Fachveranstaltung „E-Rechnung in der Schweiz – Compliance und Führungsverantwortung“ E-Rechnung – Führungsverantwortung und Haftung 3. September 2015 RA Ursula Sury Prof. an der HSLU Die Advokatur Sury AG 1 Zur Person RA Ursula Sury, Prof. an der HSLU • Gründung, Aufbau und Führung der Anwaltskanzlei „Die Advokatur Sury AG“ (seit 1993) • Auf- und Ausbau des Schwerpunktes Informatik- und Datenschutzrecht an der Hochschule Luzern (seit 1993) • Aufbau und Leitung CC Management & Law an der Hochschule Luzern (seit 2010) • Fachexpertin SQS für Datenschutzaudits (seit 2007) • Vorstandsmitglied von swissVR seit 2012 Die Advokatur Sury AG 2 Überblick Teil I Einführungs-Beispiele Teil II Management Verantwortung Teil III Verantwortlichkeit und Haftung Teil IV Compliance Teil V Bearbeitungsprozess E-Rechnung Teil VI Gesetzliche Grundlagen Teil VII Beispiele Teil VIII Anhang Die Advokatur Sury AG 3 Teil I Einführungs-Beispiele Die Advokatur Sury AG 4 Identische Rechnungen Beispiel 1: Bei einem Unternehmen werden 500 Rechnungen mit den gleichen Beträgen an die Kunden versendet. Beim Gebrauch der dazu benötigten Software wurde vergessen, ein Häkchen zu setzen. Daraufhin kann nicht zugeordnet werden, wer welche Rechnung bezahlt hat. Die Bank muss diese Zuordnung manuell machen und verlangt CHF 20.00 pro Kunde. Wer ist nun haftbar? Der Sachbearbeiter, der das Häkchen vergessen hat, die IT-Abteilung oder der Verwaltungsrat? http://icons8.com/license/ Die Advokatur Sury AG 5 Digitale Buchführung Beispiel 2: Bei einer KMU wird die Buchführung komplett digitalisiert. Nachdem dieser Prozess vorgenommen wird, stimmen die Zahlen, welche die digitale Buchführung ergibt, nicht mehr mit den vorgängigen Zahlen überein. Wer trägt die Verantwortung? Die IT-Abteilung oder die Geschäftsleitung? Die Advokatur Sury AG 6 Flugzeugverspätung Beispiel 3: Bei einem Flug von Dubai nach Zürich gibt es starke Verspätungen aufgrund eines Sandsturmes. Die Passagiere müssen verspätet nach Paris fliegen, um dort einen Anschlussflug zu erhalten. In Paris angekommen, wird den Passagieren mitgeteilt, dass für sie keine Buchung eines Anschlussfluges möglich sei, da die Passagiere laut dem System noch in Dubai seien. Wem muss man glauben? Dem System oder den Passagieren? Die Advokatur Sury AG 7 Fehlerhafte Operation Beispiel 4: Aufgrund von Brustkrebs muss einer Patientin die linke Brust amputiert werden. Die genauen Angaben werden in eine Software aufgenommen. Aufgrund eines Systemfehlers, erhält der Arzt falsche Informationen und entfernt bei der Operation beide Brüste. Wer kann zur Verantwortung gezogen werden? Die IT-Abteilung oder der Arzt bzw. das Krankenhaus? Die Advokatur Sury AG 8 Teil II Management Verantwortung Die Advokatur Sury AG 9 Bisher: St. Galler Management Modell Kunden Geschäftspartner Management Prozess Verwaltungsrat Geschäftsführung Koordination Strategie Klienten Kontrolle Geschäftsprozess Leistung Aktionäre Marketing Innovation Prozessunterstützung Personal Int. Service Lieferanten Infrastruktur Mitarbeiter Die Advokatur Sury AG 10 Verantwortliche Mitarbeitende des Unternehmens Kunden Strategie Geschäftspartner Klienten Management Prozess Art. 716a OR/ Art.754 OR Geschäftsführung Verwaltungsrat Geschäftsprozess Leistung Marketing Innovation Lieferanten Aktionäre Prozessunterstützung Int. Service Personal Infrastruktur Mitarbeiter