Risikos, um wissenschaftliche Unsicherheit festzustellen.
Darüber hinaus hat die Kommission vier Komponenten der Risikobewertung identifiziert: Gefahrenidentifizierung, Gefahrencharakterisierung, Expositionsbewertung und Risikocharakterisierung. Jeder dieser Schritte trägt, wenn er unvollständig ist, zum Gesamtgrad der Unsicherheit bei und beeinflusst die Grundlage für Schutzmassnahmen. Sobald die wissenschaftliche Bewertung so vollständig wie möglich ist, und die Entscheidung durch die Abwägung der Folgen des Handelns sowie des Nicht-Handelns getroffen wird, muss die Vorsichtsmassnahme die folgenden Anforderungen erfüllen. Erstens sollten die von den Entscheidungsträgern getroffenen Massnahmen in einem angemessenen Verhältnis zu dem in dieser Angelegenheit gewählten Schutzniveau stehen. Zweitens darf die Anwendung des Prinzips nicht diskriminierend sein. Drittens sollten die Massnahmen trotz fehlender Informationen mit den anderen Massnahmen im Einklang stehen, die bereits unter ähnlichen Umständen oder unter Verwendung ähnlicher Ansätze ergriffen wurden. Die vierte Anforderung setzt eine Prüfung der Vorteile und Kosten von Massnahmen und Untätigkeit voraus, wobei die wirtschaftliche Bewertung anerkannt wird, aber auch andere Methoden berücksichtigt werden, wie beispielsweise solche, die die Wirksamkeit und die sozioökonomischen Auswirkungen betreffen. Die fünfte Komponente bezieht sich auf den vorläufigen Charakter des Grundsatzes, da er beinhaltet, dass Massnahmen im Lichte neuer wissenschaftlicher Daten überprüft werden sollten, um die bisherigen Massnahmen beizubehalten oder anzupassen. Schliesslich ist ein weiteres Merkmal des auf konkrete politische Massnahmen angewandten Vorsorgeprinzips die Verlagerung der Beweislast.
All dies verdeutlicht das Bestreben der Kommission, dieses Prinzip zu systematisieren und eine möglichst umfassende Risikobewertung zu fordern, um zu vermeiden, dass willkürliche Entscheidungen unter dem Vorwand des Vorsorgeprinzips gerechtfertigt werden. Dieses Prinzip ist seit fast einem halben Jahrhundert ein zentraler Bestandteil der europäischen Rechts- und Regulierungsrahmen, wobei Gerichte und politische Entscheidungsträger für die Festlegung seines Anwendungsbereichs und seiner Anwendung verantwortlich sind. Zu den jüngsten Beispielen für seine Anwendung zählen die Verordnung von 2024 über die Umweltleistung von Flügen, und das Partnerschaftsabkommen über nachhaltige Fischerei für den Zeitraum 2025–2030, die die anhaltende Relevanz des Grundsatzes in der europäischen Politik verdeutlichen. Dieser Ansatz hat jedoch Fragen hinsichtlich seiner Auswirkungen auf Innovation und Rechtssicherheit aufgeworfen, was zudem zu Unstimmigkeiten bei der gerichtlichen Anwendung des Grundsatzes in der EU geführt hat, insbesondere hinsichtlich des erforderlichen Grades an Unsicherheit, der Rechtfertigung für seine Geltendmachung und der ergriffenen Massnahmen. Gleichzeitig darf nicht vergessen werden, dass das Vorsorgeprinzip als performatives Instrument dient, insbesondere in wissenschaftlich fundierten Situationen, die auf kontextspezifische Massnahmen der politischen Entscheidungsträger beruhen.
Eine auf dem Vorsorgeprinzip basierende Regulierung weist oft einen hybriden Charakter auf und kombiniert Command-and-Control-Mechanismen mit flexibleren Instrumenten. Einerseits sehen einige Umweltvorschriften klare Ergebnisverpflichtungen vor, die einen strengen Regulierungsansatz widerspiegeln. So legt beispielsweise die Richtlinie 2008/50/EG über die Luftqualität und saubere Luft für Europa verbindliche Grenzwerte für Schadstoffe wie Stickstoffdioxid (NO₂) und Feinstaub fest, wodurch den Mitgliedstaaten in bestimmten Fällen kein Ermessensspielraum bleibt. Dies stellt einen paradigmatischen Fall einer zwingenden Ergebnisverpflichtung dar. der Andererseits wird das Vorsorgeprinzip auch durch verfahrenstechnische Instrumente wie Umweltverträglichkeitsprüfungen (UVP) umgesetzt, die eine offenere Logik der Risikobewertung verkörpern. Die Richtlinie 2011/92/EU (in der durch die Richtlinie 2014/52/EU geänderten Fassung) verlangt die Ermittlung, Beschreibung und Bewertung potenzieller Umweltauswirkungen bestimmter öffentlicher und privater Projekte vor deren Genehmigung. Sie verweist jedoch lediglich auf Listen allgemeiner Umweltfaktoren, die zu berücksichtigen sind, wie Biodiversität, Boden, Wasser und menschliche Gesundheit, schreibt aber keine konkreten Ergebnisse vor. Stattdessen erleichtert sie eine fundierte Entscheidungsfindung unter Unsicherheit und steht damit im Einklang mit der Kernlogik der Vorsorge.
