Das neue Bundesgesetz über die Plattform für die elektronische Kommunikation in der Justiz (BEKJ) soll den Aktenaustausch zwischen den an Justizverfahren beteiligten Parteien und den Gerichten, Staatsanwaltschaften und Justizvollzugsbehörden digitalisieren und vereinfachen. Das Gesetz schafft jedoch nur eine oberflächliche Digitalisierung und lässt grundsätzliche Prinzipien im Bereich Datenschutz und Datensicherheit komplett aussen vor. Am kommenden Freitag endet die Vernehmlassung. Wir nehmen wie folgt Stellung.
Vorbemerkung
Betroffen vom neuen Gesetz wären über 11’000 Anwälte:innen, sämtliche Gerichtsbehörden in der Schweiz und auch Private, die beispielsweise ein Baugesuch einreichen möchten. Wenn nur jede Anwältin und einer von 500 Bürger pro Arbeitstag eine Eingabe macht und eine Zustellung erhält, werden auf der geplanten Plattform pro Arbeitstag künftig 50’000 Übermittlungen stattfinden.
Aus der Zielsetzung im Gesetzesvorentwurf sowie dem erläuternden Bericht wird nicht klar, ob sich die neu zu schaffende Plattform ausschliesslich um die Zustellung bzw. den Empfang oder auch um die Ablage sowie die Verwaltung der Dokumente kümmern soll. Mit anderen Worten geht aus dem Gesetz nicht hervor, ob eine zentralisierte Datenhaltung auf der Plattform oder eine dezentralisierte Datenhaltung bei den Gerichtsbehörden selbst avisiert wird. Wir gehen im Folgenden in unserer Stellungnahme davon aus, dass «nur» die Zustellung bzw. der Empfang vom Gesetzesvorhaben betroffen ist. Eine Ablage und Verwaltung der Dokumente auf der Plattform selbst würde deutlich weitreichendere Fragen bezüglich Zugriffsrechten, Verschlüsselung, Langzeit-Archivierung etc. aufwerfen.
1. Regelungsdichte und Kontrolle
Die unklare Zielsetzung spiegelt sich in einer dünnen Gesetzesgrundlage und minimalen Ausführungsvorschriften zum BEKJ wieder. Dies schafft die Gefahr, dass zentrale Fragen, insbesondere was die Ausrichtung und Ausgestaltung der Plattform betrifft, an die neu zu schaffende Körperschaft delegiert werden. Eine externe und unabhängige Kontrolle ist im Gesetzesvorentwurf nicht vorgesehen.
2. Koordination von Gesetzesgrundlage und Beschaffung
Gemäss dem vom Projekt Justitia 4.0 publizierten Zeitplan soll die WTO-Ausschreibung für den Bau der Justitia-Swiss-Plattform im Jahr 2021 erfolgen, während das BEKJ, welches die gesetzliche Grundlage für die Plattform darstellt, frühestens im Jahr 2025 in Kraft treten kann. Dies bedeutet, dass sich die WTO-Ausschreibung im Jahr 2021 lediglich auf den vorliegenden Vorentwurf des BEKJ stützen kann. Der Vorentwurf ist aber, wie in den Vorbemerkungen erwähnt, in Bezug auf zentrale Fragen unbestimmt. Damit droht das Projekt Justitia 4.0 zu einem klassisches IT-Debakel zu werden. Es besteht insbesondere die Gefahr, dass eine Ausschreibung vorangetrieben wird, bevor die Spezifikationen, die in den Grundzügen im BEKJ enthalten sein müssen, bekannt sind. Es zeichnet sich eine Beschaffung ab, die nicht von Spezifikationen geleitet ist, sondern darin besteht, Stundenpools einzukaufen, mit offenem Resultat und sich verändernden Anforderungen.
3. Risiko zentralisiertes System und privatrechtliche Körperschaft
Ein zentralisiertes System, wie es das BEKJ mit der geplanten Plattform vorsieht, ist problematisch bezüglich Datenschutz und Datensicherheit: Wer die Plattform kontrolliert, hat Zugriff auf sämtliche Daten, Kommunikationsinhalte und Kommunikationsranddaten. Damit wird eine umfangreiche Möglichkeit zur Überwachung der behördlichen und der anwaltschaftlichen Kommunikation in der Schweiz durch externe Angreifer oder interne Stellen geschaffen. Entsprechend wichtig sind die Anforderungen an die Datensicherheit und den Datenschutz (siehe nachfolgend).
