Es lohnt sich im Unternehmen zu erkennen, welche Aufgaben selbst erledigt werden sollen und wo sich das Unternehmen besser auf das Kerngeschäft konzentriert, um Effizienz zu steigern und die Kosten zu reduzieren. Gerade in der IT liegt es nahe zu prüfen, einen externen Dienstleister beizuziehen, nicht zuletzt auch aus Überlegungen der Informationssicherheit. Und während sich Unternehmen und Dienstleister gerne und richtig auf die Performance konzentrieren, tun beide gut daran, die grundlegenden Fragen des Datenschutzes beantworten zu können.

Outsourcing aus Sicht Datenschutz

Cloud-Anbieter, Webhoster, Agenturen und Call-Center oder IT-Supportunternehmen übernehmen Aufgaben in Unternehmen, welche auch Einblick in oder das Bearbeiten von Personendaten zur Folge hat, welche das Unternehmen führt. Die Bearbeitung von Personendaten kann nach Datenschutzgesetz (DSG) einem sog. Auftragsbearbeiter (auch „Processor“ genannt) übertragen werden. Dabei bleibt das Unternehmen als sog. Verantwortlicher (auch „Controller“ genannt) in der Pflicht, dass der Datenschutz eingehalten wird. Das Unternehmen hat für eine sorgfältige Auswahl, angemessene Instruktion und notwendige Überwachung zu sorgen. Wechselseitig ist der Dienstleister interessiert, die übertragenen Pflichten abzugrenzen und zu klären, welche Services wie vergütet werden sollen.

AVV – Auftragsverarbeitungsvertrag

In der Praxis hat sich die Vereinbarung zur Auftragsbearbeitung (bzw. nach DSGVO Auftragsverarbeitung) etabliert, häufig als AVV abgekürzt. Anstelle eines separaten AVV kann der Datenschutz auch als Vertragsanhang geregelt werden, wie im Anglo-Amerikanischen Raum üblich mit sog. Data Privacy Addendum, kurz. DPA. Wichtiger als wo, ist dass die Verantwortlichkeiten und Pflichten im Sinne des DSG bzw. der DSGVO geregelt werden. Dabei präsentieren sich immer wieder ähnliche Fallstricke.

Wichtig zu regeln

Die Grundhaltung sowohl des DSG als auch der DSGVO ist sicherzustellen, dass der Auftragsbearbeiter die übertragenen Daten nur gemäss den Weisungen des Auftraggebers bearbeitet und mit geeigneten technischen und organisatorischen Massnahmen den Schutz der Rechte der betroffenen Person zu gewährleisten. Dementsprechend ist neben dem grundsätzlichen Umfang des Auftrags, und damit der Datenbearbeitung, insbesondere die Datensicherheit festzuhalten. Einerseits soll sich diese dem Risiko angemessen und wirksam ausprägen, andererseits hat sie dem Stand der Technik zu entsprechen. Je nach Branche dienen dazu auch beispielsweise Audits, Pen-Tests und Zertifizierungen.  

Grundsätzlich bearbeitet der Auftragsbearbeiter Personendaten für Zwecke des Verantwortlichen, also des Unternehmens. Als Dienstleister, darf er diese Personendaten also nicht für eigene Zwecke bearbeiten – ansonsten würde dieser selbst zum Verantwortlichen (teilweise auch „joint controller“ genannt). Für eine solche Zweckänderung muss er einen eigenen Rechtfertigungsgrund geltend machen können; vordergründig die ausdrückliche Einwilligung der betroffenen Person.

Fallstricke in AVV und DPA

Häufig vergessen oder übersehen wird das Thema Unterbeauftragung, also der Beizug sog. Subunternehmer. Diese sind vor Vertragsschluss offenzulegen und nach Vertragsschluss grundsätzlich nur mit vorgängiger Genehmigung des Unternehmens, also des Verantwortlichen einzusetzen. Hinzu kommt, dass bei Auslandbezug Überlegungen zur Bekanntgabe von Personendaten ins Ausland und zur Datensicherheit allgemein hinzukommen (siehe allgemein auch unten zu Outsourcing mit US-Bezug).

