Vor ein paar Wochen hat die Interdepartementale Koordinationsgruppe (IK-EUDP) der Bundesverwaltung eine Analyse der wichtigsten EU-Digitalgesetze/-massnahmen und ihrer Auswirkungen auf die Schweiz veröffentlicht.
Die Lektüre lohnt sich, weil sie die verschiedenen digitalpolitischen Baustellen der Schweiz auch jenseits des AI Acts aufzeigt.
(Kleine Zwischenbemerkung: Ich habe zuerst versucht, diese Massnahmen mittels einer KI zusammenzufassen. Leider war das Resultat trotz Feintuning und Optimierung nur zu 50 % brauchbar, da die KI viel zur Schweiz hinzugedichtet hat. Daher war es für mich unumgänglich, hier selbst nochmals ordentlich zu editieren und zu kommentieren sowie Zusatzquellen und Bundesstellen zu konsultieren, da die Angaben im Dokument teils sehr knapp und kryptisch gehalten sind, wie beispielsweise beim DMA.)
Hier also eine Auswahl von verschiedenen EU-Projekten, die bereits aktiv laufen oder in Kraft getreten sind. Die Tabelle hat keinen Anspruch auf Vollständigkeit und ist vielleicht für den Laien etwas kryptisch-knapp geschrieben.
Im Anschluss an die Tabelle mache ich deshalb noch ein paar zusammenfassende Bemerkungen.
| Massnahmen/Gesetze/Strategien der EU | Mögliche Auswirkungen auf die Schweiz | Bereits ergriffene Massnahmen in der Schweiz |
|---|---|---|
| Der AI Act ist ein EU-Gesetz, das KI reguliert, indem es KI-Systeme nach ihrem Risikoansatz (zum Beispiel unannehmbar, hoch, begrenzt, minimal) einstuft, um Sicherheit, Grundrechte und Innovation zu fördern und Risiken zu minimieren. Ausserdem reguliert das Gesetz die „Fondation Models“ (sogenannte Allzweck-KI/“General Purpose AI Models“) und verlangt dafür spezifische Transparenz- und Compliance-Anforderungen. | Der AI Act betrifft Schweizer Unternehmen, die in die EU exportieren. Es existiert hierzu ein wichtiges Abkommen mit der EU über die gegenseitige Anerkennung von Konformitätsbewertungen für Produkten in 20 Sektoren. Produkte mit KI-Komponenten (wie etwa Maschinen) müssen den AI Act erfüllen. Daher muss das MRA-Abkommen im Rahmen der Bilateralen III angepasst werden (der Bund ist aber erst am „Prüfen“). MRA bedeutet: mutual recognition agreement. Ohne dieses Update drohen neue technische Handelshemmnisse. Die Schweizer Unternehmen hätten damit doppelte Bürokratie, da sie neben der „normalen“ Zertifizierung ihre KI-Komponenten von einer EU-Stelle noch gesondert auf die technischen Normen des AI Act hin prüfen lassen müssten. | Die Schweiz prüft gemäss ihrer Auslegeordnung zur KI-Regulierung, wie sich der AI Act auf die Schweiz auswirken wird (das Problem ist erkannt, aber der Bundesrat spielt es zurzeit noch massiv herunter). Mehr dazu in meiner Auslegeordnung der Auslegeordnung bei der republik.ch. Eine Vorlage bzw. wahrscheinlich eher VorlageN (Updates im Arbeitsrecht, Urheberrecht, Datenschutz, eventuell ein Mantelgesetz das vieles bündelt) gibt es wohl erst Ende 2026. In Kraft wären diese Gesetze frühestens 2028. |
