Derzeit gibt es in der Schweiz keine speziellen Rechtsvorschriften für künstliche Intelligenz (KI). Angesichts der zunehmenden Einführung und Nutzung von KI-Tools in verschiedenen Sektoren – insbesondere im Finanzbereich – müssen die mit solchen Systemen verbundenen Risiken jedoch zwangsläufig gründlich geprüft werden.
Zu diesem Zweck hat die Eidgenössische Finanzmarktaufsicht (FINMA) vor kurzem eine Reihe von Erkenntnissen und Beobachtungen veröffentlicht[i], die einen risikobasierten Ansatz verfolgen, der sich auf operative, datenbezogene, IT- und Cyber-Risiken sowie rechtliche und reputationsbezogene Aspekte bezieht. Die beaufsichtigten Unternehmen müssten daher die mit ihren KI-Anwendungen verbundenen Risiken identifizieren, bewerten, überwachen, verwalten und kontrollieren, sei es als Eigenentwicklung oder ausgelagert, und sicherstellen, dass diese Risiken in ihren jeweiligen Governance-Modellen abgestimmt und berücksichtigt werden.
Die FINMA hebt vor allem operationelle Risiken wie mangelnde Robustheit, Korrektheit, Voreingenommenheit und Erklärbarkeit, Risiken im Zusammenhang mit Drittanbietern sowie Herausforderungen bei der Zuweisung von Verantwortlichkeiten als die dringlichsten Probleme hervor.
Sobald die Risiken identifiziert sind, muss die ‘Wesentlichkeit’ der betreffenden Risiken bestimmt werden. Mit anderen Worten, es ist zu definieren, ob eine bestimmte KI-Anwendung in Fällen, in denen sie „…zur Einhaltung von Aufsichtsrecht oder zur Ausübung kritischer Funktionen eingesetzt wird oder wenn Kunden oder Mitarbeiter von ihren Ergebnissen stark betroffen sind“, einen höheren Schwellenwert aufweisen darf.
Unter dem Gesichtspunkt der datenbezogenen Risiken ist es offensichtlich, dass falsche, inkonsistente, unvollständige, nicht repräsentative oder veraltete Daten die Glaubwürdigkeit und Wirksamkeit einer KI-Anwendung untergraben würden. Daher müssten bestimmte Massnahmen ergriffen werden, um die Integrität der Eingabedaten zu gewährleisten und die Verfügbarkeit von und den Zugang zu Daten sicherzustellen. Andererseits verweist die FINMA auf regelmässige Kontrollen, um Datenabweichungen zu erkennen, und auf Validierungsmethoden, um die kontinuierliche Qualität der Ausgangsdaten zu gewährleisten.
Schliesslich wird darauf hingewiesen, dass die Erklärbarkeit der Ergebnisse für eine wirksame Bewertung einer KI-Anwendung von entscheidender Bedeutung ist, wobei die Triebkräfte einer bestimmten Anwendung und ihr Verhalten unter verschiedenen Umständen und Bedingungen auch für Nichtfachleute wie Kunden, Anleger, Aufsichtsbehörden usw. verständlich sein müssen. Bei Anwendungen mit höherer „Wesentlichkeit“ müssten die Ergebnisse einer unabhängigen Prüfung, die sich eine fundierte und unvoreingenommene Meinung über die Zuverlässigkeit der betreffenden Anwendung bildet, ebenfalls in der Entwicklungsphase dieser Anwendung berücksichtigt werden.
[i] Siehe hier https://www.finma.ch/de/news/2024/12/20241218-mm-finma-am-08-24/.
Das neue FINMA-Rundschreiben 2025/2 zu den Verhaltenspflichten nach dem Finanzdienstleistungsgesetz (FIDLEG) und der Finanzdienstleistungsverordnung (FIDLEV), das am 1. Januar 2025[i] in Kraft treten soll, hat zum Ziel, einheitliche Standards für die Information und Betreuung von Kunden im Finanzdienstleistungsbereich zu schaffen.
Für die Umsetzung bestimmter Anforderungen ist eine Übergangsfrist bis zum 30. Juni 2025 vorgesehen.
Das Rundschreiben wird im Wesentlichen für Banken und Wertpapierfirmen, Verwalter von Kollektivvermögen und Unternehmen mit Fondsmanagement- sowie Portfolio-Management-Dienstleistungen gelten. Finanzdienstleister, die nicht der Aufsicht der FINMA unterstellt sind, fallen somit grundsätzlich nicht in den Anwendungsbereich des Rundschreibens.
Zusammenfassend sind folgende Punkte zu nennen.
– In Bezug auf die vom FIDLEV angewandten Ausnahmen im Bereich der Unternehmensfinanzierung stellt das Rundschreiben klar, dass Dienstleistungen der „Kaufseite“ in Abgrenzung zu Dienstleistungen der „Verkaufsseite“, d.h. das Anbieten von Finanzinstrumenten an Anleger bzw. deren Verkauf an Kunden, in den Anwendungsbereich des FIDLEG fallen.
– Pflicht der Dienstleistungserbringer, die Kunden über a) die Art der Anlageberatung (transaktionsbasiert oder portfoliobasiert), b) die Risiken von Differenzkontrakten (CFD) und c) die Risikokonzentrationen bei der Erbringung von Portfoliomanagement- und portfoliobasierten Anlageberatungsdienstleistungen zu informieren.
