E-Rechnung - die advokatur

Werbung
Fachveranstaltung
„E-Rechnung in der Schweiz – Compliance und
Führungsverantwortung“
E-Rechnung – Führungsverantwortung und Haftung
3. September 2015
RA Ursula Sury
Prof. an der HSLU
Die Advokatur Sury AG
1
Zur Person
RA Ursula Sury, Prof. an der HSLU
• Gründung, Aufbau und Führung der Anwaltskanzlei „Die
Advokatur Sury AG“ (seit 1993)
• Auf- und Ausbau des Schwerpunktes Informatik- und
Datenschutzrecht an der Hochschule Luzern (seit 1993)
• Aufbau und Leitung CC Management & Law an der
Hochschule Luzern (seit 2010)
• Fachexpertin SQS für Datenschutzaudits (seit 2007)
• Vorstandsmitglied von swissVR seit 2012
Die Advokatur Sury AG
2
Überblick
Teil I
Einführungs-Beispiele
Teil II
Management Verantwortung
Teil III
Verantwortlichkeit und Haftung
Teil IV
Compliance
Teil V
Bearbeitungsprozess E-Rechnung
Teil VI
Gesetzliche Grundlagen
Teil VII
Beispiele
Teil VIII
Anhang
Die Advokatur Sury AG
3
Teil I
Einführungs-Beispiele
Die Advokatur Sury AG
4
Identische Rechnungen
Beispiel 1:
Bei einem Unternehmen werden 500 Rechnungen mit den
gleichen Beträgen an die Kunden versendet. Beim Gebrauch der
dazu benötigten Software wurde vergessen, ein Häkchen zu
setzen. Daraufhin kann nicht zugeordnet werden, wer welche
Rechnung bezahlt hat. Die Bank muss diese Zuordnung manuell
machen und verlangt CHF 20.00 pro Kunde. Wer ist nun
haftbar? Der Sachbearbeiter, der das Häkchen vergessen hat,
die IT-Abteilung oder der Verwaltungsrat?
http://icons8.com/license/
Die Advokatur Sury AG
5
Digitale Buchführung
Beispiel 2:
Bei einer KMU wird die Buchführung komplett digitalisiert.
Nachdem dieser Prozess vorgenommen wird, stimmen die
Zahlen, welche die digitale Buchführung ergibt, nicht mehr mit
den vorgängigen Zahlen überein. Wer trägt die Verantwortung?
Die IT-Abteilung oder die Geschäftsleitung?
Die Advokatur Sury AG
6
Flugzeugverspätung
Beispiel 3:
Bei einem Flug von Dubai nach Zürich gibt es starke
Verspätungen aufgrund eines Sandsturmes. Die Passagiere
müssen verspätet nach Paris fliegen, um dort einen
Anschlussflug zu erhalten. In Paris angekommen, wird den
Passagieren mitgeteilt, dass für sie keine Buchung eines
Anschlussfluges möglich sei, da die Passagiere laut dem System
noch in Dubai seien. Wem muss man glauben? Dem System
oder den Passagieren?
Die Advokatur Sury AG
7
Fehlerhafte Operation
Beispiel 4:
Aufgrund von Brustkrebs muss einer Patientin die linke Brust
amputiert werden. Die genauen Angaben werden in eine
Software aufgenommen. Aufgrund eines Systemfehlers, erhält
der Arzt falsche Informationen und entfernt bei der Operation
beide Brüste. Wer kann zur Verantwortung gezogen werden?
Die IT-Abteilung oder der Arzt bzw. das Krankenhaus?
Die Advokatur Sury AG
8
Teil II
Management Verantwortung
Die Advokatur Sury AG
9
Bisher: St. Galler Management Modell
Kunden
Geschäftspartner
Management Prozess
Verwaltungsrat
Geschäftsführung
Koordination
Strategie
Klienten
Kontrolle
Geschäftsprozess
Leistung
Aktionäre
Marketing
Innovation
Prozessunterstützung
Personal
Int. Service
Lieferanten
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
10
Verantwortliche Mitarbeitende des Unternehmens
Kunden
Strategie
Geschäftspartner
Klienten
Management Prozess
Art. 716a OR/
Art.754 OR
Geschäftsführung
Verwaltungsrat
Geschäftsprozess
Leistung
Marketing
Innovation
Lieferanten
Aktionäre
Prozessunterstützung
Int. Service
Personal
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
11
Art. 716a OR
Art. 716a
2. Unübertragbare Aufgaben
1
Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben:
1. die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen;
2. die Festlegung der Organisation;
3. die Ausgestaltung des Rechnungswesens, der Finanzkontrolle sowie der
Finanzplanung, sofern diese für die Führung der Gesellschaft notwendig ist;
4. die Ernennung und Abberufung der mit der Geschäftsführung und der Vertretung
betrauten Personen;
5. die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich
im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen;
6. die Erstellung des Geschäftsberichtes2 sowie die Vorbereitung der
Generalversammlung und die Ausführung ihrer Beschlüsse;
7. die Benachrichtigung des Richters im Falle der Überschuldung.