Wie vorerwähnt bleibt das Unternehmen als Verantwortlicher in der Pflicht. Hierzu kann es sinnvoll sein, Unterstützungspflichten mit vertraglichen Vereinbarungen (z.B. Mitwirkungspflichten) zu regeln und/oder spezifische organisatorische Massnahmen zu treffen. Vordergründig geht es dabei um die Betroffenenrechte (Auskunft, Berichtigung, Löschung), aber auch um Instrumente und Pflichten aus dem Gesetz (Datenschutzverletzungen, Datenschutzfolgeabschätzungen, etc.).

Nicht selten fehlen Regelungen zur Verantwortlichkeit und Haftung sowie daraus resultierender Kosten – oder sie werden einseitig verlegt. Sinnvoll scheint, die Haftung an die Dynamik des Dienstleistungsverhältnisses anzupassen, insbesondere wie selbständig der Dienstleister für das Unternehmen agiert. Die Kosten sind insbesondere transparent zu machen und orientieren sich wohl am besten am Verursacherprinzip.  

Outsourcing mit US-Bezug

Findet beim Outsourcing eine Datenbekanntgabe ins Ausland statt, muss ausserdem geprüft werden, ob die Länder, in denen die Daten bearbeitet werden, ein angemessenes Datenschutzniveau aufweisen. Primär orientiert sich dies am Entscheid des Bundesrates, also an der Liste von Staaten mit einem angemessenen Datenschutz nach Datenschutzverordnung (DSV). Wenn sich der Dienstleister in einem Land befindet, welches kein mit dem Schweizer vergleichbares Datenschutzniveau bietet, oder die Daten in Ländern bearbeitet werden, die kein angemessenes Schutzniveau im Vergleich zur Schweiz bieten, müssen zusätzliche Massnahmen getroffen werden. Vordergründig ist dabei an Standarddatenschutzklauseln (auch „Standard Contractual Clauses“ SCC genannt) zu denken.

Ein Spezialfall stellt mithin die USA dar. Mit dem Wegfall des EU-US-Privacy-Shields – und in der Folge des Swiss-US-Privacy-Shields – durch das Schrems-II Urteil des Europäischen Gerichtshofs im Juli 2020 ist die datenschutzkonforme Bearbeitung von vertraulichen Daten durch einen US-amerikanischen Anbieter komplexer geworden. Zwischenzeitlich verhalf man sich mit SCC – ohne Rechtssicherheit, ob dies genügen würde. Nun bietet das neue Swiss-U.S. Data Privacy Framework für zertifizierte US-Unternehmen einen angemessenen Schutz für Personendaten. In diesem Umfang setzte nun der Bundesrat die USA wieder auf die Liste der Länder mit einem angemessenen Datenschutzniveau und erlauben künftig die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in die USA ohne zusätzliche Garantien. Der Bundesrat hat die entsprechende Änderung der DSV auf den 15. September 2024 in Kraft gesetzt.

Am 22. Mai 2024 hat der Schweizer Bundesrat[i] beschlossen, dem Parlament weitere Reformen im Bereich der Geldwäschereibekämpfung vorzulegen, um die Wettbewerbsfähigkeit des Finanz- und Wirtschaftsstandorts Schweiz zu stärken.

Zu diesen Reformen, die voraussichtlich Anfang 2026 in Kraft treten werden, gehört die Einführung eines nicht-öffentlichen eidgenössischen (Transparenz-)Registers der wirtschaftlich Berechtigten. Eine vereinfachte Registrierung wird nicht nur für Vereine und Stiftungen, sondern auch für Einzelunternehmen und Gesellschaften mit beschränkter Haftung vorgesehen. Das Register wird vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) geführt.

Weitere Reformen betreffen die Sorgfaltspflichten zur Bekämpfung der Geldwäscherei, die für bestimmte Beratungstätigkeiten gelten, insbesondere für die Rechtsberatung. Unter Wahrung des Berufsgeheimnisses werden diese Pflichten bei bestimmten Tätigkeiten mit potenziell erhöhtem Geldwäschereirisiko greifen, etwa bei der Gründung und Strukturierung von Unternehmen sowie bei Immobilientransaktionen.