– Im Rahmen der Angemessenheits- und Eignungsanforderungen müssen die Dienstleister Informationen über die Kenntnisse und Erfahrungen der Privatkunden in Bezug auf jede angebotene Anlagekategorie sammeln.
– Pflicht der Dienstleistungserbringer, die Kunden über die Verwendung eigener Finanzinstrumente, alternativ die eines Dritten oder eine Kombination aus beidem im Rahmen der Erbringung ihrer Dienstleistungen zu informieren und geeignete organisatorische Massnahmen zu ergreifen, um potenzielle Interessenkonflikte so weit wie möglich zu vermeiden. In Ausnahmefällen, in denen der Interessenkonflikt unvermeidbar ist, sind die Dienstleister zur Offenlegung verpflichtet.
– Pflicht der Dienstleistungserbringer zur ordnungsgemässen Offenlegung der Entschädigung durch Dritte (Retrozession) gegenüber den Kunden und zur Sicherstellung, dass die Einzelheiten in standardisierten Verträgen hervorgehoben werden.
– In Fällen, in denen Dienstleister als Gegenpartei Finanzinstrumente aus den Portfolios ihrer Kunden ausleihen bzw. als Vermittler für diese Geschäfte auftreten, muss in Übereinstimmung mit dem FIDLEG die vorherige und ausdrückliche Zustimmung der Kunden eingeholt werden. Das Rundschreiben nennt nun ein Minimum an Informationen, die den Kunden zur Verfügung gestellt werden müssen, damit ihre Zustimmung in diesem Zusammenhang als gültig betrachtet werden kann.
[i] Siehe hier https://www.finma.ch/de/news/2024/11/20241121-mm-rs-verhaltenspflichten-fidleg/.
Am 17. Oktober 2024[i] verabschiedete die Europäische Kommission die ersten Durchführungsbestimmungen für die Cybersicherheit kritischer Einrichtungen und Netze in Übereinstimmung mit der NIS2-Richtlinie in Form einer Durchführungsverordnung[ii]. Die Verordnung soll Ende November in Kraft treten, genauer gesagt 20 Tage nach ihrer Veröffentlichung im Amtsblatt, die am 7. November 2024 erfolgte.
Die Annahme der Verordnung fällt auch mit dem letzten Tag der Frist zusammen, die den EU-Mitgliedstaaten für die Umsetzung der NIS2-Richtlinie in nationales Recht gesetzt wurde.
In den Durchführungsbestimmungen werden im Wesentlichen Massnahmen für das Risikomanagement im Bereich der Cybersicherheit sowie Meldepflichten für Unternehmen, die digitale Infrastrukturen und Dienste bereitstellen, für den Fall, dass „erhebliche“ Vorfälle auftreten, festgelegt. Insbesondere Unternehmen, die digitale Dienste anbieten, wie z. B. Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke, würden in den Anwendungsbereich fallen.
In der NIS2-Richtlinie[iii] wird der bisherige Anwendungsbereich, der ursprünglich zwei Kategorien von i) Betreibern wesentlicher Dienste (OES) und ii) Anbietern relevanter digitaler Dienste (RDSP) umfasste, neu kategorisiert und deutlich erweitert, indem die erfassten Einrichtungen entweder als wesentliche Einrichtungen (EE) oder als wichtige Einrichtungen (IE) eingestuft werden.
EE umfasst die Sektoren Energie, Verkehr, Finanzen, öffentliche Verwaltung, Gesundheit, Raumfahrt, Wasserversorgung und digitale Infrastrukturen wie Cloud-Computing-Dienstleister und IKT-Verwaltung.
IE umfasst Sektoren wie Postdienste, Abfallwirtschaft, Chemikalien, Forschungseinrichtungen, Lebensmittelverarbeitung, Fertigung und digitale Anbieter wie soziale Netzwerke, Suchmaschinen und Online-Marktplätze.
Da Kleinst- und Kleinunternehmen grundsätzlich vom Anwendungsbereich ausgenommen sind, sieht die Richtlinie eine Grössenschwelle vor. Mit anderen Worten, ein Schwellenwert von 250 Beschäftigten, ein Jahresumsatz von €50 Mio. oder eine Bilanzsumme von €43 Mio. für die EE-Unternehmen bzw. ein Schwellenwert von 50 Beschäftigten, ein Jahresumsatz von €10 Mio. oder eine Bilanzsumme von €10 Mio. für die Unternehmen auf der IE-Liste.
Dennoch kann eine Einrichtung unabhängig von ihrer Grösse als ‘wesentlich’ oder ‘wichtig’ eingestuft werden, wenn sie der einzige Erbringer eines kritischen Dienstes für gesellschaftliche oder wirtschaftliche Aktivitäten in einem bestimmten Mitgliedstaat bzw. ein Anbieter von Vertrauensdiensten oder eine zentrale oder regionale Regierungseinrichtung ist.
Ähnlich wie bei der Datenschutz-Grundverordnung verpflichtet die Richtlinie die Mitgliedstaaten, bei Nichteinhaltung Sanktionen zu verhängen, die je nach Klassifizierung unterschiedlich hoch sind. €10 Mio. oder mindestens 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist, für EE-Unternehmen bzw. €7 Mio. oder mindestens 1,4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Wert höher ist, für IE-Unternehmen.
Insbesondere die Leitungsorgane der betroffenen Unternehmen, wie z. B. der Verwaltungsrat, würden bei Nichteinhaltung ebenfalls haftbar gemacht werden.