Der Verwaltungsrat kann die Vorbereitung und die Ausführung seiner Beschlüsse oder die
Überwachung von Geschäften Ausschüssen oder einzelnen Mitgliedern zuweisen. Er hat für
eine angemessene Berichterstattung an seine Mitglieder zu sorgen.
2
Die Advokatur Sury AG
12
Verantwortlichkeit Art. 716a OR
Art. 716 / 716a OR
Verwaltungsrat
CEO
CFO
CIO
Positive Gesamtverantwortung für:
 Oberleitung der Gesellschaft
 Festlegung der Organisation
 Rechnungswesen und Finanzen
 etc.
Die Advokatur Sury AG
13
Müssen E-Rechnungen geschützt werden?
Kunden
Geschäftspartner
Klienten
Management Prozess
Geschäftsführung
Verwaltungsrat
Geschäftsprozess
Leistung
Marketing
Innovation
Lieferanten
Aktionäre
Prozessunterstützung
Int. Service
Personal
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
14
Die Zukunft: Digitale Transformation
Kunden
Geschäftspartner
GeschäftsProzess
Management
Prozess
Kontrolle
Prozessunterstützung
Koordination
Klienten
Strategie
Marketing
Personal
Lieferanten
Aktionäre
Int. Service
Innovation
Leistung
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
15
Teil III
Verantwortlichkeit und Haftung
Die Advokatur Sury AG
16
Verantwortlichkeit nach Art. 716a OR
• Die oberste Verantwortung tragen der Verwaltungsrat und die Geschäftsführung
• Diese sind verpflichtet, die erforderliche Infrastruktur
sowie die personellen und finanziellen Ressourcen
bereit zu stellen und Weisungen über den Umgang
mit Geschäftsdokumenten im Unternehmen zu
erlassen --> gute Governance notwendig
 Beizug von Experten ist zwingend notwendig
 Aneignung eigener notwendiger Kompetenzen im Bereich
der Informatik und Finanzen, um den Durchblick zu haben
Die Advokatur Sury AG
17
Wer trägt die Verantwortung für die IT?
Governance und Corporate Governance
Verantwortliche Mitarbeitende:
–
Vorstand
–
CEO
–
Chief Digital Officer (CDO)
–
Chief technology officer (CTO)
–
Chief information officer (CIO)
Neue Fähigkeiten sind gefordert!
ABER: Angestellte, z.B. ein Informatiker, sind auch verantwortlich
 Sorgfaltspflicht gemäss Art. 321a ff. OR!
Die Advokatur Sury AG
18
Haftung nach Art. 754 OR
• Verwaltungsrat und Geschäftsführung tragen Verantwortung für den Schaden aus Pflichtverletzung.
• Eine Sorgfalts- bzw. Treuepflichtverletzung kann eine
persönliche und solidarische Haftung zur Folge haben.
• Bei vielen Beteiligten im Unternehmen können auch
andere Personen, wie ein CFO oder Rechnungslegungsexperte Verantwortungsträger und damit
haftbar sein.
Die Advokatur Sury AG
19
Teil IV
Compliance
Die Advokatur Sury AG
20
Compliance - Massnahmen
Wie wird Compliance gewährleistet?
Technische Massnahmen:
Signatur der E-Rechnung?
PDF/A oder TIFF-Format der E-Rechnung?
Feststellung Änderungen an E-Rechnung?
Archivierung?
PDF/A
Die Advokatur Sury AG
21
Compliance - Massnahmen
Organisatorische Massnahmen:
 Wer trägt die Verantwortung bei Fehlern mit E-Rechnungen?
Verantwortlichkeits-Vereinbarungen mit Mitarbeitenden!
 Werden E-Rechnungen richtig bearbeitet und abgelegt? Kontrolle
der Mitarbeitenden!
 Bestehen Anweisungen zum richtigen Umgang mit E-Rechnungen?
Interne Richtlinien erlassen!
 Wie wird der Arbeitsplatz geschützt? Arbeitsplatzsicherheit
gewährleisten!
 Wer hat Zugang zu den E-Rechnungen? Zugangsbeschränkung
einiger Dokumente bzw. der E-Rechnungen!
Die Advokatur Sury AG
22
Teil V
Bearbeitungsprozess E-Rechnung
Die Advokatur Sury AG
23
Elektronische Signatur - Funktionsweise
Internet
Sender
Empfänger
www.clipartsheep.com
www.clipartsheep.com
http://icons8.com/license/
http://icons8.com/license/
http://icons8.com/license/
www.openclipart.org
Signiert
mit eigenem
Schlüssel
www.openclipart.org
Überprüft Signatur
mit öffentlichem
Schlüssel des
Absenders
Die Advokatur Sury AG
24
Elektronische Signatur – Was ist zu tun?