| Der Digital Services Act (DSA) ist ein EU-Gesetz, das Plattformen und digitale Dienste verpflichtet, gegen illegale Inhalte vorzugehen, Transparenz zu fördern und Nutzerrechte zu schützen, um rechtsstaatliche Regeln durchzusetzen. | 1. Zurzeit existiert keine Schweizer „Very large Online Platforms“ (VLOPs, definiert über Umsatz und Nutzerzahlen), die vom DSA betroffen sind. 2. Digitale Dienste der Schweiz (die im EU Raum tätig sind) müssen allerdings einen Rechtsvertreter aus dem EU-Raum benennen (Beispiele wären Threema, TresorIT). 3. Schweiz profitiert nicht „trittbrettfahrermässig“, denn den Schweizer Nutzer:innen stehen die Beschwerdewege und Anlaufstellen gemäss DSA nicht zur Verfügung. | 1. Bundesrat arbeitet seit bald 2 Jahren (!) an einer Vernehmlassungsvorlage zur Plattformregulierung (offenbar unabhängig vom DSA). Diese wird wohl einige Bestimmungen des DSA übernehmen, wie zum Beispiel die Transparenz zu den Empfehlungsalgorithmen, Schnittstellen für die Schweizer Forschung zur Untersuchung der Plattformen (alles was relevant für die öffentliche Kommunikation und Meinungsbildung ist). Die Vorlage wird jedoch kaum so viele strenge Vorgaben wie beim DSA enthalten. 2. Der Grund für die Verzögerungen beim BAKOM ist ungewiss. Gut möglich liegt es am Anbiederungskurs der Schweiz an die USA und an der Haltung, sich von den Regularien der EU grösstmöglich zu distanzieren. Die SECO-Botschafterin schreibt schliesslich an die USA dass die Schweiz keine Regulierung von Plattformen und KI anwendet, um Boden gut zu machen beim Thema „unfaire Handelspraktiken“. |
| Der Digital Markets Act (DMA) ist ein EU-Gesetz, das grosse digitale Plattformen wie Google, Amazon oder Meta reguliert, um einen fairen Wettbewerb zu gewährleisten. Es verbietet diesen sogenannten „Gatekeepern“, ihre Marktmacht zu missbrauchen, etwa durch die Bevorzugung eigener Produkte oder die unfaire Nutzung von Nutzerdaten. | 1. Es sind keine Schweizer Gatekeeper nach den Kriterien des DMA bekannt. 2. Indirekte Auswirkungen durch Umsetzung der Regeln in der Schweiz: Die amerikanischen Gatekeeper werden die Schweiz teilweise gleich behandeln (bisher nur Meta und LinkedIn). So hat auch Meta Schweizer Nutzer:innen die Möglichkeit gegeben, der Datenverknüpfung von Instagram, Facebook und Whatsapp zu widersprechen. Apple, Microsoft und Bytedance und Alphabet und Amazon wenden die EU-Regeln NICHT oder nicht ganz für die Schweiz an (sie gehen zurzeit gegen die Bestimmungen des DMA vor). 3. Unklar ist die Situation beim Thema „Messenger“: Schweizer Messenger-Nutzer:innen verbleiben in ihren „Walled Gardens“, es sei denn die Schnittstelle von Whatsapp zu konkurrierenden Messenger-Apps wird technisch für alle Nutzer:innen umgesetzt. Die Schweizer Firma Threema könnte diese Schnittstelle einfordern bei Whatsapp, aber macht dies bekanntlich nicht, um sich nicht selber zu kannibalisieren und hat auch aus Datenschutzgründen kein Interesse daran. | 1. Der Bundesrat erteilte der Übernahme des DMA eine Absage (siehe Antwort auf die Motion von SP-Nationalrätin Min Li Marti). Die WEKO (Wettbewerbskommission) übernimmt aber im Rahmen des Kartellrechts die Entscheidungen der EU. Das bedeutet, sie agiert grundsätzlich reaktiv, jedoch nicht proaktiv. Der DMA könnte also je nachdem von der WEKO „umgesetzt“ werden, wenn eine Schweizer Firma einen Wettbewerbsnachteil geltend macht. Ein Beispiel: Sollte die Suchmaschine Swisscows analog zu den Bestimmungen des DMA einen Machtmissbrauch beim Android-Betriebsystem (Vorinstallation der Google Suche-App) beanstanden, würde die WEKO dem nachgehen. 