Genauer gesagt, wird Folgendes entscheidend sein:

. Die Identität des Kunden muss überprüft und der wirtschaftlich Berechtigte sowie der Gegenstand und der Zweck des Geschäfts oder der Dienstleistung müssen festgestellt werden;

. Wenn der Kunde oder das Geschäft bzw. die Dienstleistung ein besonders hohes Risikoprofil aufweist, kann es erforderlich sein, die Herkunft der Gelder zu klären oder zusätzliche Erklärungen zum Zweck des gewünschten Geschäfts oder der Dienstleistung zu verlangen;

. Die im Rahmen der Sorgfaltspflicht ergriffenen Massnahmen müssen in angemessener Weise aufgezeichnet werden.

In diesem Zusammenhang wird den Selbstregulierungsorganisationen (SRO) die Verantwortung für die Überwachung der Einhaltung der Sorgfaltspflichten durch die betroffenen Anwälte und Rechtsberater übertragen.

Zudem werden zusätzliche organisatorische (Sorgfalts-)Massnahmen gegen i) die Umgehung von Sanktionen des Embargogesetzes, ii) Barzahlungen von mehr als 15’000 Franken im Edelmetallhandel und iii) jegliche Beträge im Immobiliengeschäft eingeführt.

Am 22. Mai 2024 hat der Bundesrat[ii] eine bis Mitte September 2024 dauernde Vernehmlassung zur Cybersicherheitsverordnung eröffnet, die im Wesentlichen die Umsetzung der Meldepflicht von Cyberangriffen auf kritische Infrastrukturen und die nationale Cybersicherheitsstrategie sowie die Aufgaben des Bundesamts für Cybersicherheit (BACS) regelt.

In der Verordnung werden auch die von der Meldepflicht ausgenommenen Stellen genannt, nämlich solche, die von einem Cyberangriff betroffen sind, der keine direkten Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. Darüber hinaus gilt eine allgemeine Ausnahme für Unternehmen mit weniger als 50 Mitarbeitern, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken und für Behörden, die für weniger als 1.000 Einwohner zuständig sind.

Schliesslich hat der Bundesrat am 15. Mai 2024[iii] beschlossen, eine Vernehmlassung zur Verlängerung des internationalen automatischen Informationsaustauschs in Steuersachen (AIA) einzuleiten, die bis Anfang September 2024 läuft. Die Verlängerung, die ab dem 1. Januar 2026 gelten soll, betrifft den neuen AIA in Bezug auf Kryptowerte und die Änderung des Standards für den automatischen Austausch von Informationen über Finanzkonten.

In diesem Zusammenhang wurde im Oktober 2022 die OECD-Aktualisierung des gemeinsamen Melde- und Sorgfaltspflichtstandards für Informationen über Finanzkonten (CRS) und des neuen Rahmens für die Meldung von Krypto-Assets (CARF) veröffentlicht. Während die Änderungen des CRS Auslegungsfragen klären und Praxiserfahrungen berücksichtigen, regelt das CARF den Umgang mit Kryptowerten und deren Anbietern.

Vorbehaltlich der Zustimmung des Parlaments will die Schweiz damit auch das CARF umsetzen, um bestehende Lücken im Steuertransparenzmechanismus wirksam zu schliessen und die Gleichbehandlung mit traditionellen Vermögenswerten und Finanzinstituten sicherzustellen.


[i] Siehe hier: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-101100.html

[ii] Siehe hier: https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/medienmitteilungen/newslist.msg-id-101088.html

[iii] Siehe hier: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen/bundesrat.msg-id-101030.html

Das EU-Datenverordnung,[1] das den fairen Zugang zu und die Nutzung von Daten regeln soll, ist nach seiner Veröffentlichung im Amtsblatt der Europäischen Union im Januar 2024 in Kraft getreten. Das Gesetz soll ab September 2025 flächendeckend gelten.

Das Gesetz legt Regeln für die Nutzung, den Zugriff, die Verfügbarkeit und die Weitergabe generierter personenbezogener und nicht personenbezogener Daten fest und richtet sich an Hersteller vernetzter Produkte und Anbieter damit verbundener Dienstleistungen unabhängig von ihrem Niederlassungsort – alle zusammengefasst unter dem Oberbegriff „Dateninhaber“ in Form einer natürlichen oder juristischen Person.