Feststellung der Identität und
Registrierung des Anwenders
durch persönliches Erscheinen
bei anerkannten Anbietern von
Zertifizierungsdiensten*
Personalisierung
(Chipkarte)
Art. 8 Abs. 1
ZertES
Zertifizierung des
öffentlichen Schlüssels
Schlüsselgenerierung
www.openclipart.org
Öffentliche kryptografische
Schlüssel, zur Überprüfung
einer elektronischen
Signatur
Daten wie Codes oder
private kryptografische
Schlüssel
Art. 2 lit. d ZertES
* Liste zu finden auf:
http://www.seco.admin.ch/sas/00229/05092/index.html?lang=de
www.openclipart.org
Art. 2 lit. e ZertES
Die Advokatur Sury AG
25
Welche Arten der Verschlüsselung gibt es?
Es werden die nachfolgenden drei Arten der elektronischen Verschlüsselung
unterschieden:

Symmetrische Verschlüsselung: Sender und Empfänger tauschen den geheimen
Schlüssel auf einem sicherem Kanal aus. Der Sender verschlüsselt die Nachricht mit
dem geheimen Schlüssel und der Empfänger entschlüsselt die Nachricht mit dem
geheimen Schlüssel.

Asymmetrische Verschlüsselung: Der Empfänger gibt seinen Public Key öffentlich
bekannt. Damit kann der Sender die Nachricht verschlüsseln. Mit dem Private Key
vom Empfänger kann dieser die Nachricht wieder entschlüsseln.

Hybride Verschlüsselung: Der Empfänger gibt seinen Public Key öffentlich bekannt.
Der Sender verschlüsselt die Nachricht mit dem geheimen Schlüssel sowie dem Public
Key vom Empfänger. Der Empfänger entschlüsselt die Nachricht mit seinem Private
Key und dem geheimen Schlüssel
Die Advokatur Sury AG
26
Dokumentation des Verfahrens
Eingang E-Rechnung
Ablage der E-Rechnung
Weitere Bearbeitung
i.d.R. im PDF/A oder TIFF-
Archivierung des
PDF/A oder TIFF Dokuments
Format
PDF/A
PDF/A
http://icons8.com/license/
http://icons8.com/license/
Art. 3 EIDI-V
Art. 2 GeBüV
Art. 3 GeBüV
Art. 8 GeBüV
Beweiskraft  elektronische
Einhaltung der Grundsätze
Nachweis der Integrität und
systematisches Inventar führen,
Signatur und Zertifikat (vgl.
der ordnungsgemässen
des Ursprungs
Schutz vor unbefugtem Zugriff.
Art. 3 ZertES)
Datenverarbeitung
Aufzeichnung Zugriffe und Zutritte
Art. 4 EIDI-V
Datensicherheit
Art. 10 EIDI-V
Aufbewahrung, in ursprüngl. Form
Art. 122 MWSTV
und im ganzen Umfang auf
Voraussetzungen
maschinell verwertbaren
für Beweiskraft
Datenträgern
Die Advokatur Sury AG
27
Art. 3 EIDI-V Beweiskraft
Die in Artikel 122 Absatz 1 MWSTV verlangten Voraussetzungen für die Beweiskraft elektronischer Daten sind
erfüllt, sofern:
1
a. die Übermittlung und die Aufbewahrung von Daten mittels elektronischer Signatur abgesichert sind;
b. das durch eine Anbieterin von Zertifizierungsdiensten nach Artikel 2 Absatz 2 ausgestellte Zertifikat zum
Zeitpunkt der Signaturerstellung gültig war;
c. die elektronischen Daten bis zum Ablauf der Aufbewahrungsdauer nach Artikel 11 im notwendigen Umfang
mittels Verifikation der elektronischen Signatur auf Integrität, Authentizität und Signaturberechtigung
geprüft werden und bei automatisierter Verarbeitung die Verifikation der elektronischen Daten systematisch
nach abgeschlossener Übermittlung, spätestens aber vor ihrer Verwendung, stattfindet und das Ergebnis
dokumentiert ist;
d. der zur Überprüfung der elektronischen Signatur notwendige öffentliche Schlüssel mit den abgesicherten
Daten aufbewahrt wird; dies gilt auch für das durch eine anerkannte Anbieterin von Zertifizierungsdiensten
ausgestellte Zertifikat nach Buchstabe b, sofern das Zertifikat nicht veröffentlicht wurde;
e. bei Einsatz von Kryptografietechniken der Schlüssel zur Entschlüsselung verschlüsselter Daten aufbewahrt wird;
f. keine Pseudonyme verwendet werden; und
g. die Schlüssel im Zeitpunkt ihrer Verwendung unzweifelhaft als sicher betrachtet werden konnten.