2. Einige Teile des DMA manifestieren sich auch im Schweizer Kartellrecht. In der Vergangenheit hat die WEKO immer wieder auch von sich aus EU-Gerichtshofentscheidungen gleich adaptiert, so etwa das Google Shopping-Urteil. Bei diesem Urteil wurde Google wegen missbräuchlicher Selbstbevorzugung des Preisvergleichsdienstes Google Shopping in der Google Suche gebüsst. Somit darf der Big Tech-Riese auch in der Schweiz „Google Shopping“ nicht bevorzugt anzeigen in der Schweiz. Dasselbe gilt auch für das Verdikt zu Google Adsense. Google hat die Einwilligungsanforderungen für die Werbetechnologien AdSense-Dienste in der Schweiz verschärft, ähnlich wie bereits in der EU und Großbritannien. Werbetreibende, die diese neuen Anforderungen nicht erfüllen, riskieren, dass ihre Anzeigen für Schweizer Nutzer nicht mehr angezeigt werden. Trotz der grossen Dominanz von Microsoft in der Schweiz hat jedoch noch kein Schweizer IT-Unternehmen einen Wettbewerbsnachteil geltend gemacht bei der WEKO: ein Verfahren wie die Unternehmensallianz rund um Nextcloud versus Microsoft im Fall „OneDrive/Windows“ existiert somit nicht in der Schweiz. 3. Ein Gesetz das in eine ähnliche Richtung wie der DMA geht und den Wettbewerb gegen die Dominanz von Plattformen stärken soll: Die Schweiz kennt seit 1.12.2022 keine Paritätsklauseln bezüglich Preis, Verfügbarkeit im UWG (Bundesgesetz gegen unlauteren Wettbewerb) im Bereich Beherbung mehr. Das Gesetz wird auch „Lex Booking“ genannt. Das bedeutet Folgendes: Hotels dürfen auf den eigenen Websites günstiger anbieten als auf der Plattform Booking.com. Dieses Gesetz soll die unternehmerische Freiheit in der Preisgestaltung stärken. |
| Der Cyber Resilience Act CRA ist eine Verordnung die ein Mindestmass an Cybersicherheit für alle vernetzten Produkte mit digitalen Elementen auf dem EU-Markt festlegt. Sie verpflichtet Hersteller und Händler, die Cybersicherheit während des gesamten Lebenszyklus ihrer Produkte zu gewährleisten und führt verbindliche Cybersicherheitsanforderungen ein. Zu den gemäss CRA kritischen Produkten zählen Browser, Passwortmanager, Router, die eine Konformitätsprüfung durchlaufen müssen und von Dritten geprüft werden müssen. | 1. Vom CRA leiten sich auch Verpflichtungen für Schweizer Exporteure ab. Auch hier ist das MRA CH-EU-Abkommen zur gegenseitigen Anerkennung der Konformität erforderlich (und damit analog zum AI Act ein thematisches Upgrade des Abkommens rund um den Cyber Resilience Act). Die Schweizer Unternehmen müssen Bewertungs- und Dokumentationspflichten erfüllen und nachweisen, dass sie die Cybersicherheitsanforderungen eingehalten haben. 2.: Die Schweiz ist nicht Teil des Netzwerkes der CSIRTs (Computer Security Incident Response Team (CSIRT). Dabei handelt es sich um ein spezialisiertes Team, das auf Sicherheitsvorfälle in IT-Systemen reagiert und diese bewältigt. Die Schweiz hat damit ein Wissensnachteil wenn das Netzwerk koordinierte gemeinsame Aktionen durchführt (wie im EU Product Compliance Network [EUPCN]). | 1. Schweiz hat eine nationale Cyberstrategie. 2. Stärkung des BACS (Bundesamts für Cybersicherheit), Aufbau eines strategischen Schwachstellenmanagements. 