Diese Ausrichtung auf Vorsorge hat in der Digitalpolitik keinen Platz gefunden. Obwohl die mit digitalen Technologien verbundenen Risiken anerkannt sind und die Grundlage für die Verabschiedung neuer Rechtsinstrumente bildeten, wird das Vorsorgeprinzip in den von der Europäischen Union im letzten Jahrzehnt umgesetzten digitalen Politiken nicht formell herangezogen. Die DSGVO oder der DSA beziehen sich zwar auf Risikoregulierung und -bewertung, folgen jedoch nicht demselben Ansatz, der Politiken und Rechtsvorschriften auf der Grundlage des Vorsorgeprinzips kennzeichnet. So wie das Vorsorgeprinzip Antworten auf eine lange Liste von Themen wie Gesundheit, Lebensmittelsicherheit, Industriemanagement, Chemikalien, Arzneimittel, Kernkraftwerke und Medizinprodukte bot, bietet es keine vergleichbare Orientierung für die Bewältigung der Risiken des digitalen Zeitalters, obwohl es Anlass zu Besorgnis über erhebliche Schäden gibt.
Wie im nächsten Abschnitt hervorgehoben wird, folgt die Risikoregulierung in der europäischen Digitalpolitik nicht derselben Logik wie das Vorsorgeprinzip. Der auf Grundrechte und demokratische Werte ausgerichtete Ansatz in der Digitalpolitik führt in erster Linie dazu, dass die Risikobewertung unter einem anderen Blickwinkel betrachtet wird, wobei der Schwerpunkt von wissenschaftlichen Erkenntnissen auf einen verfassungsrechtlichen Ansatz verlagert wird.
III. Die Emanzipation der europäischen Digitalregulierung
Die Risikoregulierung war bislang ein Instrument zur Bewältigung der Herausforderungen einer Risikogesellschaft. Der Umgang mit Risiken hat sich jedoch im Rahmen der europäischen Digitalpolitik weiterentwickelt. Der zuvor analysierte risikoregulatorische Ansatz weicht erheblich von dem Ansatz ab, der in der Digitalpolitik und -regulierung angewendet wird, wo Risiken nicht nur berücksichtigt, sondern die Politik und Regulierung auch „risikobasiert“ gestaltet wird, was den Wandel normativer Paradigmen als Reaktion auf die Herausforderungen des digitalen Zeitalters widerspiegelt.
Risikoregulierung und ein risikobasierter Regulierungsansatz sind als Konzepte nicht zwangsläufig deckungsgleich. Ersterer betrachtet das Risiko als unmittelbaren Gegenstand der Regulierung, wobei Akzeptanzschwellen und Kontrollmassnahmen im Regulierungsinstrument selbst definiert sind, während letzterer das Risiko als Bewertungs- und Priorisierungskriterium betrachtet, das die Einhaltung und Durchsetzung innerhalb eines bestehenden Rahmens leitet. Nach Blacks Darstellung strukturieren risikobasierte Ansätze Entscheidungsprozesse (z. B. die Anpassung von Verpflichtungen an die Risikoprofile der Betreiber, das Management von Behörden- und Compliance-Risiken), legen jedoch nicht an sich fest, was als akzeptables Risiko gilt. Anders ausgedrückt: Risikoregulierung ist inhaltlich ausgerichtet und bestimmt den materiellen Inhalt dessen, was kontrolliert werden soll, während risikobasierte Regulierung methodisch und organisatorisch ausgerichtet ist und nicht den Inhalt, sondern die Art und Weise der Risikobewältigung gestaltet.
Im Kontext der digitalen Regulierung definiert der europäische Regulierungsansatz eine Mischung aus dem Versuch, Risiken zu regulieren, und einem risikobasierten Ansatz, der nicht nur eine politische, sondern auch eine eminent verfassungsrechtliche Dimension annimmt, da die ergriffenen Massnahmen darauf abzielen, negative Auswirkungen auf Grundrechte und Demokratie zu verhindern. Wie Grozdanovski unter Bezugnahme auf den AI Act, der jedoch gleichermassen auf die DSGVO und den DSA anwendbar ist – hervorhebt, ist die Definition von Risiko in diesem Bereich nicht nur auf die physische Unversehrtheit ausgerichtet, sondern vor allem auf den Schutz wesentlicher Freiheiten. Es entsteht somit ein neues Modell, das durch drei miteinander verflochtene Verschiebungen gekennzeichnet ist: wer entscheidet, wie das Risiko berechnet wird und welche regulatorischen Ergebnisse sich daraus ergeben.