Elektronische Daten, die der Leistungsempfänger oder die Leistungsempfängerin an die Adresse des
Leistungserbringers oder der Leistungserbringerin richtet (z.B. Gutschriftserteilung) oder die er oder sie im Namen
und für Rechnung des Leistungserbringers oder der Leistungserbringerin erstellt (Self-billing), bedürfen einer
Empfangsbestätigung durch den Leistungserbringer oder die Leistungserbringerin. Die Empfangsbestätigung muss
die Voraussetzungen nach Absatz 1 erfüllen und eindeutig Bezug auf die empfangenen Daten nehmen.
2
Eine Empfangsbestätigung nach Absatz 2 ist ebenfalls erforderlich, wenn der Leistungserbringer oder die
Leistungserbringerin den Nachweis, dass der Leistungsempfänger oder die Leistungsempfängerin seinen oder ihren
Wohn- oder Geschäftssitz im Ausland hat, einzig aufgrund elektronisch übermittelter Daten geltend machen will.
3
Die Advokatur Sury AG
28
Verfahren E-Rechnung
• Art. 3 EIDI-V: konkretisiert die in Art. 122 MWSTV
verlangten Voraussetzungen für die Beweiskraft
elektronischer Daten
• Art. 2 GeBüV: Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung
• Art. 3 GeBüV: Integrität (Echtheit & Unverfälschbarkeit),
Führung und Aufbewahrung der Geschäftsbücher und
Buchungsbelege, so dass sich jede Änderung feststellen
lässt, auch bei E-Rechnungen!
Die Advokatur Sury AG
29
Verfahren E-Rechnung
• Art. 4 EIDI-V: Datensicherheit, d.h. das Datenverarbeitungsverfahren muss dafür sorgen, dass zu
verarbeitende Daten nicht unbemerkt unterdrückt oder
verändert werden können.
• Format der E-Rechnung: gesetzlich nicht definiert; von ISO
19005-1 im PDF/A-Format definiert, da damit gesetzliche
Anforderung der GeBüV erfüllt werden
• Archivierung gemäss Art. 8 GeBüV: Zugriffe und Zutritte
werden aufgezeichnet, Schutz vor unbefugtem Zutritt
 Art. 10 EIDI-V: Aufbewahrung in ursprünglicher und
elektronischer Form
Die Advokatur Sury AG
30
Teil VI
Gesetzliche Grundlagen
Die Advokatur Sury AG
31
Gesetzliche Grundlagen
Wichtigste rechtliche Grundlage im Zusammenhang mit
der Führungsverantwortung:
Erlass
Norm
Inhalt
Unübertragbare und unentziehbare Aufgaben
des Verwaltungsrats:
Schweizerisches
Obligationenrecht
(OR) (SR 220)
Art. 716a
•
Oberleitung Gesellschaft, Erteilung Weisungen
•
Festlegung Organisation
•
Ausgestaltung Rechnungswesens,
Finanzkontrolle, Finanzplanung
•
Ernennung und Abberufung der mit der
Geschäftsführung/Vertretung betrauten Personen
•
Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im
Hinblick auf die Befolgung der Gesetze,
Statuten, Reglemente und Weisungen
•
Erstellung Geschäftsbericht, Vorbereitung GV und
Ausführung ihrer Beschlüsse
•
Benachrichtigung Richters bei Überschuldung
Die Advokatur Sury AG
32
Gesetzliche Grundlagen
Erlass
Norm
Inhalt
Haftung der Verwaltung & Geschäftsführung:
Schweizerisches
Obligationenrecht
(OR) (SR 220)
Strafgesetzbuch
(StGB) (SR 311.0)
Art. 754
Art. 166
•
Schaden wurde durch absichtliche oder
fahrlässige Pflichtverletzung verursacht
•
Mitglieder des Verwaltungsrates und die
Geschäftsführung tragen Verantwortung
gegenüber:
•
Gesellschaft
•
Einzelnen Aktionären und Gläubigern
Pflichtverletzung zur ordnungsmässigen
Führung und Aufbewahrung von
Geschäftsbüchern oder Bilanzaufstellung, so
dass Vermögensstand nicht oder nicht
vollständig ersichtlich ist
•
Freiheitsstrafe bis zu 3 Jahren
•
Geldstrafe
Die Advokatur Sury AG
33
Gesetzliche Grundlagen
Erlass
Norm
Inhalt
Art. 2
Abs. 2
Werden die Geschäftsbücher elektronisch oder auf
vergleichbare Weise geführt und aufbewahrt und
die Buchungsbelege elektronisch oder auf
vergleichbare Weise erfasst und aufbewahrt, so
sind die Grundsätze der ordnungsgemässen
Datenverarbeitung einzuhalten.
Verordnung über
die Führung und
Aufbewahrung der
Geschäftsbücher
Art. 3
(GeBüV)
(SR 221.431)
Art. 8
Die Geschäftsbücher müssen so geführt und
aufbewahrt werden und die Buchungsbelege müssen so
erfasst und aufbewahrt werden, dass sie nicht
geändert werden können, ohne dass sich dies
feststellen lässt.