3. Die Schweiz hat die 2022/30 KOM-Richtlinie (in Ergänzung der Richtlinie 2014/53/EU) zur Einführung von Cybersicherheitsanforderungen für bestimmte Typen von Funkanlagen übernommen. Gemäss der aktualisierten Verordnung über Fernmeldeanlagen (FAV) und Verordnung des BAKOM über Fernmeldeanlagen (VFAV) müssen Schweizer Hersteller von drahtlosen Geräten wie Smartphones, Smartwatches, Fitness-Trackern und drahtlosen Spielzeugen neue Regeln befolgen. Die Schweizer Hersteller müssen den unbefugten Zugriff auf Personendaten oder die unbefugte Übertragung solcher Daten durch vernetzte Geräte wie Spielzeuge, Babyphones oder sogenannte Wearables (tragbare Geräte wie Smartwatches und Fitness-Tracker) mit geeigneten Massnahmen verhindern. 4. Es existiert zudem eine Motion des Ständerats der Sicherheitspolitischen Kommission, die ebenfalls verbindliche Cybersicherheitsforderungen für Technologien (der Privatwirtschaft) verlangt. Unklar ist für mich ob damit indirekt auch der Cyber Resilience Act der EU umgesetzt werden soll. National- und Ständerat:innen haben die Motion jedenfalls angenommen. Das VBS ist nun gemeinsam mit dem BACS dafür zuständig. Update folgt. |
| NIS-2-Richtlinie: Hier handelt es sich um ein EU-weites Regelwerk, das die Cybersicherheit in 18 kritischen Sektoren stärkt, indem es strengere Anforderungen an Risikomanagement, Berichterstattung und Zusammenarbeit festlegt. CER-Richtlinie (CER= Critical Entities Resilience): Richtlinie über die Resilienz kritischer Einrichtungen (Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Produktion). Die Mitgliedstaaten werden verpflichtet, eine nationale Strategie zur Stärkung der Resilienz kritischer Einrichtungen auszuarbeiten und mindestens alle vier Jahre eine Risikobewertung durchzuführen. | 1. Aufgrund der starken Vernetzung der schweizerischen mit den europäischen Infrastrukturen werden auch Schweizer Unternehmen davon betroffen sein. 2. Hierzu gibt es eine Verpflichtung zur Meldung von Sicherheitsvorfällen innert 24h für Schweizer Unternehmen in kritischen Sektoren. 3. Diese müssen auch angemessene Cybersicherheitsmassnahmen implementieren und über einen Mechanismus zur Meldung von Sicherheitsvorfällen verfügen. 4. Schweizer Zulieferer von kritischen Infrastrukturen sind sicherlich auch von der CER-Richtlinie betroffen und müssen entsprechende Massnahmen (Risikobewertung, Strategie) umsetzen. | 1. Das Informationssicherheitsgesetz (ISG) existiert seit dem 1. Januar 2024. Die Meldepflicht gilt ab dem 1. April 2025. Betreiber von kritischen Infrastrukturen und Grundversorgungsanbieter (Lebensmittelhändler aber auch Medien sowie auch IT-Konzerne) müssen innert 24h eine Cyberattacke melden. 2. Die Schweiz hat in der «Nationalen Strategie zum Schutz kritischer Infrastrukturen» seine kritischen Sektoren und Teilsektoren bereits identifiziert. |
| Der Chips Act möchte die Produktionskapazitäten bis 2030 von heute 10 % auf 20 % erhöhen und dafür mehr als 43 Milliarden Euro an öffentlichen und privaten Investitionen mobilisieren. Ziel ist es die Forschungs- und Technologieführerschaft Europas zu stärken und die Lieferabhängigkeiten zu reduzieren (auch wegen Spannungen zwischen China und Taiwan). Zur Umsetzung der «Chips for Europe Initiative» sieht der European Chips Act u.a. die Gründung eines gemeinsamen Unternehmens für Halbleiter (Chips JU) mit einem Budget von 4.2 Milliarden (2021-2027) vor, das u.a von Horizon Europe finanziert wird. | 1. Die Schweizer Halbleiterindustrie könnte aktuell durch Nicht-Teilnahme beim neuen EU Chip-Unternehmen benachteiligt sein. Das erklärte Ziel des Bundesrates bleibt die schnellstmögliche Assoziierung an das Horizon-Paket, um den Forschungsakteuren in der Schweiz die besten Bedingungen für die Teilnahme an europäischen Aktivitäten zu bieten. 