Das Schweizer Informationssicherheitsgesetz (ISG) hingegen gilt in erster Linie für die Bundesverwaltung, die kantonalen Behörden und ihre Partnerunternehmen im Inland, und soll in seiner überarbeiteten Fassung am 1. Januar 2025 in Kraft treten. In diesem Zusammenhang könnten Partnerunternehmen in ähnlichen Sektoren tätig sein wie diejenigen, die in der EU in den Anwendungsbereich der Richtlinie fallen, z.B. im Finanz- und Informations- und Kommunikationssektor sowie bei Dienstleistern und Herstellern von Hard- und Softwareprodukten, die in kritischen Infrastrukturen eingesetzt werden.
Daher würden Zulieferunternehmen indirekt in den Anwendungsbereich des ISG fallen, ähnlich wie bei der Richtlinie in der EU. Die Schweizer Unternehmen, die Teil einer Lieferkette sind, die letztlich auf die von der Richtlinie erfassten Unternehmen mit Sitz in der EU abzielt, wären folglich von den Anforderungen und Verpflichtungen im Rahmen beider Instrumente betroffen.
Insbesondere die Tochtergesellschaften und Zweigniederlassungen von in der EU registrierten Schweizer Unternehmen, die entweder unter die EE- oder die IE-Klassifizierung fallen, müssen die Richtlinie in der EU einhalten und die Anforderung erfüllen, sich bei der nationalen Behörde eines angeschlossenen Mitgliedstaats zu registrieren. In diesem Szenario kann die Muttergesellschaft oder das verbundene Unternehmen in der Schweiz durch die Verbindung zur Lieferkette ebenfalls indirekt von der Richtlinie erfasst werden.
[i] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_24_5342.
[ii] Siehe hier https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj.
[iii] Siehe hier https://eur-lex.europa.eu/eli/dir/2022/2555#.
Nach dem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 4. Oktober 2024[1] in der Rechtssache C 446/21 zwischen Maximilian Schrems und Meta Platforms Ireland Ltd („Meta“) wurden der Umfang der Erhebung personenbezogener Daten auf Social-Media-Plattformen und die dafür geltenden Beschränkungen, insbesondere im Zusammenhang mit gezielter Werbung, einer strengeren Prüfung unterzogen.
Dabei wurden die Grundsätze der Datenschutz-Grundverordnung (DSGVO) der Datenminimierung und der Zweckbindung besonders eingehend geprüft.
Meta verwaltet im Allgemeinen die Bereitstellung von Diensten des sozialen Online-Netzwerks Facebook in der EU und gilt als für die Verarbeitung Verantwortlicher im Sinne der Datenschutz-Grundverordnung. Im vorliegenden Fall geht es um Daten, die Meta aus den Aktivitäten von Facebook-Nutzern nicht nur auf Facebook, sondern auch ausserhalb von Facebook erhebt, einschliesslich der Daten im Zusammenhang mit Besuchen von Online-Plattformen und Navigationsmustern sowie Websites und Anwendungen Dritter. Dazu verwendet Meta Cookies, Social Plug-ins und Pixel, die auf den betreffenden Websites eingebettet sind, um gezielte Werbung zu schalten.
Die Entscheidung des EuGH bringt weitere Klarheit in folgenden Punkten:
. der Anwendungsbereich des Grundsatzes der Datenminimierung gemäss Art. 5 Absatz 1 Buchstabe c DSGVO umfasst alle personenbezogenen Daten, die ein für die Verarbeitung Verantwortlicher bei betroffenen Personen oder Dritten auf oder ausserhalb der Plattform zum Zwecke der Aggregation, Analyse und Verarbeitung im Zusammenhang mit gezielter Werbung erhebt, wobei die Aufbewahrungsfrist in jedem Fall begrenzt und die Art der personenbezogenen Daten unterschieden werden muss. Darüber hinaus gilt der Grundsatz unabhängig von der Rechtsgrundlage für die Verarbeitung, und selbst wenn eine betroffene Person gezielter Werbung zugestimmt hat, dürfen ihre personenbezogenen Daten nicht unbegrenzt verwendet werden.
. Artikel 9 Absatz 2 Buchstabe e der Datenschutz-Grundverordnung über die Verarbeitung besonderer Kategorien personenbezogener Daten müsste restriktiv ausgelegt werden, wobei die blosse Erwähnung einer Tatsache durch eine betroffene Person in einem öffentlichen Umfeld nicht ohne Weiteres dazu führen sollte, dass andere Informationen im Zusammenhang mit dieser besonderen Tatsache als „offenkundig öffentlich gemacht“ eingestuft werden und somit rechtmässig verarbeitet werden dürfen.
Als Folge des EuGH-Urteils müsste jeder Betreiber einer Social-Media-Plattform oder eines Online-Werbeunternehmens seinen Datenbestand einschränken und eine wirksame Richtlinie zur Datenlöschung einführen.
[1] Siehe hier https://curia.europa.eu/juris/document/document.jsf;jsessionid=5CE53D5E3FCC1ABA77F2ACD5AAC2F038?text=&docid=290674&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1306139.
Am 18. September 2024 hat die Schweiz ihre Beitrittsurkunde zum Haager Übereinkommen vom 30. Juni 2005 über Gerichtsstandsvereinbarungen hinterlegt und gleichzeitig eine Erklärung gemäss Artikel 22 zur Nichtausschliesslichkeit abgegeben.