Die Informationen sind systematisch zu inventarisieren
und vor unbefugtem Zugriff zu schützen. Zugriffe und
Zutritte sind aufzuzeichnen. Diese Aufzeichnungen
unterliegen derselben Aufbewahrungspflicht wie die
Datenträger.
Die Advokatur Sury AG
34
Gesetzliche Grundlagen
Erlass
Norm
Inhalt
Die anerkannten Anbieterinnen von
Zertifizierungsdiensten müssen von den Personen,
die einen Antrag auf Ausstellung eines qualifizierten
Zertifikats stellen, verlangen, dass sie persönlich
erscheinen und den Nachweis ihrer Identität
erbringen. Im Falle von Art. 7 Abs. 2 lit. a ist die
Einwilligung der vertretenen Person nachzuweisen;
berufsbezogene oder sonstige Angaben zur Person
sind durch die zuständige stelle zu bestätigen.
1
Art. 8
Abs. 1
Bundesgesetz
über die
elektronische
Signatur
(ZertES)
(SR 943.03)
Art. 2
lit. d/e
lit. d. Signaturschlüssel: einmalige Daten wie Codes
oder private kryptografische Schlüssel, die von der
Inhaberin oder vom Inhaber zur Erstellung einer
elektronischen Signatur verwendet werden;
lit. e.: Signaturprüfschlüssel: Daten wie Codes oder
öffentliche kryptografische Schlüssel, die zur
Überprüfung einer elektronischen Signatur verwendet
werden
Die Advokatur Sury AG
35
Gesetzliche Grundlagen
Erlass
Norm
Inhalt
Elektronisch oder in vergleichbarer Weise übermittelte und
aufbewahrte Daten und Informationen, die für den
Vorsteuerabzug, die Steuererhebung oder den Steuerbezug
relevant sind, haben die gleiche Beweiskraft wie Daten und
Informationen, die ohne Hilfsmittel lesbar sind, sofern folgende
Voraussetzungen erfüllt sind:
1
Mehrwertsteuerverordnung
(MWST-V)
(SR 641.201)
a.Nachweis des Ursprungs;
b.Nachweis der Integrität;
c.Nichtabstreitbarkeit des Versands
Art. 122
Besondere gesetzliche Bestimmungen, welche die Übermittlung
oder Aufbewahrung der genannten Daten und Informationen in
einer besonderen Form vorschreiben, bleiben vorbehalten.
2
Bundesgesetz
über die
Mehrwertsteuer
(MWSTG)
(SR 641.20)
Art. 70
Abs. 4
Der Bundesrat regelt die Voraussetzungen,
unter welchen Belege, die nach diesem Gesetz
für die Durchführung der Steuer nötig sind,
papierlos übermittelt und aufbewahrt
werden können.
Die Advokatur Sury AG
36
Gesetzliche Grundlagen
Erlass
Mehrwertsteuerverordnung
(MWST-V)
(SR 641.201)
Norm
Inhalt
Die ESTV darf für die nachstehend aufgeführten
Aufgaben die folgenden Daten und
Informationen bearbeiten:
g. Verhängung und Vollstreckung von
administrativen oder strafrechtlichen
Sanktionen: Daten und Informationen über die
in Administrativ- und Strafverfahren festgestellten
Widerhandlungen sowie über die
Strafzumessungsgründe, wie die Einkommensund Vermögensverhältnisse
Art. 131
Die ESTV ist zur Bearbeitung derjenigen Daten und
Informationen befugt, die zur Steuererhebung und zum
Steuereinzug erforderlich sind; dazu gehören auch
Angaben über administrative und strafrechtliche
Verfolgungen und Sanktionen. Zu diesem Zweck
unterhält sie die dazu notwendigen Datensammlungen
und die Mittel zur Bearbeitung und Aufbewahrung
1
Bundesgesetz
über die
Mehrwertsteuer
(MWSTG)
(SR 641.20)
Art. 76
Abs. 1
Die Advokatur Sury AG
37
Teil VII
Beispiele
Die Advokatur Sury AG
38
Identische Rechnungen
Beispiel 1:
Bei einem Unternehmen werden 500 Rechnungen mit den gleichen Beträgen an
die Kunden versendet. Beim Gebrauch der dazu benötigten Software wurde
vergessen, ein Häkchen zu setzen. Daraufhin kann nicht zugeordnet werden,
wer welche Rechnung bezahlt hat. Die Bank muss diese Zuordnung manuell
machen und verlangt CHF 20.00 pro Kunde. Wer ist nun haftbar? Der
Sachbearbeiter, der das Häkchen vergessen hat, die IT-Abteilung oder der
Verwaltungsrat?