2. Die Schweiz kann weiterhin von EU-Forschungstätigkeiten ausgeschlossen werden, auch bei einer Assoziierung an Horizon Europe. Im Oktober 2023 stellte die Kommission eine Liste von Technologiebereichen vor, die als «kritisch» für die wirtschaftliche Sicherheit der Europäischen Union eingestuft werden, darunter eben auch Halbleitertechnologien. Gut möglich ist die Schweiz als Drittstaat von diesen Aktivitäten ausgeschlossen. | Der Bundesrat beschloss am 24.5.2023 Übergangsmassnahmen mit der „SwissChips“-Initiative (26 Mio. CHF), die auf die europäische Forschung abgestimmt ist und von der ETH Zürich geleitet wird. Der Nationalrat hat am 13.6.2024 Postulat Cottier angenommen, welches eine schweizerische Halbleiterstrategie fordert. |
| eID-Verordnung: die eIDAS-Verordnung schafft einen einheitlichen Rahmen für die elektronische Identifizierung und Vertrauensdienste in der EU. | Für die Anerkennung der Schweizerischen eID in der EU ist ein völkerrechtlicher Vertrag nötig. Die Schweiz setzt dasselbe Modell um wie in der EU: Fokus auf den Datenschutz und dezentrale Speicherung. Die gegenseitige Anerkennung sollte daher nach meiner Prognose problemlos verlaufen. | Die Schweiz hat ein neues E-ID-Gesetz verabschiedet (Referendumsfrist läuft noch). Der Bundesrat kann laut dem neuen Gesetz internationale Abkommen abschliessen für die gegenseitige Anerkennung der eID-Systeme. |
| Europäische Strategie für Quantum-Technologie (Quantum Technologies Flagship-Initaitive). Die EU will dafür 1 Milliarde Euro bis zum Jahr 2028 zur Verfügung stellen. Hier geht es um eine Initiative, welche seit 2018 die Forschungsinstitutionen, Privatwirtschaft und Fördermittel der öffentlichen Hand zur Förderung von Quantum-Technologien zusammenbringt. Ziel ist, die Führungsrolle Europas bei der Erforschung von Quantum Technologien zu stärken. Und: Verordnung für europäisches Hochleistungsrechnen für die Beschaffung von Hochleistungsrechnern von Weltrang. Gemäss der Verordnung investiert die EU in das gemeinsame Unternehmen EuroHPC, 7 Milliarden Euro von 2021-2027. | 1. Schweizer Forscher:innen waren lange bei diesen Initiativen erfolgreich beteiligt, sind aufgrund fehlender Assoziierung bei Horizon Europe aktuell davon ausgeschlossen. Dank einer Übergangsregelung können Schweizer Forscher:innen jedoch an Ausschreibungen teilnehmen. 2. Bei gewissen kritischen Bereichen wird die Schweiz trotz künftigem Wieder-Anschluss an Horizon Europe ausgeschlossen bleiben (beispielsweise beim Bau und Beschaffung von Quantenrechnern). Aus Gründen der „technologischen Souveränität“. So möchte die EU beispielsweise eine Quanten-kommunikationsinfrastruktur bauen für eine hochsichere Datenübertragung. Die Schweiz als Drittstaat wird nicht an dieser Struktur teilhaben können. 3. Die Schweiz war Mitglied beim EU-Unternehmen EuroHPC und kann nun nicht mehr teilnehmen an dessen Forschungsaktivitäten, trotz des „Alps Supercomputer“ in Lugano. | 1. Der Bundesrat hat im Mai 2022 die Swiss Quantum Initiative (SQI) beschlossen und will mit Übergangsmassnahmen den Forschungsstandort Schweiz stärken. 