Die Advokatur Sury AG 11 Art. 716a OR Art. 716a 2. Unübertragbare Aufgaben 1 Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben: 1. die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen; 2. die Festlegung der Organisation; 3. die Ausgestaltung des Rechnungswesens, der Finanzkontrolle sowie der Finanzplanung, sofern diese für die Führung der Gesellschaft notwendig ist; 4. die Ernennung und Abberufung der mit der Geschäftsführung und der Vertretung betrauten Personen; 5. die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen; 6. die Erstellung des Geschäftsberichtes2 sowie die Vorbereitung der Generalversammlung und die Ausführung ihrer Beschlüsse; 7. die Benachrichtigung des Richters im Falle der Überschuldung. Der Verwaltungsrat kann die Vorbereitung und die Ausführung seiner Beschlüsse oder die Überwachung von Geschäften Ausschüssen oder einzelnen Mitgliedern zuweisen. Er hat für eine angemessene Berichterstattung an seine Mitglieder zu sorgen. 2 Die Advokatur Sury AG 12 Verantwortlichkeit Art. 716a OR Art. 716 / 716a OR Verwaltungsrat CEO CFO CIO Positive Gesamtverantwortung für: Oberleitung der Gesellschaft Festlegung der Organisation Rechnungswesen und Finanzen etc. Die Advokatur Sury AG 13 Müssen E-Rechnungen geschützt werden? Kunden Geschäftspartner Klienten Management Prozess Geschäftsführung Verwaltungsrat Geschäftsprozess Leistung Marketing Innovation Lieferanten Aktionäre Prozessunterstützung Int. Service Personal Infrastruktur Mitarbeiter Die Advokatur Sury AG 14 Die Zukunft: Digitale Transformation Kunden Geschäftspartner GeschäftsProzess Management Prozess Kontrolle Prozessunterstützung Koordination Klienten Strategie Marketing Personal Lieferanten Aktionäre Int. Service Innovation Leistung Infrastruktur Mitarbeiter Die Advokatur Sury AG 15 Teil III Verantwortlichkeit und Haftung Die Advokatur Sury AG 16 Verantwortlichkeit nach Art. 716a OR • Die oberste Verantwortung tragen der Verwaltungsrat und die Geschäftsführung • Diese sind verpflichtet, die erforderliche Infrastruktur sowie die personellen und finanziellen Ressourcen bereit zu stellen und Weisungen über den Umgang mit Geschäftsdokumenten im Unternehmen zu erlassen --> gute Governance notwendig Beizug von Experten ist zwingend notwendig Aneignung eigener notwendiger Kompetenzen im Bereich der Informatik und Finanzen, um den Durchblick zu haben Die Advokatur Sury AG 17 Wer trägt die Verantwortung für die IT? Governance und Corporate Governance Verantwortliche Mitarbeitende: – Vorstand – CEO – Chief Digital Officer (CDO) – Chief technology officer (CTO) – Chief information officer (CIO) Neue Fähigkeiten sind gefordert! ABER: Angestellte, z.B. ein Informatiker, sind auch verantwortlich Sorgfaltspflicht gemäss Art. 321a ff. OR! Die Advokatur Sury AG 18 Haftung nach Art. 754 OR • Verwaltungsrat und Geschäftsführung tragen Verantwortung für den Schaden aus Pflichtverletzung. • Eine Sorgfalts- bzw. Treuepflichtverletzung kann eine persönliche und solidarische Haftung zur Folge haben. • Bei vielen Beteiligten im Unternehmen können auch andere Personen, wie ein CFO oder Rechnungslegungsexperte Verantwortungsträger und damit haftbar sein. Die Advokatur Sury AG 19 Teil IV Compliance Die Advokatur Sury AG 20 Compliance - Massnahmen Wie wird Compliance gewährleistet? Technische Massnahmen: Signatur der E-Rechnung? PDF/A oder TIFF-Format