1. Die Regulierungsbehörden: von öffentlichen Regulierungsbehörden zu privaten Regulierten
Im traditionellen Ansatz der Risikoregulierung waren öffentliche Behörden, unterstützt von wissenschaftlichen Experten, sowohl für die Bewertung als auch für das Management von Risiken verantwortlich. Zwei wichtige Meilensteine waren die Risikobewertung (Fakten) und das Risikomanagement (Werte). Wissenschaftler waren dafür zuständig, den Teil der Realität zu bewerten, den sie entschlüsseln mussten, und im Idealfall ihre neutralen Erkenntnisse den Entscheidungsträgern vorzulegen, damit diese die Informationen umsichtig verwalten und ein Ergebnis oder eine Politik zum Wohle der Gesellschaft vorlegen konnten. Hesselink bekräftigte, dass dieses Modell zwei Akteure hervorbrachte: die epistemische Autorität und die Regierungsautorität. Während umstritten ist, ob diese vollständig voneinander getrennt sind und die Ergebnisse der ersten völlig neutral sind, erklärt Hesselink, dass sie ihre Legitimation aus unterschiedlichen Quellen beziehen. Wissenschaftliche Erkenntnisse erlangen Glaubwürdigkeit durch strenge Methoden und Peer-Review, während politische Autorität ihre Legitimität aus demokratischer Kontrolle und rechtlicher Rechenschaftspflicht bezieht. Daher liegt die eigentliche Antwort auf die zuvor gestellte Frage, welche Meilensteine oder Elemente die Regulierung digitaler Risiken so anders machen, nicht in den Schritten zur Risikobewertung, sondern in den Akteuren, die die Macht dazu haben.
Im digitalen Bereich verlagert sich der Ort der Entscheidungsfindung jedoch entscheidend hin zu privaten Akteuren. Bei genauer Betrachtung der europäischen Digitalvorschriften lassen sich subjektive Schutzpflichten feststellen, die vom Risiko für die Grundrechte abhängen. So führt die DSGVO beispielsweise generell den Grundsatz der Rechenschaftspflicht ein und überträgt damit de facto den für die Datenverarbeitung Verantwortlichen die Verantwortung für die Durchführung einer Risikobewertung. Ein Beispiel ist die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung, um Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zu bewerten. Wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche vor der Verarbeitung eine Folgenabschätzung hinsichtlich der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchführen.
Gleichzeitig verpflichtet die DSA Anbieter von Vermittlungsdiensten, sorgfältig, objektiv und verhältnismässig zu handeln und dabei die in der Charta verankerten Grundrechte der Dienstleistungsempfänger zu berücksichtigen. Ebenso sollten VLOPs systemische Risiken, die sich aus der Gestaltung, dem Betrieb oder der Nutzung ihrer Dienste ergeben, sorgfältig ermitteln, analysieren und bewerten. Diese Bewertungen müssen mindestens einmal jährlich oder vor der Einführung von Funktionen durchgeführt werden, die voraussichtlich erhebliche Auswirkungen haben. Der DSA schreibt vor, dass sich solche Bewertungen auf Risiken wie die Verbreitung illegaler Inhalte, negative Auswirkungen auf Grundrechte – einschliesslich Privatsphäre, Datenschutz, Meinungsfreiheit, Nichtdiskriminierung und die Rechte des Kindes – sowie auf demokratische Prozesse, die öffentliche Sicherheit, die öffentliche Gesundheit und das körperliche und geistige Wohlbefinden von Personen konzentrieren müssen.
Was das KI-Gesetz betrifft, so legt es unterschiedliche Risikobewertungen fest, die für Anbieter von KI-Systemen mit hohem Risiko und für Betreiber gelten. So besteht beispielsweise die Verpflichtung, vor dem Einsatz risikoreicher KI-Systeme eine Grundrechtsverträglichkeitsprüfung durchzuführen, insbesondere bei der Nutzung in sensiblen Bereichen wie Justiz, Migration, demokratischen Prozessen oder bei Entscheidungen, die erhebliche Auswirkungen auf Einzelpersonen haben. Diese Bewertung zielt darauf ab, die spezifischen Risiken zu ermitteln, die der Einsatz des Systems für die Rechte und Freiheiten des Einzelnen mit sich bringen kann, sowie die Massnahmen, die zur Verhinderung oder Minderung dieser Risiken vorgesehen sind.
Die Umverteilung der Zuständigkeiten ist nicht nur administrativer Natur, sondern beinhaltet eine Neugestaltung der Beziehungen zwischen öffentlichen und privaten Akteuren bei der Steuerung und Kontrolle von Technologie. Während die Übertragung von Regulierungsaufgaben an private Akteure nicht auf den digitalen Bereich beschränkt ist, weist die Struktur der Übertragung und Aufsicht in der EU-Digitalregulierung besondere Merkmale auf. In anderen Bereichen der Risikoregulierung, wie der Lebensmittelsicherheit und der Arzneimittelbranche, generieren private Akteure zwar wesentliche Daten und führen Versuche durch, doch behalten zentralisierte öffentliche Behörden wie die Europäische Behörde für Lebensmittelsicherheit oder die Europäische Arzneimittelagentur durch Ex-ante-Genehmigungsverfahren, obligatorische Datenoffenlegung und öffentliche Überwachung die entscheidende Autorität. Im Gegensatz dazu stützt sich die digitale Regulierung vorwiegend auf Rechenschafts- und Compliance-Verpflichtungen, wobei Risikobewertungen und Transparenzberichte weitgehend von den regulierten Unternehmen selbst definiert werden.