2. Zudem sieht der Bundesrat in Forschungsbereichen mit strategischer Bedeutung für die Schweiz wie der Quantenforschung zusätzliche Massnahmen vor. Ziel ist es, die Forschung in der Schweiz strukturell und nachhaltig zu stärken. Diese Massnahmen dienen als Ergänzung zum EU-Rahmenprogramm und zu einer Assoziierung der Schweiz. 3. Die Schweiz intensiviert auch ihre Strategie der internationalen Zusammenarbeit im Bereich der Quantentechnologie (z.B. Mitwirkung am neuen internationalen Round Table über gemeinsame Forschung zu Quanteninformationen) sowie bilaterale Abkommen mit prioritären Partnern. |
| European Media Freedom Act ist ein Gesetz zur redaktionellen Unabhängigkeit von Journalist:innen. Sie enthält zudem ein Verbot zur Ausspionierung von Journalist:innen mit Spyware. Ausnahmen beim europäischen Medienfreiheitgesetz: Spyware ist erlaubt zur Untersuchung schwerer Straftaten und nur wenn es nicht den Zugang zu journalistischen Quellen betrifft (was jedoch wenig Sinn ergibt: Denn dafür werden ja die Handys von Journalist:innen gehackt). | Fraglich ist, ob der Schweizer Beobachterstatus im neuen europäischen Gremium für Mediendienste, das das Monitoring für das Gesetz betreibt, gewährleistet bleibt. | 1. Die Schweiz betreibt keine spezifischen Schutzmassnahmen für Medienschaffende und sieht keine Adaption des europäischen Medienfreiheitsgesetzes vor. Das Parlament schränkt umgekehrt eher die Medienfreiheit ein (dank einer Änderung der Zivilprozessordnung. Ein Gericht kann eine superprovisorische Verfügung bei „schwerem Nachteil“ (nicht mehr nur bei „besonders schwerem Nachteil) für eine Person erlassen und damit die Berichterstattung der Redaktion unterbinden. 2. Der Einsatz von Spyware bei Medienschaffenden ist nicht erlaubt. Für Journalist:innen gilt grundsätzlich der Quellenschutz, und es darf keine Überwachung angeordnet werden. Ausnahmen sind vorgesehen bei Tötungsdelikten und weiteren schweren Straftaten, siehe Strafgesetzbuch und Strafprozessordnung. 3. Related: Der Bundesrat will mit einem Leistungsschutzrecht die finanzielle Unterstützung der Medienverlage fördern (was bekanntlich nicht klappen wird) und publiziert demnächst eine Gesetzesvorlage. |
| Data Act: Die Verordnung soll einen horizontalen Rechtsakt für die gemeinsame Nutzung von Industriedaten schaffen. Hersteller von vernetzten Produkten, die sogenannten «Data Holders», müssen den Nutzerinnen und Nutzern leichten, unmittelbaren und kostenlosen Zugang zu den Daten gewähren, zu deren Erzeugung sie beigetragen haben. Die Nutzerinnen und Nutzer könnten beschliessen, die Daten mit Dritten zu teilen. Der Data Act beinhaltet zudem Regeln über die Interoperabilität und die Möglichkeit, den Anbieter von Cloud-Datenverarbeitungsdiensten zu wechseln («Cloud Switching»). Eine ähnliche Verordnung zur Datenfreigabe ist der Data Governance Act (nur staatlicher Sektor). Und es existiert eine Strategie zu den Europäischen Datenräumen (Agrardatenraum, Energiedatenraum, Gesundheitsdatenraum etc.. ) | 1. Schweizer Unternehmen sind auch betroffen, insbesondere solche, die: a) vernetzte Produkte oder mit diesen Produkten verbundene Dienstleistungen in der EU anbieten und in den Verkehr bringen. b) relevante Daten halten und diese Datenempfängern in der EU bereitstellen c) Datenverarbeitungsdienste an Kunden in der EU anbieten. 