For banks, law firms, insurance companies, and public authorities, the use of cloud computing and generative AI is today less a question of data location than of technical control spheres. What is decisive is who can process data in plaintext, who controls the cryptographic keys, and to which foreign legal regimes the supply chain is exposed. This contribution examines the doctrinal limits of disclosure of confidential information under Swiss and Liechtenstein law and, with the concept of the «Minimum Best Standard» (MBS), develops a legal-by-design approach for regulated AI architectures.

Die Konformitätsbewertung und Zertifizierung von KI-Systemen stehen im Zentrum der KI-Verordnung. KI-Systeme stellen die traditionellen Methoden der Konformitätsbewertung vor enorme Herausforderungen. Der Beitrag stellt das interdisziplinäre Forschungsprojekt „Potentials of the certification of AI systems in regulating Artificial Intelligence (CARAT) vor und analysiert die spezifischen Herausforderungen und Potentiale der Konformitätsbewertung und Zertifizierung von KI-Systemen mit einem Fokus auf KI-Systeme i.S. des Anhangs III der KI-Verordnung.

Die Entstehung der Definition des KI-Systems gem Art. 3 Z 1 KI-VO lässt erkennen, dass KI als Anwendung bestimmter Technologien beschrieben wird und unterschiedliche Ziele verfolgt. Anpassungsfähigkeit und Autonomie erscheinen als Elemente der Definition unklar konturiert und nicht zwingend erforderlich und damit weniger zur Klärung der Bedeutung des Begriffes als zu Rechtsunsicherheit beizutragen. Übrig bleiben die Kriterien der Ableitung und der Generalisierungsfähigkeit, vorausgesetzt die letztgenannte Eigenschaft ist überhaupt ein von der KI-VO gefordertes Charakteristikum eines KI-Systems.

Foundation AI models are a vital resource for artificial intelligence downstream applications. Yet their development exhibits natural monopoly characteristics, with market control concentrated among a small number of companies connected to Big Tech. This concentration threatens innovation in downstream AI applications and raises systemic risks such as technological dependence, foreclosure of specific markets and reduced market competition. While competition law mechanisms have proven mostly inadequate for addressing the structural challenges of foundation model markets, the EU's regulatory innovation through the Digital Markets Act demonstrates that ex ante regulation, complementary to traditional antitrust enforcement, could effectively preserve contestability in concentrated markets.
This paper proposes an ex ante regulatory approach aimed at foundation AI models, drawing on DMA principles and ex ante obligations common in the telecommunications sector. The proposed approach focuses on mandatory access obligations and non-discrimination principles for systemically important foundation models. It is intended to enable competitive downstream markets. By extending ex ante model access obligations to foundation AI model providers, the proposed approach addresses vertical foreclosure risks, ensures fair downstream access, and facilitates a systemic protection of competition in downstream markets.
The paper will outline the problem of market concentration in foundation AI model markets and the possible impacts of it. After that, the paper will provide a summary of proposed regulatory approaches, which include a public utilities approach to foundation models and making accessible training data from dominant companies. These approaches will be contrasted with a new possible accessibility approach broadly proposed in this paper. The proposed approach lies in ex-ante model access regulation following the examples of the DMA and telecommunications regulation.

Eine synoptische Analyse der verschiedenen Landesgesetze zur „automatisierten Datenanalyse“ zeigt sowohl Übereinstimmungen als auch Differenzen in der Konzeption „Mensch und Maschine“ im Sicherheitsrecht. Die normative Untersuchung erschöpft sich in Terminologie, Anforderungen an die Technik sowie die Verteilung von Aufgaben und Verantwortung.Der Beitrag soll Tendenzen und Strategien konturieren und diese auch in zeitlichen Kontext (Time Management) setzen: Ziel ist es zu ermitteln, wie sich die Gesetzgeber den Herausforderungen einer datengetriebenen Welt stellen und welche (länderübergreifende) Strategien entwickelt werden.