Der Beitritt zum Haager Übereinkommen, der den Hintergrund für den Beschluss des Bundesparlaments von 2023[i] zur Annahme der Änderung des Bundesgesetzes über das internationale Privatrecht (IPRG) bildet, soll am 1. Januar 2025 in Kraft treten.
Dieser Schritt wird die Gültigkeit von Gerichtsstandsvereinbarungen, die Zuständigkeit vereinbarter Gerichte in internationalen Handelsstreitigkeiten und die grenzüberschreitende Anerkennung und Vollstreckung von Gerichtsurteilen regeln, was wiederum zu mehr Rechtssicherheit zugunsten der Schweiz als bevorzugtem Standort für grenzüberschreitende Geschäfte führen dürfte, nicht nur im Hinblick auf eine bessere Vorhersehbarkeit bei internationalen Streitigkeiten, sondern möglicherweise auch aufgrund geringerer Verfahrenskosten.
Da der Beitritt zum Haager Übereinkommen weitgehend mit dem schweizerischen Recht vereinbar ist, wird er in der Praxis nur zu einer Änderung des IPRG in Bezug auf dessen Artikel 5 und 6 über die Gerichtsstandsvereinbarung bzw. die Einlassung führen.
Darüber hinaus regelt Artikel 26 des Haager Übereinkommens mögliche Konflikte mit anderen internationalen Instrumenten wie dem Lugano-Übereinkommen, wobei letzteres im Falle von Widersprüchen Vorrang hat.
Als erster Staat überhaupt hat die Schweiz eine Erklärung nach Artikel 22 des Haager Übereinkommens abgegeben: “[…] Switzerland declares that its courts will recognise and enforce judgments given by courts of other Contracting States designated in a choice of court agreement concluded by two or more parties that meets the requirements of Article 3, paragraph c), and designates, for the purpose of deciding disputes which have arisen or may arise in connection with a particular legal relationship, a court or courts of one or more Contracting States.”
Die Anwendung dieser Bestimmung würde jedoch die Gegenseitigkeit zwischen dem Ursprungsstaat und dem Staat, in dem die Anerkennung oder Vollstreckung beantragt wird, voraussetzen, wobei die Erklärungen beider Staaten bereits vorliegen müssten, damit die Nichtausschliesslichkeit wirksam wird.
[i] Siehe hier https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen/bundesrat.msg-id-102325.html.
Am 22. Mai 2024 hat der Schweizer Bundesrat[i] beschlossen, dem Parlament weitere Reformen im Bereich der Geldwäschereibekämpfung vorzulegen, um die Wettbewerbsfähigkeit des Finanz- und Wirtschaftsstandorts Schweiz zu stärken.
Zu diesen Reformen, die voraussichtlich Anfang 2026 in Kraft treten werden, gehört die Einführung eines nicht-öffentlichen eidgenössischen (Transparenz-)Registers der wirtschaftlich Berechtigten. Eine vereinfachte Registrierung wird nicht nur für Vereine und Stiftungen, sondern auch für Einzelunternehmen und Gesellschaften mit beschränkter Haftung vorgesehen. Das Register wird vom Eidgenössischen Justiz- und Polizeidepartement (EJPD) geführt.
Weitere Reformen betreffen die Sorgfaltspflichten zur Bekämpfung der Geldwäscherei, die für bestimmte Beratungstätigkeiten gelten, insbesondere für die Rechtsberatung. Unter Wahrung des Berufsgeheimnisses werden diese Pflichten bei bestimmten Tätigkeiten mit potenziell erhöhtem Geldwäschereirisiko greifen, etwa bei der Gründung und Strukturierung von Unternehmen sowie bei Immobilientransaktionen.
Genauer gesagt, wird Folgendes entscheidend sein:
. Die Identität des Kunden muss überprüft und der wirtschaftlich Berechtigte sowie der Gegenstand und der Zweck des Geschäfts oder der Dienstleistung müssen festgestellt werden;
. Wenn der Kunde oder das Geschäft bzw. die Dienstleistung ein besonders hohes Risikoprofil aufweist, kann es erforderlich sein, die Herkunft der Gelder zu klären oder zusätzliche Erklärungen zum Zweck des gewünschten Geschäfts oder der Dienstleistung zu verlangen;
. Die im Rahmen der Sorgfaltspflicht ergriffenen Massnahmen müssen in angemessener Weise aufgezeichnet werden.
In diesem Zusammenhang wird den Selbstregulierungsorganisationen (SRO) die Verantwortung für die Überwachung der Einhaltung der Sorgfaltspflichten durch die betroffenen Anwälte und Rechtsberater übertragen.
Zudem werden zusätzliche organisatorische (Sorgfalts-)Massnahmen gegen i) die Umgehung von Sanktionen des Embargogesetzes, ii) Barzahlungen von mehr als 15’000 Franken im Edelmetallhandel und iii) jegliche Beträge im Immobiliengeschäft eingeführt.
Am 22. Mai 2024 hat der Bundesrat[ii] eine bis Mitte September 2024 dauernde Vernehmlassung zur Cybersicherheitsverordnung eröffnet, die im Wesentlichen die Umsetzung der Meldepflicht von Cyberangriffen auf kritische Infrastrukturen und die nationale Cybersicherheitsstrategie sowie die Aufgaben des Bundesamts für Cybersicherheit (BACS) regelt.
In der Verordnung werden auch die von der Meldepflicht ausgenommenen Stellen genannt, nämlich solche, die von einem Cyberangriff betroffen sind, der keine direkten Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. Darüber hinaus gilt eine allgemeine Ausnahme für Unternehmen mit weniger als 50 Mitarbeitern, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken und für Behörden, die für weniger als 1.000 Einwohner zuständig sind.