Die zentrale Plattform muss von einer öffentlich-rechtlichen Körperschaft mit eigener Rechtspersönlichkeit betrieben werden. Die derzeitige Formulierung würde auch eine privatrechtliche Körperschaft zulassen. Der Betrieb einer derart zentralen neuen Institution des schweizerischen Justizwesens durch ein Privatrechtssubjekt ist staatspolitisch und staatsrechtlich mehr als nur problematisch (Art. 3 Abs. 1 VE-BEKJ).
4. Datensicherheit
Weder im Gesetz noch in der Botschaft des Bundesrats wird auf das Thema «Verschlüsselung» eingegangen. Eigentlich müsste davon auszugehen sein, dass eine verlässliche Ende-zu-Ende-Verschlüsselung selbstverständlich vorgesehen ist. Tatsächlich scheint dies jedoch nicht der Fall zu sein: Die Signatur der Dokumente soll von der Plattform offensichtlich am unverschlüsselten Dokument vorgenommen werden (Art. 21 VE-BEKJ). Daraus schliessen wir, dass keine Ende-zu-Ende-Verschlüsselung zum Einsatz kommen soll. Sollte der Plan sein, die Ende-zu-Ende-Verschlüsselung in einem späteren Zeitpunkt einzuführen, dann wird der ganze im Vorentwurf beschriebene Signaturprozess über den Haufen geworfen.
5. Datenschutz
Auch das Thema Datenschutz wird im Gesetz und der Botschaft des Bundesrats kaum angeschnitten. So fehlen beispielsweise Angaben zur Löschung der zum Abruf zur Verfügung gestellten Dokumente und zu den Randdaten.
Ein formelles Bundesgesetz müsste zudem festhalten, welche Daten im Zusammenhang mit der Plattform und den mit ihr verbundenen kantonalen Plattformen gesammelt werden dürfen, von wem sie bearbeitet werden dürfen und welche Bearbeitungen nicht erlaubt sind. Die Datenhaltung und Datenspeicherung über den elektronischen Rechtsverkehr ist auf ein absolut technisch erforderliches Minimum zu beschränken (Art. 26 VE-BEKJ).
Es ist zudem rechtlich und technisch vorzusehen, dass niemand im Zusammenhang mit der Plattform eine Überwachungsfunktion über die Kommunikation zwischen den Akteuren des Justizwesens ausüben bzw. erhalten kann.
6. Elektronische Identität (E-ID) und Rollen
Es sei uns die Bemerkung erlaubt, wie Bund und Kantone eine zentrale Plattform aufbauen und betreiben können sollen, die auf einer E-ID basiert, welche der Bund anscheinend nicht selbst anbieten könne. Beim Einsatz der E-ID auf der Plattform stellt sich zudem die zentrale Frage, wie verhindert wird, dass Personen mit verschiedenen Rollen in Verfahren (Privatperson, Firma, Verein, Rechtsanwaltschaft) zusammengeführt werden können. Hierfür müssen unterschiedliche IDs vorgesehen sein.
7. Open Source Software und offene Standards/Schnittstellen
Der Programmcode und die Dokumentation müssen nicht nur aus Gründen der Sicherheit und der Transparenz offengelegt werden, sie sollen zudem der Öffentlichkeit unter einer geeigneten Open-Source-Lizenz zur Verfügung gestellt werden. Aus öffentlichen Geldern finanzierte Software muss öffentlich bleiben und dem Ansatz «Public Money? Public Code!» folgen. Zudem sind «Bug Bounties» vorzusehen, um möglichen Schwachstellen auf die Spur zu kommen.
Schnittstellen(«APIs») müssen offen und standardisiert sein. Die Plattform muss zudem interoperabel und betriebssystemunabhängig nutzbar sein sowie die direkte Integration in verschiedene Fachanwendungen zulassen.