This paper examines how legal traditions shape emerging approaches to artificial intelligence (AI) regulation in the European Union and the United States. Drawing on a review of leading academic literature, it argues that the EU’s civil-law heritage creates a comprehensive, ex-ante, risk-based regulatory framework, most notably embodied in the AI Act. By contrast, the USA approach reflects its common-law pragmatism in decentralized, sector-specific and predominantly ex-post regulatory mechanisms supported by soft-law instruments such as the NIST AI Risk Management Framework. The review identifies three analytical dimensions through which legal traditions manifest in AI governance: normative orientation, regulatory style and institutional design. The findings underscore that legal traditions remain powerful forces in shaping regulatory trajectories, yet AI governance is ever-evolving. This paper concludes that transatlantic regulatory dialogue and shared risk-based frameworks may foster a blended model, offering a foundation for future comparative research on global AI governance.

This paper tackles the question of when AI rules are valid in practice and proposes an Institutional Validity Test for the GPAI deployment chain. We make the case for capability-derived obligations for providers and deployers, which create the ability to enforce against integrators creating foreseeable risks. Given rapid capability growth in AI systems, we identify institutional prerequisites: observability, interoperability and strategic technical leverage. Operationalizing the motto “Where institutions act, there is law”.

Das Einspruchsverfahren im deutschen Besteuerungsverfahren steht vor einem digitalen Wandel. Der Beitrag entwickelt einen Systematisierungsrahmen, der KI-Anwendungen in Front Office, Back Office, Entscheidungsunterstützung und Vollautomatisierung kategorisiert. Anhand konkreter Beispiele – von Chatbots bis zu automationsgestützten Einspruchsentscheidungen – werden Chancen und rechtliche Anforderungen analysiert. Die Systematik schafft einen Ordnungsrahmen für die strategische Weiterentwicklung.

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA-VO, Digital Operational Resilience Act) legt Maßnahmen zur Sicherstellung der Betriebssicherheit und des Risikomanagements fest, insb. bei schwerwiegenden Vorfällen. Diese Arbeit untersucht die rechtlichen Implikationen solcher Angriffe unter besonderer Berücksichtigung der Haftungsfragen im Kontext der DORA-VO und des ZaDiG (Zahlungsdienstegesetzes). Dabei wird die Verantwortung der Banken sowie der Kunden analysiert, insb. in Bezug auf die Sorgfaltspflicht und die Verpflichtungen zur Gewährleistung der Systemsicherheit. Es wird untersucht, ob das Plündern einzelner Bankkonten unter die Regelungen dieser Verordnung fällt, ob gehäufte Vorfälle als schwerwiegender Vorfall im Sinne der DORA-VO zu werten sind und wie die Haftungsfrage im Zusammenhang mit verbreiteten Sicherheitsmechanismen wie dem SMS-TAN System und den modernen Echtzeitüberweisungen aussieht. Die Analyse wird durch reale Fallbeispiele gestützt.

Cyber Threat Intelligence (CTI) ist essenzieller Bestandteil aktueller Cybersicherheitsstrategien und gehört somit zu den wichtigsten Tätigkeiten von Anbietern verwalteter Sicherheitsdienste (Managed Security Service Providers, MSSP). Das Teilen von Daten zu Cyberbedrohungen bzw. von CTI steht prinzipiell im Interesse der Akteure, die Cyberbedrohungen ausgesetzt sind, und zwar erst recht dann, wenn diese Cyberbedrohungen ähnlicher Natur sind. Damit entsteht indes ein potenzieller Interessenskonflikt mit den MSSP, die sich durch das Teilen solcher Daten bspw. in ihren Immaterialgüterrechten verletzt sehen könnten. Der vorliegende Beitrag diskutiert den rechtlichen Rahmen für föderierte CTI mit besonderem Fokus auf urheberrechtliche und datenrechtliche Anforderungen.