Lösung: Nach Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat und
die Geschäftsleitung für die Festlegung der Organisation zuständig, es
muss also für eine gute Governance gesorgt werden. Der Verwaltungsrat
hätte mit einer gut strukturierten Organisation eine zuständige
Abteilung bestimmen müssen, welche für die Problem-behebung und
somit für die Schadensminderung zuständig ist. Nach Art. 754 Abs. 1
OR haftet de Verwaltungsrat für einen Schaden, der aus einer
Pflichtverletzung entsteht. Daher haftet der Verwaltungsrat und die
Geschäftsleitung nun für den Schaden nach Art. 754 Abs. 1 OR i.V.m.
Art. 716a Abs. 1 Ziff. 2 OR.
Die Advokatur Sury AG
39
Digitale Buchführung
Beispiel 2:
Bei einer KMU wird die Buchführung komplett digitalisiert. Nachdem dieser
Prozess vorgenommen wird, stimmen die Zahlen, welche die digitale
Buchführung ergibt, nicht mehr mit den vorgängigen Zahlen überein. Wer trägt
die Verantwortung? Die IT-Abteilung oder die Geschäftsleitung?
Lösung: Gemäss Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat
und die Geschäftsleitung für die Organisation, einer guten Governance,
zuständig. Der Verwaltungsrat muss in seiner Strategie eine zuständige
Stelle definieren, welche für die Problembehebung vornehmen muss. Da
er dieser Pflicht nicht nachgekommen ist, haftet er nach Art. 754 Abs. 1
OR für den Schaden, den er zumindest fahrlässig verursacht hat. Damit
besteht eine Haftung nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1
Ziff. 2 OR.
Die Advokatur Sury AG
40
Flugzeugverspätung
Beispiel 3:
Bei einem Flug von Dubai nach Zürich gibt es starke Verspätungen aufgrund
eines Sandsturmes. Die Passagiere müssen verspätet nach Paris fliegen, um
dort einen Anschlussflug zu erhalten. In Paris angekommen, wird den
Passagieren mitgeteilt, dass für sie keine Buchung eines Anschlussfluges
möglich sei, da die Passagiere laut dem System noch in Dubai seien. Wem
muss man glauben? Dem System oder den Passagieren?
Lösung: Die Software funktioniert in diesem Fall offensichtlich nicht,
denn die Passagiere können sich ausweisen. Gemäss Art. 716a Abs. 1
Ziff. 1 muss der Verwaltungsrat nötige Weisungen erteilen. Dabei muss
er in seinen Weisungen klar definieren, wie in solchen Problemsituationen vorzugehen ist. Zudem muss er nach Art. 716a Abs. 1 Ziff.
2 die Organisation festlegen, d.h. er ist dafür zuständig, dass das
Funktionieren der Software von der vordefinierten Stelle stets
überprüft wird. Nach Art. 754 Abs. 1 OR haftet der Verwaltungsrat für
einen Schaden durch eine absichtliche oder fahrlässige
Pflichtverletzung. Somit haftet er hier nach Art. 754 Abs. 1 OR i.V.m.
Art. 716a Abs. 1 Ziff. 1 und 2 OR.
Die Advokatur Sury AG
41
Fehlerhafte Operation
Beispiel 4:
Aufgrund von Brustkrebs muss einer Patientin die linke Brust amputiert
werden. Die genauen Angaben werden in einer Software aufgenommen.
Aufgrund eines Systemfehlers, erhält der Arzt falsche Informationen und
entfernt bei der Operation beide Brüste. Wer kann zur Verantwortung gezogen
werden? Die IT-Abteilung oder der Arzt bzw. das Krankenhaus?
Lösung: Nach Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat für
die Festlegung der Organisation zuständig. Dabei muss er mit einer
guten Governance eine Strategie entwickeln und gewährleisten, dass
eine Qualitätskontrolle von der zuständigen Stelle vorgenommen wird,
d.h. der Verwaltungsrat ist dafür zuständig, dass die Qualität des
Systems eingehalten und der Fehler von der zuständigen Abteilung
behoben wird. Nach Art. 754 Abs. 1 OR haftet der Verwaltungsrat für
den Schaden aus einer absichtlichen oder fahrlässigen
Pflichtverletzung. In diesem Fall ist der Verwaltungs-rat zumindest für
eine fahrlässige Pflichtverletzung haftbar. Somit haftet er nach Art. 754
Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR.
Die Advokatur Sury AG
42
Fragen?
43
Danke
Publikationen:
• IT-Fehler
In: Handbücher für die Anwaltspraxis – Haftung und Versicherung, Weber /
Münch, Helbling & Lichtenhahn Verlag 2015
• IT-Outsourcing Verträge
In: Prinzipen des Vertragsrechts, Böhringer/Müller/Münch/Waltenspühl,
Schulthess-Verlag 2015
• BGE 125 III 263: Softwarelizenz: Wie weit reichen
die Nutzungsrechte der Lizenznehmerin?