Schliesslich hat der Bundesrat am 15. Mai 2024[iii] beschlossen, eine Vernehmlassung zur Verlängerung des internationalen automatischen Informationsaustauschs in Steuersachen (AIA) einzuleiten, die bis Anfang September 2024 läuft. Die Verlängerung, die ab dem 1. Januar 2026 gelten soll, betrifft den neuen AIA in Bezug auf Kryptowerte und die Änderung des Standards für den automatischen Austausch von Informationen über Finanzkonten.
In diesem Zusammenhang wurde im Oktober 2022 die OECD-Aktualisierung des gemeinsamen Melde- und Sorgfaltspflichtstandards für Informationen über Finanzkonten (CRS) und des neuen Rahmens für die Meldung von Krypto-Assets (CARF) veröffentlicht. Während die Änderungen des CRS Auslegungsfragen klären und Praxiserfahrungen berücksichtigen, regelt das CARF den Umgang mit Kryptowerten und deren Anbietern.
Vorbehaltlich der Zustimmung des Parlaments will die Schweiz damit auch das CARF umsetzen, um bestehende Lücken im Steuertransparenzmechanismus wirksam zu schliessen und die Gleichbehandlung mit traditionellen Vermögenswerten und Finanzinstituten sicherzustellen.
[i] Siehe hier: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-101100.html
[ii] Siehe hier: https://www.ncsc.admin.ch/ncsc/de/home/dokumentation/medienmitteilungen/newslist.msg-id-101088.html
[iii] Siehe hier: https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen/bundesrat.msg-id-101030.html
Einhergehend mit der Revision des Schweizer Aktienrechts im Jahr 2023, von der auch Stiftungen gerade unter dem Gesichtspunkt der Insolvenz- und Offenlegungspflichten zwangsläufig betroffen waren, wurde das Stiftungsrecht ab 2024[1] im Sinne grösserer Flexibilität noch weiter vereinfacht.
Die anwendbaren Änderungen, insbesondere im Rahmen der Artikel 84 – 86 des Schweizerischen Zivilgesetzbuches (ZGB), lassen sich wie folgt zusammenfassen:
- Verfahren bei drohender Zahlungsunfähigkeit und Überschuldung: das Kuratorium muss unverzüglich die Aufsichtsbehörde benachrichtigen – Artikel 84a
- Offenlegung der Vergütungen: jährliche Meldung des direkt oder indirekt gezahlten Betrags durch das Kuratorium an die Aufsichtsbehörde – Artikel 84b
- formeller Beschwerdemechanismus: einzureichen bei der Aufsichtsbehörde gegen Handlungen und Unterlassungen der Stiftungsorgane – Artikel 84. Abs. 3
- Erweiterung der Stifterrechte: Erweiterung des Änderungsvorbehalts des Stiftungszwecks und der Stiftungsorganisation, wobei im Falle von Mitstiftern der Änderungsantrag gemeinsam gestellt werden muss – Artikel 86a
- Vereinfachung geringfügiger Änderungen der Stiftungsurkunde: wenn diese sachlich gerechtfertigt sind und keine Rechte Dritter beeinträchtigen – Artikel 86b
- Klarstellung zur Form: Änderungen der Stiftungsurkunde gemäss Artikel 85 – 86b bedürfen einer vorherigen förmlichen Entscheidung, ohne dass eine öffentliche Urkunde erforderlich ist – Artikel 86c
Andererseits wurde das Schweizer Bundesgesetz über das Internationale Privatrecht (IPRG) kürzlich[2] einer Teilrevision aus der Perspektive des grenzüberschreitenden Erbrechts unterzogen, indem das Schweizer Parlament im Dezember 2023 Änderungen zu Kapitel 6 des Gesetzes verabschiedete.
Während der Zeitpunkt des Inkrafttretens der Änderungen noch nicht genau festgelegt ist, wurde eine Referendumsfrist bis zum 18. April 2024 festgelegt.
Der Zweck der Überarbeitung besteht in erster Linie darin, die Angleichung des Gesetzes an die EU-Erbrechtsverordnung von 2012 zu verbessern, die seit 2015 in allen EU-Mitgliedstaaten – mit Ausnahme von Dänemark und Irland – gilt.
Da der letzte Wohnsitz des Verstorbenen weiterhin das primäre Anknüpfungskriterium ist, zielen die Änderungen darauf ab, Zuständigkeitskonflikte in Fällen mit grenzüberschreitendem Bezug zu verringern und die Autonomie der Parteien bei der Wahl des anwendbaren Rechts bei der Nachlassplanung zu stärken.
Zu den Änderungen gehören:
- Möglichkeit, die schweizerische Gerichtsbarkeit für Schweizer Staatsangehörige mit Wohnsitz im Ausland auszuschliessen;
- Wahl des ausländischen Gerichtsstands für Ausländer mit Wohnsitz in der Schweiz, ausser bei der Liquidation des ehelichen Güterstandes;
- subsidiäre Zuständigkeit schweizerischer Behörden bei Untätigkeit einer ausländischen Behörde;
- Recht auf Wahl des Rechts eines der Nationalstaaten für die Nachlassplanung sowohl für Ausländer mit Wohnsitz in der Schweiz als auch für Schweizer mit doppelter Staatsbürgerschaft – mit Ausnahme der schweizerischen Zwangserbschaftsregelung, die weiterhin auf den Nachlass der letzteren anwendbar bleibt;
- Anwendung der lex fori in Bezug auf die Rechte des Testamentsvollstreckers oder Verwalters über das Nachlassvermögen und dessen Verfügungsbefugnis.