Das Übereinkommen des Europarats über die Cyberkriminalität vom November 2001 ist das erste internationale Übereinkommen im Bereich des «Computerstrafrechts». Im Rahmen der Konvention stellt die indirekte Beschaffung von Daten im Ausland mittels Rechtshilfe den Standard für die Erhebung von Beweismitteln im Ausland dar, während der direkte Zugriff auf Daten in anderen Staaten unter den Vorbehalt der Zustimmung der betroffenen Person gestellt wird. Die 2018 in Kraft getretenen Bestimmungen des US-Amerikanischen CLOUD-Acts über direkte Zugriffsmöglichkeiten US-Amerikanischer Gerichte auf gewisse Daten im Ausland haben im schweizerischen Recht zu einer Diskussion darüber geführt, inwiefern Art. 18 des Übereinkommens die Staaten dazu ermächtigt, unilaterale Rechtsgrundlagen für die extraterritoriale Datenerhebungen durch ihre Behörden zu erlassen. Der Beitrag untersucht das rechtliche Verhältnis zwischen den Vorgaben der Konvention zur indirekten und direkten Datenerhebung im Ausland und stellt diese in Beziehung zur Hanoi-Konvention der Vereinten Nationen gegen Computerkriminalität.

Der Cyber Solidarity Act (CSA) schafft unionsweite operative Kapazitäten zur gemeinsamen Erkennung, Analyse und Bewältigung schwerwiegender Cybervorfälle, insbesondere durch das Warnsystem für Cybersicherheit und den Cybernotfallmechanismus. Dieser Beitrag untersucht, in welchem Verhältnis der CSA zu bestehenden Strukturen wie dem CSIRT-Netzwerk und EU-CyCLONe steht und inwiefern er sich in die Cybersicherheitsstrategie der EU einfügt, also ob er bestehende Kooperations- und Reaktionsmechanismen sinnvoll ergänzt.

The adoption of Artificial Intelligence in the field of Digital Forensics facilitates the optimisation of the analysis of digital artefacts, which can be collected in a variety of formats (text, tables, images, and videos), as well as from diverse sources (datasets, networks, and devices). Recently, the widespread uptake of LLMs (Large Language Models) appears to hold significant potential. However, concerns emerge relating to their technological limitations – distortions, hallucinations, data absorption – which can hinder law enforcement and compromise the balance between the rights of the defense and the powers of the judicial authorities. This paper addresses AI trustworthiness focusing on features inspired by quality compliance, proposing an experimental procedure that aims to create a training dataset and define a suitable methodology for assessing algorithms for forensic purposes. To this end, a fictitious criminal scenario is designed to generate a synthetic dataset of electronic evidence, which is prompted to assess the results of LLMs.

Hochschulen, Behörden aber auch Unternehmen stehen vor der Herausforderung, die Informationssicherheit und das Bewusstsein darüber nicht nur bloß zu vermitteln, sondern dauerhaft im Alltag von Mitarbeitenden und Studierenden zu verankern. Diese Arbeit untersucht dabei verschiedene und kombinierte Ansätze aus der digitalen Sensibilisierung, Integration und praxisnaher Kommunikation, um die Sicherheitskultur an der Hochschule für öffentliche Verwaltung messbar zu beeinflussen. Dabei werden verschiedene Formate wie kurze Awareness-Filme, Lernmodule, begleitende studentische Projekte und auch Gewinnspiele hinsichtlich der Integrationsmöglichkeit, Akzeptanz und Wirksamkeit analysiert. Ziel ist es dabei die Entwicklung eines belastbaren Modells für eine nachhaltige und wirksame Awareness-Strategie im Hochschulkontext, welches über eine reine Kampagnenwirkung hinausgeht und dafür sorgt, dass die Sicherheitskultur als strategische Ressource der Hochschule gilt.
Die Hochschule für öffentliche Verwaltung Kehl (Hochschule Kehl) bietet im Kontext der Informationssicherheit ein besonderes organisatorisches Umfeld, welches für die Wirksamkeit der vorgestellten Maßnahme ausschlaggebend ist, da die Informationssicherheit als Tandem-Modell zwischen Professorenschaft und der Verwaltung aufgebaut wird. Diese duale Struktur ermöglicht eine enge Verzahnung von Forschung, Lehre und der Verwaltung, wodurch es auch Studierenden in Form von verschiedenen Projekten ermöglicht wird, aktives Teil der Informationssicherheit zu werden. Zudem ist die Hochschule in dem landesweiten Arbeitskreis der Informationssicherheitsbeauftragten der Hochschulen des Landes Baden-Württemberg eingebunden, was den Vergleich, Erfahrungsaustausch und die Wirksamkeit verschiedener Maßnahmen begünstigten.