2. Europäische Datenräume: Je nach Bereich könnte es auch für die Schweiz wünschenswert sein, vom Zugang zu europäischen Datenräumen zu profitieren. Entsprechend muss laut dem Bericht frühzeitig die Interoperabilität von schweizerischen Datenraumprojekten mit europäischen Datenraumprojekten sichergestellt werden. Diese Arbeiten sollen ab 2025 auch im Rahmen der Anlaufstelle für Datenräume (verantwortet von BK) vorangetrieben werden. | 1. Es gibt eine Motion 22.3890 „Rahmengesetz für die Sekundärnutzung von Daten“, die von beiden Räten angenommen wird. Es handelt sich um ein ähnliches Gesetz zur Freigabe von Daten für die Schaffung von Datenräumen und Daten-Ökosystemen. Die Vorlage ist noch in Ausarbeitung (schon seit 2.5 Jahren). Die Anlaufstelle für Datenräume (angesiedelt bei der Bundeskanzlei) hat bereits ihren Betrieb aufgenommen (Januar 2025) 2. Interoperabilität für Cloud-Anbieter ist in der Schweiz nicht spezifisch verlangt, jedoch existiert der EMBAG Artikel 12. Die Bundeskanzlei kann Interoperabilität als verpflichtend erklären. Und auch der parlamentarische Verpflichtungskredit für die Swiss Government Cloud verlangt in einem Zweckartikel „nach Möglichkeit“ offene Standards bei der Ausschreibung. 3. Gleichzeitig bestehen bereits oder entstehen aktuell auch in der Schweiz viele sektorspezifische Datenraumprojekte, beispielsweise zu Gesundheit, Energie, öffentlicher Verkehr, Geodaten oder Statistik. |
Diese Tabelle ist work in progress, die Materie ist trocken und teils sehr unübersichtlich. Hinweise, Korrekturvorschläge und Ergänzungen nehme ich gerne entgegen.
Ein paar abschliessende Bemerkungen
- Abkommen mit der EU für den Marktzugang: Die Schweiz könnte – das war mir in dieser Deutlichkeit vorher nicht bewusst – bei der Forschung und auch beim Marktzugang einiger Schlüsseltechnologien ausgeschlossen werden (und ist es teilweise schon). Nicht nur beim AI Act droht ein Abseitsstehen sowie ein aufwendiger autonomer Nachvollzug durch die Schweizer Unternehmen, sondern auch beim Cyber Resilience Act. Das Informationssicherheitsgesetz der Schweiz ist sicher ein guter Anfang, aber betrifft eben nicht den grossen Teil der Privatwirtschaft (ausser natürlich denjenigen Unternehmen, die Leistungen, Güter und Technologien für kritische Infrastruktur erbringen). Auch hier muss das MRA-EU-CH-Abkommen upgedatet werden und die Schweiz ein äquivalentes Gesetz ausarbeiten. Es ist gut, dass die EU hier Druck ausübt, denn damit steigt auch das Cybersicherheitsniveau von Schweizer Produkten.
- Ausschluss aus der Forschung zu Schlüsseltechnologien: Die Schweiz war aufgrund der Nicht-Assoziierung an Horizon Europe von Forschungsaktivitäten in Bereichen wie der Chipentwicklung, bestimmten Aspekten der Quantentechnologie, die neue Kommunikationsinfrastrukturen betreffen, und bei Hochleistungsrechnern ausgeschlossen. Die EU begründete dies mit technologischer Souveränität und wirtschaftlicher Sicherheit, was aus ihrer Sicht nachvollziehbar ist. Für die Schweiz hatte dieses Abseitsstehen jedoch seinen Preis. Zudem fehlte der Schweiz ein Plan für die eigene digitale Souveränität. Der Postulatsbericht zu diesem Thema (Strategie Digitale Souveränität) sollte laut Medienstelle „voraussichtlich noch dieses Jahr erscheinen“ und hätte vom EDA letztes Jahr publiziert werden sollen. Der Postulatsbericht selbst ist zudem noch keine Strategie.