In diesem Zusammenhang wird „vernetztes Produkt“ definiert als „ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann, und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – ausser dem Nutzer – ist.“ Darüber hinaus bezieht sich der Begriff „verbundene Dienste“ auf „einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, einschließlich Software, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschliessend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“.

In Abgrenzung zum Begriff „Nutzer“ bezeichnet „Datenempfänger“ „eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschliesslich eines Dritten“, auf Anfrage des Nutzers an den Dateninhaber.“

Die folgenden im Gesetz festgelegten Elemente sind von Bedeutung:

• Einführung des Datenzugriffs durch Design und Standardeinstellung;

• Wo ein direkter Zugriff nicht möglich ist, müssen Dateninhaber auf Anfrage der Nutzer sowohl im B2B- als auch im B2C-Bereich Zugriff auf Daten über Produkte und zugehörige Dienstleistungen einschliesslich Metadaten gewähren – mit Ausnahme strengerer Bedingungen aus Sicherheitsgründen und bei der Weitergabe von Daten, die Geschäftsgeheimnisse darstellen;

• Dateninhaber müssen den Datenempfängern Daten auf Anfrage der Nutzer zu fairen, angemessenen und nichtdiskriminierenden Bedingungen unter Wahrung der Transparenz zur Verfügung stellen;

• Dateninhaber stellen öffentlichen Stellen der EU auf Anfrage Daten aus Gründen des öffentlichen Interesses zur Verfügung;

• Anbieter von Datenverarbeitungsdiensten wie Cloud-Computing-Diensten ergreifen die erforderlichen Massnahmen, um eine wirksame Interoperabilität für Datenzugriff, -übertragung und -nutzung zwischen verschiedenen Anbietern zu ermöglichen, und legen Vertragsbedingungen für den Wechsel von Diensten fest;

• Datenverarbeitungsdienstleister müssen technische, organisatorische und rechtliche Massnahmen ergreifen, um rechtswidrige grenzüberschreitende Übermittlungen von und Zugriff auf nicht personenbezogene Daten, die im EU-Block gespeichert sind, aus Drittländern zu verhindern;

• Einführung von Datenlizenzverträgen zwischen Dateninhabern, d.h. Herstellern und Nutzern;

• Einführung einer Reihe von Anforderungen für Smart-Contract-Anwendungen im Zusammenhang mit der Umsetzung von Vereinbarungen über die gemeinsame Nutzung von Daten;

• Einführung unverbindlicher Mustervertragsbedingungen für Datenzugriff und -nutzung, angemessene Vergütung und den Schutz von Geschäftsgeheimnissen durch die Kommission, sowie Standardvertragsklauseln für Cloud-Computing-Dienste, die auf fairen, angemessenen und nichtdiskriminierenden vertraglichen Rechten und Pflichten basieren.

Die Datenverordnung ist unbeschadet der EU-DSGVO zu lesen, wobei die im Rahmen der ersteren gewährten Datenzugriffsrechte getrennt von den im Rahmen der letzteren gewährten Zugriffsrechten für Einzelpersonen behandelt werden.

Schliesslich wird die inhärente Extraterritorialität des Gesetzes direkte Konsequenzen für Hersteller und Anbieter ausserhalb der Union haben, einschliesslich für in der Schweiz ansässige Unternehmen. Mit anderen Worten: Jede kommerzielle Tätigkeit, die in den Geltungsbereich des Gesetzes fällt und deren Produkte und Dienstleistungen auf dem EU-Markt angeboten werden, bzw. jede Beteiligung am Datenaustausch mit Interessengruppen innerhalb der EU müsste innerhalb des festgelegten Zeitrahmens der erforderlichen Sorgfaltsprüfung unterzogen werden, um die rechtzeitige Einhaltung der Vorschriften zu gewährleisten.


[1] Siehe hier https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1707924358044&uri=CELEX%3A32023R2854.