The aim of this paper is to present a preliminary concept for a doctoral dissertation, which argues that providers of internet services enabling communication and content publication should bear responsibility for the design and architecture of their platforms, as these directly affect the safety of the youngest users. This responsibility arises from the fact that risks to children are embedded within platform architecture itself, whether they are internal—arising from design features—or external—originating from third parties but mediated by the platform. In developing this work, the author draws on the classical theories of Pierre Lévy and Lawrence Lessig, as well as on two key European Union legal frameworks addressing these issues: the Digital Services Act (DSA) and the AI Act.

This paper analyses how EU legislation in the field of cybersecurity and information technology addresses free and open source software. It examines whether the specific characteristics of F/OSS are adequately considered in the EU's regulatory approach. Further, it focuses on the frequency and context in which open software is addressed in the Cybersecurity Resilience Act, the NIS 2 Directive, and the Artificial Intelligence Act, and examines how EU law regulates and protects open software, i.e., what value selected legislation attributes to it and what measures it introduces to prevent an excessive regulatory burden on free and open software projects.

In CG v Bezirkshauptmannschaft Landeck (C-548/21), the Court of Justice of the European Union held that searches of mobile phones by criminal investigation authorities must be subject to prior review by a court or an independent administrative body. In this paper, I examine whether the same procedural requirement applies under EU law to searches of mobile phones and other digital searches carried out by administrative authorities in the course of administrative investigations. While the CJEU has already been asked a similar question in relation to business e-mails seized in competition investigation ‘dawn raids’ in Imagens Médicas (Joined Cases C-258/23 to C-260/23), the objective of this paper is to examine the issue in broader terms and to consider also other sectors of enforcement where administrative authorities have similar investigatory powers at their disposal. I conclude that although unlimited access to data can constitute a serious, or even particularly serious, interference with the fundamental rights of the targeted individual regardless of the authority or proceedings, the data that is accessed in administrative investigations is often of a less personal, private, and sensitive nature than that stored on personal mobile devices. Thus, a categorical requirement of prior judicial review for digital searches in punitive administrative investigations should be rejected, although there may be situations where the measure should be authorised by a court.

Artificial intelligence is rapidly reshaping cybersecurity, offering unprecedented capabilities for both digital defense and offense. While AI-driven systems enhance threat detection, automate incident responses, and enable predictive security, they simultaneously empower new forms of cyberattacks and other malicious use. This dual-use nature — the ability of the same technology to serve both protective and malicious purposes — represents a challenging aspect of AI technology.
The paper explores the dual-use character of AI in cybersecurity, examining how the same systems can act as both shield and sword. It first defines the concept of dual-use, highlighting that unlike traditional tools, AI systems may exhibit unexpected patterns of behavior after deployment, and the cause may not be obvious. Building on this theoretical foundation, the study analyzes defensive applications and contrasts them with offensive uses.
The analysis further considers the European regulatory landscape, focusing on the EU AI Act and the NIS 2 Directive. As part of the analysis, we seek to discuss whether the regulatory framework responds to the specific feature of artificial intelligence under discussion. Recognizing AI’s two faces — protector and aggressor — is crucial for building resilient cybersecurity frameworks in an increasingly AI-driven world.

This paper proposes a doctrinal framework for attributing criminal responsibility in human–AI systems through the concept of hybrid intention. Hybrid intention arises where a human initiates a purposive course of conduct, its realisation is constitutively mediated by an artificial system, and a limited but assessable control window remains available to the human agent. From this structure follows a three-part attribution test focusing on initiation, technological mediation and control. The test is illustrated through a surgical AI scenario and offers court-usable criteria that preserve anthropocentric culpability in posthuman contexts.