Dieses System stellt ein anderes Modell der Risikoregulierung dar als in anderen Bereichen, in denen die Regulierungsbehörden mehr Kontrolle behalten haben. Um beispielsweise die Sicherheit im Pharmabereich zu gewährleisten, haben öffentliche Akteure eine paternalistische Haltung eingenommen, von schwerwiegenden Gesundheitsrisiken ausgegangen und daher Macht auf den Markt konzentriert. Im digitalen Bereich hingegen haben sich öffentliche Akteure auf die Selbstregulierungsfähigkeit privater Akteure verlassen, wobei öffentliche Eingriffe in der Regel nur dann erfolgen, wenn Schaden oder Nichteinhaltung auftreten. Das Fehlen einer zentralen Behörde in Verbindung mit der Undurchsichtigkeit von Algorithmen, dem Schutz von Geschäftsgeheimnissen und dem beispiellosen Ausmass konzentrierter privater Macht führt zu einer deutlich ausgeprägteren Informationsasymmetrie zwischen Regulierungsbehörden und Unternehmen. Im Gegensatz zum Pharma- oder Lebensmittelsektor, wo die öffentliche Aufsicht private Angaben unabhängig überprüfen kann, versetzt die digitale Regulierung die Regulierungsbehörden somit in eine strukturell reaktive Position, die von der Kooperation und den Offenlegungen dominanter Plattformen abhängig ist.
Im Gegensatz zum klassischen Entscheidungsmodell, bei dem Regulierungsbehörden im Mittelpunkt standen und ihre Autorität auf der Grundlage wissenschaftlicher Expertengutachten ausübten, liegt die technische Autorität im Bereich der digitalen Risiken nun bei privaten Akteuren, da nur diese über die zugrunde liegenden Datensätze verfügen und privilegiertes Wissen über die interne Funktionsweise ihrer Systeme besitzen.
2. Die Risikoberechnung: von quantifizierbaren Gefahren zu immateriellen Schäden
Der europäische Ansatz zur Risikoregulierung in der Digitalpolitik basiert zudem auf einem anderen Paradigma der Risikoberechnung. Während Risiko bislang meist als empirische und quantifizierbare Aussicht auf konkreten Schaden behandelt wurde – so werden Schadstoffe in Mikrogramm pro Kubikmeter und nukleare Störfälle in Millisievert gemessen, verankert an gesetzlichen Grenzwerten, ist digitales Risiko dagegen immateriell und nur schwer messbar. Datenverarbeitung, algorithmische Verzerrungen und Informationsstörungen verfügen nicht über stabile Messgrössen, die mit Teilen pro Million oder Expositionsdosen vergleichbar wären. Die Messbarkeit wird zur entscheidenden Trennlinie, beispielsweise zwischen Umwelt- und Digitalrisikoregimen, wo Bewertungen weniger auf Wissenschaft als vielmehr auf verfassungsrechtlichen Überlegungen zu Rechten und Demokratie beruhen. Diese epistemische Unbestimmtheit legitimiert eine pluralistische und qualitative Beurteilung, bei der rechtliche, ethische und soziotechnische Perspektiven ebenso schwer wiegen wie statistische Modelle.
Digitale Risiken in der europäischen Digitalregulierung stehen in der Tat in erster Linie im Zusammenhang mit Eingriffen in Grundrechte und Demokratie. Während epistemische Unsicherheit domänenübergreifend vorhanden ist, ist der europäische Ansatz durch hohe Ambiguität gekennzeichnet, wie etwa begründete Meinungsverschiedenheiten über Werte und Messgrössen, z. B. „Schädigung“ von Grundrechten, sowie die Unbestimmtheit von Ergebnissen, die sich aus komplexen soziotechnischen Interaktionen ergeben. Genauer gesagt haben sich Vorschriften, die auf dem Vorsorgeprinzip basieren, historisch gesehen auf Unsicherheiten hinsichtlich der Gefahrenidentifizierung und der Expositions-Dosis-Wirkungs-Beziehungen konzentriert, wobei die Handhabbarkeit vergleichsweise grösser ist, sobald sich die Messsysteme stabilisieren. Im Gegensatz dazu ist die digitale Risikobewertung mit Unsicherheiten konfrontiert, die nicht nur aus technologischer Undurchsichtigkeit resultieren, sondern auch aus Bewertungen, die auf Konzepten basieren, die mit den Sozialwissenschaften und insbesondere dem Konstitutionalismus verbunden sind.
Die vom Vorsorgeprinzip inspirierte Risikoregulierung hat Risiken berücksichtigt, die zwar unsicher sind, aber mit einer physischen und quantifizierbaren Realität verbunden sind. Im Gegensatz dazu konzentriert sich das Governance-System in der europäischen Digitalregulierung auf die Einbindung öffentlicher und privater Akteure in Bezug auf eine Technologie, deren volles Nutzen- oder Gefahrenpotenzial nicht nur unbekannt ist, sondern auch auf verfassungsrechtlichen Parametern beruht, die sich von wissenschaftlichen Konzepten unterscheiden. Während im erstgenannten Fall wissenschaftliche Unsicherheit zunächst Prozessen der Bewertung und Quantifizierung anhand empirischer Daten unterzogen wird, was eine von Wissenschaftlern durchgeführte Bewertung bedeutet, sind im letzteren Fall die Risiken, die sich aus digitalen Technologien, d. h. aus Datenverarbeitung, Online-Diensten oder KI, ergeben, spekulativ und resultieren oft aus sozialen Dynamiken, ohne dass eine gründliche wissenschaftliche Bewertung durchgeführt wurde; sie sind schwer messbar und werden oft der Beurteilung privater Akteure überlassen. Das anhaltende Fehlen einer systematischen Methode zur quantitativen Abgrenzung digitaler Risiken steht im Gegensatz zur Methodik der traditionellen wissenschaftlichen Bewertung, und zwingt die Regulierungsbehörden somit dazu, sich mit epistemologischer Unsicherheit in der Digitalpolitik auseinanderzusetzen, anstatt die Regulierung auf eine neutrale wissenschaftliche Bewertung der Unsicherheit zu stützen.