- Abhängigkeiten von US Big Tech-Konzernen: Die Schweiz hat eigentlich mit dem EMBAG ein gutes Gesetz geschaffen für die Förderung von Open Source-Vorgaben und Interoperabilität. Auch das Parlament wird nach dem Aufschrei der WTO-Public Cloud-Ausschreibung von 2020/21 der Bundesverwaltung nun bei der Swiss Government Cloud gut auf die Finger schauen. Die Ausschreibung zur Swiss Government Cloud sollte demnächst auf simap.ch erscheinen und wird vom BIT (Bundesamt für Informatik und Telekommunikation) durchgeführt. Die Bundeskanzlei hat ausserdem erkannt, dass sie sich aus den Fängen von Microsoft 365 befreien muss und erarbeitet gerade einen Proof of Concept für Open Source-Alternativen (was ironischerweise bei jeder Medienmitteilung zur Microsoft-Nutzung noch hastig erwähnt wird). Die Machbarkeitsstudie liegt jedoch erst 2026 vor. Die Frage ist also: was passiert, wenn der Swiss US Data Privacy Framework bis dahin vom EDÖB (weil vorher auch von der EU-Kommission) als ungültig erklärt wird? Geht es bei der US-Administration in diesem Beschluss-Tempo weiter, könnte die EU-Kommission oder ein EU-Gericht noch dieses Jahr das europäisch-amerikanische Abkommen für ungültig erklären (Trump möchte alle Beschlüsse von Biden im Bereich Sicherheit wieder für ungültig erklären und hat bereits wichtige Teile des Abkommens ausser Kraft gesetzt, wie etwa die Entlassung von demokratischen Mitgliedern des „Privacy and Civil Liberties Oversight Boards“ PCLOB). Und dann wäre auch die Nutzung der amerikanischen Cloud für den Schweizer Staat und die Schweizer Wirtschaft wieder illegal.
- Ein weiteres Learning zum Schweizer Kartellrecht: Die Schweiz agiert in Sachen Wettbewerb stets reaktiv und nicht proaktiv. Im Schweizer Kartellrecht sind einige Teile des Digital Markets Act bereits abgebildet. Aber wo kein Kläger, da auch kein Prozess… Und auch keine fairere Wettbewerbssituation für Schweizer Unternehmen und Schweizer Nutzer:innen.
Fazit
Die EU hat zahlreiche Gesetzesprojekte im digitalen Bereich initiiert. Die Schweiz hat den Vorteil, nicht alle davon umsetzen zu müssen, kann jedoch von den gemachten Erfahrungen profitieren. Ein grosser Teil der EU-Gesetze betrifft jedoch auch indirekt die Schweizer Privatwirtschaft, insbesondere die IT- und Maschinenindustrie. In den Bereichen Künstliche Intelligenz, Cybersicherheit, Quantentechnologie und Chips könnte die Schweiz vollständig vom EU-Markt und Forschungsraum ausgeschlossen werden, wenn sie sich nicht um aktualisierte Abkommen und enge Forschungskooperationen bemüht.
Der Bundesrat also täte gut daran sich voll auf die Bilateralen III und auf gute Beziehungen zu Brüssel zu konzentrieren (um das schlimmste Szenario zu verhindern). Und weniger mit dem autokratischen USA-Regime zu flirten.
Eine Antwort
Danke für die Zusammenfassung.
Frage zu CRA und dem Hinweis bzgl. Passwort-Manager: Wie wirken sich solche Regeln auf OpenSource-Projekte aus, wo keine kommerzielle Firma dahinter steckt, wie beispielsweise bei Keepass bzw KeepassXC
(https://keepassxc.org) und die dann im aus meiner Sicht besten Fall via F-Droid auf Mobiltelefone gelangen?
Etwas Offtopic: Apple wird ja von der EU gezwungen, alternative App-Stores zuzulassen. Genau F-Droid dürfte es wegen seines nicht-kommerziellen Charakters nie auf ein iPhone schaffen, weil Apple eine Bürgschaft von 1M€ vorsieht für den Fall, dass wegen sehr hoher Installationszahlen doch Gebühren anfallen (was, wie ich finde, der Idee hinter der EU-Vorgabe widerspricht).