Die Berücksichtigung von Risiken (und insbesondere von öffentlichen Risiken) hat in den vergangenen Jahrzehnten nicht nur in der Wirtschaft und allgemein im Sicherheitsmanagement, sondern auch in der Rechtsetzung an Bedeutung gewonnen (Burgess, 2009[1]). Das ist nachvollziehbar, denn um Rechtsvorschriften so auszugestalten, dass sie ihre intendierten Ziele besser erreichen und gleichzeitig möglichst wenig Belastungen und unbeabsichtigte Nebeneffekte mit sich bringen, ist es entscheidend, auch die Risiken in den Blick zu nehmen. Dadurch kann präziser formuliert werden, was mit einer gegebenen Regelung erreicht werden soll (Minderung oder Management eines Risikos). Außerdem können Inhalte und Mechanismen der Regelung (auf Basis der Ursachen und Merkmale der einzudämmenden Risiken) besser gestaltet sowie ihre Durchsetzung und Umsetzung effizienter (auf die Bereiche, Sektoren, Unternehmen usw., in denen die Risiken am größten sind) ausgerichtet werden. Damit trägt eine solche Risikofokussierung dazu bei, die Effizienz und Effektivität von Rechtsvorschriften in jeder Phase des Regelungszyklus zu steigern. Dies betrifft auch die Bewertung im Nachgang (in Hinsicht auf die Wirksamkeit des Risikomanagements). Zudem hat der Blick auf die Risiken einen positiven Effekt auf die Rechenschaftslegung, da er eine klare und häufig mit Kennzahlen unterlegte Formulierung der intendierten Ziele (und Grenzen) einer Regelung bzw. einer Regelungsinstanz ermöglicht.

In den vergangenen Jahren wurden insgesamt große Fortschritte bei der Ausweitung der risikobasierten Regulierung auf neue Länder, Sektoren, Regulierungsbereiche usw. erzielt. Gleiches gilt für die Anwendung von Datenintegration, maschinellem Lernen und anderen innovativen Verfahrensweisen und Werkzeugen, die helfen, Risiken besser zu verstehen, zu beurteilen und durchgängig zu berücksichtigen, sei es auf der strategischen Ebene oder auch bei der unmittelbaren Anwendung von Rechtsvorschriften. In diesem Kapitel sollen diese Fortschritte dargestellt werden. Dabei widmet es sich insbesondere dem Einsatz neuartiger digitaler Lösungen sowie der Einbindung verhaltensökonomischer Erkenntnisse.

„Risiken und Regulierung“ und „risikobasierte Regulierung“ sind mit der Zeit zu sich ergänzenden Aspekten eines Themas geworden, das über die Jahre an Bedeutung gewonnen hat – davon zeugen Studien verschiedener wichtiger Netzwerke von Wissenschaftler*innen und Fachkräften1 ebenso wie entsprechende Bezugnahmen in zahlreichen Gesetzestexten2 und wichtige internationale Publikationen3. Es hat mittlerweile eine nahezu vierzig Jahre lange Entwicklung hinter sich (National Research Council, 1983[2]) (IRGC, 2017[3]) und wurde nicht zuletzt auch schon von der OECD behandelt (OECD, 2010[4]). Aber auch wenn in Studien und Handlungsempfehlungen, die für bestimmte Regulierungsbereiche gelten oder sich auf diese beziehen,4 auf Risiko, Risikofokussierung, Risikoangemessenheit und Risikomanagement eingegangen wird (Khwaja, Awasthi und Loeprick, 2011[5]), gibt es auf internationaler Ebene noch keine konkreten konsolidierten Leitlinien zum Thema „risikobasierte Regulierung“. Risikoangemessenheit ist ein zentraler Aspekt internationaler Vereinbarungen wie der WTO-Übereinkommen über technische Handelshemmnisse (TBT), über die Anwendung gesundheitspolizeilicher und pflanzenschutzrechtlicher Maßnahmen (SPS) sowie aus jüngerer Zeit des Übereinkommens über Handelserleichterungen (TFA). Sie enthalten einschlägige Bestimmungen,5 denen zufolge handelsbeschränkende „Maßnahmen“ auf dem jeweiligen Risiko basieren müssen, und nennen grundlegende Elemente eines solchen Ansatzes; die Auslegung ist allerdings alles andere als unumstritten und die Umsetzung ist uneinheitlich (Goldstein und Carruth, 2004[6]; Wagner, 2016[7]; Russell und Hodges, 2019[8]). Eine Erörterung der Unterschiede in der Auslegung übersteigt den Rahmen dieses Kapitels, man sollte aber wissen, dass es sie gibt, weil sie einige der Schwierigkeiten bei der Umsetzung verständlicher machen.

In der Tat herrschen trotz der im Lauf der Zeit erzielten beachtlichen Fortschritte noch erhebliche Umsetzungsdefizite in Bezug auf risikobasierte Regulierung. Dies ist selbst in einigen Staaten und Regulierungsbereichen der Fall, in denen sie augenscheinlich verbindlich geregelt ist und/oder in denen Rechtsvorschriften offiziellen Angaben zufolge „risikobasiert“ gestaltet werden. Der erwartete Nutzen einer Rechtsetzung, die auf gut verstandenen, beurteilten sowie konsequent und angemessen berücksichtigten Risiken basiert, stellt sich erst dann ein, wenn man die gegenwärtige Situation systematischer analysiert und empfehlenswerten Verfahrensweisen zur Durchsetzung verholfen hat. Deshalb wird der Umsetzung von Punkt 9 der Empfehlung des Rates zu Regulierungspolitik und Governance von 2012,6 „Risikoabschätzung, -management und -kommunikation“, in dieser Ausgabe des Ausblicks Regulierungspolitik größere Aufmerksamkeit geschenkt: Der Bericht enthält die Ergebnisse neuer Fragen aus dem iREG Survey, einen Überblick über die wichtigsten Initiativen auf dem Gebiet der risikobasierten Regulierung sowie vorläufige Resultate aus Arbeiten zur Anwendung risikobasierter Methoden bei der Rechtsumsetzung.

Die Antworten auf die neuen Fragen des iREG Survey bestätigen die allgemeine Feststellung, dass risikobasierte Ansätze ungleichmäßig und unvollständig verbreitet und eingeführt sind. Die Daten zeigen aber auch, dass solche Ansätze im Regulierungsbereich allmählich Fuß fassen. 39 Länder (einschließlich der EU, die wie ein Staat behandelt wurde) nahmen insgesamt an der Erhebung teil, allerdings beantworteten nur 32 die neuen Fragen zur risikobasierten Regulierung. Dies könnte bedeuten, dass einige Länder mit dem Thema nicht viel anfangen konnten, oder dass teilweise die nötige Sensibilisierung fehlt bzw. kein Interesse besteht. In einigen Ländern ließen die Befragten bestimmte Fragen unbeantwortet oder gaben an, dass bestimmte Verfahrensweisen bei ihnen nicht existieren, obwohl das OECD-Team unabhängig von der Erhebung bezüglich bestimmter Sektoren über anderslautende Informationen verfügte. Dies lässt den Schluss zu, dass bestehende risikobasierte Ansätze innerhalb der Staatsverwaltung und selbst innerhalb einzelner Ministerien nicht hinreichend bekannt sind (die Auskunftgebenden fragten in anderen Ministerien nach und erhielten teilweise offensichtlich keine Antwort oder ein „Nein“, obwohl das jeweilige Haus durchaus risikobasierte Ansätze verfolgte).

Darüber hinaus lassen die Antworten darauf schließen, dass risikobasierte Regulierung häufig auf bestimmte Aspekte der Rechtsetzung und der Regulierungspolitik beschränkt ist, anstatt einen soliden Rahmen für die Gesamtheit der Regulierungsfunktionen abzugeben. Nur 9 der 39 befragten Länder bestätigten, dass sie über eine „ressortübergreifende“ Strategie im Hinblick auf „Risiken und Regulierung“ verfügen, 16 gaben an, dass sie eine „sektorspezifische“ Strategie verfolgen. Insgesamt wählten lediglich 17 der befragten Länder mindestens eine der beiden Optionen aus. Deutlich mehr Länder berichteten allerdings, dass bei ihnen für alle oder zumindest einige Regulierungsbereiche eine Risikobeurteilung „bei der Ausarbeitung einer Rechtsvorschrift“ vorgeschrieben sei (insgesamt gibt es in 28 Ländern entsprechende Vorgaben). Allerdings ist die geforderte Risikobeurteilung oft nicht sonderlich rigoros: Nur in der Hälfte dieser Länder werden hierfür auch quantitative Analysen verlangt. Insgesamt bejahten nur 5 Länder alle 3 entscheidenden Fragen zum Risiko, d. h. ob eine ressortübergreifende Risikostrategie existiert, ob bei der Ausarbeitung von Rechtsvorschriften eine Risikobeurteilung erforderlich ist und ob diese Bewertung eine quantitative Analyse umfassen muss (Abbildung 6.1).

Der Begriff „Risiko“ kann für Verwirrung sorgen, da er sogar innerhalb ein und desselben Kontexts unterschiedliche Bedeutungen haben kann und es unterschiedliche Möglichkeiten gibt, Risiken zu bewerten. „Risiko“ wird häufig gleichbedeutend mit „Gefahr“ oder „Eintrittswahrscheinlichkeit (eines Schadens)“ verwendet. Bei der Erörterung von „öffentlichen Risiken“ im Allgemeinen sowie von Risiken im Zusammenhang der Rechtsetzung im Besonderen herrscht indessen Konsens, dass sich diese Begriffe unterscheiden: „Gefahr“ bezieht sich auf die Existenz eines möglichen Schadens und auf seinen potenziellen Schweregrad, vermittelt aber nicht, wie wahrscheinlich es ist, dass der Schaden eintritt. „Eintrittswahrscheinlichkeit“ wiederum bezieht sich nur auf das Maß der Erwartung, dass es zu einem Ereignis (z. B. zur Verletzung einer Rechtsvorschrift) kommt; Schweregrad und Reichweite dieses unerwünschten Ereignisses bleiben unberücksichtigt.

Die hier zugrunde gelegte Definition von „Risiko“ als Kombination aus Eintrittswahrscheinlichkeit und potenziellem Ausmaß und Schweregrad eines Schadens entspricht der Verwendung des Begriffs in früheren OECD-Arbeiten zu diesem Thema, in vielen wichtigen wissenschaftlichen Arbeiten sowie in internationalen und nationalen Dokumenten und Rechtsvorschriften (OECD, 2010[4]; 2015[9]); (BRDO, 2012[10]); (Blanc und Franco-Temple, 2013[11]); (IRGC, 2017[3]). Trotz gelegentlicher Abweichungen (offiziell oder zumindest in der Praxis) in manchen Ländern und Einrichtungen herrscht mittlerweile breiter Konsens über die Definitionen der folgenden Begriffe, die auch für dieses Kapitel und andere Textstellen dieser Ausgabe des Ausblicks Regulierungspolitik gelten (Rothstein et al., 2017[12]):

• Unter Risiko ist die Kombination aus Eintrittswahrscheinlichkeit und potenziellem Ausmaß und Schweregrad eines Schadens zu verstehen. Dies lässt sich auch ausdrücken als Kombination aus Eintrittswahrscheinlichkeit und Gefahrengrad. Daher kombiniert Risiko 1. Wahrscheinlichkeit, 2. Schadensumfang (Zahl der betroffenen Personen usw.) und 3. Schadensgrad (Art des Schadens).

• Gefahr bezieht sich auf Art, Ausmaß und Schweregrad eines potenziellen Schadens; die Wahrscheinlichkeit des Schadenseintritts bleibt dabei unberücksichtigt.

• Schaden ist jegliche Form der Schädigung von Personen (in Bezug auf ihr Leben, ihre Gesundheit, ihr Eigentum usw.), der Umgebung (der Umwelt oder auch des menschlichen Umfelds) oder sonstiger öffentlicher Interessen (z. B. schädigt Steuerbetrug die Staatseinnahmen). Man unterscheidet Schäden auch danach, ob sie unumkehrbar sind (z. B. Todesfälle) oder sich nach ihrer Feststellung korrigieren lassen (z. B. finanzielle Schäden).

• Unvorhersehbarkeit und Unsicherheit sind vom Begriff des Risikos ebenso abzugrenzen wie von der geschätzten Eintrittswahrscheinlichkeit eines Schadens: Es handelt sich um dem Prozess der Risikobeurteilung innewohnende Einschränkungen und daher auch um Einschränkungen der risikobasierten Regulierung, die als solche anzuerkennen sind. Die Konzepte für den Umgang mit Unvorhersehbarkeit und Unsicherheit sind nicht immer ausdrücklich genannt oder kohärent. Auf dieses Problem wird in diesem Kapitel näher eingegangen.