Die Entwicklung der Risikoregulierung in der Digitalpolitik spiegelt einen Paradigmenwechsel wider, der sich vom wissenschaftlichen und messbaren Ansatz der klassischen europäischen Risikoregulierung löst und stattdessen ein Risikomanagement auf der Grundlage verfassungsrechtlicher Werte verfolgt, das den Umgang mit Unsicherheit und die Anpassung an neue Machtdynamiken in der digitalen Gesellschaft widerspiegelt. In einer vom Vorsorgeprinzip inspirierten Politik wurde Risiko in erster Linie als empirische und quantifizierbare Bewertung potenzieller Schäden und folglich auch tatsächlicher Schäden verstanden. In der Digitalpolitik hingegen ist der Regulierungsansatz nicht risikobasiert, sondern verfassungsbasiert und entsteht somit nicht nur als Antwort auf die Notwendigkeit, die den digitalen Technologien innewohnenden Unsicherheiten zu bewältigen, sondern auch auf das Machtungleichgewicht und die Informationsasymmetrie, die zeitgenössische technologische Umgebungen kennzeichnen, insbesondere zwischen öffentlichen und privaten Akteuren. Dieses Modell stützt sich nicht auf Wissenschaft und Wissen, sondern vielmehr auf die Erkenntnis öffentlicher Akteure, dass die rasante Entwicklung digitaler Technologien Mechanismen erfordert, um der Unvorhersehbarkeit und Streuung von Risiken bei der Dominanz von Marktakteuren Rechnung zu tragen und gleichzeitig Grundrechte und demokratische Werte zu schützen.
3. Das regulatorische Ergebnis: von Vorsichtsmassnahmen zu Rechenschaftspflicht und Risikominderung
Ein subtiler, aber tiefgreifender Unterschied liegt in der Natur des Risikos, das in der Digitalpolitik bewertet wird. Trotz der Anwendung einer ähnlichen Ex-post-Bewertung, wie z. B. Folgenabschätzungen oder Simulationen, wie im Bereich des Vorsorgeprinzips, haben sich die Akteure und die Epistemologie des Risikos verändert, ebenso wie die regulatorischen Ergebnisse. Eine vom Vorsorgeprinzip beeinflusste Risikoregulierung verbindet typischerweise Command-and-Control-Verpflichtungen (z. B. verbindliche Emissionsobergrenzen) mit verfahrensrechtlichen Pflichten wie Umweltverträglichkeitsprüfungen. Die operative Logik ist präventiv. Bei wissenschaftlicher Unsicherheit neigen Regulierungsbehörden zur Vorsicht und ergreifen strengere Präventivmassnahmen.
Digitale Vorschriften hingegen legen den Schwerpunkt auf Rechenschaftspflicht und kontinuierliches Risikomanagement. In dieser Hinsicht hat die DSGVO das erste paradigmatische Beispiel für diesen Wandel gesetzt. Im Gegensatz zur Datenschutzrichtlinie hat sich der Regulierungsrahmen der DSGVO der Risikoregulierung genähert und dabei den Begriff der Rechenschaftspflicht im Zusammenhang mit dem Schutz personenbezogener Daten als Grundrecht artikuliert. Die DSGVO kann in der Tat als erstes Beispiel dafür angesehen werden, wie Grundrechte zu einer wesentlichen normativen Grundlage der europäischen Digitalpolitik geworden sind, was den Weg für die Verbreitung eines risikobasierten Ansatzes im DSA und im KI-Gesetz ebnet. DPIAs nach der DSGVO, Systemrisikoprüfungen nach dem DSA und FRIAs nach dem KI-Gesetz werden in der Entwicklungsphase und oft kurz vor (oder sogar während) der Einführung durchgeführt. Ihr Ziel ist eine dynamische Risikominderung statt eines vorherigen Verbots. Selbst dort, wo die Verpflichtungen streng sind, z. B. bei jährlichen Neubewertungen, sind die Abhilfemassnahmen eher adaptive Korrekturen (Anpassungen der Inhaltsmoderation, Überwachung von Verzerrungen, Transparenzberichte) als vollständige Verbote.
