Die Fintech-Bewilligung gemäss Art. 1b Bankengesetz ermöglicht innovativen Finanzunternehmen den Markteintritt ohne volle Banklizenz. Bis zu CHF 100 Mio. an Kundengeldern dürfen entgegengenommen werden – solange keine Zinsgeschäfte erfolgen. Sie richtet sich insbesondere an Neobanken, Crowdfunding- und Zahlungsplattformen.

Actively Managed Certificates (AMCs) erfreuen sich wachsender Beliebtheit, insbesondere bei innovativen Anlagestrategien und massgeschneiderten Investmentlösungen. Sie gelten als strukturierte Produkte und erlauben es, aktiv verwaltete Strategien in einer einfachen Produktform umzusetzen. Im Gegensatz zu klassischen Fonds unterliegen sie nicht dem Kollektivanlagengesetz (KAG), sondern den Regeln des Finanzdienstleistungsgesetzes (FIDLEG) und der entsprechenden Verordnung (FIDLEV).

Künstliche Intelligenz (KI) wird in regulierten Branchen wie dem Finanzwesen oder Gesundheitssektor zunehmend eingesetzt. Damit Unternehmen diese Technologien verantwortungsvoll nutzen können, braucht es klare Regeln, Strukturen und Kontrollen. Dieser Beitrag beleuchtet zentrale Anforderungen und Umsetzungsmöglichkeiten für eine wirksame KI-Governance in der Schweiz.

Als Lebensmittelbetrieb tragen Sie die Hauptverantwortung für sichere Produkte. Sie bestimmen eine verantwortliche Person, die sicherstellt, dass alle lebensmittelrechtlichen Vorgaben eingehalten werden. Zusätzlich kontrollieren das Bundesamt für Lebensmittelsicherheit und Veterinärwesen (BLV) sowie kantonale Labore regelmässig, ob Ihr Betrieb alle gesetzlichen Anforderungen erfüllt. Diese Kontrollen erfolgen risikobasiert und unangemeldet.

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu setzen. Diese Massnahme dient der Stärkung der Cybersicherheit in der Schweiz und der Erhöhung der Resilienz essenzieller Dienste. Die Verordnung über die Cybersicherheit (CSV) enthält die erforderlichen Ausführungsbestimmungen und regelt insbesondere die Ausnahmen der Meldepflicht nach Art. 74c des Informationssicherheitsgesetzes (ISG).

Im heutigen Wirtschaftsumfeld setzen Unternehmen zunehmend auf Outsourcing, um die Effizienz zu steigern, Kosten zu senken und Zugang zu spezialisiertem Know-how zu erhalten. Insbesondere profitieren kleine und mittlere Unternehmen (KMU) von der Auslagerung bestimmter Prozesse, da sie sich auf ihre Kernkompetenzen konzentrieren können. Allerdings ist nicht jede Form des Outsour- cings aus datenschutzrechtlicher Sicht relevant. Entscheidend ist, ob Personendaten durch den ex- ternen Dienstleister bearbeitet werden.

Greenwashing ist momentan ein wichtiges Thema in der Gesetzgebung. Nicht nur die EU sondern auch die Schweiz geht gegen Greenwashing
vor: das Gesetz gegen den unlauteren Wettbewerb (UWG) wird verschärft Die
Novellierung des CO2-Gesetzes und die Ergänzung des UWG sollen künftig dafür
sorgen, dass unrichtige Angaben zur Klimabelastung strikt geahndet werden.

Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so die Widerstandsfähigkeit und Sicherheit von Finanzdienstleistungen stärkt. Sie ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Januar 2025 umgesetzt werden. Betroffen von der DORA sind Anbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT), die Unternehmen im Finanzsektor der EU betreuen. IKT-Anbieter in der Schweiz sind ebenfalls von der DORA betroffen.

Als E-Commerce werden der Einkauf und Verkauf von Produkten und Dienstleistungen über das Internet (Online-Handel) bezeichnet. Für gewisse Unternehmen ist es überhaupt der einzige Vertriebskanal, den sie für ihr Angebot nutzen. Das Betreiben eines Webshops verlangt, dass verschiedene rechtliche Bestimmungen eingehalten werden. In diesem Beitrag machen wir auf mögliche rechtliche Stolpersteine aufmerksam und erläutern, wie ein Webshop rechtlich richtig zu betreiben ist.

Unternehmen aus verschiedenen Branchen locken Kunden mit Wettbewerben, Gewinnspielen und Preisausschreiben an. Solche Gewinnspiele werden seit Januar 2019 im Bundesgesetz über Geldspiele (BGS) vom 29. September 2017 geregelt. Die neue Gesetzgebung unterscheidet Spielbankenspiele, Grossspiele und Kleinspiele und löste das zuvor geltende Bundesgesetz über die Lotterien und die gewerbsmässigen Wetten und das Spielbankengesetz ab. Die neue gesetzliche Regelung brachte zahlreiche grundlegende Änderungen mit sich. So sind beispielsweise nun auch Wettbewerbe zur Verkaufsförderung erlaubt. Unter dem alten Recht durfte die Teilnahme an einem Gewinnspiel nicht an einen Kauf gekoppelt werden. In der Praxis bedeutete dies, dass eine Gratisteilnahme angeboten werden musste, um nicht unter das Lotteriegesetz zu fallen. Das ist unter der neuen Regelung nicht mehr der Fall.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 23. Januar 2024 einen aktualisierten Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) (Link). Die Zielgruppe des Leitfadens sind in erster Linie Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Personendaten beschäftigen. Der EDÖB stellt Massnahmen vor, die als generelle Richtlinien zu verstehen und einzelfallbezogen auf das Projekt und die Organisation anzupassen sind. Dieser Newsletter trägt die wichtigsten Take-aways in Bezug auf private Verantwortliche aus dem Leitfaden zusammen.

Seit dem 1. September 2023 gelten in der Schweiz das revidierte Datenschutzgesetz (DSG) sowie die dazugehörige Datenschutzverordnung (DSV). In diesem Beitrag wird insbesondere der Frage nachge- gangen, wie bei Datenbearbeitungen von Personendaten im Konzern korrekt umzugehen ist. In Bezug auf die konzerninternen Datenbearbeitungen bzw. Datenübermittlungen zwischen einzelnen Tochter- gesellschaften innerhalb eines Konzerns ist die korrekte Qualifizierung dieser Zusammenarbeit von entscheidender Bedeutung, um die Compliance mit dem DSG zu gewährleisten. Denn es gilt im DSG (und auch in der DSGVO) kein sogenanntes datenschutzrechtliches Konzernprivileg. Das heisst, dass jeder Datenaustausch zwischen Gruppengesellschaften eines Konzerns gesondert betrachtet und auch entsprechend qualifiziert werden muss. Zentral ist dabei die Frage, in welcher Rolle die beteiligten Unternehmen beim jeweiligen Datenaustausch auftreten. Einerseits ist ein Auftragsbearbeitungsver- hältnis zwischen einem Auftragsbearbeiter und einem Verantwortlichen und andererseits eine Bear- beitung von gemeinsamen Verantwortlichen als sogenannte Joint-Controller möglich.

Die Europäische Union hat sich auf ein Regelwerk für den Einsatz von KI verständigt. Dieser Rechtsrahmen zielt darauf ab, das Vertrauen der Bevölkerung in KI zu stärken und gleichzeitig Sicherheit sowie Grundrechte zu schützen. Am 8. Dezember 2023 haben sich die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament auf einen politischen Kompromiss zum AI Act geeinigt. 

Ab dem 1. September 2023 gilt in der Schweiz das revidierte Daten- schutzgesetz (DSG). Um die Wirkung des DSG zu verstärken, enthält es mehrere Strafbestimmungen für verschiedene Verletzungen des DSG. Im Gegensatz zum alten Recht sind die neuen Sanktionen im neu geltenden DSG erheblich verschärft worden. Die strafbaren Tat- bestände sind in Art. 60–63 DSG festgehalten. Im anschliessenden Beitrag werden die vier strafbaren Tatbestände konkreter abgehan- delt, sowie welche finanziellen Konsequenzen die Nichteinhaltung des DSG für Private und Unternehmen zur Folge hat.