Rechtsvorschriften behandeln eine Reihe unterschiedlicher potenzieller Schädigungen (körperliche Verletzungen, Umweltschäden, finanzielle Verluste usw.), die nicht alle gleichermaßen gravierend sind. Ein zentrales Unterscheidungskriterium ist dabei, ob die Schädigung rückgängig gemacht werden kann oder nicht. Zudem richten sich Rechtsvorschriften gegen viele Gefahren, von industrieller Umweltverschmutzung, Explosionen und Lebensmittelvergiftungen über Gebäudebrände und -einstürze bis hin zu Werbebetrug oder Steuerhinterziehung. Auch diese Fälle sind unterschiedlich schwerwiegend und ihre Eintrittswahrscheinlichkeiten variieren beträchtlich. Daher ist es schwierig, eine Priorisierung der verschiedenen zu regelnden Risiken vorzunehmen oder auf der Grundlage des verursachten Schadens zu entscheiden, welche Wirtschaftszweige oder Betriebe besondere Beachtung verdienen.

Auf Basis der Risiken kann über die strategische Mittelverteilung (auf verschiedene Bereiche wie Umweltschutz, Lebensmittelsicherheit, Staatseinnahmen, technische Sicherheit usw.) entschieden werden, allerdings geschieht dies eher selten. Weitaus häufiger werden auf dieser Grundlage regulatorische Eingriffe innerhalb eines gegebenen Bereichs nach verschiedenen Wirtschaftssektoren und Betrieben priorisiert. Auf diese Weise kann das Risiko als eine Art Messgröße dienen, um auf einer einheitlichen Berechnungsbasis den relativen „Wert“ verschiedener regulatorischer Eingriffe in Form von geretteten Menschenleben, Entlastungen der Umwelt, der Wirtschaft usw. zu bestimmen und zu vergleichen. Dies ist jedoch nur möglich, wenn die zu regulierenden Bereiche und Sektoren ein einheitliches Konzept für die Risikobewertung anwenden.

Um die relative Höhe der verschiedenen Risiken zu vergleichen und über die geeignete Art und Intensität einer regulatorischen Maßnahme zu entscheiden, muss zuvor eine Risikobeurteilung vorgenommen werden. Es gilt also, diese relative Höhe in Bezug auf die Eintrittswahrscheinlichkeit und die Schadensschwere abzuschätzen. Für vollständige Vergleiche über unterschiedliche Regulierungsbereiche hinweg bedarf es aber nicht nur eines einheitlichen Konzepts für die Risikobewertung, sondern auch einer Methode zur Umrechnung verschiedener Schadensarten. Dies ist zwar theoretisch möglich (in Recht und Wirtschaft gibt es viele Ansätze, um den wirtschaftlichen Wert von Menschenleben, Gesundheit, Umwelt usw. zu schätzen), in der Praxis wird ein solches Präzisionsniveau jedoch eher selten angestrebt. Meistens erfolgen Vergleiche der Risikoniveaus innerhalb einer gegebenen Schadenkategorie, z. B. nur in Bezug auf den potenziellen Verlust von Menschenleben oder mögliche finanzielle Einbußen. In jedem Fall handelt es sich, unabhängig von Umfang und Reichweite der Risikobetrachtung, bei der Risikobeurteilung um ein Instrument, um Vergleiche – und damit Priorisierungen – vorzunehmen.

Eine ausschließlich nach Sektor oder Art der wirtschaftlichen Tätigkeit vorgenommene Risikopriorisierung kann zwar in Situationen, in denen die Risikobeurteilung bei null beginnt und nur eine geringe oder gar keine Datengrundlage vorhanden ist, ein nützlicher erster Schritt in die richtige Richtung sein, sie ist jedoch nicht optimal und auf längere Sicht unzureichend. In den fortgeschrittenen Volkswirtschaften bzw. in den Ländern, in denen die Regulierungsbehörden über die für die Risikoanalyse und Priorisierung erforderlichen Daten verfügen, sollte hingegen ein differenzierterer Ansatz für die Bewertung und die gezielte Minderung von Risiken realisierbar sein. Dabei könnte z. B. jedes Unternehmen oder jeder Unternehmensbestandteil (Anlage, Betriebsstätte) anhand seiner inhärenten Merkmale und bisherigen Regulierungsergebnisse individuell berücksichtigt werden.

Die Risikobeurteilung erweist sich damit als nützliches Instrument, um regulatorische Anstrengungen zu priorisieren. In der OECD-Empfehlung von 2012 und im gesamten Katalog empfehlenswerter Verfahrensweisen auf dem Gebiet der Rechtsetzung – beginnend bei den Gesetzesfolgenabschätzungen – wird die Bedeutung von Kosten-Nutzen-Analysen und wirkungsorientierter Rechtsetzung hervorgehoben. Für beides ist der Blick auf die Risiken wichtig. Das gilt auch für die Prüfung der Frage, welche Regulierungsinstrumente in Anbetracht der spezifischen Merkmale der einzelnen Risiken eingesetzt werden sollten. Bei der risikobasierten Priorisierung wird konkret darauf geachtet, die verfügbaren Mittel vor allem dort einzusetzen, wo die Risiken am größten sind. Demgegenüber werden für die Risikoangemessenheit nicht nur die Höhe, sondern auch die Merkmale des Risikos betrachtet, um den geeigneten Inhalt von Rechtsvorschriften zu bestimmen (Strenge und Verbindlichkeitsgrad von Vorgaben usw.) und die entsprechenden Regulierungsinstrumente auszuwählen (Erlaubnisvorbehalt, nachträgliche Kontrollen, Zertifizierung, Registrierung usw.).

Nun kann freilich der Einwand erhoben werden, dass bei der Regulierung keine Priorisierung vorgenommen, sondern (entsprechend den Anträgen unterschiedlicher Stakeholder) vielmehr versucht werden sollte, alle potenziellen Gefahren zu regulieren, unabhängig von Schadenswahrscheinlichkeit, -häufigkeit usw. Dies mag auf dem Papier möglich sein (auch wenn hierdurch eine Flut von neuen Rechtsvorschriften entstünde), aber sowohl die Staatshaushalte als auch die Wirtschaftsleistung begrenzen die zur Umsetzung solcher Regelungen und Überwachung ihrer Einhaltung verfügbaren Ressourcen. Die für staatliche Kontrollen benötigten Personal- und Sachmittel (Reisekosten, Prüfgeräte usw.) müssen die zuständigen Stellen aus ihren begrenzten Budgets bestreiten, mit dem sie auch viele andere Bedarfe abdecken müssen. Und auch wenn Dritte mit der Kontrolle der Einhaltung von Vorschriften beauftragt werden (z. B. im Rahmen einer vorgeschriebenen Zertifizierung, einer sogenannten „Konformitätsbewertung“), entsteht ein Aufwand. In diesem Fall sind die Prüfungen zwar nicht mehr von der Größe des Staatshaushalts abhängig, sie verursachen aber direkte Kosten für die Unternehmen (die versuchen werden, diese möglichst an die Verbraucher*innen weiterzureichen). Damit sind auch solchen Kontrollen durch Dritte naturgemäß Grenzen gesetzt: Es entstehen Kosten für Verbraucher*innen wie für Unternehmen, die sich potenziell negativ auf Wettbewerbsfähigkeit und Wachstum auswirken.

Zu viele Regeln in zu vielen Bereichen machen es den meisten Wirtschaftsakteuren in der Praxis unmöglich, alle Vorschriften zu kennen und zu befolgen. Ausufernde Regulierung läuft Gefahr zu scheitern und kann sogar die Rechtstaatlichkeit beeinträchtigen, wenn allgemein anerkannt ist, dass eine vollständige Einhaltung ohnehin unmöglich ist (Baldwin, 1990[13]); (Hampton, 2005[14]); (Anderson, 2009[15]). Gibt es allzu viele Regeln und Kontrollen, könnten die zuständigen Stellen zudem von der Menge der erhobenen Daten „überschwemmt“ werden. In diesem Fall erschwert die Informationsflut selbst unter Zuhilfenahme moderner Datenanalysetools und einer höheren Rechenleistung eine effektive Entscheidungsfindung (Roetzel, 2018[16]).

Ein entscheidender Sachverhalt wurde in Studien wiederholt festgestellt: Als „übermäßig streng“ empfundene Kontrollen senken letztendlich die Regeltreue (Kirchler und Hoelzl, 2006[17]). Außerdem können die wahrgenommenen Belastungen durch die Kontrollen die Investitionsbereitschaft und das Wachstum hemmen. Statt staatliche Vorgaben besser zu erfüllen, könnten Unternehmen und Bürger*innen, die sich aufgrund strengerer Kontrollen einer sehr hohen und als unfair empfundenen Belastung gegenübersehen, letztlich „Widerstand leisten“, indem sie Regeln seltener freiwillig einhalten. Solche Effekte lassen sich anhand von Modellen prognostizieren, die die Rechtsbefolgung in Abhängigkeit von der Verfahrensgerechtigkeit abbilden (Tyler, 2003[18]). Diese zeigen ferner, dass Menschen negativ auf Prozesse reagieren, bei denen sie sich nicht respektiert fühlen bzw. nicht glauben, dass Entscheidungen aufgrund nachvollziehbarer und ethischer Erwägungen getroffen werden. Eine allzu umfassende Regulierung führt in der Tendenz zu solchen Effekten, da es häufig praktisch unmöglich ist, alle Bestimmungen einzuhalten. Außerdem erlegt sie Beschränkungen in Situationen auf, in denen die Betroffenen kein nennenswertes Risiko sehen bzw. keinen tatsächlichen Schaden erwarten. In der Folge kann ausufernde Regulierungstätigkeit die Gesamtrisiken in einem Staat erhöhen, weil Vorschriften seltener befolgt werden (Blanc, 2018[19]).

Es ist sogar denkbar, dass bei einem übermäßig risikoaversen Regulierungsansatz die Beachtung der Vorschriften negative Auswirkungen auf das Gesamtrisikoniveau hat, nämlich dann, wenn sich daraus eine besonders starke wirtschaftliche Beeinträchtigung ergibt, der direkte positive Sicherheitseffekt aber gering ist. Die negativen Folgen sinkender Einkommen und eines niedrigeren BIP-Gesamtniveaus für die Lebenserwartung könnten dann insgesamt höher ausfallen als die durch die Regelungen erzielten Zugewinne (Helsloot, 2012[20]). Dies tritt zwar nur im Extremfall ein, es gibt aber Belege für reale Beispiele. Jedenfalls verdeutlichen diese Ergebnisse, dass es beim risikobasierten Regulierungsansatz nicht darum geht, Sicherheit auf Kosten des Wirtschaftswachstums zu erreichen. Zwar gibt es im Bereich der Rechtsetzung selbstverständlich Zielkonflikte, die man sich bewusst machen sollte. Hat man sich aber für ein bestimmtes Schutzniveau und den entsprechenden Regulierungsgrad entschieden, liefert eine risikobasierte Gestaltung und Durchsetzung der Rechtsvorschriften den vorhandenen Forschungsarbeiten zufolge die besseren Ergebnisse. Dies gilt sowohl in Bezug auf die Sicherheit als auch in wirtschaftlicher und sozialer Hinsicht (Coglianese und Carrigan, 2012[21]).

Gesetzliche Bestimmungen, die risikobasierte Ansätze vorschreiben, und Institutionen, die sich deren Umsetzung auf die Fahnen geschrieben haben, sind schnell gefunden. Deutlich schwieriger ist es zu untersuchen, inwieweit die einzelnen Länder und zuständigen Stellen tatsächlich eine risikobasierte Regulierung implementieren oder inwieweit sie dabei ein einheitliches und konsequentes Konzept verfolgen. Bis zu einem gewissen Grad lassen sich zwar einige Elemente bewährter Rechtsetzungsmethoden (z. B. die Existenz und Akzeptanz von Konsultationsverfahren) relativ leicht unmittelbar beobachten, doch ohne tiefergehende Analyse lässt sich meist nicht beurteilen, inwiefern bei regulierungspolitischen Entscheidungen Risiken wirklich rigoros berücksichtigt werden. Noch schwerer erschließt sich dies bei der Rechtsumsetzung, denn erstens weichen die theoretischen Vorgaben der zuständigen Stellen unter Umständen von der Praxis vor Ort ab und zweitens sind sehr viele ganz unterschiedliche Institutionen beteiligt. Dennoch haben wir uns in dieser Ausgabe des Ausblicks Regulierungspolitik an eine erste vorläufige Bestandsaufnahme der aktuellen Beachtung von Risiken bei der Gestaltung und Umsetzung von Rechtsvorschriften herangetastet.

Zu diesem Zweck entwickelte das OECD-Sekretariat erstmals einen Fragenkatalog zum Thema „Risikobasierte Regulierung“, der den Teilnehmerländern zusammen mit dem iREG Survey vorgelegt wurde, auf dem dieser Ausblick im Kern beruht. Die Fragen und Antworten gehen zwar nur bedingt ins Detail und entsprechen auch nicht den Ansprüchen einer wirklich tiefgehenden Beurteilung, aber sie geben immerhin einen ersten Eindruck davon, inwiefern verschiedene Länder Risiken bei der Rechtsetzung Bedeutung beimessen. Zudem zeigen sie zumindest für einige Bereiche, welche Ergebnisse dabei effektiv erzielt wurden. Unter anderem wurde auch gefragt, inwieweit Risikobeurteilung und Risikomanagement im Kontext der Coronakrise eingesetzt wurden. Den Schwerpunkt dieser ersten Annäherung bildet vor allem die Verbreitung risikobasierter Ansätze, also die Frage, ob sie in einem gegebenen Land überhaupt existieren und angewendet werden, und wenn ja, ob dies flächendeckend oder nur in einem bzw. einigen Sektoren geschieht. Die Antwort auf die Frage, inwieweit die Umsetzungen in die Tiefe gehen, bleibt weiteren Untersuchungen vorbehalten; zu diesem Thema wird das Kapitel nur einige konkrete Momentaufnahmen liefern.

Für eine erste Analyse der Umsetzungsphase sammelte das Sekretariat darüber hinaus Daten aus möglichst vielen OECD-Mitgliedsländern zu den Personalressourcen für behördliche Kontrollen und die Durchsetzung von Vorschriften. Dabei lag der Schwerpunkt auf ausgewählten Regulierungsfunktionen, die eine wichtige Rolle in der öffentlichen Wahrnehmung spielen und einen Großteil der Gesamtressourcen beanspruchen. Zum einen liefern diese Angaben erste Erkenntnisse darüber, welche Bedeutung dem betreffenden Thema – insbesondere bei der Zuweisung öffentlicher Mittel – beigemessen wird. Aus der sich von Land zu Land unterscheidenden prozentualen Verteilung der Ressourcen auf die verschiedenen Funktionen ergibt sich zum anderen auch, wie die verschiedenen Rechtsumsetzungssysteme die diversen Risiken jeweils gewichten. Das Verhältnis der für die Durchsetzung von Vorschriften verfügbaren Ressourcen zu anderen Kennzahlen (Bevölkerungs-, Unternehmensdaten usw.) sagt überdies etwas darüber aus, wie wichtig der Regulierungsvollzug für das jeweilige Land ganz allgemein ist. Wie erwähnt, handelt es sich aber keineswegs um eine tiefgehende Untersuchung der verschiedenen Ansätze der risikobasierten Rechtsumsetzung; dargestellt wird vielmehr die allgemeine Situation auf strategischer Ebene (anhand der Ressourcenzuweisung).

Wie in der Einleitung zu diesem Kapitel beschrieben, geben die Antworten auf den iREG Survey einen ersten Eindruck von der Einführung risikobasierter Regulierungsansätze: Insgesamt verfolgt weniger als die Hälfte der betrachteten Länder eine wie auch immer geartete Strategie für risikobasierte Regulierung. Rund drei Viertel der Länder setzen zwar bei ihren Rechtsetzungsprozessen in der einen oder anderen Weise auf Risikobeurteilungen, aber nur etwa ein Drittel schreibt eine Quantifizierung des Risikos zwingend vor. Diese Erhebungsdaten sind allerdings sehr allgemein und beruhen nur auf formellen Regeln und Verfahren. Eine echte Bewertung der Umsetzung risikobasierter Ansätze lassen sie nicht zu.

Eine fundierte Antwort auf die Frage, ob risikobasierte Ansätze auf den verschiedenen Ebenen und in den Prozessschritten der Rechtsumsetzung zum Tragen kommen, setzt eine eingehende Untersuchung der einzelnen Einrichtungen oder Dienste sowie der für Genehmigungen, Zulassungen, Kontrollen, Vollzugshandlungen usw. geltenden Regelungen voraus. Die OECD stellt mit dem Regulatory Enforcement and Inspections Toolkit (OECD, 2018[22]) zwar einen Rahmen für derartige Analysen bereit, doch selbst bei einer Beschränkung auf ausgewählte Regelungsbereiche wären erhebliche Ressourcen nötig, um diese Untersuchungen systematisch für alle in diesem Ausblick behandelten Länder durchzuführen. Stattdessen werden in diesem Abschnitt kurz die vorläufigen Ergebnisse einer Analyse der bisher verfügbaren Daten zu den Ressourcen für staatliche Kontrollen und Rechtsdurchsetzung vorgestellt. Dadurch wird zunächst einmal die Bedeutung der Vollzugsfunktion gemessen an den eingesetzten Personalressourcen (und damit Haushaltsmitteln) ersichtlich. Darüber hinaus erlaubt der Ansatz, verschiedene Regelungsbereiche (anhand der Gewichtung unterschiedlicher Risiken auf der strategischen Ebene der Ressourcenzuweisung) und Länder (anhand der jeweils als angemessen betrachteten Intensität der Rechtsdurchsetzung zur Eindämmung bestimmter Risiken) zu vergleichen.

Die Beschäftigungszahlen der öffentlichen Verwaltungen sind zwar im Allgemeinen für jeden einsehbar, aber viele Länder, Einrichtungen und Dienststellen dokumentieren nicht im Detail, wie viele Kontrolleur*innen oder Beschäftigte mit Prüfbefugnissen und -funktionen ausgestattet wurden, oder es fehlt an konsolidierten Informationen über alle in einem bestimmten Regelungsbereich tätigen Institutionen. In einer Reihe von Ländern gestaltet sich die Erhebung solcher Daten besonders komplex, weil es dort allgemeine und/oder spezialisierte Polizei- und Vollzugsbehörden gibt, die ebenfalls entsprechende Kontrollbefugnisse und -mandate besitzen, auch wenn sie ihr Personal nur z. T. für solche Maßnahmen einsetzen. Manchmal sind deshalb zu diesem Punkt keine genauen Daten erhältlich und auch Schätzungen sind nicht immer möglich. Die Komplexität der Rechtsumsetzungssysteme, bei denen auf nationaler/föderaler, gliedstaatlicher/regionaler oder auch lokaler/kommunaler Ebene angesiedelte Dienststellen gleichzeitig in einem bestimmten Bereich tätig sein können, erschwert die Aufgabe zusätzlich. Zudem können mehrere Dienststellen einen bestimmten Regelungsbereich abdecken – oder eine Einrichtung bzw. Dienststelle bearbeitet mehr als nur ein Gebiet, was mitunter dazu führt, dass keine Schätzung zur Verteilung der Ressourcen auf die verschiedenen Aufgaben vorliegt.

Die vorläufigen Ergebnisse dieser Analysen (Tabelle 6.1) werfen trotzdem mehrere wichtige Erkenntnisse ab. Erstens geht es häufig um erhebliche Ressourcen, die einen ziemlich großen Anteil der Staatsangestellten bzw. des Staatshaushalts abdecken und deshalb systematischer analysiert werden sollten, als dies in vielen Fällen bisher geschehen ist. Zweitens gibt es große Unterschiede zwischen den verschiedenen Regelungsbereichen zugewiesenen Mitteln, ohne dass dabei klar ist, ob dies einen entsprechenden Unterschied des Kontrollaufwands oder der zugrunde liegenden Risiken widerspiegelt. Drittens zeigen sich markante Unterschiede bei der Intensität der Aufsichtsaktivitäten, wenn man die Anzahl der behördlichen Prüfer*innen zur Zahl der Einwohner*innen, Arbeitnehmer*innen oder Unternehmen ins Verhältnis setzt. Dies trifft sogar auf Nachbarländer oder Staaten mit sonst sehr ähnlichen Daten zu. Aus all diesem ergibt sich zum einen, dass weitere derartige Analysen durchgeführt werden sollten, um mehr Länder und Regelungsbereiche zu berücksichtigen und detailliertere Daten zu erfassen. Zum anderen wird aber auch klar, wie wichtig es ist, dass Länder solche Untersuchungen in regelmäßigen Abständen durchführen und systematisch prüfen, ob ihre institutionellen Rahmenbedingungen und Ressourcen nach wie vor angemessen sind.

Aus den genannten Gründen konnten im Rahmen dieser Studie bisher noch keine vollständigen und lückenlosen Daten für alle OECD-Länder und jeden Regelungsbereich vorgelegt werden. Die pragmatisch gewählten Schwerpunkte der Untersuchung liegen auf der Lebensmittelsicherheit, dem Bereich Arbeitsschutz und Arbeitssicherheit sowie dem Umweltschutz. Wenn man von den Steuerbehörden absieht (mit denen sich Forschungsarbeiten und OECD-Literatur bereits eingehend beschäftigt haben), sind dies hinsichtlich der Rechtsumsetzung üblicherweise die wichtigsten Regelungsbereiche, und zwar in Bezug auf die Anzahl der durchgeführten Kontrollen und der beaufsichtigten Unternehmen ebenso wie hinsichtlich der Personalausstattung, der finanziellen Ressourcen oder der öffentlichen Wahrnehmung (Blanc, 2012[23]).

Im Folgenden wird sich zeigen, dass die den verschiedenen Regelungsbereichen zugewiesenen Ressourcen mitunter deutlich voneinander abweichen, ohne dass dabei klar ist, ob dies auf einen entsprechenden Unterschied des Kontrollaufwands oder der zugrunde liegenden Risiken zurückzuführen ist (z. B. sind je nach Land 2,5- bis über 20-mal so viele Kontrolleur*innen für Lebensmittelsicherheit im Einsatz wie Umweltprüfer*innen). Darüber hinaus zeigen sich markante Unterschiede bei der Kontrollintensität, wenn man die Anzahl der behördlichen Prüfer*innen zur Zahl der Einwohner*innen, Arbeitnehmer*innen oder Unternehmen ins Verhältnis setzt. Dies trifft sogar auf Nachbarländer oder Staaten mit sonst sehr ähnlichen Daten zu (Österreich kommt auf deutlich höhere Zahlen als Deutschland, Italien setzt deutlich mehr Prüfer*innen ein als Deutschland und Frankreich usw.). Aus all diesem ergibt sich zum einen, dass weitere derartige Analysen durchgeführt werden sollten, um mehr Länder und Regelungsbereiche zu berücksichtigen und detailliertere Daten zu erfassen. Zum anderen wird aber auch klar, wie wichtig es ist, dass Länder solche Untersuchungen in regelmäßigen Abständen durchführen und systematisch prüfen, ob ihre institutionellen Rahmenbedingungen und Ressourcen nach wie vor angemessen sind.

Diese Situation sowie weitere Forschungsergebnisse zu bestimmten Ländern, Regelungsbereichen und anderen Aspekten deuten darauf hin, dass Pfadabhängigkeit ein wichtiger Faktor ist und dass es hinsichtlich der Risiken, gegen die sich die Strukturen und Ressourcen der Rechtsumsetzung richten, an regelmäßigen und systematischen Neubewertungen mangelt (Blanc, 2012[23]; 2018[19]). Dies hat zur Entstehung äußerst komplexer und verworrener institutioneller Strukturen beigetragen (was sich unmittelbar auf die Datenerhebung auswirkt: Die Vielfalt an Einrichtungen mit sich überschneidenden oder gemischten Funktionen sowie die häufig nur ungenauen Angaben zur Personalausstattung usw. haben das Zusammentragen der Informationen erschwert). Außerdem verkompliziert dies die Nachverfolgung und Beurteilung der Mittelzuteilung und Ausgaben und bewirkt, dass meist keine Korrelation zwischen Aufwand und Risikoanalyse oder -beurteilung zu erkennen ist. Der Weg zu einer Rechtsumsetzung, die wirklich auf Risiken basiert, sich an ihnen orientiert und sie in angemessener Weise berücksichtigt, ist von dieser Warte aus betrachtet noch weit. Trotzdem sind auch Fortschritte zu erkennen und in den letzten Jahren wurden wichtige Initiativen ergriffen, um die Lage zu verbessern. Sie werden im folgenden Abschnitt dieses Kapitels näher beschrieben.

Es gibt viele Gründe dafür, dass die Grundsätze risikobasierter Regulierung in der politischen Entscheidungsfindung und bei der Rechtsumsetzung bei weitem nicht überall berücksichtigt und häufig nur unvollständig implementiert werden. Fehlende Ressourcen und Kapazitätsengpässe (jede Anpassung von Regulierungsansätzen erfordert Fachwissen und Kompetenzen) zählen ebenso dazu wie rechtliche Gegebenheiten oder auch die öffentliche Wahrnehmung (Rothstein, Borraz und Huber, 2012[24]); (Rothstein et al., 2017[12]). Gerade letztere kann sich als große Hürde für risikobasierte Ansätze erweisen: Die in der allgemeinen Öffentlichkeit, den Medien oder auch unter Entscheidungsträger*innen in Politik und Wirtschaft vorherrschenden Ansichten können die Akzeptanz eines als „unvollständig“ wahrgenommenen Schutzes vor Schäden, die Bewertung und Abwägung der Risiken selbst und die Zustimmung zu einer dem Kriterium der Angemessenheit verpflichteten Risikobewältigung beeinträchtigen. Dies wurde ausführlich in bedeutenden Veröffentlichungen behandelt, u. a. zu reflexartigen Reaktionen auf schwere Unfälle oder neu entstehende Gefahren (Blanc, Macrae und Ottimofiore, 2015[25]); (Balleisen et al., 2017[26]), zu den psychologischen Faktoren der Risikobewältigung (Tversky und Kahneman, 1974[27]); (Weyman und Barnett, 2016[28]); (Burgess, Alemanno und Zinn, 2019[29]), zu den Unterschieden in der Risikowahrnehmung durch Sachverständige und Allgemeinbevölkerung (Fischhoff, Slovic und Lichtenstein, 1982[30]); (Slovic, 1986[31]); (Flynn, Slovic und Mertz, 1993[32]) und zu Möglichkeiten, eine differenziertere Risikowahrnehmung und -bewältigung in der Öffentlichkeit zu erreichen (Helsloot und Groenendaal, 2017[33]).

Fest steht jedenfalls, dass die Auseinandersetzung mit der öffentlichen Wahrnehmung und Meinung einen komplexen und längerfristigen Ansatz erforderlich macht. Andere Schwierigkeiten auf dem Weg zu einer risikobasierten Regulierung und ihren potenziellen Vorteilen lassen sich möglicherweise rascher aus dem Weg räumen. Insbesondere finden sich nachahmenswerte Beispiele dafür, wie Regierungen an einer Überwindung der in den zuständigen Behörden herrschenden Zweifel und Widerstände gegenüber risikobasierten Ansätzen arbeiten können (Kasten 6.1). Denn dass Institutionen auf diese Herangehensweisen zögerlich oder gar ablehnend reagieren, ist keine Seltenheit. Die Gründe dafür sind vielfältig: In manchen Einrichtungen hat es sich eingebürgert, besonders risikoscheu zu agieren und Sicherheit um jeden Preis anzustreben, in anderen will man aufgrund des öffentlichen Drucks (oder der Angst davor) um jeden Preis den Vorwurf der Vereinnahmung (regulatory capture) oder eines allzu milden Vorgehens vermeiden. Auch Pfadabhängigkeit, eine allgemeine Skepsis gegenüber Veränderungen (manchmal bedingt durch frühere Enttäuschungen) oder schlicht ein Mangel an geeigneten Instrumenten und Ressourcen wirken sich aus. Vorgaben nach dem Top-down-Prinzip sind für die Förderung einer risikobasierten Regulierung zwar durchaus wichtig, erfolgreiche Veränderungen in der Praxis setzen allerdings zumeist auch eine aktive Mitwirkung der zuständigen Behörden voraus.

Nicht immer genügt es, im Austausch mit den zuständigen Behörden neue Sichtweisen zu etablieren und einen Kulturwandel anzustoßen: Häufig müssen auch neue rechtliche Grundlagen geschaffen werden, die eine risikobasierte Regulierung erst ermöglichen. Es kommt vor, dass bestehende Rechtsvorschriften und verfassungsrechtliche Grundsätze die Anwendung risikobasierter Ansätze erschweren oder sogar verhindern, wenn keine ausdrücklichen Genehmigungsklauseln verabschiedet werden (Rothstein, Borraz und Huber, 2012[24]); (OECD, 2015[9]); (Rothstein et al., 2017[12]). In anderen Fällen geht es bei der Verabschiedung solcher „horizontaler“ Rechtsvorschriften weniger darum, Risikoangemessenheit zu ermöglichen, als vielmehr darum, sie weiter voranzutreiben, indem direkt anwendbare Bestimmungen eingeführt werden oder Regulierungsbehörden den Auftrag erhalten, z. B. die zu prüfenden Einrichtungen risikobasiert auszuwählen oder bei der Durchsetzung von Vorschriften risikoangemessen vorzugehen. Kasten 6.2 enthält verschiedene Beispiele, wie rechtliche Grundlagen für eine risikobasierte Regulierung geschaffen wurden.

Die uneinheitliche Verbreitung und nicht immer konsequente Anwendung risikobasierter Regulierung darf auf keinen Fall darüber hinwegtäuschen, dass in den letzten Jahren signifikante Fortschritte gemacht wurden und es durchaus erwähnenswerte Innovationen gegeben hat. Vielmehr findet sich eine ganze Reihe von wichtigen Initiativen, die sich hervorragend eignen, um zu zeigen, wie eine wirksame Umsetzung risikobasierter Ansätze konkret aussehen und gefördert werden kann und welche innovativen Möglichkeiten es dafür gibt. Gleichzeitig kam es zu einer Wissensbündelung: Der Erfahrungsaustausch wurde intensiviert, die Zahl der Beispiele guter Praxis hat sich erhöht und die Leitlinien auf internationaler Ebene wurden weiterentwickelt (vgl. besonders OECD (2018[22])). Hinzu kommt, dass im IT-Bereich die Rechenleistung deutlich angestiegen (und billiger geworden) ist, sodass sich risikobasierte Analysen und Planungen heute viel leichter durchführen lassen als z. B. noch vor zehn Jahren.

Dieser Abschnitt handelt von Verbesserungen der Datengrundlage für die risikobasierte Regulierung und insbesondere die Rechtsumsetzung. Im Anschluss daran widmet er sich dem Umgang mit Risiko als Leitkonzept für eine ergebnisorientierte Regulierung. Abschließend nimmt er die Anwendung risikobasierter Konzepte im Kontext von Covid-19 in den Blick, inklusive des tatsächlichen und potenziellen Einsatzes digitaler Technologien, z. B. für Überwachungen und Kontrollen ohne physische Präsenz der Prüfer*innen.

Ohne Daten ist auch keine risikobasierte Regulierung möglich, denn sie muss soweit möglich auf einer objektiven und datengestützten Beurteilung von Risiken aufbauen. Dementsprechend setzte die Datenverfügbarkeit so manchen Bemühungen um systematischere und gründlichere Risikoanalysen in der Vergangenheit enge Grenzen. Das Problem stellte sich vor allem bei der risikobasierten Planung behördlicher Kontrollen. Entweder es lagen keine ausreichend detaillierten Daten zu den kontrollierten Unternehmenseinheiten und Betrieben vor, oder sie waren nicht digitalisiert bzw. nicht auf dem neuesten Stand – oder die Datenbestände waren auf verschiedene Dienststellen verteilt, die sich nicht austauschten. Eine Überarbeitung der Risikobeurteilungsmethoden wurde häufig dadurch erschwert, dass die in früheren Prüfberichten enthaltenen Informationen z. B. nur in Papier- oder Textform vorlagen oder nicht detailliert genug waren und sich deshalb nicht systematisch analysieren ließen. Mittlerweile sind derartige Einschränkungen allerdings deutlich seltener geworden: Die Digitalisierung und Weiterentwicklung staatlicher Verwaltungssysteme, der Anstieg der Rechenleistung, moderne IT-Ansätze, die breite Einführung neuer Technologien, der Aufbau von Kompetenzen und andere Faktoren haben dafür gesorgt, dass praxiserprobte Verfahren nun häufiger Anwendung finden und neue, innovative Konzepte erfolgreich umgesetzt werden können.

Frühere Untersuchungen zu den in verschiedenen Ländern gängigen Praktiken hatten bereits die Grundlagen für die Definition von Zielvorgaben gelegt, die Informationssysteme zur Unterstützung risikobasierter Kontroll- und Vollzugsmethoden erfüllen sollten (OECD, 2014[37]). Diese Studien machten es z. B. auch möglich, wünschenswerte Kernelemente solcher Verwaltungssysteme für Prüfinformationen oder auch essenzielle Umsetzungsvoraussetzungen festzulegen (Wille et al., 2013[38]); (OECD, 2015[9]); (Mangalam und Vranic, 2020[39]). Im Idealfall liefern diese Systeme die für die Risikobeurteilung und Planung benötigten aktuellen Daten zu Anlagen, Unternehmen und deren Geschäftstätigkeiten. Außerdem sollten sie es ermöglichen, die Auswahl der zu prüfenden Unternehmen gezielt nach dem jeweiligen Risikoniveau vorzunehmen bzw. zu priorisieren. Prüfergebnisse sollten so erfasst werden können, dass weitere Analysen und Folgemaßnahmen einfach durchgeführt und automatisiert werden können. Zudem sollten diese Systeme eine zentrale Datenbank für mehrere Dienststellen vorsehen oder zumindest den Austausch zwischen ihnen erlauben und erleichtern, und sie sollten die Berichterstellung, Leistungskontrolle usw. unterstützen.

In der letzten Zeit haben mehrere Länder Informationssysteme eingeführt oder weiterentwickelt, die diese Anforderungen (gemäß den herrschenden Bedingungen und im Rahmen des Möglichen) ganz oder zum Teil erfüllen. In Kasten 6.3 werden einige dieser Lösungen beschrieben.

Die Analyse von bereits erhobenen Daten ist eine weitere Möglichkeit, um mithilfe technischer Lösungen die Datenverwaltung, -nutzung und risikobasierte Regulierung deutlich zu verbessern. Finanzbehörden setzen die Verfahren der Datenanalyse schon länger systematisch ein, um Risikoindikatoren zu errechnen und zu gewichten, aber bis vor Kurzem war es schwierig, diese Ansätze auf Kontrollen in anderen Bereichen zu übertragen (Khwaja, Awasthi und Loeprick, 2011[5]). Die Datengrundlage erwies sich als nicht hinreichend digitalisiert, manchmal auch als zu komplex und in anderen Fällen wiederum als zu spärlich – oder der abgedeckte Zeitraum war noch zu kurz, weil die entsprechenden Systeme erst kürzlich eingeführt worden waren. Und wenn es in der Vergangenheit bereits Systeme für Prüfdaten gegeben hatte, war deren Anwendungsbereich bisweilen nicht breit genug. Nicht selten fehlte es auch an einer entsprechenden Ausbildung der Beschäftigten oder die Personaldecke war zu dünn. Vor diesem Hintergrund erwiesen sich die Hinwendung zu risikobasierter Regulierung und die zunehmende Anerkennung der Bedeutung exakter Risikobewertungen (sowie die damit einhergehende Abkehr von „traditionellen“ Priorisierungsmethoden) als Wegbereiter systematischerer und verstärkt datengestützter Ansätze. Was die nach wie vor schwierige Bemessung der möglichen Schadensschwere eines Risikos betrifft, liefern moderne Anwendungen von maschinellem Lernen sehr vielversprechende Ergebnisse: Sie helfen zu verstehen, welche Merkmale von Unternehmen und Betriebsstätten sich am besten für die Vorhersage von Risiken eignen, und erlauben dadurch deutlich effektivere risikobasierte Priorisierungen (Kasten 6.4).

Neben einer Definition von Risikoindikatoren und Algorithmen zur Risikobeurteilung werden auch aktuelle und ausreichend umfassende Daten zu den beaufsichtigten Unternehmen benötigt. Sie gewährleisten, dass die Priorisierung behördlicher Kontrollmaßnahmen (Begehungen und Rechtsdurchsetzung) auch wirklich von den Risiken abhängt, und dass die zuständigen Behörden schnell und effektiv reagieren können, wenn neue Gefahren auftreten oder es zu Unfällen kommt. Dafür sind geeignete Datenverwaltungsinstrumente sowie ein möglichst intensiver Datenaustausch zwischen den Aufsichtsbehörden unerlässlich. Für die Steigerung der Leistungsfähigkeit und Effizienz des gesamten Regulierungssystems ist es außerdem wichtig, Informationen auch mit anderen Stellen auszutauschen, etwa mit Gesundheitsdienstleistern oder privaten Zertifizierungsunternehmen. In einer Reihe von Ländern erschweren allerdings Datenschutzregelungen bzw. deren Interpretation oder Anwendung eine Optimierung des gemeinsamen Zugriffs auf Informationen. Angesichts der Bedeutung dieser Hürde auf dem Weg zu mehr Effizienz und Leistungsfähigkeit sollten unbedingt weitere Untersuchungen und der Erfahrungsaustausch über bewährte Ansätze gefördert werden, um den zuständigen Stellen das datenschutzgerechte Teilen essenzieller Informationen (insbesondere von Unternehmensdaten statt personenbezogener Daten) zu ermöglichen. Darüber hinaus können viele Informationen, die einerseits wichtig für eine bessere Analyse und Bemessung von Risiken und andererseits möglicherweise datenschutzrelevant sind (z. B. Gesundheits- oder Unfalldaten), vor ihrer Verarbeitung vollständig anonymisiert werden, denn bei der Untersuchung von Risiken kommt es nicht auf Einzelfälle, sondern auf die Muster an.

Moderne Technologien erleichtern diesen Datenaustausch und effektive Analysen zunehmend – mehrere Initiativen liefern hierfür besonders wertvolle Beispiele (Kasten 6.5). Eine Möglichkeit ist die gemeinsame Nutzung von zentralen Datenbanken und anderen Systemen durch mehrere zuständige Behörden und eventuell auch durch Gesundheitsdienstleister, eine andere sind Tools für den automatisierten Informationsaustausch zwischen verschiedenen Lösungen. Wenn unterschiedliche Behörden dank dieser Technologien gemeinsam auf Datenbestände zugreifen können, ist gewährleistet, dass die ihnen zu den beaufsichtigten Unternehmen vorliegenden Informationen so aktuell und umfassend wie möglich sind; außerdem wird vermieden, dass bestimmte Kontrollmaßnahmen doppelt durchgeführt werden. Was den Austausch mit dem Gesundheitssystem betrifft, können die zuständigen Behörden zudem die Entstehung neuer und die Veränderung bestehender Risiken besser im Auge behalten und zielgerichteter eingreifen, wenn sie Betriebsstätten zur Prüfung auswählen oder entscheiden, auf welche Branchen, Produkte usw. sie sich besonders konzentrieren wollen. Wenn z. B. Gesundheitseinrichtungen Unfälle aufgrund mangelnder Produktsicherheit oder Lebensmittelkontaminationen systematisch erfassen, können staatliche Stellen ihre Kontrollmaßnahmen mit diesen Daten gezielter planen, ohne dass dafür vertrauliche personenbezogene Daten ausgetauscht werden müssen – denn bei der Risikobeurteilung interessieren nicht die Einzelfälle, sondern die Muster.

Außerdem haben die zuständigen Behörden die Möglichkeit, beispielsweise mit den privaten Zertifizierungsstellen ihrer Zuständigkeitsbereiche (etwa der Lebensmittelsicherheit) Vereinbarungen über die gemeinsame Nutzung von Daten zu treffen. Auch dieser Ansatz verhilft ihnen in Sektoren mit vielen Akteuren (wie dem Lebensmittelbereich) zu einer umfassenderen und aktuelleren Datengrundlage. Sogar die Einbindung der sozialen Medien, von Kundenbewertungen im Internethandel oder von anderen „unkonventionellen“ Datenquellen kann einen Beitrag zur Beurteilung von Lebensmittel- oder Produktsicherheitsrisiken leisten. Die Einbeziehung derartiger Quellen macht die automatische Verarbeitung riesiger Datenmengen (durch maschinelles Lernen) erforderlich, kann sich aber durchaus als effektiv und kosteneffizient erweisen.7 Außerdem wirft sie Informationen ab, die umfassender und aktueller sind als die Erkenntnisse, die Regulierungsstellen durch Kontrollmaßnahmen und andere traditionelle Methoden gewinnen.

Institutionen, Prozesse und Methoden, die dazu dienen, Rechtsvorschriften zu verwalten, zu kontrollieren und umzusetzen, werden zwar immer stärker auf die Berücksichtigung von Risiken ausgerichtet, aber von einem einheitlichen Vorgehen ist man noch weit entfernt: Die Methoden der Rechtsumsetzung verschiedener Staaten und sogar der Regulierungsbehörden innerhalb dieser Länder weichen deutlich voneinander ab8 (Blanc, 2012[23]), (Hadjigeorgiou et al., 2013[43]), (OECD, 2015[9]). Besonders häufig betreffen diese Differenzen die Ziele, die sich die Behörden gesteckt haben: Einige legen den Schwerpunkt auf Regeltreue und auf Sanktionen bei Nichteinhaltung, doch anderen ist es wichtiger, Risiken zu mindern, das Gemeinwohl zu verbessern und öffentliche Ziele zu erreichen, als nur Prozesse einzuhalten und/oder auf rein formale Konformitäten zu bestehen. Diese Ergebnisorientierung ist eines der Resultate einer risikobasierten Regulierung: Dient das Risiko als Indikator, um Ergebnisse zu definieren und zu messen, wird es damit auch zum Kriterium, um Maßnahmen zu priorisieren und Entscheidungen zu treffen. Starre Prozesse und ihre Vorgaben treten demgegenüber in den Hintergrund.

Ergebnisorientierte Ansätze kommen auch immer häufiger zum Einsatz; trotzdem muss noch viel getan werden, um die offenbar weiterhin vorherrschende Auffassung zu revidieren, dass diese Konzepte bei der Rechtsumsetzung nicht etwa eindeutig vorzuziehen sind, sondern nur eine Alternative zu den traditionellen Steuer- und Kontrollmechanismen („Command and Control“) darstellen. Dabei handelt es sich um eine überaus restriktive Sichtweise auf das, um was es bei wirkungsorientierten Konzepten und entsprechender Rechtsumsetzung geht. Es besteht kein Zweifel daran, dass die Ansätze, Methoden und Instrumente einer ergebnisorientierten Regulierung eine ganz zentrale Rolle spielen, wenn man zu einer effektiveren und effizienteren Rechtsumsetzung gelangen will.

In der Praxis setzt die Ergebnisfokussierung allerdings einen wirklichen Paradigmenwechsel voraus. Konkret muss Abschied genommen werden von dem traditionellen Konzept des Rechtsvollzugs, das vornehmlich darauf beruht, Rechtsverletzungen festzustellen und zu ahnden. Vielmehr muss Rechtsdurchsetzung als etwas verstanden werden, das primär und in letzter Konsequenz auf Sicherheit und den Schutz von Gesundheit, Umwelt und sonstigen Kernaspekten des Allgemeinwohls ausgerichtet ist. Die Umsetzung dieses Ansatzes hängt stark von der Förderung einer Regeltreue ab, die auch wirklich sinnvoll ist und tatsächlich dazu beiträgt, das Regulierungsziel zu erreichen. Dazu gehört auch, die Verhaltensweisen der Normadressaten regelmäßig zu untersuchen. Außerdem muss u. a. mit effektiver Risikokommunikation dafür gesorgt werden, dass die Normadressaten gut informiert sind, es müssen Methoden und Instrumente entwickelt und finanziert werden, die das gewünschte Ergebnis liefern, und man muss in geeigneter Weise messen, inwieweit das öffentliche Gut geschützt wird. Dabei sollte man nicht davon ausgehen, dass die Normadressaten wissen, was alles zu tun ist und wie sie vorzugehen haben. Vielmehr sollten sie begleitet, beraten und informiert werden. Und schließlich setzt Ergebnisfokussierung naturgemäß passende Leistungsindikatoren und -messgrößen voraus – nicht um einfach nur zu quantifizieren, wie viele Regelungen und Sanktionen eingeführt wurden, sondern um nachvollziehen zu können, welche Leistungssteigerungen, Risikominderungen und sonstigen Ergebnisse erzielt wurden (Blanc, 2018[44]), (Blanc und Coletti, erscheint demnächst[45]).

Einige Regulierungsbehörden sehen eine ihrer Hauptfunktionen darin, Risikoverursacher beim Management der von ihnen geschaffenen Risiken zu unterstützen. Dies setzt eine partnerschaftliche Zusammenarbeit mit allen Akteuren voraus, die dauerhafte Veränderungen herbeiführen können. Demgemäß haben die Prüfer*innen der britischen Arbeitsschutzbehörde Health and Safety Executive (HSE) vor längerer Zeit ihre Strategie geändert: Gesetzliche Zwänge setzen sie seitdem nur noch als letztes Mittel ein und bevorzugen es, sich mit den Normadressaten an einen Tisch zu setzen, deren Verhalten durch diverse Techniken (persönliche Beziehungen, Beratung, Vergleich mit anderen Akteuren, Hinweise auf potenzielle Risiken und Kosten sowie mögliche Sanktionen usw.) zu beeinflussen und sie auf diese Weise zur Steigerung ihres Sicherheitsniveaus zu bewegen (Hawkins, 2003[46]). Die Ergebnisse sind besser (z. B. im Hinblick auf tödliche und schwere Unfälle) als vor der Strategieänderung und/oder in anderen Sektoren, in denen dieser neue Ansatz nicht in gleichem Umfang verfolgt wird.9

Vor zehn Jahren veröffentlichte die HSE das Enforcement Management Model, in dem detailliert geregelt ist, wie Prüfer*innen auf der Basis von Risikoabschätzungen, Compliance-Aufzeichnungen der Wirtschaftsakteure, klaren Regeln usw. Vollzugsentscheidungen treffen sollten.10 Auch in anderen Ländern haben zahlreiche Kontroll- und Durchsetzungsbehörden vergleichbare Grundsätze oder Leitlinien zur Regelung Ihrer Vorgehensweise entwickelt. In Zukunft werden Anleitungen dieser Art unerlässlich sein, damit Regulierungssysteme mit einer steigenden Komplexität und immer neuen Veränderungen zurechtkommen sowie Situationen „vor Ort“ bewältigen können, die sich zum Zeitpunkt der Rechtsetzung immer seltener umfassend vorhersagen lassen. Positiv ist zu vermerken, dass sich einige Länder aktiv um eine einheitlichere Anwendung solcher Ansätze und Leitlinien in verschiedenen Regulierungsbereichen bemühen (Kasten 6.6).11

Da für einen stärker ergebnis- und risikoorientierten Ansatz der konkrete technische und fachliche Kontext wichtig ist, werden viele herausstechende und erfolgreiche Initiativen in einer bestimmten Branche oder Regulierungsbehörde umgesetzt, ohne Teil eines sektorübergreifenden Reformprogramms zu sein. Einige der interessantesten Beispiele sind weiter unten in Kasten 6.7 dargelegt. In den meisten Fällen trägt eine Vielzahl zusätzlicher Instrumente und Interventionen dazu bei, die Wirksamkeit und Effizienz der Rechtsumsetzung zu steigern.

Ob Vorschriften eingehalten werden und Risiken mindern, hängt erwiesenermaßen sehr davon ab, ob die anzuwendenden Regeln nachvollziehbar sind und ihr Sinn und Zweck klar ist. Eine wichtige Rolle spielt auch, inwieweit sie als konsequent, fair und kohärent wahrgenommen werden, und inwieweit die zuständigen Stellen ihre Entscheidungsfindung transparent machen (Gunningham, 2015[51]; Tyler, 2003[18]; 1990[49]; Yapp und Fairman, 2006[50]). Gleichzeitig wird der Arbeitsalltag in Unternehmen weniger durch externe Vorschriften als vielmehr durch interne Regeln, Verfahren und Aspekte der Unternehmenskultur bestimmt. Ob also Rechtsvorschriften wirklich eingehalten werden und wirksam sind, hängt weitgehend davon ab, inwieweit die internen Regeln und Konformitätszwänge des Arbeitsalltags mit ebendiesen staatlichen Normen im Einklang stehen (Hodges, 2015[52]) (Hodges und Steinholtz, 2018[53]). Aus all diesen Gründen lassen sich die Einhaltung von Vorschriften und das Risikomanagement in Rechtsumsetzungssystemen möglicherweise deutlich verbessern, wenn man auf kohärentere und konsequentere Entscheidungsprozesse setzt, indem man Regulierungsziele in internen Prozessen und Unternehmenskulturen verankert und dafür sorgt, dass die Wirtschaftsakteure die Rechtsvorschriften besser verstehen. Ein interessantes Beispiel liefert die sogenannte „Primary Authority“-Regelung im Vereinigten Königreich (Kasten 6.8). Trotz der in den einzelnen Ländern sehr unterschiedlichen verfassungsrechtlichen und regulatorischen Strukturen stößt dieser Ansatz in vielen Staaten auf großes Interesse, da er eine Reihe von Merkmalen kombiniert, die in den meisten Kontexten relevant sind: So besteht überall die Notwendigkeit einer stärkeren Konsistenz zwischen verschiedenen Regionen, den Unternehmen muss mehr Planbarkeit geboten und Regulierungsziele müssen besser in unternehmensinterne Systeme eingebettet werden usw.

Seit Langem besteht Interesse am Einsatz neuer Technologien in der Regulierung, wobei dem Risikoaspekt in zweifacher Hinsicht eine besondere Bedeutung zukommt: Einerseits können die neuen Technologien dazu beitragen, dass Risiken bei der Regulierung stärker und angemessener berücksichtigt werden, andererseits steht zu befürchten, dass die neuen Möglichkeiten für exzessive und übergriffige Maßnahmen missbraucht werden, wenn ein solcher risikobasierter Ansatz fehlt. Diese Gefahr besteht zum Beispiel bei Fernüberwachungssystemen, die unnötig viele Informationen erfassen oder pausenlos in Betrieb sind, anstatt ausschließlich dann zum Einsatz zu kommen, wenn das Risikoniveau ausreichend hoch ist und bestimmte Risikomerkmale sich mit anderen Mitteln nur schwer kontrollieren oder überwachen lassen. Ein besonderer Zusammenhang besteht zwischen technischen Regulierungslösungen und der Covid-19-Krise: Um Ansteckungsrisiken zu vermeiden, haben zuständige Stellen und Dienstleister viele Begehungen abgesagt und sich darauf beschränkt, Kontrollen vor Ort nur noch bei besonders hohen Risiken durchzuführen. In dieser Situation kommt es noch stärker auf die Qualität von Risikobewertungen an und es stellt sich die dringende Frage nach Möglichkeiten zur Entwicklung und Nutzung von „Fernaudits“, d. h. für den Einsatz von Technologien, die es erlauben, den Vor-Ort-Besuch zu vermeiden.

Virtuell durchgeführte Kontrollen sind eventuell weniger zeitaufwendig, ressourcenschonender und effizienter; außerdem erlauben sie es, gegebenenfalls auch entlegenere Standorte zu prüfen oder unter schwierigen Umständen zu operieren (z. B. während Lockdowns, wie sie in der Covid-19-Pandemie auferlegt wurden). Neben Gesprächen mit den Wirtschaftsakteuren und der Prüfung von Unterlagen, werden dabei auch die Standorte per Videostream begutachtet. Diese virtuellen Kontrollen werden bereits in einer Reihe von Staaten und Regulierungsbereichen ins Auge gefasst oder erprobt. Sie wecken auch deshalb großes Interesse, weil sie potenziell die Transport- und Personalkosten senken, umweltfreundlicher sind und Fahrtzeit sparen. Außerdem verringern sie die Kontaminationsrisiken, und zwar nicht nur speziell bei einer Epidemie, sondern auch in normalen Zeiten, wenn es um „sensible“ Einrichtungen geht, in denen jede*r zusätzliche Besucher*in ein Risiko darstellt (Kasten 6.9 für einige Beispiele). Dennoch birgt diese Art der Kontrolle in mehrfacher Hinsicht auch große Herausforderungen und Fallstricke.

Virtuelle Kontrollen bieten viele interessante Möglichkeiten, problemfrei oder eine Patentlösung sind sie allerdings nicht. Um die Einhaltung der Regeln in einer Einrichtung und ihre Sicherheit wirklich beurteilen zu können, ist es oft unerlässlich, sich vor Ort umzusehen. Nur dann kann man auch „verdeckte“ Probleme erkennen, die sich häufig erst dann zeigen, wenn man Mitarbeiter*innen über einen bestimmten Zeitraum bei der Arbeit im Blick hat, mit verschiedenen Angestellten diskutiert und zahlreiche weitere Beobachtungen macht, die aus der Ferne nur sehr schwer oder gar nicht möglich sind. Selbst wenn man davon ausgeht, dass die meisten Risikoelemente ohne Weiteres virtuell erkannt werden können, setzt eine effektive Fernkontrolle voraus, dass kompetente und vertrauenswürdige Personen vor Ort in der Lage (und bereit) sind, die Begehung durchzuführen und die für die Prüfung relevanten Bereiche zu filmen. Mit anderen Worten, die zuständigen Stellen können nur tätig werden, wenn sie im geprüften Betrieb entsprechend qualifizierte und kompetente Personen gefunden haben. Vertrauen ist dabei unerlässlich, denn wenn die Kräfte vor Ort Regelverstöße verbergen und die Prüfer*innen absichtlich täuschen wollen, haben sie bei virtuellen Kontrollen möglicherweise gute Gelegenheit dazu. Außerdem müssen die Behörden recht präzise Angaben dazu machen, welche Daten erforderlich sind, welche Elemente und Aktivitäten beobachtet und per Video übertragen werden sollten usw. Trotz alledem scheinen virtuelle Kontrollen ein interessantes neues Instrument zu sein, das sich für gewisse Branchen und Risikoarten eignet, wenn bestimmte, klar definierte Anforderungen bestehen (Entfernung/Kosten, Ansteckungsgefahr usw.) – und vor allem wenn die zuständige Stelle allen Grund hat, das Unternehmen für „generell vertrauenswürdig zu halten“, d. h., wenn es vornehmlich darum geht, frühere positive Evaluierungsergebnisse zu bestätigen, anstatt unbekannte oder problematische Umstände zu kontrollieren. Bevor solche Lösungen allerdings auf breiterer Basis umgesetzt werden können, muss genauer untersucht werden, unter welchen Bedingungen sie zum Einsatz kommen können, welche Verfahrensweisen am besten gewährleisten können, dass die Prüfungen wirklich risikobasiert sind usw. (Zum Beispiel sollten sie nur auf Szenarien mit geringem oder mittlerem Risiko angewendet werden und so konzipiert sein, dass potenzielle Risikobereiche vor Ort nicht übersehen werden.)

Bestimmte technologische Innovationen (z. B. Fernsensoren, Drohnen, Satellitenbilder usw.) bieten ebenfalls Möglichkeiten, wirtschaftliche Aktivitäten und/oder ihre Folgen aus der Ferne zu überwachen, und da sie das kontinuierlich tun können, erlauben sie gegebenenfalls sogar den Verzicht auf virtuelle Begehungen. Sie können sich dort als äußerst nützlich erweisen, wo die Größe des zu überwachenden Gebiets ein Problem darstellt oder wo erhebliche Schäden drohen, die sich mit anderen Mitteln unmöglich verhindern lassen. Beispiele sind Fälle von Luft- und Wasserverschmutzung, illegalem Holzeinschlag, Überfischung, Wilderei usw. Fernüberwachung kann auch dazu dienen, Kernelemente besonders risikoträchtiger Strukturen dauerhaft zu überwachen (z. B. die strukturelle Stabilität der Dämme von Wasserkraftwerken). Aber auch diese Methoden und Instrumente sollten in angemessener Weise eingesetzt werden, unter Berücksichtigung ihrer Grenzen und potenziellen Schwachstellen.

Angesichts der jüngsten technologischen Fortschritte könnte man versucht sein zu glauben, dass sogar eine „totale Kontrolle“ möglich – und vielleicht sogar wünschenswert – ist. Das wäre dann allerdings ein Regulierungsansatz, der nicht mehr auf die Analyse und Beurteilung von Risiken, das Verständnis von Verhaltensweisen, auf Vertrauen, die Zusammenarbeit mit zuverlässigen Unternehmen usw. setzt. Die Vision einer „automatisierten Gesamtkontrolle“ sieht vielmehr vor, dass die zuständigen Stellen die Normadressaten dauerhaft aus der Ferne mit automatisierten und vernetzten Geräten überwachen. Es gibt mehrere Gründe, warum eine solche Entwicklung vermieden werden muss und der Einsatz neuer Technologien dazu dienen sollte, die Regulierung stärker risikobasiert und zielorientiert zu gestalten, anstatt das Gegenteil zu bewirken:

• In technischer Hinsicht weisen die meisten Regulierungsbereiche eine Vielzahl extrem komplexer Aspekte auf, die sich meistens nicht ohne Weiteres für die Fernüberwachung eignen (vgl. auch den Absatz zu virtuellen Kontrollen weiter oben). Sie unterscheiden sich in diesem Punkt sehr stark von Bereichen wie dem Straßenverkehr, in denen sich die Fernüberwachung der geltenden Regeln in den letzten Jahrzehnten rasch entwickelt hat.

• Ein großflächiger Einsatz von Fernsensoren in privaten Unternehmen würde die Informationssicherheit massiv bedrohen.

• Aggressive Überwachung in großem Stil verträgt sich auch nicht mit den Menschenrechten und den bürgerlichen Freiheiten.

• Und vor allem konnte nachgewiesen werden, dass eine übermäßig strenge Aufsicht kontraproduktiv ist, wenn man eine wirksamere Regulierung erreichen will: Sie senkt die freiwillige Regeltreue und führt bei den Normadressat*innen vor Ort zu Widerständen (Kasten 6.10).

Covid-19 hat eine Situation geschaffen, in der die Bewertung und das Management von Risiken sowie die Bewältigung von Unsicherheiten eine ganz zentrale Rolle spielen – für die eigentliche Bekämpfung des Virus ebenso wie hinsichtlich der wirtschaftlichen und sozialen Dimensionen der Krise. Vor jeder Maßnahme müssen die staatlichen Stellen verschiedene Arten von Risiken gegeneinander aufwiegen. Zuvorderst betrifft das den allgegenwärtigen Konflikt zwischen dem direkten Gesundheitsrisiko einerseits und den negativen wirtschaftlichen und sozialen Auswirkungen (zu denen auch andere Gesundheitsrisiken zählen) aufgrund von Lockdowns und anderen rigorosen Maßnahmen andererseits. Eine präzise Gegenüberstellung von Risiken erweist sich dabei einmal mehr als schwierig. Zwar sind die negativen Effekte eines Lockdowns möglicherweise vorhersagbar (jedenfalls kann man sie im Nachhinein messen), aber eine Welt, in der alles seinen gewohnten Gang geht, taugt nicht als Vergleichsbasis, da man davon ausgehen muss, dass die Summe individueller Reaktionen bei einem Laissez-faire-Ansatz zur Bewältigung der Pandemie ebenfalls eine Wirtschaftskrise auslösen würde (Goolsbee und Syverson, 2020[59]).

Eine der zahlreichen Schwierigkeiten bei der Reaktion auf die Covid-19-Pandemie besteht darüber hinaus darin, das wahre Ausmaß der Pandemieverbreitung und ihrer Auswirkungen in den einzelnen Ländern zu beurteilen. Angesichts der hohen Zahl an asymptomatischen Fällen ist die Einschätzung der Inzidenz und Prävalenz problematisch. Nur sehr wenige Länder verfügen über die nötigen Testkapazitäten und ‑methoden (und/oder waren bisher im Kampf gegen die Pandemie entsprechend erfolgreich), um offizielle Falldaten ermitteln zu können, von denen man annehmen darf, dass sie nahe an den realen Zahlen liegen. Verschieden stark ausgeprägte Untererfassung führt dazu, dass selbst die Zahl der gemeldeten Covid-19-Todesopfer nicht verlässlich ist (Todesfälle zu Hause werden in der Regel statistisch nicht erfasst, Todesfälle in Pflegeheimen häufig auch nicht, und selbst Todesfälle in Krankenhäusern werden in verschiedenen Ländern möglicherweise uneinheitlich festgehalten). Um diese Diskrepanz zu kompensieren, kann die Übersterblichkeit der betreffenden Monate im Jahr 2020 im Vergleich zum Langzeitdurchschnitt herangezogen werden (Banerjee et al., 2020[60]). Trotzdem lässt sich selbst die Zahl der vom „sichtbarsten“ Covid‑19-Risiko (Tod) betroffenen Personen nur schwer schätzen – ganz zu schweigen von der Zahl der Personen mit gesundheitlichen Langzeitwirkungen, die erst im Lauf der Zeit klar zutage treten werden (Halpin et al., 2020[61]), (Mitrani, Dabas und Goldberger, 2020[62]). So stellt die Pandemie trotz ihrer eklatanten Auswirkungen aufgrund des sehr hohen Niveaus an Ungewissheit eine erste große Herausforderung für risikobasierte Regulierungsansätze dar.

Die Krise hat auch Schwierigkeiten im Kontext des öffentlichen Beschaffungswesens deutlich gemacht (OECD, 2020[63]), insbesondere auf der Ebene der internationalen Zusammenarbeit und des internationalen Wettbewerbs. Aus der Risikoperspektive fällt besonders auf, dass vielen Regulierungssystemen des öffentlichen Auftragswesens eine sehr starke Risikoaversion zugrunde liegt: Korruptionsrisiken sollen komplett ausgeschlossen werden oder man bemüht sich zumindest, starke rechtliche Schutzschilde zur Verteidigung gegen entsprechende Vorwürfe aufzustellen. Ob diese Systeme die Korruption effektiv bekämpfen oder nicht, ist eine andere Frage. Sicher ist aber, dass ihre Rigidität in einem Krisenkontext in vielen Ländern große Probleme aufwirft: Folgt die Beschaffung den regulären Vorschriften, erweist sie sich als viel zu langsam und schwerfällig, und wenn abweichende Bestimmungen für Notfallsituationen überhaupt existieren, sind sie unangemessen oder anderweitig problematisch (OECD, 2016[64]). Mit anderen Worten: Regelungen und Regulierungsprozesse, die zur Bekämpfung eines Risikos (z. B. Korruption) konzipiert wurden, können im Endeffekt die Resilienz und Handlungsfähigkeit in Krisenzeiten beeinträchtigen und so die Anfälligkeit gegenüber anderen Risiken (z. B. gesundheitliche Beeinträchtigungen) erhöhen. Dies veranschaulicht klar und deutlich, wie wichtig es ist, zielgerichtete und risikoangemessene Regeln und Verfahren zu konzipieren, die die Risiken möglichst wirkungsvoll angehen. Nur so lassen sich unbeabsichtigte negative Folgen auf ein Mindestmaß reduzieren (OECD, 2020[65]).

Die Krise hat auch gezeigt, wie schwierig es für die zuständigen Stellen ist, Gesundheitsrisiken in Situationen zu managen, in denen jede Entscheidungsoption bestimmte andere Risiken mit sich bringt, sodass eine einfache Abwägung zwischen Kosteneinsparungen und erhöhter Sicherheit nicht mehr ausreicht. Der Rückgriff auf virtuelle Kontrollen als Lösung für bestimmte Situationen, in denen reguläre Begehungen zwar einerseits Risiken kontrollieren, andererseits aber selbst einen Risikofaktor darstellen können (Ansteckungsgefahr), wurde bereits im vorstehenden Abschnitt erörtert (vgl. auch Kasten 6.11 zum Einsatz virtueller Nahrungsmittelkontrollen in Krisenzeiten). Sehr viel schwerwiegendere Folgen hatten darüber hinaus Genehmigungs- und Kontrollverfahren, die die von medizinischem Schutzmaterial (wie Gesichtsmasken oder Handdesinfektionsmittel) oder fehlerhaften Geräten bzw. Tests ausgehenden Risiken minimieren sollten, zugleich aber aufgrund des Zeitdrucks zu einem erhöhten Risiko führten, da sie Engpässe manchmal noch verstärkten oder Tests verzögerten. Mit der Ungewissheit umzugehen, die in Phasen der Vorbereitung auf potenzielle Krisen vorherrscht oder die Ausarbeitung einer Strategie zur Bewältigung einer noch nicht ausreichend untersuchten Gefahr prägt, ist immer schwierig. Nach massiven Ausgaben und drastischen Maßnahmen zur Abwehr einer Bedrohung, die sich dann als weniger gravierend erweist als ursprünglich angenommen, lassen sich Bürger*innen bei vergleichbaren Situationen in der Zukunft nicht mehr so leicht von der Notwendigkeit überzeugen, Vorkehrungen zu treffen. Hieran wird deutlich, wie wichtig es ist, in der Öffentlichkeit eine „reifere“ Debatte über Risiken und Resilienz anzustoßen, damit eine breitere Unterstützung mobilisiert und aufrechterhalten werden kann. Leider hat man sich bisher noch nicht ausreichend damit beschäftigt, wie man eine differenziertere öffentliche Debatte initiieren kann, die die Dichotomie der Forderung nach Reduzierung verschwenderischer Ausgaben einerseits und der Panikmache und Beschuldigungen andererseits hinter sich lässt. Immerhin entstanden einige bedeutende Beiträge 2010–2015 im Rahmen des niederländischen Programms Risiko und Verantwortung (Helsloot und Schmidt, 2012[66]), (Trappenburg und Schiffelers, 2012[67]). Die Art und Weise, wie die Öffentlichkeit Risiken, Vorbeugemaßnahmen, Staatsausgaben usw. wahrnimmt und beurteilt, lässt sich nur schwer und nur sehr langsam verändern. Daher ist es auch so wichtig, zu einem risikobasierten Regulierungsansatz überzugehen, der langfristig ausgerichtet und transparent ist.

Insgesamt ist positiv zu vermerken, dass Covid-19 vielen zuständigen Stellen Gelegenheiten geboten hat zu zeigen, dass sie dazu fähig sind, auf eine Krisensituation mit außergewöhnlicher Agilität und Flexibilität zu reagieren, indem sie neue Rahmenwerke einführen oder ihre Bestimmungen anpassen12 (Kasten 6.12 für Beispiele aus zwei Regulierungsbereichen). Nach der Pandemie wird es notwendig sein, aus den Verfahrensweisen, die sich bewährt haben, Lehren zu ziehen. Konkret wird es darum gehen, agile Regulierungsrahmen einzuführen und bei der Anwendung von Vorschriften, bei der Verfahrensverwaltung und der Regeldurchsetzung Flexibilität unter Beweis zu stellen.13 Wie im Einführungskapitel dieses Ausblicks dargelegt, ist Agilität ein entscheidender Faktor, wenn es darum geht, Regulierungsrahmen so anzupassen, dass sie sowohl die neuen Technologien als auch die Internationalisierung des Handels und neu entstehende Risiken berücksichtigen. Die im Kontext der Coronakrise beobachtete innovative und flexible Umsetzung risikobasierter Regulierungsansätze kann diesbezüglich einige nützliche Beispiele liefern.

Der Zusammenhang zwischen Regulierung und Risiken ist ein zentrales Thema, denn eine beträchtliche Anzahl von Vorschriften wird formuliert und verabschiedet, um empirisch gemessene oder auch nur subjektiv wahrgenommene Risiken zu entschärfen oder gar nicht erst entstehen zu lassen – zumindest ist das ihr Anspruch. Die risikobasierte Regulierung, deren Ziel darin besteht, die regulatorischen Maßnahmen auf die Besonderheiten jedes einzelnen Risikos zuzuschneiden und sie proportional zu dessen Bedeutung zu gestalten, hat somit das Potenzial, die regulatorischen Systeme in Krisenzeiten effizienter, effektiver, robuster und flexibler zu machen. Zugleich ermöglicht sie auch eine bessere und klarere Kommunikation über die Ziele, Kapazitäten und Ergebnisse dieser Systeme.

Auch wenn der risikobasierte Ansatz sich bisher bei weitem nicht in allen Ländern und Regulierungsbereichen durchgesetzt hat und häufig auch nur halbherzig verfolgt wird, konnten in den letzten Jahren deutliche Fortschritte erzielt werden. Dies geht auf vielfältige Impulse zurück – auf die Entwicklung innovativer Projekte und Programme und die Ausschöpfung des Potenzials neuer Technologien ebenso wie auf Zusammenarbeit und Informationsaustausch oder auch auf die Nutzung von Ergebnissen aus den Verhaltenswissenschaften. Dabei wurden viele wertvolle Erkenntnisse gewonnen, und was die Umsetzung risikobasierter Konzepte betrifft, haben sich insbesondere Fortschritte im Bereich der digitalen Technologien positiv ausgewirkt.

Das für risikobasierte Regulierungsansätze nötige methodische Wissen verbreitet sich, auch wenn Unsicherheiten die zuständigen Stellen in vielen Bereichen noch vor so manche Herausforderung stellen. Ferner stehen heute verschiedene Instrumente, Modelle, Methoden usw. zur Verfügung, die ohne viel Aufwand angepasst und eingesetzt werden können, um technische Auflagen, Verfahren, Prozesse, Kontrollen und Rechtsumsetzungen zielorientierter und risikoangemessener zu gestalten.

Während einige gute Beispiele bereits gezeigt haben, dass auch rechtliche Bedenken bei der Einführung und langfristigen Beibehaltung risikobasierter Ansätze keine unüberwindbaren Hürden darstellen, ergeben sich allerdings nach wie vor größere Schwierigkeiten hinsichtlich der öffentlichen Wahrnehmung und Unterstützung: Risikobasierte Ansätze können aus einer Vielzahl von Gründen schwer nachzuvollziehen und zu akzeptieren sein: Widersprüche zwischen der Risikowahrnehmung und der wissenschaftlichen Risikobeurteilung, eine fehlende Bereitschaft, die Existenz von Risiken zu akzeptieren und auf das Versprechen eines „umfassenden Schutzes“ zu verzichten (auch wenn dieses Versprechen nie tatsächlich eingehalten werden konnte), Schwierigkeiten im Umgang mit Erwartungen, wenn Risiken nur potenziell existieren (und vielleicht folgenlos bleiben) usw. Doch auch wenn sich der Austausch mit der Öffentlichkeit zum Thema risikobasierte Regulierung als schwierig erweist, bedeutet dies nicht, dass man ihn meiden sollte – vielmehr machen gerade diese Schwierigkeiten den Dialog umso notwendiger und dringender (Burgess, Burgess und Leask, 2006[70]), (Chilvers und Burgess, 2008[71]).

Dass einem transparenten Dialog mit der Öffentlichkeit über Risiken (der über eine einfache Risikokommunikation hinausgeht und bei dem man die Öffentlichkeit auch einlädt, Position zu beziehen, und auf ihr Feedback reagiert) eine so große Bedeutung beigemessen wird, hängt mit der generellen und in den letzten Jahren besonders dringend gestellten Frage zusammen, wie es um das Vertrauensverhältnis zwischen Öffentlichkeit und Staat bzw. Gesetzgebung steht (De Benedetto, Lupo und Rangone, 2021[72]). Regulierungskonzepte, die nicht risikobasiert und risikoangemessen sind und stattdessen durch rigide und extrem belastende Anforderungen und Verfahren das Ideal eines „Nullrisikos“ anstreben, scheinen neuen Forschungsarbeiten zufolge eher dazu beizutragen, das Vertrauen der Öffentlichkeit zu reduzieren, als es zu stärken (De Benedetto, 2018[73]), (Blanc, 2021[74]).

Technologische Fortschritte eröffnen wichtige Perspektiven für eine breitere, systematischere, genauere und effektivere Anwendung risikobasierter Grundsätze. Dies gilt insbesondere für stärker integrierte und besser gemanagte Datensysteme sowie moderne Analyseinstrumente (wie z. B. maschinelles Lernen), die sehr viel besser über die entscheidenden Risikofaktoren, ihre relative Bedeutung, das Aufkommen neuer Risiken, zu priorisierende Betriebe usw. Aufschluss geben können.

Angesichts der vielen Aspekte und Faktoren, die bei dieser Thematik eine Rolle spielen, kann dieses Kapitel nur einen ersten Überblick, einen Diskussionsanstoß und vorläufige Ergebnisse bieten. Allerdings ist das Thema so wichtig, dass hoffentlich auch damit schon ein erster Beitrag zur Lösung dieser „Vertrauenskrise“ geleistet wird. Die Kernaussage lautet dabei: Regeln und Regulierungssysteme dienen dazu, ein Vertrauensverhältnis zu schaffen, zu stärken oder (wieder)herzustellen – zumindest wird dies unterstellt und/oder behauptet. Allerdings werden sie ihrer Aufgabe manchmal nicht gerecht und verschlimmern die Situation eher, indem sie Misstrauen aktiv nähren.

Eine risikobasierte Regulierung und Umsetzung von Vorschriften scheint das effizienteste Mittel zu sein, um die goldene Mitte zwischen übermäßiger Strenge und exzessiver Handlungsfreiheit zu finden (Baldwin, 1990[13]). Werden Risiken und Risikoangemessenheit richtig verstanden und definiert, können sie den zuständigen Stellen als Werkzeug dienen, um einen sachgerechten Regulierungsspielraum festzulegen und Rechtsdurchsetzungen zu steuern. Es spricht viel dafür, dass man auf dem besten Weg ist, einem Regulierungssystem Legitimität, Resilienz, Agilität und Wirksamkeit zu verschaffen, wenn man Risikoangemessenheit zu einem seiner Kernelemente macht.

[56] Ali, S., O. Al-Saleh und P. Koushki (1997), „Effectiveness of Automated Speed-Monitoring Cameras in Kuwait“, Transportation Research Record: Journal of the Transportation Research Board, Vol. 1595/1, S. 20-26, https://doi.org/10.3141/1595-04.

[15] Anderson, S. (2009), The Good Guidance Guide: taking the uncertainty out of regulation, UK Better Regulation Executive, https://webarchive.nationalarchives.gov.uk/20090609052836/http://www.berr.gov.uk/files/file49881.pdf.

[13] Baldwin, R. (1990), „Why Rules Don’t Work“, The Modern Law Review, Vol. 53/3, S. 321-337, https://doi.org/10.1111/j.1468-2230.1990.tb01815.x.

[26] Balleisen, E. et al. (Hrsg.) (2017), Policy Shock, Cambridge University Press, Cambridge, https://doi.org/10.1017/9781316492635.

[60] Banerjee, A. et al. (2020), „Estimating excess 1-year mortality associated with the COVID-19 pandemic according to underlying conditions and age: a population-based cohort study“, The Lancet, Vol. 395/10238, S. 1715-1725, https://doi.org/10.1016/s0140-6736(20)30854-0.

[74] Blanc, F. (2021), „Regulation, regulatory delivery, trust and distrust – avoiding vicious circles“, in De Benedetto, M., N. Lupo und N. Rangone (Hrsg.), The Crisis of Confidence in Legislation, Bloomsbury Publishing, Oxford, https://www.bloomsburyprofessional.com/uk/the-crisis-of-confidence-in-legislation-9781509939855/.

[19] Blanc, F. (2018), From Chasing Violations to Managing Risks: Origins, Challenges and Evolutions in Regulatory Inspections, Edward Elgar Publishing.

[44] Blanc, F. (2018), „Tools for Effective Regulation: Is ‘More’ Always ‘Better’?“, European Journal of Risk Regulation, Vol. 9/3, S. 465-482, https://doi.org/10.1017/err.2018.19.

[23] Blanc, F. (2012), Inspections Reforms: Why, How and with What Results?, OECD, Paris, https://www.oecd.org/regreform/Inspection%20reforms%20-%20web%20-F.%20Blanc.pdf.

[45] Blanc, F. und P. Coletti (erscheint demnächst), „Using outcomes to measure compliance: Justifications, challenges, and practices“, in van Rooij, B. und M. Rorie (Hrsg.), Measuring Compliance, Cambridge University Press.

[11] Blanc, F. und E. Franco-Temple (2013), „Introducing a risk-based approach to regulate businesses“, Nuts & Bolts, No. 90754, Investment Climate Department, Weltbankgruppe, Washington, D.C., https://documents.worldbank.org/en/publication/documents-reports/documentdetail/102431468152704305/undefined.

[25] Blanc, F., D. Macrae und G. Ottimofiore (2015), Understanding and addressing the Risk Regulation Reflex – Lessons from international experience in dealing with risk, responsibility, and regulation, Bericht für das Dutch Risk and Responsibility Programme, https://www.government.nl/binaries/government/documents/reports/2015/01/21/understanding-and-addressing-the-risk-regulation-reflex/understanding-and-addressing-the-risk-regulation-reflex-v2.pdf.

[10] BRDO (2012), „Proposals for Developing a Common Approach for Risk Assessment“, Policy Paper, UK Better Regulation Delivery Office, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/263921/risk-assessment-paper.pdf.

[1] Burgess, A. (2009), An introduction to public risk, Bericht für den Risk and Regulation Advisory Council, https://webarchive.nationalarchives.gov.uk/20100104184739/http://www.berr.gov.uk/files/file53402.pdf.

[29] Burgess, A., A. Alemanno und J. Zinn (Hrsg.) (2019), Routledge Handbook of Risk Studies, Routledge.

[70] Burgess, D., M. Burgess und J. Leask (2006), „The MMR vaccination and autism controversy in United Kingdom 1998–2005: Inevitable community outrage or a failure of risk communication?“, Vaccine, Vol. 24/18, S. 3921-3928, https://doi.org/10.1016/j.vaccine.2006.02.033.

[71] Chilvers, J. und J. Burgess (2008), „Power Relations: The Politics of Risk and Procedure in Nuclear Waste Governance“, Environment and Planning A: Economy and Space, Vol. 40/8, S. 1881-1900, https://doi.org/10.1068/a40334.

[21] Coglianese, C. und C. Carrigan (2012), „Oversight in Hindsight: Assessing the U.S. Regulatory System in the Wake of Calamity“, in Coglianese, C. (Hrsg.), Regulatory Breakdown: The Crisis of Confidence in U.S. Regulation, University of Pennsylvania Press.