Diese Entwicklung unterstreicht einen verfassungsrechtlichen Wandel. Die Regulierung ist darauf ausgerichtet, Grundrechte inmitten tiefgreifender Unsicherheit und privater Dominanz zu schützen, anstatt a priori technische Obergrenzen durchzusetzen. Das Ergebnis ist eine Governance-Architektur, in der Vorsorge nur eine Option unter vielen bleibt, überschattet von einem iterativen, rechtsorientierten Risikomanagement, das kontinuierlich die fliessenden Machtverhältnisse des digitalen Ökosystems verhandelt. Dieser Wandel in der Risikoregulierung gründet auf den unausgewogenen Beziehungen zwischen öffentlichen und privaten Akteuren im digitalen Zeitalter. Während Risikoregulierung auf der Grundlage des Vorsorgeprinzips traditionell darauf abzielte, Risiken in Bereichen zu bewältigen, in denen sich öffentliche Akteure auf gesichertes Fachwissen stützen konnten, steht die digitale Regulierung vor der Herausforderung, Bereiche zu regulieren, die in der algorithmischen Gesellschaft von privaten Akteuren beherrscht werden.
Das Ungleichgewicht zwischen öffentlichen und privaten Akteuren, das sich aus dem strukturellen Wandel in der Verteilung von Wissen und Kontrolle ergibt, hat den Machtfokus auf private Akteure verlagert. Diese Akteure, häufig grosse Technologieunternehmen, verfügen über exklusiven Zugang zu kritischen Datensätzen, algorithmischen Systemen und dem technischen Know-how, das digitalen Infrastrukturen zugrunde liegt. Infolgedessen befinden sich öffentliche Regulierungsbehörden häufig im Nachteil, da ihnen die informativen und technischen Kapazitäten fehlen, um neu auftretende digitale Risiken eigenständig zu bewerten oder darauf zu reagieren.
Diese Diskrepanz verdeutlicht nicht nur die begrenzte Reichweite des traditionellen Vorsorgeprinzips bei der Bewältigung von Governance-Herausforderungen, sondern impliziert auch eine Neugestaltung der Machtausübung, der Grundrechte sowie der öffentlichen und wirtschaftlichen Interessen.
IV. Risikoregulierung und europäischer Konstitutionalismus im digitalen Zeitalter
Der Übergang von einer wissenschaftlichen Rationalität hin zu einem konstitutionellen Ansatz in der Risikoregulierung stellt letztlich eine Anerkennung und Fokussierung auf den politischen und nicht nur technischen Charakter der Herausforderungen dar, die digitale Technologien mit sich bringen. Der Schutz der Grundrechte und die Wahrung demokratischer Werte bilden den Kern der Risikoregulierung im digitalen Zeitalter, wobei konstitutionelle Prinzipien wie Verhältnismässigkeit und Rechenschaftspflicht als normative Leitlinien dienen, um der Unsicherheit des digitalen Umfelds zu begegnen.
Diese Transformation kann als verfassungsrechtliche Reaktion betrachtet werden. Als Antwort auf Risiken für die Grundrechte und Machtasymmetrien hat sich die EU zunehmend einem risikobasierten Ansatz zugewandt, der auf verfassungsrechtlichen Werten gründet, um ihre Regulierungshoheit geltend zu machen. Anstatt sich ausschliesslich auf technisches Fachwissen oder Risikomodelle zu stützen, berufen sie sich auf Grundrechte wie Privatsphäre, Gleichheit und Meinungsfreiheit als normative Ankerpunkte für Interventionen. Dieser Wandel spiegelt den Versuch wider, öffentliche Kontrolle und Legitimität in Bereichen wiederherzustellen, die von privater Governance dominiert werden. Da private Akteure jedoch weiterhin die Architektur und Logik digitaler Dienste und KI-Systeme kontrollieren, bleibt dieser Ansatz eingeschränkt, oft reaktiv und unterliegt den Auslegungsgrenzen, die von eben jenen Akteuren gesetzt werden, die er zu regulieren sucht.
Diese Situation hat private Akteure wie Online-Plattformen zu einem unverzichtbaren Mosaikstein bei der Durchsetzung politischer Ziele gemacht. Ein paradigmatisches Beispiel ist die EU-Politik gegen Desinformation, die zutiefst auf einem Prozess der Zusammenarbeit und des Vertrauens zwischen der Europäischen Kommission, Plattformen und anderen Interessengruppen beruht, wie die Verabschiedung des verstärkten Verhaltenskodexes gegen Desinformation zeigt. Die zugrunde liegende Logik dieses neuen Regulierungsparadigmas liegt in der funktionalen Dualität, die private Akteure im digitalen Ökosystem kennzeichnet. Sie sind gleichzeitig Verursacher digitaler Risiken und deren wichtigste Risikominderer. Dieses Paradoxon stellt eines der bestimmenden Merkmale der zeitgenössischen digitalen Regulierung dar. Private Einrichtungen erzeugen durch die Konzentration kritischer Informationen und die Kontrolle der technologischen Infrastruktur eine Machtasymmetrie gegenüber öffentlichen Institutionen, die für den Schutz der Grundrechte zuständig sind. Gleichzeitig stellen jedoch genau diese privaten Akteure aufgrund ihres privilegierten technischen Wissens und ihrer operativen Kapazitäten die wirksamste und tatsächlich einzige verfügbare Ressource dar, um solche Risiken effektiv zu bewerten und zu mindern.