Das Nationale Zentrum für Cybersicherheit (NCSC), die Schweizerische Kriminalprävention (SKP) und die kantonalen sowie die städtischen Polizeikorps haben dieses Jahr eine neue Sensibilisierungskampagne zur Cybersicherheit veröffentlicht. Diese Kampagne trägt den Namen S-U-P-E-R.ch und hat eine eigene Webseite. Die Kampagne dient unter anderem der Passwortsicherheit sowie generell zum bewussten und sicheren Verhalten im digitalen Raum.

Jeder Buchstabe der Kampagne S-U-P-E-R.ch steht für einen empfohlenen Schritt zum richtigen Umgang mit digitalen Daten. In den Bereichen Cyberkriminalität aber auch Datenschutz lassen sich häufig Verletzungen feststellen, die sich mit einfachen, vorbeugenden Massnahmen hätten verhindert werden können. Deshalb unterstützen wir gerne die S-U-P-E-R Kampagne und stellen im Folgenden die wichtigsten Punkte kurz vor.

Das wichtigste in Kürze – 5 Massnahmen gegen Verletzungen in der digitalen Welt:

S: Sichern der Daten

U: Updaten der Programme

P: Prüfen der Aktivierung eines Virenschutzprogramm oder einer Firewall

E: Einloggen mittels einem starken Passwort

R: Reduzieren des Betrugsrisikos

Nachfolgend die detaillierte Erläuterung zu den einzelnen Buchstaben.

S: Sichern der Daten

Regelmässiges Sichern der Daten mit einem Backup wird empfohlen. Auf der Webseite der Kampagne finden Sie eine Anleitung für die Erstellung eines solchen Backups für Mac und Windows.

Ebenfalls ist eine richtige Löschung der Daten empfohlen, die sie nicht mehr brauchen.

Folgendes sind die wichtigsten Merkpunkte zum Thema Sichern der Daten:

U: Updaten

Die Software-Hersteller aktualisieren ihre Software regelmässig, um unter anderem Fehler zu beheben, aber auch um Eintrittstore von Angreifern zu schliessen, die ein fremdes Gerät unter Kontrolle bringen wollen. Diese Änderungen werden den Kunden in Form von Updates zur Verfügung gestellt. Es empfiehlt sich daher, die Software-Programme und das System regelmässig auf den neusten Stand zu bringen.

Die wichtigsten Merkpunkte in Sachen Updaten sind:

P: Prüfen

Es wird empfohlen zu prüfen, ob auf verwendeten Geräten (Computer, aber auch Tablet oder Smartphone) ein Virenschutzprogramm und eine Firewall aktiviert sind. Regelmässige Scans und vollständige Systemprüfungen verhindern einen Ausbruch nach einem Schädlingsbefall. Dies sind Massnahmen, die ihre Geräte vor Viren schützen. Genauere Informationen und Erläuterungen zur Installation eines Virenschutzprogramms für die verschiedenen Betriebssysteme finden Sie auch auf der Webseite der Kampagne.

Die wichtigsten Punkte zum Thema Prüfen sind:

E: Einloggen

Um persönliche Daten, wie z.B. hinterlegte Kreditkartendaten, zu schützen, wird empfohlen, sich nur mit starken Passwörtern einzuloggen. Ein starkes Passwort sollte mindestens zwölf Zeichen lang sein und Sonderzeichen, Zahlen sowie Gross- und Kleinbuchstaben enthalten. Weitere Hilfen sind Passwortmanager und Zweifaktor- (2FA) oder Mehrfach-Authentisierung. Dies erschwert es Cyberkriminellen die Benutzerdaten zu hacken (zum Beispiel durch brute-force) und trägt somit auch zur Verhinderung des Missbrauchs dieser Daten für illegale Zwecke bei.

Im folgenden werden die wichtigsten Merkpunkte in Sachen Einloggen aufgeführt:

R: Reduzieren des Betrugsrisikos

Der letzte Schritt besteht darin, das Betrugsrisiken zu verringern. Dabei ist es dienlich stets wachsam zu sein und den gesunden Menschenverstand walten zu lassen. Die verbreitetsten Arten der Cyberkriminalität erfolgen unter anderem in Form von E-Mails und Kurznachrichten.

Darüber hinaus empfiehlt es sich, insbesondere bei mobilen Geräten, die Zugriffsrechte gewisser Apps, die zum Erfüllen der Funktionalität tatsächlich notwendig sind, kritisch zu prüfen und gegebenenfalls zu deaktivieren.