In: Immaterialgüterrecht in kommentierten Leitentscheiden, SchulthessVerlag 2015
44
Danke
Publikationen:
• Kurzeinführung ins Arbeitsrecht - von der
Vertragsanbahnung bis zur Kündigung
Sprenger/Sury/Seger, Stämpfli Verlag 2013
• Informatikrecht
Sury Ursula, Stämpfli Verlag 2013
• Beitrag „Recht im Offshoring“,
In: IT-Offshoring - Potenziale, Risiken, Erfahrungsberichte, Sury Ursula, Orell
Füssli Verlag 2006
45
Danke
Beiträge Ursula Sury in: IT-business
Home Office und Arbeitsrecht
Ausgabe 4/2013
E-Mail aus der Cloud – für KMU eine gute Alternative?
Ausgabe 3/2013
Die rechtlichen Aspekte der elektronischen Archivierung
Ausgabe 2/2013
Datenschutzrechtliche Aspekte zur Software as a Service (SaaS)
Ausgabe 1/2013
Umsicht bei Open Source
Ausgabe 4/2012
IT-Sicherheit im KMU aus technischer und rechtlicher Sicht
Ausgabe 3/2012
„Bring your own“ im Arbeitsalltag
Ausgabe 1/2012
Beiträge Ursula Sury in: Informatik Spektrum
(Springer-Verlag)
Cyber-Spionage und Führungsverantwortung
Heft 5/2015
FinTech und Recht
Heft 4/2015
Rechtsaspekte der Digitalisierung von Unternehmensprozessen
Heft 3/2015
Chief Digital Officer und Compliance
Heft 2/2015
Google Glass und Recht
Heft 1/2015
Contactless
Heft 4/2014
Datability
Heft 3/2014
46
Danke
www.dieadvokatur.ch
[email protected]
RA Ursula Sury, Prof. an der HSLU
Die Advokatur Sury AG
Alpenquai 4
6005 Luzern
47
Teil VIII
Anhang
Die Advokatur Sury AG
48
Digitale Transformation – Governance
Wie ist der Umgang damit?
Erkennung der Risiken mit E-Rechnungen ist wichtig!
Notwendiger Umgang mit Risiken:
• Vorbeugende Massnahmen: Risiken im Umgang mit ERechnungen beheben!
• Fehlerbehebende Massnahmen: sofortiges Handeln bei
Fehlern mit E-Rechnungen!
• Beispiel:
 Anpassung der Vertragsbedingungen, so dass E-Rechnungen auch
geregelt und geschützt sind
 CDO-Einsetzung im Verwaltungsrat
Die Advokatur Sury AG
49
Schutz von Informationen in der E-Rechnung
Welche Informationen in der E-Rechnung müssen geschützt werden?
– Gesetzliche Verpflichtungen (wie bspw. Anwalts-, Arzt-, und
Amtsgeheimnis) müssen auch in E-Rechnungen geschützt werden
– Personendaten und besonders schützenswerte Personendaten
E-Rechnung  enthält Personendaten
(u.U. besonders schützenswerte), welche geschützt
werden müssen!
Die Advokatur Sury AG
Chief Digital Officer (CDO)
Wieso ein CDO? Die Schaffung dieser Position ist eine Reaktion
auf die Bedürfnisse der neuen Management-Kompetenzen, speziell
in der Geschäftsführung und der strategischen Leitung von
Unternehmen.
Neue Funktionen des CDO
 Digitale Transformation
 Cloud
 digitalisierte Prozessunterstützung
Die Advokatur Sury AG
51
Verantwortlichkeit Art. 716a OR
• Die Mitarbeitenden sind verpflichtet, die Weisungen
einzuhalten.
• Existieren keine verbindlichen Regelungen, so müssen
die Mitarbeitenden im Rahmen ihrer Sorgfaltspflicht
dafür Sorge tragen, dass ihre Tätigkeit genügend
dokumentiert ist und wichtige Geschäftsdokumente
aufbewahrt werden.
Die Advokatur Sury AG
52
Problematik der Komplexität
• Die Richtigkeit der Dokumentation muss
gewährleistet sein, was wiederum mit Kosten
verbunden ist.
• Die Komplexität steigt mit den moderneren und
komplexeren Systemen.
• Hohe Fluktuation der Stellenbesetzung
erschweren die Umstände, da informelles Wissen
verloren geht.
• Auch eine Überdokumentation kann zu
Problemen führen. Zum einen, kann der Inhalt der
Dokumentation zu komplex sein und zum anderen,
kann die Dokumentation unverständlich und nicht
nachvollziehbar sein.
Die Advokatur Sury AG
53
Eine Herausforderung für jedes Unternehmen
Es liegt in der Verantwortung des
Unternehmens für den richtigen Umgang mit
E-Rechnungen zu sorgen!