Dieses Ungleichgewicht hat zur Entwicklung eines anderen Regulierungsansatzes geführt, der darauf abzielt, die Interaktion und Zusammenarbeit zwischen öffentlichen und privaten Akteuren zu steuern; die Ausweitung der Risikoregulierung in der Digitalpolitik ist ein Beispiel dafür. Durch die Übernahme eines stärker leistungsorientierten Ansatzes, bei dem die Verantwortung bei der regulierten Partei liegt, konzentriert sich der risikobasierte Ansatz auf die Erfüllung regulatorischer Ziele durch Ermessensspielraum und Anpassungsfähigkeit bei deren Umsetzung. Die digitale Regulierung wandelt sich somit zu einem grundlegend politischen Prozess, der durch ständige Verhandlungen zwischen privaten und öffentlichen Interessen gekennzeichnet ist. Selbst der AI Act, der im Rahmen eines Top-down-Ansatzes verbotene Praktiken einführt, kombiniert Leistungselemente mit technischen Standards für risikoreiche Systeme, was den von Coglianese vorgeschlagenen hybriden Ansatz für Kontexte widerspiegelt, in denen eine reine Messung sich als komplex erweist.
Folglich basiert der europäische risikobasierte Ansatz für digitale Technologien nicht darauf, konkrete Ergebnisse zu fordern oder Verpflichtungen nach einem eher geradlinigen Command-and-Control-Ansatz aufzuerlegen, sondern auf Leistungskriterien und Rechenschaftsstandards, die auf verfassungsrechtlichen Werten wie Grundrechten und Demokratie beruhen. Obwohl der Vorsorgeansatz in einigen Aspekten auch Merkmale eines leistungsbasierten Modells aufweist, zielt der Ansatz zur Risikoregulierung in der Digitalpolitik nicht nur darauf ab, mehr Flexibilität bei der Reaktion auf Risikoszenarien zu bieten, sondern auch das Ungleichgewicht zwischen öffentlichen und privaten Akteuren zu beseitigen. Infolgedessen verlagert sich die Verpflichtung zur Risikobewertung nach unten, insbesondere auf jene Akteure, die Informations- und Technologieinfrastrukturen kontrollieren und für die Bewertung und Minderung von Risiken verantwortlich sind.
Gleichzeitig führt dieser Prozess dazu, dass öffentliche Akteure von der Bewertung und dem Management hin zur Bewertung und Kontrolle eines vorab festgelegten Risikospektrums übergehen. Der DSA identifiziert beispielsweise bestimmte Arten von Risiken für VLOPs, die Interessen wie Wahlprozesse und geschlechtsspezifische Gewalt betreffen. Ebenso definiert der AI Act spezifische Risikobereiche und verbietet zudem bestimmte KI-Systeme. Die Unterscheidung zwischen den Akteuren, die die Bewertung digitaler Risiken vornehmen, und den Institutionen, die für die Kontrolle dieser Bewertung zuständig sind, bildet die Grundlage des gesamten Regulierungsmodells für digitale Risiken, das sich von den traditionellen Formen der Risikoregulierung löst. Private und öffentliche Akteure sind daher die beiden Seiten eines Seils, die – natürlich unter Spannung – dazu neigen, zusammenzuarbeiten, um ein Gleichgewicht zwischen öffentlichem Interesse und Marktzielen herzustellen.
Damit wird die Rechenschaftspflicht zu einem der Eckpfeiler dieses Systems. Sie geht somit über ihre Konzeption als blosses technisches Instrument hinaus und wird zu einem zentralen Prinzip, das das Regulierungsmodell transformiert und eine funktionale Brücke zwischen privater Macht und dem öffentlichen Schutz verfassungsmässiger Rechte schlägt. Dieses Prinzip, das sich in der proaktiven Rechenschaftspflicht gemäss der DSGVO niederschlägt, verändert das Verhältnis zwischen Regulierungsbehörden und regulierten Unternehmen grundlegend und schafft ein Kontinuum der Verantwortung. Regulierungsinstrumente wie der DSA verlangen von VLOPs, regelmässig detaillierte Berichte über Aktivitäten zur Inhaltsmoderation und zum Risikomanagement vorzulegen. Auch der AI Act verlangt Folgenabschätzungen, die es ermöglichen, potenzielle Auswirkungen auf Grundrechte zu antizipieren und abzumildern. Diese Veränderung verlagert den Schwerpunkt von überwiegend präventiven Modellen hin zu Ansätzen, die der von Natur aus spekulativen und ungewissen Natur digitaler Risiken Rechnung tragen, deren vorausschauende Erkennung und Quantifizierung selbst für private Akteure häufig nicht möglich ist.
Dieser Ansatz führt zu einem prinzipienbasierten System, in dem der Inhalt der Compliance nicht durch einen starren Top-down-Ansatz bestimmt wird, sondern durch die Formulierung differenzierter und kontextbezogener regulatorischer Massnahmen, wodurch sowohl lähmende Überregulierung als auch ineffektive Unterregulierung vermieden werden. In diesem Fall rückt neben der Rechenschaftspflicht die Verhältnismässigkeit in den Mittelpunkt der europäischen Digitalpolitik und bildet ein Querschnittsinstrument zur Festlegung differenzierter Verpflichtungen und Wege der Zusammenarbeit, die auf die unterschiedlichen Risikostufen reagieren könnten, die verschiedene Akteure und Technologien im digitalen Zeitalter mit sich bringen.