Für im Versicherungsbereich tätige Unternehmen bedeutet die Teilrevision des VAG und dazugehöriger Verordnungen, dass sie ihre interne Compliance bis zu Jahresbeginn 2024 an die neuen Anforderungen anzupassen haben und prüfen müssen, welche aufsichtsrechtlichen Pflichten für sie nun anwendbar sind.

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Trotz vieler inhaltlicher Gemeinsamkeiten mit der Europäischen Datenschutz-Grundverordnung (DSGVO) und der sogenannten Cookie-Richtlinie sieht das revDSG keine Notwendigkeit eines Rechtfertigungsgrunds für die Datenbearbeitung vor, solange diese nicht die Persönlichkeitsrechte der betroffenen Person verletzen. Eine Persönlichkeitsverletzung liegt dann vor, wenn die Grundsätze der Datenbearbeitung und -sicherheit gemäss Art. 6–8 revDSG nicht eingehalten werden, wenn die Datenbearbeitung entgegen dem ausdrücklichen Willen der betroffenen Personen stattfindet oder wenn besonders schützenswerte Personendaten an Dritte bekannt gegeben werden. Eine Einwilligung kann auch als Grundlage für die Datenbekanntgabe in einen Staat ohne angemessenen Datenschutz dienen. Zu erwähnen ist schliesslich, dass gültige Einwilligungen unter der DSGVO auch im Anwendungsbereich des revDSG gültig sind. Im umgekehrten Fall muss das nicht unbedingt auch so sein.

Für kleinere und mittlere Unternehmen stellt sich im Rahmen der Umsetzungsarbeiten für das neue Datenschutzgesetz die Frage, ob sie die Rolle des Datenschutzberaters neu schaffen wollen. Auch wenn es im neuen Datenschutzgesetz freiwillig ist, so ist es in vielen Fällen sinnvoll, diese Rolle zu- mindest in Teilen einzuführen. Die Erfahrung mit dieser Rolle im Anwendungsbereich der Europäi- schen Datenschutz-Grundverordnung zeigt, dass die Compliance durch einen internen Datenschutz- berater massgeblich verbessert wird.

Für kleine und mittlere Unternehmen ist es von sehr grosser Bedeutung, zur Unterstützung ihrer internen betrieblichen Abläufe, zur Bereitstellung ihrer Dienstleistungen oder Produkte oder für das Marketing auf externe Service-Provider zugreifen zu können. Nun befinden sich aber viele solcher Dienstleister im Ausland. Sind Personendaten bei der Inanspruchnahme einer solchen Dienstleistung betroffen, so sind die datenschutzrechtlichen Regeln zur sogenannten Auftragsbearbeitung und zum Transfer von Personendaten ins Ausland zu beachten. Dieser Beitrag soll eine praxisnahe Hilfestel- lung für solche Situationen sein.

Am 16. November 2022 trat die Verordnung über digitale Dienste (DSA) in Kraft. Es regelt die Pflichten von Anbietern digitaler Inhaltsdienste, die Verbrauchern den Zugang zu Waren, Dienstleistungen und digitalen Inhalten ermöglichen. Das DSA soll den digitalen Binnenmarkt vollenden und Haftungs- und Sicherheitsvorschriften für digitale Plattformen schaffen. Die wichtigsten Änderungen betreffen erhöhte Transparenzanforderungen für Online-Plattformen und eine strengere öffentliche Aufsicht über Online-Plattformen auf nationaler und EU/EWR-Ebene. Dieses Briefing konzentriert sich auf die praktischen Auswirkungen für Unternehmen, die im Online-Umfeld tätig sind.

Mit der ungebrochenen Beliebtheit von Krypto-Assets, wie z.B. Bitcoin oder Ether, stellt sich auch die Frage, ob diese als Vermögensverwerte einer kollektiven Kapitalanlage nach dem Kollektivanlagegesetz (KAG) dienen können. Die FINMA hat kürzlich den ersten Kryptofonds, also die erste kollektive Kapitalanlage, welche Krypto-Assets als Vermögenswerte hält, genehmigt.