Die wichtigsten Punkte zur Reduzierung des Betrugsrisikos sind:

Gerne helfen wir Ihnen bei allfälligen Fragen oder Unklarheiten und stehen Ihnen zur Beratung in Sachen Cyberkriminalität und Datenschutz gerne zur Verfügung.

Mehr als ein Jahr nach dem Vorschlag[1] der Europäischen Kommission für einen neuen Cyber Resilience Act zum Schutz von Verbrauchern und Unternehmen vor (digitalen) Produkten mit unzureichenden Sicherheitsmerkmalen durch die Einführung verbindlicher Anforderungen wurde nun eine politische Einigung[2] am 1. Dezember 2023 zwischen den beiden anderen Teilen des «Trilogs», nämlich dem Europäischen Parlament und dem Rat.

Der recht umfassende Vorschlag soll sowohl Hardware- als auch Softwareprodukte abdecken, die unterschiedliche Risikoniveaus aufweisen können und daher unterschiedliche Sicherheitsmassnahmen erfordern. Infolgedessen soll die Art der Konformitätsbewertung für jedes Produkt an das jeweilige Risikoniveau angepasst werden.

Folglich müssen Hersteller von Hard- und Software, Entwickler und Händler, die ihre Produkte in die EU importieren und auf dem EU-Markt anbieten wollen, im Wesentlichen Cybersicherheitsmassnahmen für den gesamten Lebenszyklus ihrer Produkte umsetzen, von der Entwurfs- und Entwicklungsphase bis zum Inverkehrbringen. Konkret geht es nicht nur um Produkte, die an Endnutzer und Verbraucher verkauft werden, sondern auch um solche, die in Unternehmen für die Produktion verwendet werden, die als Vorprodukte bezogen und weiterverarbeitet werden oder die Teil von Lieferketten sind.

Insbesondere werden Produkte, die bereits unter andere bestehende EU-Rechtsvorschriften fallen, wie z. B. in den Anwendungsbereich der NIS2-Richtlinie, ausgenommen sein.

In diesem Zusammenhang wird die Einhaltung der vorgeschlagenen Rechtsvorschriften im Wesentlichen in Form einer CE-Kennzeichnung erfolgen, mit der bestätigt wird, dass die auf dem Markt des Europäischen Wirtschaftsraums (EWR) verkauften Produkte ordnungsgemäss auf die Einhaltung der Sicherheits-, Gesundheits- und Umweltschutzanforderungen geprüft worden sind.

Darüber hinaus werden die Hersteller verpflichtet, den Verbrauchern eine genaue Angabe über die voraussichtliche Nutzungsdauer eines bestimmten Produkts zu machen.

Die vorgeschlagenen Rechtsvorschriften, die für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind, müssen nun förmlich genehmigt werden und dürften nach ihrer Veröffentlichung im Amtsblatt in Kraft treten.

Da die EU für viele Branchen und Sektoren in der Schweiz der wichtigste Absatzmarkt ist, sind die direkten Auswirkungen der vorgeschlagenen Rechtsvorschriften auf die Schweizer Akteure und Interessengruppen unbestreitbar. Wichtig ist, dass die Schweizer Exporteure von Produkten, die im Sinne des vorgeschlagenen Textes als «kritisch» eingestuft werden könnten, erstens nachweisen müssen, dass die entsprechenden digitalen Komponenten die festgelegten Sicherheitsstandards erfüllen, und zweitens Konformitätsbewertungen vorlegen müssen, wenn dies für erforderlich gehalten wird.


[1] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/IP_22_5374.

[2] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_23_6168.

Der Bundesrat hat vor kurzem angekündigt[1], dass er bis zum 29. November 2023 eine Vernehmlassung für eine Gesetzesvorlage zur Verschärfung der bestehenden Geldwäschereibestimmungen durchführen wird.

Der vorgeschlagene Rahmen konzentriert sich insbesondere auf die Identifizierung juristischer Personen, wobei ein obligatorisches bundesweites (Transparenz-)Register mit Informationen über wirtschaftliche Eigentümer eingeführt werden soll, das sich im Wesentlichen an alle juristischen Personen richtet. Das nicht-öffentliche Register wird vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) koordiniert und den zuständigen Behörden zugänglich gemacht. Abweichend davon wird es für bestimmte Rechtsformen wie Einzelunternehmen, Stiftungen, Vereine, sowie Gesellschaften mit beschränkter Haftung auch ein vereinfachtes Verfahren geben.

Darüber hinaus wird der Schwellenwert für Sorgfaltspflichten im Handel mit Edelmetallen und Edelsteinen von CHF 100’000 auf CHF 15’000 deutlich gesenkt.

Auch für Barzahlungen im Immobiliengeschäft wird eine pauschale Sorgfaltspflicht eingeführt, unabhängig von der Höhe des Betrags.

Nach dem Ablauf der Vernehmlassungsperiode soll der Vorschlag Anfang 2024 dem Parlament vorgelegt werden.


[1] Siehe hier: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-97561.html.

In einer aktuellen Entscheidung des Gerichtshofs der Europäischen Union (EuGH)[1], nämlich Breyer gegen REA, wurde erneut die Frage aufgeworfen, wie und wann ein Gleichgewicht zwischen kommerziellen Interessen und öffentlichem Interesse, insbesondere dem Recht auf Privatsphäre, Gleichheit und Meinungsäusserung, herzustellen ist.

Der Fall betrifft ein von der EU finanziertes Forschungsprojekt, nämlich iBorderCtrl, zur Entwicklung einer KI-gestützten Emotionserkennungstechnologie, die im Rahmen des EU-Grenzkontrollmanagementsystems an Grenzen eingesetzt werden soll. Das Problem ergab sich aus der Weigerung der EU-Institutionen, Informationen offenzulegen und uneingeschränkten Zugang zu Unterlagen zu gewähren, die sich sowohl auf die Genehmigung des Projekts als auch auf dessen Fortschritt beziehen. Als Hauptbegründung wurde der Schutz der kommerziellen Interessen der Beteiligten genannt.

Daraufhin wurde von einem Mitglied des Europäischen Parlaments (EP) Klage gegen die Europäische Exekutivagentur für die Forschung (REA) erhoben, hauptsächlich mit der Begründung, dass eindeutig ein überwiegendes öffentliches Interesse bestehe, das die Notwendigkeit einer vollständigen Offenlegung der Unterlagen rechtfertige, insbesondere im Zusammenhang mit einer Technologie, die grundsätzlich zur Massenüberwachung und  Kontrolle von Menschenmengen eingesetzt werden könnte.

Dem Urteil des EuGH gelingt es jedoch nicht, das öffentliche Interesse gegenüber kommerziellen Interessen tatsächlich aufzuwiegen, da es im Wesentlichen festlegt, dass „allgemeine Erwägungen“ des überwiegenden öffentlichen Interesses möglicherweise nicht ausreichen, um ein „besonders dringendes“ Bedürfnis nach Transparenz zu begründen.

Eine solche Haltung könnte sicherlich die Bedeutung demokratischer Kontrolle und öffentlicher Debatte sowie die Notwendigkeit von Transparenz bei der Softwareentwicklung in Projekten mit unbestreitbaren Auswirkungen auf den Einzelnen untergraben.

Darüber hinaus wurde bestätigt, dass die im Rahmen eines bestimmten Projekts entwickelten Instrumente und Technologien als Geschäftsgeheimnis gelten und lediglich die Ergebnisse des Projekts ausser Acht gelassen werden.


[1] Siehe hier: https://curia.europa.eu/juris/document/document.jsf?mode=DOC&pageIndex=0&docid=277067&part=1&doclang=DE&text=&dir=&occ=first&cid=1901751.

Mit mehr als 750 Mitgliedsfirmen und 36.000 Anwälten in mehr als 200 Ländern gilt das Nextlaw Referral Network[1] als das grösste Rechtsberatungsnetzwerk der Welt. Das von Dentons ins Leben gerufene Netzwerk verwendet ein detailliertes Screening-System, um die Qualität seiner Mitgliedsfirmen zu gewährleisten, und hat eine proprietäre Technologie entwickelt, die es Mitgliedern ermöglicht, Anwälte, Rechtsberater und Berater anderer Mitgliedsfirmen mit entsprechender gebietsspezifischer Erfahrung zu identifizieren, wenn Kunden personalisierte Beratung benötigen.


[1] Weitere Informationen finden Sie hier: https://www.nextlawnetwork.com/.

Das Europäische Parlament (EP) hat kürzlich[i] in einer Plenarsitzung seine Verhandlungsposition zum Gesetz über künstliche Intelligenz (KI) verabschiedet.

Die Diskussionen über die Regeln folgen im Wesentlichen einem risikobasierten Ansatz und zielen darauf ab, sicherzustellen, dass die Entwicklung und der Einsatz von KI-Anwendungen und -Systemen in Europa theoretisch mit den Rechten und Werten der EU in Einklang stehen, darunter «menschliche Aufsicht, Sicherheit, Privatsphäre, Transparenz, Nichtdiskriminierung sowie soziales und ökologisches Wohlergehen».

In Kürze enthält die vorgeschlagene Aufgabenliste, die sich unter anderem an Anbieter und Einsatzkräfte richtet, neben einer überarbeiteten Definition des Begriffs «KI-System», die mit der OECD-Version übereinstimmt, folgende Punkte:

Insbesondere würde das Verbot der nachträglichen biometrischen Fernidentifizierung der Ausnahme unterliegen, dass die Strafverfolgung nach vorheriger richterlicher Genehmigung im Zusammenhang mit schweren Straftaten erfolgt.

Darüber hinaus müssten generative KI-Systeme, die auf Basismodellen basieren (wie ChatGPT), Transparenzanforderungen erfüllen und wirksame Schutzmechanismen gegen illegale Inhalte einrichten. Im Falle der Verwendung urheberrechtlich geschützter Daten für Trainingsmodelle müssten detaillierte Zusammenfassungen davon öffentlich zugänglich gemacht werden. Die Registrierung in der EU-Datenbank wird für Basismodelle obligatorisch sein.

Wichtig ist, dass das EP neben der Festlegung der Zuständigkeiten der verschiedenen Akteure in der KI-Wertschöpfungskette auch die Entwicklung unverbindlicher Standardvertragsklauseln vorschlägt, um die Rechte und Pflichten entsprechend dem Grad der Kontrolle der einzelnen Akteure in einer bestimmten Wertschöpfungskette zu regeln.

In Anbetracht der Tatsache, dass das KI-Gesetz auch für Anbieter und Nutzer von KI-Systemen ausserhalb der EU gelten soll – vorausgesetzt, die erzeugten Ergebnisse sind für die Verwendung in der EU bestimmt – sind diese Entwicklungen für den Schweizer Markt von entscheidender Bedeutung.


[i] Siehe hier https://www.europarl.europa.eu/news/de/press-room/20230609IPR96212/parlament-bereit-fur-verhandlungen-uber-regeln-fur-sichere-und-transparente-ki; https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_DE.html.

Die Luzerner Kantonalbank (LUKB) hat sich kürzlich[i] mit der Digital Asset Bank Sygnum und den beiden Technologieunternehmen Wyden und Fireblocks zusammengetan, um eine umfassende Lösung für den Handel, die Verwahrung und die Transaktionsüberwachung von Krypto-Assets zu integrieren.

Damit kann die LUKB ab Ende dieses Jahres ihren Kunden Krypto-Assets anbieten.

Das Setup wäre eine Ergänzung zum bereits bestehenden Kernbankensystem der LUKB und soll auf effektive Weise implementiert werden, um eine vollständige Automatisierung des gesamten Krypto-Asset-Lebenszyklus und ein nahtloses Benutzererlebnis (UX) zu ermöglichen.

Diese strategische Partnerschaft könnte als Beispiel für die wachsende Präsenz und aktive Beteiligung des Kantons Luzern an innovativen Projekten und technologischen Entwicklungen gesehen werden, die im Gegenzug ein unterstützendes Umfeld für Start-ups, insbesondere in der Kryptoindustrie, weiter erleichtern würde.


[i] Siehe hier https://www.luzern-business.ch/de/news/luzerner-kantonalbank-bietet-kuenftig-krypto-anlagen-an-9499.