Dieses Modell der Risikoregulierung bietet erhebliche Vorteile, insbesondere hinsichtlich der Anpassungsfähigkeit an technologische Bedrohungen und der regulatorischen Flexibilität, wirft jedoch auch verfassungsrechtliche Herausforderungen auf. Erstens bringt dieser Ansatz erhebliche Nachteile mit sich, insbesondere im Zusammenhang mit den potenziellen Auswirkungen auf Grundrechte, die erheblichen Eingriffen ausgesetzt sein könnten, bevor Regulierungsmechanismen wirksam durchgesetzt werden können. Zweitens kann der Grad an Ermessensspielraum, der privaten Akteuren bei der Compliance und Governance eingeräumt wird, als Bedrohung angesehen werden, insbesondere angesichts der Abhängigkeit öffentlicher Akteure von der von privaten Akteuren durchgeführten Risikobewertung. Drittens: Wenn die auf verfassungsrechtlichen Werten basierende Risikoregulierung ungewiss ist, wirkt sich dies nicht nur auf den Binnenmarkt aus, sondern auch auf die Rechtssicherheit bei der Durchsetzung. Diese Herausforderungen wurden jedoch von den Regulierungsbehörden nicht angegangen, die sorgfältig über die Schutzvorkehrungen und Verfahren in den Beziehungen zwischen öffentlichen und privaten Akteuren nachdenken und sich auf die Durchsetzung konzentrieren sollten, um Willkür zu vermeiden und Rechenschaftspflicht zu gewährleisten.
Dieser Wandel der europäischen Risikoregulierung unterstreicht, dass das Hauptziel dieses Ansatzes nicht nur darin besteht, technologische Risiken anzugehen, sondern auch das Machtungleichgewicht in der Beziehung zwischen öffentlichen und privaten Akteuren zu bewältigen. Anstatt das Risiko selbst zu bewältigen, ist dieser Ansatz das Ergebnis einer umfassenderen verfassungsrechtlichen Situation des Ungleichgewichts, die es erfordert, dass öffentliche Akteure stärker mit privaten Akteuren zusammenarbeiten, um politische Ziele zu erreichen.
V. Schlussfolgerungen
Die den digitalen Technologien innewohnende epistemologische Unsicherheit, die sich sowohl aus ihrer rasanten Entwicklung als auch aus der Rolle der privaten Governance ergibt, hat die Grenzen traditioneller wissenschaftlicher Kriterien für den Umgang mit technologischen Risiken aufgezeigt, die über das rein Quantifizierbare hinausgehen. In Europa hat diese Herausforderung zu einem Paradigmenwechsel in der der Regulierung zugrunde liegenden Rationalität geführt, der einen risikobasierten Ansatz hervorgebracht hat, dessen Ziel es ist, epistemologische Unsicherheit durch die Instrumente des Konstitutionalismus zu bewältigen, um Grundrechte zu schützen und Machtungleichgewichte zu beseitigen.
Diese verfassungsrechtlichen Werte haben eine unbestreitbare zentrale Stellung in der Konzeptualisierung und zeitgenössischen Regulierung digitaler Risiken eingenommen und die Grundrechte als neues wissenschaftliches Kriterium zu einem authentischen Regulierungsparadigma gemacht. In diesem Fall hat sich die europäische Regulierung digitaler Risiken tatsächlich in wesentlichen Verfassungsgrundsätzen wie Rechenschaftspflicht und Verhältnismässigkeit sowie, allgemein gesprochen, in einem auf Grundrechte ausgerichteten Regulierungsdiskurs verankert.
Die Transformation des europäischen risikobasierten Ansatzes ist ein Phänomen, das ein tiefgreifendes Umdenken in den traditionellen Beziehungen zwischen Regulierungsbehörden und Regulierten erfordert. In diesem Fall hat sich die europäische digitale Regulierung nicht auf die Festlegung von Verboten oder statischen Vorgaben konzentriert, sondern auf die Formulierung eines dynamischen Prozesses der Verantwortung zum Schutz der Grundrechte und demokratischen Werte. Dennoch bleibt die Bewertung des Handlungsspielraums, den der europäische Ansatz zur Risikoregulierung und die Zusammenarbeit zwischen öffentlichen und privaten Akteuren bei der Definition und Minderung von Risiken bieten, eine verfassungsrechtliche Herausforderung und erfordert insbesondere nicht nur verfahrensrechtliche Garantien, sondern auch eine wirksame Durchsetzung der digitalen Regulierung.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Ma. Verónica Vargas und Giovanni De Gregorio in:
European Journal of Risk Regulation , First View
Cambridge University Press, 2026
https://doi.org/10.1017/err.2025.10079
https://creativecommons.org/licenses/by/4.0
Dem Text wurden Hyperlinks hinzugefügt.
Datenschutz, praxisorientierte Lösungen und Umsetzungsvorschläge
Wir beraten Sie in allen Datenschutzbelangen rund um die nationale (DSG, Informationssicherheitsgesetz ISG, kantonale Datenschutzgesetze etc.) und internationale (DSGVO/GDPR) Datenschutzgesetzgebung und beantworten Ihre Datenschutzfragen.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch