Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Trotz vieler inhaltlicher Gemeinsamkeiten mit der Europäischen Datenschutz-Grundverordnung (DSGVO) und der sogenannten Cookie-Richtlinie sieht das revDSG keine Notwendigkeit eines Rechtfertigungsgrunds für die Datenbearbeitung vor, solange diese nicht die Persönlichkeitsrechte der betroffenen Person verletzen. Eine Persönlichkeitsverletzung liegt dann vor, wenn die Grundsätze der Datenbearbeitung und -sicherheit gemäss Art. 6–8 revDSG nicht eingehalten werden, wenn die Datenbearbeitung entgegen dem ausdrücklichen Willen der betroffenen Personen stattfindet oder wenn besonders schützenswerte Personendaten an Dritte bekannt gegeben werden. Eine Einwilligung kann auch als Grundlage für die Datenbekanntgabe in einen Staat ohne angemessenen Datenschutz dienen. Zu erwähnen ist schliesslich, dass gültige Einwilligungen unter der DSGVO auch im Anwendungsbereich des revDSG gültig sind. Im umgekehrten Fall muss das nicht unbedingt auch so sein.

Für kleinere und mittlere Unternehmen stellt sich im Rahmen der Umsetzungsarbeiten für das neue Datenschutzgesetz die Frage, ob sie die Rolle des Datenschutzberaters neu schaffen wollen. Auch wenn es im neuen Datenschutzgesetz freiwillig ist, so ist es in vielen Fällen sinnvoll, diese Rolle zu- mindest in Teilen einzuführen. Die Erfahrung mit dieser Rolle im Anwendungsbereich der Europäi- schen Datenschutz-Grundverordnung zeigt, dass die Compliance durch einen internen Datenschutz- berater massgeblich verbessert wird.

Für kleine und mittlere Unternehmen ist es von sehr grosser Bedeutung, zur Unterstützung ihrer internen betrieblichen Abläufe, zur Bereitstellung ihrer Dienstleistungen oder Produkte oder für das Marketing auf externe Service-Provider zugreifen zu können. Nun befinden sich aber viele solcher Dienstleister im Ausland. Sind Personendaten bei der Inanspruchnahme einer solchen Dienstleistung betroffen, so sind die datenschutzrechtlichen Regeln zur sogenannten Auftragsbearbeitung und zum Transfer von Personendaten ins Ausland zu beachten. Dieser Beitrag soll eine praxisnahe Hilfestel- lung für solche Situationen sein.

Am 16. November 2022 trat die Verordnung über digitale Dienste (DSA) in Kraft. Es regelt die Pflichten von Anbietern digitaler Inhaltsdienste, die Verbrauchern den Zugang zu Waren, Dienstleistungen und digitalen Inhalten ermöglichen. Das DSA soll den digitalen Binnenmarkt vollenden und Haftungs- und Sicherheitsvorschriften für digitale Plattformen schaffen. Die wichtigsten Änderungen betreffen erhöhte Transparenzanforderungen für Online-Plattformen und eine strengere öffentliche Aufsicht über Online-Plattformen auf nationaler und EU/EWR-Ebene. Dieses Briefing konzentriert sich auf die praktischen Auswirkungen für Unternehmen, die im Online-Umfeld tätig sind.

Mit der ungebrochenen Beliebtheit von Krypto-Assets, wie z.B. Bitcoin oder Ether, stellt sich auch die Frage, ob diese als Vermögensverwerte einer kollektiven Kapitalanlage nach dem Kollektivanlagegesetz (KAG) dienen können. Die FINMA hat kürzlich den ersten Kryptofonds, also die erste kollektive Kapitalanlage, welche Krypto-Assets als Vermögenswerte hält, genehmigt.

In Teil 2 der Analyse von Play-to-Earn-Spielen werde ich die rechtliche Situation in Bezug auf das Schweizerische Bankengesetz (BankG), das Schweizerische Geldwäschereigesetz (GwG) und das Schweizerische Finanzmarktinfrastrukturgesetz (FMIG) diskutieren.

Der Boom von kryptobasierten Geschäftsmodellen erfasst viele Industriezweige. So überrascht es nicht, dass auch die Videospielindustrie kryptobasierte Spiele entwickelt hat, die gemeinhin als Play-to-Earn-Spiele bezeichnet werden. In diesen Spielen ist es in der Regel möglich, In-Game-Assets (z. B. spielbare Charaktere, Ausrüstung oder Häuser) zu erwerben, die auf einer Blockchain gehandelt werden können. Darüber hinaus können die Spieler durch das Spielen des Spiels mit diesen In-Game-Assets Belohnungen (meist in Form von Token) verdienen.