der E-Rechnung? Feststellung Änderungen an E-Rechnung? Archivierung? PDF/A Die Advokatur Sury AG 21 Compliance - Massnahmen Organisatorische Massnahmen: Wer trägt die Verantwortung bei Fehlern mit E-Rechnungen? Verantwortlichkeits-Vereinbarungen mit Mitarbeitenden! Werden E-Rechnungen richtig bearbeitet und abgelegt? Kontrolle der Mitarbeitenden! Bestehen Anweisungen zum richtigen Umgang mit E-Rechnungen? Interne Richtlinien erlassen! Wie wird der Arbeitsplatz geschützt? Arbeitsplatzsicherheit gewährleisten! Wer hat Zugang zu den E-Rechnungen? Zugangsbeschränkung einiger Dokumente bzw. der E-Rechnungen! Die Advokatur Sury AG 22 Teil V Bearbeitungsprozess E-Rechnung Die Advokatur Sury AG 23 Elektronische Signatur - Funktionsweise Internet Sender Empfänger www.clipartsheep.com www.clipartsheep.com http://icons8.com/license/ http://icons8.com/license/ http://icons8.com/license/ www.openclipart.org Signiert mit eigenem Schlüssel www.openclipart.org Überprüft Signatur mit öffentlichem Schlüssel des Absenders Die Advokatur Sury AG 24 Elektronische Signatur – Was ist zu tun? Feststellung der Identität und Registrierung des Anwenders durch persönliches Erscheinen bei anerkannten Anbietern von Zertifizierungsdiensten* Personalisierung (Chipkarte) Art. 8 Abs. 1 ZertES Zertifizierung des öffentlichen Schlüssels Schlüsselgenerierung www.openclipart.org Öffentliche kryptografische Schlüssel, zur Überprüfung einer elektronischen Signatur Daten wie Codes oder private kryptografische Schlüssel Art. 2 lit. d ZertES * Liste zu finden auf: http://www.seco.admin.ch/sas/00229/05092/index.html?lang=de www.openclipart.org Art. 2 lit. e ZertES Die Advokatur Sury AG 25 Welche Arten der Verschlüsselung gibt es? Es werden die nachfolgenden drei Arten der elektronischen Verschlüsselung unterschieden: Symmetrische Verschlüsselung: Sender und Empfänger tauschen den geheimen Schlüssel auf einem sicherem Kanal aus. Der Sender verschlüsselt die Nachricht mit dem geheimen Schlüssel und der Empfänger entschlüsselt die Nachricht mit dem geheimen Schlüssel. Asymmetrische Verschlüsselung: Der Empfänger gibt seinen Public Key öffentlich bekannt. Damit kann der Sender die Nachricht verschlüsseln. Mit dem Private Key vom Empfänger kann dieser die Nachricht wieder entschlüsseln. Hybride Verschlüsselung: Der Empfänger gibt seinen Public Key öffentlich bekannt. Der Sender verschlüsselt die Nachricht mit dem geheimen Schlüssel sowie dem Public Key vom Empfänger. Der Empfänger entschlüsselt die Nachricht mit seinem Private Key und dem geheimen Schlüssel Die Advokatur Sury AG 26 Dokumentation des Verfahrens Eingang E-Rechnung Ablage der E-Rechnung Weitere Bearbeitung i.d.R. im PDF/A oder TIFF- Archivierung des PDF/A oder TIFF Dokuments Format PDF/A PDF/A http://icons8.com/license/ http://icons8.com/license/ Art. 3 EIDI-V Art. 2 GeBüV Art. 3 GeBüV Art. 8 GeBüV Beweiskraft elektronische Einhaltung der Grundsätze Nachweis der Integrität und systematisches Inventar führen, Signatur und Zertifikat (vgl. der ordnungsgemässen des Ursprungs Schutz vor unbefugtem Zugriff. Art. 3 ZertES) Datenverarbeitung Aufzeichnung Zugriffe und Zutritte Art. 4 EIDI-V Datensicherheit Art. 10 EIDI-V Aufbewahrung, in ursprüngl. Form Art. 122 MWSTV und im ganzen Umfang auf Voraussetzungen maschinell verwertbaren für Beweiskraft Datenträgern Die Advokatur Sury AG 27 Art. 3 EIDI-V