Die Advokatur Sury AG
54
Art. 122 MWSTV
Art. 122
Grundsatz
(Art. 70 Abs. 4 MWSTG)
Elektronisch oder in vergleichbarer Weise übermittelte und aufbewahrte
Daten und Informationen, die für den Vorsteuerabzug, die Steuererhebung
oder den Steuerbezug relevant sind, haben die gleiche Beweiskraft wie
Daten und Informationen, die ohne Hilfsmittel lesbar sind, sofern folgende
Voraussetzungen erfüllt sind:
1
a. Nachweis des Ursprungs;
b. Nachweis der Integrität;
c. Nichtabstreitbarkeit des Versands
Besondere gesetzliche Bestimmungen, welche die Übermittlung oder
Aufbewahrung der genannten Daten und Informationen in einer
besonderen Form vorschreiben, bleiben vorbehalten.
2
Die Advokatur Sury AG
55
Bundesgesetz über die elektronische Signatur (ZertES)
Die Advokatur Sury AG
56
Bundesgesetz über die elektronische Signatur (ZertES)
Die Advokatur Sury AG
57
Elektronische Signatur - Funktionsweise
Die Advokatur Sury AG
58
Art. 2 GeBüV
Art. 2 Grundsätze ordnungsgemässer Führung und
Aufbewahrung der Bücher
Bei der Führung der Geschäftsbücher und der Erfassung der Buchungsbelege
sind die anerkannten kaufmännischen Grundsätze einzuhalten
(ordnungsgemässe Buchführung).
1
Werden die Geschäftsbücher elektronisch oder auf vergleichbare
Weise geführt und aufbewahrt und die Buchungsbelege elektronisch
oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die
Grundsätze der ordnungsgemässen Datenverarbeitung
einzuhalten.
2
3
Die Ordnungsmässigkeit der Führung und der Aufbewahrung der Bücher
richtet sich nach den anerkannten Standards zur Rechnungslegung, sofern die
Gesetzgebung, insbesondere der 32. Titel des Obligationenrechts und diese
Verordnung, nichts anderes vorsehen.
Die Advokatur Sury AG
59
Art. 3 GeBüV
Art. 3 Integrität (Echtheit und Unverfälschbarkeit)
Die Geschäftsbücher müssen so geführt und aufbewahrt und die
Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie
nicht geändert werden können, ohne dass sich dies feststellen lässt.
Die Advokatur Sury AG
60
Art. 4 EIDI-V
Art. 4 Datensicherheit
Das verwendete Datenverarbeitungsverfahren muss Gewähr bieten,
dass alle zu verarbeitenden Daten, die für die Steuer-erhebung relevant
sein können, erfasst werden und zudem nicht unbemerkt unterdrückt
oder verändert werden können.
1
Sämtliche Datenbestände und Datenverarbeitungssysteme, die für die
Steuererhebung und die diesbezüglichen Kontrollen durch die ESTV
relevant sein können, sind mittels systematischer Verzeichnisse sowie
ausreichender Zugriffs- und Zugangskontrollen vor
Unauffindbarkeit, unberechtigter Veränderung und Vernichtung sowie
Diebstahl angemessen zu schützen.
2
Die Advokatur Sury AG
61
Art. 8 GeBüV
Art. 8 Archiv
Die Informationen sind systematisch zu inventarisieren und vor
unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind
aufzuzeichnen. Diese Aufzeichnungen unterliegen derselben
Aufbewahrungspflicht wie die Datenträger.
Die Advokatur Sury AG
62
Art. 10 EIDI-V
Art. 10 Aufbewahrung
Die für die Steuererhebung relevanten elektronischen Daten sind von der versendenden und
von der empfangenden Person in der ursprünglichen Form der Übermittlung und in ihrem
ganzen Umfang auf maschinell verwertbaren Datenträgern aufzubewahren. Eine
Aufbewahrung ausschliesslich in gedruckter Form oder auf Mikrofilm ist nicht zulässig.
1
Bei Umwandlung (Konvertierung) der für die Steuererhebung relevanten elektronischen Daten
in ein anderes Format (Inhouse-Format) müssen beide Versionen aufbewahrt und mit
demselben Index verwaltet werden. Die konvertierte Version ist als solche zu kennzeichnen.
2
Die für die Steuererhebung relevanten Daten müssen während der in Artikel 11 festgelegten
Aufbewahrungsdauer für die steuerpflichtige Person jederzeit direkt zugänglich sein und von ihr
ohne unzumutbare zeitliche Verzögerung von nur einem Ort aus im Inland lesbar und
maschinell auswertbar gemacht werden können.
3
Die Aufbewahrung von Datenträgern im Ausland ist nur zulässig, wenn der Zugriff, die
Wiedergabe und die Verfügbarkeit der für die Steuererhebung relevanten Daten jederzeit
gewährleistet bleiben.
4
Die Advokatur Sury AG
63
Herunterladen