Aus praktischer Sicht müssen jedoch der Ausschluss des schweizerischen Gerichtsstands sowie die Wahl eines nationalen Gerichtsstands und des anwendbaren Rechts in der letztwilligen Verfügung eines Erblassers oder einer Erblasserin ausdrücklich festgelegt werden.
[1] Siehe hier https://www.fedlex.admin.ch/eli/oc/2022/452/de.
[2] Siehe hier https://www.parlament.ch/centers/eparl/curia/2020/20200034/Schlussabstimmungstext%201%20NS%20D.pdf.
Das EU-Datenverordnung,[1] das den fairen Zugang zu und die Nutzung von Daten regeln soll, ist nach seiner Veröffentlichung im Amtsblatt der Europäischen Union im Januar 2024 in Kraft getreten. Das Gesetz soll ab September 2025 flächendeckend gelten.
Das Gesetz legt Regeln für die Nutzung, den Zugriff, die Verfügbarkeit und die Weitergabe generierter personenbezogener und nicht personenbezogener Daten fest und richtet sich an Hersteller vernetzter Produkte und Anbieter damit verbundener Dienstleistungen unabhängig von ihrem Niederlassungsort – alle zusammengefasst unter dem Oberbegriff „Dateninhaber“ in Form einer natürlichen oder juristischen Person.
In diesem Zusammenhang wird „vernetztes Produkt“ definiert als „ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann, und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – ausser dem Nutzer – ist.“ Darüber hinaus bezieht sich der Begriff „verbundene Dienste“ auf „einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, einschließlich Software, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschliessend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“.
In Abgrenzung zum Begriff „Nutzer“ bezeichnet „Datenempfänger“ „eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschliesslich eines Dritten“, auf Anfrage des Nutzers an den Dateninhaber.“
Die folgenden im Gesetz festgelegten Elemente sind von Bedeutung:
• Einführung des Datenzugriffs durch Design und Standardeinstellung;
• Wo ein direkter Zugriff nicht möglich ist, müssen Dateninhaber auf Anfrage der Nutzer sowohl im B2B- als auch im B2C-Bereich Zugriff auf Daten über Produkte und zugehörige Dienstleistungen einschliesslich Metadaten gewähren – mit Ausnahme strengerer Bedingungen aus Sicherheitsgründen und bei der Weitergabe von Daten, die Geschäftsgeheimnisse darstellen;
• Dateninhaber müssen den Datenempfängern Daten auf Anfrage der Nutzer zu fairen, angemessenen und nichtdiskriminierenden Bedingungen unter Wahrung der Transparenz zur Verfügung stellen;
• Dateninhaber stellen öffentlichen Stellen der EU auf Anfrage Daten aus Gründen des öffentlichen Interesses zur Verfügung;
• Anbieter von Datenverarbeitungsdiensten wie Cloud-Computing-Diensten ergreifen die erforderlichen Massnahmen, um eine wirksame Interoperabilität für Datenzugriff, -übertragung und -nutzung zwischen verschiedenen Anbietern zu ermöglichen, und legen Vertragsbedingungen für den Wechsel von Diensten fest;
• Datenverarbeitungsdienstleister müssen technische, organisatorische und rechtliche Massnahmen ergreifen, um rechtswidrige grenzüberschreitende Übermittlungen von und Zugriff auf nicht personenbezogene Daten, die im EU-Block gespeichert sind, aus Drittländern zu verhindern;
• Einführung von Datenlizenzverträgen zwischen Dateninhabern, d.h. Herstellern und Nutzern;
• Einführung einer Reihe von Anforderungen für Smart-Contract-Anwendungen im Zusammenhang mit der Umsetzung von Vereinbarungen über die gemeinsame Nutzung von Daten;
• Einführung unverbindlicher Mustervertragsbedingungen für Datenzugriff und -nutzung, angemessene Vergütung und den Schutz von Geschäftsgeheimnissen durch die Kommission, sowie Standardvertragsklauseln für Cloud-Computing-Dienste, die auf fairen, angemessenen und nichtdiskriminierenden vertraglichen Rechten und Pflichten basieren.
Die Datenverordnung ist unbeschadet der EU-DSGVO zu lesen, wobei die im Rahmen der ersteren gewährten Datenzugriffsrechte getrennt von den im Rahmen der letzteren gewährten Zugriffsrechten für Einzelpersonen behandelt werden.
Schliesslich wird die inhärente Extraterritorialität des Gesetzes direkte Konsequenzen für Hersteller und Anbieter ausserhalb der Union haben, einschliesslich für in der Schweiz ansässige Unternehmen. Mit anderen Worten: Jede kommerzielle Tätigkeit, die in den Geltungsbereich des Gesetzes fällt und deren Produkte und Dienstleistungen auf dem EU-Markt angeboten werden, bzw. jede Beteiligung am Datenaustausch mit Interessengruppen innerhalb der EU müsste innerhalb des festgelegten Zeitrahmens der erforderlichen Sorgfaltsprüfung unterzogen werden, um die rechtzeitige Einhaltung der Vorschriften zu gewährleisten.
[1] Siehe hier https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1707924358044&uri=CELEX%3A32023R2854.