Bis Ende 2022 müssen bereits tätige Vermögensverwalter ein Bewilligungsgesuch bei einer Aufsichtsorganisation (über die Plattform der FINMA) eingereicht haben. Damit es aber zu keinen Verzögerungen kommt, ist es dringend zu empfehlen, das Gesuch frühzeitig einzureichen, weil die Aufsichtsorganisation dieses vor der FINMA auch noch prüfen muss. Momentan bestehen fünf verschiedene Aufsichtsorganisation, welche die Vermögensverwalter beaufsichtigen.

Das Finanzinstitutsgesetz (FINIG), löst für (unabhängige/externe) Vermögensverwalter in der Schweiz organisatorischen, personellen und administrativen Handlungsbedarf aus. Nachfolgender Leitfaden soll Compliance Officers als praktische Hilfestellung dienen, um die Bewilligungspflicht, den Bewilligungsprozess und die sich daraus ergebenden organisatorischen Implikationen besser abschätzen zu können.

Der vorliegende Beitrag ist an Personen gerichtet, die sich mit der Prüfung der datenschutzrechtlichen Compliance von Unternehmen, insbesondere im Zuge von M&A-Transaktionen, befassen. Dem Leser soll ein Leitfaden an die Hand gegeben werden, mit dem die aus Sicht der Autoren wichtigsten Punkte systematisch abgefragt und geprüft werden können. Die Prüfpunkte sind nach Themenkreisen gegliedert und mit Red Flags ergänzt, wie sie nach Erfahrung der Autoren bei datenschutzrechtlichen Due Diligence-Prüfungen häufig identifiziert werden. Grundsätzlich richtet sich dieser Leitfaden nach dem Standard der EU-Datenschutz- Grundverordnung (DSGVO). Wo sinnvoll wird auch auf das geltende und künftige Schweizer Recht (DSG und revDSG) Bezug genommen, insbesondere bei den Ausführungen zur grenzüberschreitenden Datenübermitt- lung. Zu beachten ist, dass das geltende DSG einen geringeren Datenschutzstandard als die DSGVO aufweist, aber im Gegensatz zur DSGVO auch die Personendaten von juristischen Personen schützt. Mit der Revision des DSG wird ein dem der DSGVO gleichwertiger Schutzstandard eingeführt, aber gleichzeitig auf den Schutz von Personendaten juristischer Personen verzichtet.

Das neue Finanzinstitutsgesetz (FINIG), welches seit dem 1. Januar 2020 in Kraft ist, löst für Vermögensverwalter in der Schweiz einen neuen, teilweise erheblichen organisatorischen, personellen und administrativen Handlungsbedarf aus. Für die obersten Führungsorgane solcher Vermögensverwalter ist es zentral, zu erkennen, ob eine Bewilligungspflicht besteht und ob entsprechende Massnahmen einzuleiten sind. Illegale Finanzmarkttätigkeiten können Strafverfahren sowie Enforcement-Verfahren auslösen.

Currently, there is no specific regulation of cryptoassets in Switzerland. However, the Swiss Financial Market Supervisory Authority (FINMA) categorises cryptoassets based on the underlying economic function and applies the already existing financial market regulations to the cryptoasset itself, its issuance and transfers of it. FINMA differentiates between three distinct types of cryptoasset (which it refers to as tokens): asset (or security) tokens, payment tokens and utility tokens.

Die Datenschutz-Grundverordnung (DS-GVO) bietet den Verantwortlichen die Möglichkeit, eine Datenverarbeitung mit der Verfolgung von eigenen (berechtigten) Interessen (wozu auch Drittinteressen zählen) zu rechtfertigen, sofern diese Interessen diejenigen der betroffenen Per- sonen überwiegen.

Seitdem die damalige Artikel-29-Datenschutz- gruppe das berechtigte Interesse als nicht bloss die ultima ratio dargestellt hatte1, erscheint die- ser Rechtfertigungsgrund eine praxisfreundliche und einfache Möglichkeit, eine Datenverarbei- tung einer grossen Anzahl von Datensubjekten zu rechtfertigen ohne jeweils eine Einwilligung im Einzelfall einholen zu müssen. Allerdings birgt dieser Rechtfertigungsgrund seine Tücken. Zum einen handelt es bei den berechtigten Interes- sen um einen unbestimmten und somit ausle- gungsbedürftigen Rechtsbegriff, welcher von den Aufsichtsbehörden unterschiedlich interpre- tiert werden kann. Zum anderen sind u.U. zu unterschiedlichen Zeitpunkten zwei Interessen- abwägungen durchzuführen, welche auch eine mögliche Quelle zur anderen Beurteilung der Aufsichtsbehörden darstellen.

Nachfolgend soll ein Überblick über diesen Rechtfertigungsgrund der berechtigten Interes- sen gegeben und anhand von praxisorientierten Beispielen versucht werden diesen Begriff etwas fassbarer zu machen.