Beweiskraft Die in Artikel 122 Absatz 1 MWSTV verlangten Voraussetzungen für die Beweiskraft elektronischer Daten sind erfüllt, sofern: 1 a. die Übermittlung und die Aufbewahrung von Daten mittels elektronischer Signatur abgesichert sind; b. das durch eine Anbieterin von Zertifizierungsdiensten nach Artikel 2 Absatz 2 ausgestellte Zertifikat zum Zeitpunkt der Signaturerstellung gültig war; c. die elektronischen Daten bis zum Ablauf der Aufbewahrungsdauer nach Artikel 11 im notwendigen Umfang mittels Verifikation der elektronischen Signatur auf Integrität, Authentizität und Signaturberechtigung geprüft werden und bei automatisierter Verarbeitung die Verifikation der elektronischen Daten systematisch nach abgeschlossener Übermittlung, spätestens aber vor ihrer Verwendung, stattfindet und das Ergebnis dokumentiert ist; d. der zur Überprüfung der elektronischen Signatur notwendige öffentliche Schlüssel mit den abgesicherten Daten aufbewahrt wird; dies gilt auch für das durch eine anerkannte Anbieterin von Zertifizierungsdiensten ausgestellte Zertifikat nach Buchstabe b, sofern das Zertifikat nicht veröffentlicht wurde; e. bei Einsatz von Kryptografietechniken der Schlüssel zur Entschlüsselung verschlüsselter Daten aufbewahrt wird; f. keine Pseudonyme verwendet werden; und g. die Schlüssel im Zeitpunkt ihrer Verwendung unzweifelhaft als sicher betrachtet werden konnten. Elektronische Daten, die der Leistungsempfänger oder die Leistungsempfängerin an die Adresse des Leistungserbringers oder der Leistungserbringerin richtet (z.B. Gutschriftserteilung) oder die er oder sie im Namen und für Rechnung des Leistungserbringers oder der Leistungserbringerin erstellt (Self-billing), bedürfen einer Empfangsbestätigung durch den Leistungserbringer oder die Leistungserbringerin. Die Empfangsbestätigung muss die Voraussetzungen nach Absatz 1 erfüllen und eindeutig Bezug auf die empfangenen Daten nehmen. 2 Eine Empfangsbestätigung nach Absatz 2 ist ebenfalls erforderlich, wenn der Leistungserbringer oder die Leistungserbringerin den Nachweis, dass der Leistungsempfänger oder die Leistungsempfängerin seinen oder ihren Wohn- oder Geschäftssitz im Ausland hat, einzig aufgrund elektronisch übermittelter Daten geltend machen will. 3 Die Advokatur Sury AG 28 Verfahren E-Rechnung • Art. 3 EIDI-V: konkretisiert die in Art. 122 MWSTV verlangten Voraussetzungen für die Beweiskraft elektronischer Daten • Art. 2 GeBüV: Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung • Art. 3 GeBüV: Integrität (Echtheit & Unverfälschbarkeit), Führung und Aufbewahrung der Geschäftsbücher und Buchungsbelege, so dass sich jede Änderung feststellen lässt, auch bei E-Rechnungen! Die Advokatur Sury AG 29 Verfahren E-Rechnung • Art. 4 EIDI-V: Datensicherheit, d.h. das Datenverarbeitungsverfahren muss dafür sorgen, dass zu verarbeitende Daten nicht unbemerkt unterdrückt oder verändert werden können. • Format der E-Rechnung: gesetzlich nicht definiert; von ISO 19005-1 im PDF/A-Format definiert, da damit gesetzliche Anforderung der GeBüV erfüllt werden • Archivierung gemäss Art. 8 GeBüV: Zugriffe und Zutritte werden aufgezeichnet, Schutz vor unbefugtem Zutritt Art. 10 EIDI-V: Aufbewahrung in ursprünglicher und elektronischer Form Die Advokatur Sury AG 30 Teil VI Gesetzliche Grundlagen Die Advokatur Sury AG 31 Gesetzliche Grundlagen Wichtigste rechtliche Grundlage