[73] De Benedetto, M. (2018), „Effective Law from a Regulatory and Administrative Law Perspective“, European Journal of Risk Regulation, Vol. 9/3, S. 391-415, https://doi.org/10.1017/err.2018.52.

[72] De Benedetto, M., N. Lupo und N. Rangone (Hrsg.) (2021), The Crisis of Confidence in Legislation, Bloomsbury Publishing, Oxford, https://www.bloomsburyprofessional.com/uk/the-crisis-of-confidence-in-legislation-9781509939855/.

[30] Fischhoff, B., P. Slovic und S. Lichtenstein (1982), „Lay Foibles and Expert Fables in Judgments about Risk“, The American Statistician, Vol. 36/3b, S. 240-255, https://doi.org/10.1080/00031305.1982.10482845.

[32] Flynn, J., P. Slovic und C. Mertz (1993), „Decidedly Different: Expert and Public Views of Risks from a Radioactive Waste Repository“, Risk Analysis, Vol. 13/6, S. 643-648, https://doi.org/10.1111/j.1539-6924.1993.tb01326.x.

[6] Goldstein, B. und R. Carruth (2004), „The Precautionary Principle and/or Risk Assessment in World Trade Organization Decisions: A Possible Role for Risk Perception“, Risk Analysis, Vol. 24/2, S. 491-499, https://doi.org/10.1111/j.0272-4332.2004.00452.x.

[59] Goolsbee, A. und C. Syverson (2020), „Fear, Lockdown, and Diversion: Comparing Drivers of Pandemic Economic Decline 2020“, NBER Working Paper, No. 27432, National Bureau of Economic Research, Cambridge, MA, https://doi.org/10.3386/w27432.

[51] Gunningham, N. (2015), „Compliance, Deterrence and Beyond“, SSRN Electronic Journal, https://doi.org/10.2139/ssrn.2646427.

[43] Hadjigeorgiou, A. et al. (2013), „National Food Safety Systems in the European Union: A Comparative Survey“, International Journal of Food Studies, Vol. 2/1, S. 105-117, https://doi.org/10.7455/ijfs.v2i1.136.

[61] Halpin, S. et al. (2020), „Postdischarge symptoms and rehabilitation needs in survivors of COVID‐19 infection: A cross‐sectional evaluation“, Journal of Medical Virology, Vol. 93/2, S. 1013-1022, https://doi.org/10.1002/jmv.26368.

[14] Hampton, P. (2005), The Hampton Review – Final Report: Reducing administrative burdens: effective inspection and enforcement, HM Treasury, https://web.archive.org/web/20090704105121/http://www.hm-treasury.gov.uk/d/bud05hamptonv1.pdf.

[46] Hawkins, K. (2003), Law as Last Resort: Prosecution Decision Making in a Regulatory Agency, Oxford University Press, https://doi.org/10.1093/acprof:oso/9780199243891.001.0001.

[20] Helsloot, I. (2012), „Veiligheid als (bij)product: Over beleidsontwikkeling in interactie tussen bestuurders, adviseurs en narrige burgers“, Antrittsrede, 21. September, Radboud Universiteit Nijmegen, https://crisislab.nl/wordpress/wp-content/uploads/Oratie_Ira_Helsloot_21-09-2012.pdf.

[33] Helsloot, I. und J. Groenendaal (2017), „It’s meaning making, stupid! Success of public leadership during flash crises“, Journal of Contingencies and Crisis Management, Vol. 25/4, S. 350-353, https://doi.org/10.1111/1468-5973.12166.

[66] Helsloot, I. und A. Schmidt (2012), „The Intractable Citizen and the Single-Minded Risk Expert – Mechanisms Causing the Risk Regulation Reflex Pointed Out in the Dutch Risk and Responsibility Programme“, European Journal of Risk Regulation, Vol. 3/3, S. 305-312, https://doi.org/10.1017/s1867299x0000221x.

[52] Hodges, C. (2015), Law and Corporate Behaviour: Integrating Theories of Regulation, Enforcement, Compliance and Ethics, Hart/Beck, Oxford/München.

[53] Hodges, C. und R. Steinholtz (2018), Ethical Business Practice and Regulation, Hart/Beck, Oxford/München.

[3] IRGC (2017), Introduction to the IRGC Risk Governance Framework, revised version, EPFL International Risk Governance Center, Lausanne, https://doi.org/10.5075/epfl-irgc-233739f.

[48] Kauffmann, C. und C. Saffirio (2020), „Study of International Regulatory Co-operation (IRC) arrangements for air quality: The cases of the Convention on Long-Range Transboundary Air Pollution, the Canada-United States Air Quality Agreement, and co-operation in North East Asia“, OECD Regulatory Policy Working Papers, No. 12, OECD Publishing, Paris, https://doi.org/10.1787/dc34d5e3-en.

[5] Khwaja, M., R. Awasthi und J. Loeprick (Hrsg.) (2011), Risk-Based Tax Audits, Weltbank, Washington, D.C., https://doi.org/10.1596/978-0-8213-8754-2.

[17] Kirchler, E. und E. Hoelzl (2006), „Modelling Taxpayers’ Behaviour as a Function of Interaction between Tax Authorities and Taxpayers“, in Elffers, H., P. Verboon und W. Huisman (Hrsg.), Managing and Maintaining Compliance, Boom Legal Publishers, Den Haag.

[57] Kirchler, E., E. Hoelzl und I. Wahl (2008), „Enforced versus voluntary tax compliance: The ‘slippery slope’ framework“, Journal of Economic Psychology, Vol. 29/2, S. 210-225, https://doi.org/10.1016/j.joep.2007.05.004.

[58] Lind, E., R. Kanfer und P. Earley (1990), „Voice, control, and procedural justice: Instrumental and noninstrumental concerns in fairness judgments.“, Journal of Personality and Social Psychology, Vol. 59/5, S. 952-959, https://doi.org/10.1037/0022-3514.59.5.952.

[39] Mangalam, S. und G. Vranic (2020), Use of New Technologies in Regulatory Delivery, Donor Committee for Enterprise Development, Cambridge, https://www.enterprise-development.org/wp-content/uploads/DCED-BEWG-Use-of-New-Technologies-in-Regulatory-Delivery.pdf.

[62] Mitrani, R., N. Dabas und J. Goldberger (2020), „COVID-19 cardiac injury: Implications for long-term surveillance and outcomes in survivors“, Heart Rhythm, Vol. 17/11, S. 1984-1990, https://doi.org/10.1016/j.hrthm.2020.06.026.

[2] National Research Council (1983), Risk Assessment in the Federal Government: Managing the Process, National Academies Press, Washington, D.C., https://doi.org/10.17226/366.

[40] OECD (2021), Data-Driven, Information-Enabled Regulatory Delivery, OECD Publishing, Paris, https://doi.org/10.1787/8f99ec8c-en.

[36] OECD (2020), Implementing Technical Regulations in Mexico, OECD Publishing, Paris, https://doi.org/10.1787/4e919492-en.

[63] OECD (2020), „Public integrity for an effective COVID-19 response and recovery“, OECD Policy Responses to Coronavirus (COVID-19), OECD Publishing, Paris, https://doi.org/10.1787/a5c35d8c-en.

[65] OECD (2020), „Public procurement and infrastructure governance: Initial policy responses to the coronavirus (Covid-19) crisis“, OECD Policy Responses to Coronavirus (COVID-19), OECD Publishing, Paris, https://doi.org/10.1787/c0ab0a96-en.

[68] OECD (2020), „Regulatory quality and COVID-19: The use of regulatory management tools in a time of crisis“, OECD Policy Responses to Coronavirus (COVID-19), OECD Publishing, Paris, https://doi.org/10.1787/b876d5dc-en.

[69] OECD (2020), „Removing administrative barriers, improving regulatory delivery“, OECD Policy Responses to Coronavirus (COVID-19), OECD Publishing, Paris, https://doi.org/10.1787/6704c8a1-en.

[22] OECD (2018), OECD Regulatory Enforcement and Inspections Toolkit, OECD Publishing, Paris, https://doi.org/10.1787/9789264303959-en.

[35] OECD (2018), OECD-Ausblick Regulierungspolitik 2018 (Auszugsweise Übersetzung), OECD Publishing, Paris, https://doi.org/10.1787/9789264307988-de.

[64] OECD (2016), Preventing Corruption in Public Procurement, OECD, Paris, https://www.oecd.org/gov/public-procurement/publications/Corruption-Public-Procurement-Brochure.pdf.

[9] OECD (2015), Regulatory Policy in Lithuania: Focusing on the Delivery Side, OECD Reviews of Regulatory Reform, OECD Publishing, Paris, https://doi.org/10.1787/9789264239340-en.

[37] OECD (2014), Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, Paris, https://doi.org/10.1787/9789264208117-en.

[47] OECD (2013), International Regulatory Co-operation: Case Studies, Vol. 1: Chemicals, Consumer Products, Tax and Competition, OECD Publishing, Paris, https://doi.org/10.1787/9789264200487-en.

[4] OECD (2010), Risk and Regulatory Policy: Improving the Governance of Risk, OECD Reviews of Regulatory Reform, OECD Publishing, Paris, https://doi.org/10.1787/9789264082939-en.

[42] OECD (2009), Managing and Improving Compliance: Recent Developments in Compliance Risk Treatments, OECD, Paris, https://www.oecd.org/tax/forum-on-tax-administration/publications-and-products/hnwi/42490764.pdf.

[41] OECD (2004), Compliance Risk Management: Managing and Improving Tax Compliance, OECD, Paris, https://www.oecd.org/tax/administration/33818656.pdf.

[54] OECD (erscheint demnächst), Using Digital Technologies to Improve Regulatory Delivery Activities, OECD Publishing, Paris.

[55] Pilkington, P. und S. Kinra (2005), „Effectiveness of speed cameras in preventing road traffic collisions and related casualties: systematic review“, BMJ, Vol. 330/7487, S. 331-334, https://doi.org/10.1136/bmj.38324.646574.ae.

[16] Roetzel, P. (2018), „Information overload in the information age: a review of the literature from business administration, business psychology, and related disciplines with a bibliometric approach and framework development“, Business Research, Vol. 12, S. 479-522, https://doi.org/10.1007/s40685-018-0069-z.

[24] Rothstein, H., O. Borraz und M. Huber (2012), „Risk and the limits of governance: Exploring varied patterns of risk-based governance across Europe“, Regulation & Governance, Vol. 7/2, S. 215-235, https://doi.org/10.1111/j.1748-5991.2012.01153.x.

[12] Rothstein, H. et al. (2017), „Varieties of risk regulation in Europe: coordination, complementarity and occupational safety in capitalist welfare states“, Socio-Economic Review, Vol. 17/4, S. 993-1020, https://doi.org/10.1093/ser/mwx029.

[8] Russell, G. und C. Hodges (Hrsg.) (2019), Regulatory Delivery, Hart/Beck, Oxford/München, https://doi.org/10.5040/9781509918614.

[31] Slovic, P. (1986), „Informing and Educating the Public About Risk“, Risk Analysis, Vol. 6/4, S. 403-415, https://doi.org/10.1111/j.1539-6924.1986.tb00953.x.

[67] Trappenburg, M. und M. Schiffelers (2012), „How to Escape the Vicious Circle: The Challenges of the Risk Regulation Reflex“, European Journal of Risk Regulation, Vol. 3/3, S. 283-291, https://doi.org/10.1017/s1867299x00002191.

[27] Tversky, A. und D. Kahneman (1974), „Judgment under Uncertainty: Heuristics and Biases“, Science, Vol. 185/4157, S. 1124-1131, https://doi.org/10.1126/science.185.4157.1124.

[18] Tyler, T. (2003), „Procedural Justice, Legitimacy, and the Effective Rule of Law“, Crime and Justice, Vol. 30, S. 283-357, https://doi.org/10.1086/652233.

[49] Tyler, T. (1990), Why People Obey the Law, Yale University Press, New Haven.

[7] Wagner, M. (2016), „Interpreting the SPS Agreement: Navigating Risk, Scientific Evidence and Regulatory Autonomy“, SSRN Electronic Journal, https://doi.org/10.2139/ssrn.2887361.

[34] Weltbank (erscheint demnächst), Approaches to Integrated Inspections Reforms – Selected Case Studies, Weltbank, Washington, D.C.

[28] Weyman, A. und J. Barnett (2016), „Heuristics and Biases in Decision Making About Risk“, in Burgess, A., A. Alemanno und J. Zinn (Hrsg.), Routledge Handbook of Risk Studies, Routledge.

[38] Wille, J. et al. (2013), „Implementing a Shared Inspection Management System – Insights from recent international experience“, Nuts & Bolts, Investment Climate Department, Weltbankgruppe, Washington, D.C., http://documents1.worldbank.org/curated/en/190851468152706158/pdf/907550BRI0Box30ment0System0apr02013.pdf.

[50] Yapp, C. und R. Fairman (2006), „Factors affecting food safety compliance within small and medium-sized enterprises: implications for regulatory and enforcement strategies“, Food Control, Vol. 17/1, S. 42-51, https://doi.org/10.1016/j.foodcont.2004.08.007.