8. Beweislastregel bei Ausfall der Plattform
Falls das geplante, zentralisierte System infolge eines Systemausfalls nicht zur Verfügung steht, ist eine elektronische Kommunikation mit mehreren hundert Behörden/Gerichten nicht möglich. Davon wären ein sehr hohe Anzahl von Eingaben (Absender: Parteien) und Zustellungen (Absender: Behörden) betroffen. Fristen würden verstreichen.
Die Beachtung von Fristen ist eine zentrale Voraussetzung für die Durchsetzung von Rechten. Unklarheiten hinsichtlich Fristen schaffen Rechtsunsicherheit, indem sie gleichermassen die Rechtsvertretung wie auch die private Verfahrensführung erschweren. Die Durchsetzung von Rechten darf in einem Rechtsstaat nicht von Zufälligkeiten bei Ausfällen der Infrastruktur abhängen, sondern muss neutral geregelt sein. Die im Vorentwurf vorgeschlagene Regelung lässt zentrale Fragen offen. Was ist beispielsweise ein Ausfall, wie ist ein solcher definiert und wie sowie durch wen wird er festgestellt? In der Regel kann eine Plattform das nicht objektiv selbst feststellen.
Bei Ausfall der Plattform wird die Feststellung der Dauer des Ausfalls gemäss Vorentwurf auf die Nutzer:innen abgewälzt. Soweit wie möglich, muss jedoch die Plattform die Beweislast tragen. Es muss beispielsweise möglich sein, auf eine Hotline anzurufen. Kann ein/e Nutzer:in glaubhaft machen, dass das System nicht zur Verfügung gestanden hat, müssen für die entsprechende Zeit die jeweiligen Fristen stillstehen.
Bei Ausfällen muss die Trägerschaft der Plattform zudem informieren. Es müssen Fristen automatisch verlängert und die Parteien darüber benachrichtigt werden. Alternativ zur zentralen Plattform sollen die bestehenden elektronischer Übermittlungswege sowie der herkömmliche Postversand weiterhin möglich bleiben (Art. 25 VE-BEKJ).
9. Kein Numerus clausus bei den Datenformaten
Der Bezug auf das Bundesgesetz über die elektronische Signatur (ZertES) lässt annehmen, dass der Gesetzgeber davon ausgeht, dass nur PDF-Dateien über die Plattform ausgetauscht werden können. In vielen Bereichen sind PDF-Dateien jedoch ungeeignet. Zudem können bei der Konvertierung von Dateien ins Portable-Document-Format (PDF) deren Metadaten und andere elektronische Eigenschaften – und damit allenfalls auch die Eignung als Beweismittel – verloren gehen. Mit zunehmender Digitalisierung werden immer mehr Beweismittel jedoch nur noch in spezifischen elektronischen Formen vorliegen. Es sollten deshalb mindestens alle «gängigen elektronischen Formate» zulässig sein (Art. 21 VE-BEKJ). Diese Vorgabe entspricht jener im revidierten schweizerischen Datenschutzgesetz in Bezug auf das Recht auf Datenherausgabe und -übertragung (Art. 28 revDSG), das wiederum auf Art. 15 Abs. 3 der europäischen Datenschutz-Grundverordnung (DSGVO) zurückzuführen ist.
10. Opt-Out für Nicht-Behörden (Private)
Personen, die freiwillig mit Behörden über die Plattform kommunizieren (Art. 17 Abs. 1 Bst. d), müssen die Möglichkeit haben, auf einen Eintrag im Adressverzeichnis zu verzichten, um sicherzustellen, dass sie weiterhin steuern können, in welchen Verfahren sie mit welchen Behörden elektronisch kommunizieren wollen (Opt-Out-Adressverzeichnis für Private).
Schlussfolgerung
Die Justiz hat Nachholbedarf in der «Digitalisierung». Der elektronische Aktenaustausch muss zum Regelfall werden. Das vorliegende BEKJ schafft jedoch nur einen oberflächliche Digitalisierung und lässt grundsätzliche Prinzipien im Bereich Datenschutz und Datensicherheit komplett aussen vor. Der Vorentwurf benötigt daher einen grundsätzliche Überarbeitung – beginnend bei der Zielsetzung. Neben der sicheren und vertraulichen Kommunikation zwischen den Akteuren des Justizwesens ist als Mindestanforderung auch eine Langzeitarchivierung von Urteilen sowie deren Veröffentlichung in geeigneter Form vorzusehen.