Das Nationale Zentrum für Cybersicherheit (NCSC), die Schweizerische Kriminalprävention (SKP) und die kantonalen sowie die städtischen Polizeikorps haben dieses Jahr eine neue Sensibilisierungskampagne zur Cybersicherheit veröffentlicht. Diese Kampagne trägt den Namen S-U-P-E-R.ch und hat eine eigene Webseite. Die Kampagne dient unter anderem der Passwortsicherheit sowie generell zum bewussten und sicheren Verhalten im digitalen Raum.
Jeder Buchstabe der Kampagne S-U-P-E-R.ch steht für einen empfohlenen Schritt zum richtigen Umgang mit digitalen Daten. In den Bereichen Cyberkriminalität aber auch Datenschutz lassen sich häufig Verletzungen feststellen, die sich mit einfachen, vorbeugenden Massnahmen hätten verhindert werden können. Deshalb unterstützen wir gerne die S-U-P-E-R Kampagne und stellen im Folgenden die wichtigsten Punkte kurz vor.
Das wichtigste in Kürze – 5 Massnahmen gegen Verletzungen in der digitalen Welt:
P: Prüfen der Aktivierung eines Virenschutzprogramm oder einer Firewall
E: Einloggen mittels einem starken Passwort
R: Reduzieren des Betrugsrisikos
Nachfolgend die detaillierte Erläuterung zu den einzelnen Buchstaben.
S: Sichern der Daten
Regelmässiges Sichern der Daten mit einem Backup wird empfohlen. Auf der Webseite der Kampagne finden Sie eine Anleitung für die Erstellung eines solchen Backups für Mac und Windows.
Ebenfalls ist eine richtige Löschung der Daten empfohlen, die sie nicht mehr brauchen.
Folgendes sind die wichtigsten Merkpunkte zum Thema Sichern der Daten:
- Regelmässiges Sichern Ihrer Daten auf einer externen Festplatte oder in einer Cloud.
- Erstellen Sie mehrere Backups (z.B. eines auf einer externen Festplatte und ein weiteres in der Cloud).
- Prüfen Sie, ob die Daten im Backup enthalten sind und Sie sie wiederherstellen können.
- Schliessen Sie eine externe Festplatte nur bei Gebrauch an und nicht permanent, damit allfällige Schadsoftware nicht übertragen werden kann.
U: Updaten
Die Software-Hersteller aktualisieren ihre Software regelmässig, um unter anderem Fehler zu beheben, aber auch um Eintrittstore von Angreifern zu schliessen, die ein fremdes Gerät unter Kontrolle bringen wollen. Diese Änderungen werden den Kunden in Form von Updates zur Verfügung gestellt. Es empfiehlt sich daher, die Software-Programme und das System regelmässig auf den neusten Stand zu bringen.
Die wichtigsten Merkpunkte in Sachen Updaten sind:
- Installieren Sie nur nötige Programme und Apps und laden Sie diese immer von der Herstellerseite oder einem offiziellen Store herunter.
- Aktivieren Sie die automatische Update-Funktion für das Betriebssystem und alle installierten Programme und Apps.
- Verwenden Sie für den Zugang ins Internet jeweils nur die aktuellste Version des jeweiligen Browsers.
P: Prüfen
Es wird empfohlen zu prüfen, ob auf verwendeten Geräten (Computer, aber auch Tablet oder Smartphone) ein Virenschutzprogramm und eine Firewall aktiviert sind. Regelmässige Scans und vollständige Systemprüfungen verhindern einen Ausbruch nach einem Schädlingsbefall. Dies sind Massnahmen, die ihre Geräte vor Viren schützen. Genauere Informationen und Erläuterungen zur Installation eines Virenschutzprogramms für die verschiedenen Betriebssysteme finden Sie auch auf der Webseite der Kampagne.
Die wichtigsten Punkte zum Thema Prüfen sind:
- Nutzen Sie ein Virenschutzprogramm und aktivieren Sie dessen automatische Update-Funktion.
- Prüfen Sie Ihr Gerät regelmässig auf Schädlingsbefall, indem Sie eine vollständige Systemprüfung durchführen.
- Aktivieren Sie in Windows oder macOS die eingebaute Firewall, bevor Sie Ihr Gerät mit dem Internet oder einem anderen Netzwerk verbinden.
E: Einloggen
Um persönliche Daten, wie z.B. hinterlegte Kreditkartendaten, zu schützen, wird empfohlen, sich nur mit starken Passwörtern einzuloggen. Ein starkes Passwort sollte mindestens zwölf Zeichen lang sein und Sonderzeichen, Zahlen sowie Gross- und Kleinbuchstaben enthalten. Weitere Hilfen sind Passwortmanager und Zweifaktor- (2FA) oder Mehrfach-Authentisierung. Dies erschwert es Cyberkriminellen die Benutzerdaten zu hacken (zum Beispiel durch brute-force) und trägt somit auch zur Verhinderung des Missbrauchs dieser Daten für illegale Zwecke bei.
Im folgenden werden die wichtigsten Merkpunkte in Sachen Einloggen aufgeführt:
- Schützen Sie Ihren Computer und Ihre mobilen Geräte (Smartphones, Tablets etc.) vor unbefugtem Zugriff und sperren Sie den Bildschirm, wenn Sie nicht aktiv am Gerät arbeiten.
- Verwenden Sie sichere Passwörter (mind. 12 Zeichen lang, aus Ziffern, Gross- und Kleinbuchstaben sowie Sonderzeichen bestehend).
- Benutzen Sie nicht überall dasselbe Passwort, sondern für verschiedenen Angebote verschiedene Passwörter.
- Ein Passwort-Manager erzeugt für jeden Ihrer Zugänge ein eigenes, starkes Passwort und bewahrt es sicher auf. Sie müssen keine Passwörter mehr auswendig lernen – ausser dasjenige zum Passwort-Manager.
- Aktivieren Sie nach Möglichkeit die sogenannte Zwei-Faktor-Authentisierung.
R: Reduzieren des Betrugsrisikos
Der letzte Schritt besteht darin, das Betrugsrisiken zu verringern. Dabei ist es dienlich stets wachsam zu sein und den gesunden Menschenverstand walten zu lassen. Die verbreitetsten Arten der Cyberkriminalität erfolgen unter anderem in Form von E-Mails und Kurznachrichten.
Darüber hinaus empfiehlt es sich, insbesondere bei mobilen Geräten, die Zugriffsrechte gewisser Apps, die zum Erfüllen der Funktionalität tatsächlich notwendig sind, kritisch zu prüfen und gegebenenfalls zu deaktivieren.
Die wichtigsten Punkte zur Reduzierung des Betrugsrisikos sind:
- Seien Sie beim Surfen im Internet stets misstrauisch und überlegen Sie sich gut, wo und wem Sie Ihre persönlichen Informationen preisgeben.
- Finanzinstitute, Telekommunikations- und sonstige Dienstleistungsunternehmen fragen nie nach einem Passwort (weder per E-Mail noch per Telefon) und verlangen auf diese Weise auch keine Passwortwechsel.
- Beachten Sie bei der Verwendung von mobilen Geräten (Smartphones, Tablets) die gleichen Vorsichtmassnahmen wie an Ihrem Computer zuhause.
- Holen Sie sich bei Unsicherheiten oder Verdacht auf einen Angriff Unterstützung.
Gerne helfen wir Ihnen bei allfälligen Fragen oder Unklarheiten und stehen Ihnen zur Beratung in Sachen Cyberkriminalität und Datenschutz gerne zur Verfügung.
Mehr als ein Jahr nach dem Vorschlag[1] der Europäischen Kommission für einen neuen Cyber Resilience Act zum Schutz von Verbrauchern und Unternehmen vor (digitalen) Produkten mit unzureichenden Sicherheitsmerkmalen durch die Einführung verbindlicher Anforderungen wurde nun eine politische Einigung[2] am 1. Dezember 2023 zwischen den beiden anderen Teilen des «Trilogs», nämlich dem Europäischen Parlament und dem Rat.
Der recht umfassende Vorschlag soll sowohl Hardware- als auch Softwareprodukte abdecken, die unterschiedliche Risikoniveaus aufweisen können und daher unterschiedliche Sicherheitsmassnahmen erfordern. Infolgedessen soll die Art der Konformitätsbewertung für jedes Produkt an das jeweilige Risikoniveau angepasst werden.
Folglich müssen Hersteller von Hard- und Software, Entwickler und Händler, die ihre Produkte in die EU importieren und auf dem EU-Markt anbieten wollen, im Wesentlichen Cybersicherheitsmassnahmen für den gesamten Lebenszyklus ihrer Produkte umsetzen, von der Entwurfs- und Entwicklungsphase bis zum Inverkehrbringen. Konkret geht es nicht nur um Produkte, die an Endnutzer und Verbraucher verkauft werden, sondern auch um solche, die in Unternehmen für die Produktion verwendet werden, die als Vorprodukte bezogen und weiterverarbeitet werden oder die Teil von Lieferketten sind.
Insbesondere werden Produkte, die bereits unter andere bestehende EU-Rechtsvorschriften fallen, wie z. B. in den Anwendungsbereich der NIS2-Richtlinie, ausgenommen sein.
In diesem Zusammenhang wird die Einhaltung der vorgeschlagenen Rechtsvorschriften im Wesentlichen in Form einer CE-Kennzeichnung erfolgen, mit der bestätigt wird, dass die auf dem Markt des Europäischen Wirtschaftsraums (EWR) verkauften Produkte ordnungsgemäss auf die Einhaltung der Sicherheits-, Gesundheits- und Umweltschutzanforderungen geprüft worden sind.
Darüber hinaus werden die Hersteller verpflichtet, den Verbrauchern eine genaue Angabe über die voraussichtliche Nutzungsdauer eines bestimmten Produkts zu machen.
Die vorgeschlagenen Rechtsvorschriften, die für alle Produkte gelten, die direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind, müssen nun förmlich genehmigt werden und dürften nach ihrer Veröffentlichung im Amtsblatt in Kraft treten.
Da die EU für viele Branchen und Sektoren in der Schweiz der wichtigste Absatzmarkt ist, sind die direkten Auswirkungen der vorgeschlagenen Rechtsvorschriften auf die Schweizer Akteure und Interessengruppen unbestreitbar. Wichtig ist, dass die Schweizer Exporteure von Produkten, die im Sinne des vorgeschlagenen Textes als «kritisch» eingestuft werden könnten, erstens nachweisen müssen, dass die entsprechenden digitalen Komponenten die festgelegten Sicherheitsstandards erfüllen, und zweitens Konformitätsbewertungen vorlegen müssen, wenn dies für erforderlich gehalten wird.
[1] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/IP_22_5374.
[2] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_23_6168.