im Zusammenhang mit der Führungsverantwortung: Erlass Norm Inhalt Unübertragbare und unentziehbare Aufgaben des Verwaltungsrats: Schweizerisches Obligationenrecht (OR) (SR 220) Art. 716a • Oberleitung Gesellschaft, Erteilung Weisungen • Festlegung Organisation • Ausgestaltung Rechnungswesens, Finanzkontrolle, Finanzplanung • Ernennung und Abberufung der mit der Geschäftsführung/Vertretung betrauten Personen • Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen • Erstellung Geschäftsbericht, Vorbereitung GV und Ausführung ihrer Beschlüsse • Benachrichtigung Richters bei Überschuldung Die Advokatur Sury AG 32 Gesetzliche Grundlagen Erlass Norm Inhalt Haftung der Verwaltung & Geschäftsführung: Schweizerisches Obligationenrecht (OR) (SR 220) Strafgesetzbuch (StGB) (SR 311.0) Art. 754 Art. 166 • Schaden wurde durch absichtliche oder fahrlässige Pflichtverletzung verursacht • Mitglieder des Verwaltungsrates und die Geschäftsführung tragen Verantwortung gegenüber: • Gesellschaft • Einzelnen Aktionären und Gläubigern Pflichtverletzung zur ordnungsmässigen Führung und Aufbewahrung von Geschäftsbüchern oder Bilanzaufstellung, so dass Vermögensstand nicht oder nicht vollständig ersichtlich ist • Freiheitsstrafe bis zu 3 Jahren • Geldstrafe Die Advokatur Sury AG 33 Gesetzliche Grundlagen Erlass Norm Inhalt Art. 2 Abs. 2 Werden die Geschäftsbücher elektronisch oder auf vergleichbare Weise geführt und aufbewahrt und die Buchungsbelege elektronisch oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten. Verordnung über die Führung und Aufbewahrung der Geschäftsbücher Art. 3 (GeBüV) (SR 221.431) Art. 8 Die Geschäftsbücher müssen so geführt und aufbewahrt werden und die Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt. Die Informationen sind systematisch zu inventarisieren und vor unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind aufzuzeichnen. Diese Aufzeichnungen unterliegen derselben Aufbewahrungspflicht wie die Datenträger. Die Advokatur Sury AG 34 Gesetzliche Grundlagen Erlass Norm Inhalt Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen von den Personen, die einen Antrag auf Ausstellung eines qualifizierten Zertifikats stellen, verlangen, dass sie persönlich erscheinen und den Nachweis ihrer Identität erbringen. Im Falle von Art. 7 Abs. 2 lit. a ist die Einwilligung der vertretenen Person nachzuweisen; berufsbezogene oder sonstige Angaben zur Person sind durch die zuständige stelle zu bestätigen. 1 Art. 8 Abs. 1 Bundesgesetz über die elektronische Signatur (ZertES) (SR 943.03) Art. 2 lit. d/e lit. d. Signaturschlüssel: einmalige Daten wie Codes oder private kryptografische Schlüssel, die von der Inhaberin oder vom Inhaber zur Erstellung einer elektronischen Signatur verwendet werden; lit. e.: Signaturprüfschlüssel: Daten wie Codes oder öffentliche kryptografische Schlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden Die Advokatur Sury AG 35 Gesetzliche Grundlagen Erlass Norm Inhalt Elektronisch oder in vergleichbarer Weise übermittelte und aufbewahrte Daten und Informationen, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, haben die gleiche Beweiskraft wie Daten und Informationen, die ohne Hilfsmittel lesbar sind, sofern folgende Voraussetzungen erfüllt sind: 1 Mehrwertsteuerverordnung (MWST-V) (SR 641.201) a.Nachweis des Ursprungs; b.Nachweis der Integrität; c.Nichtabstreitbarkeit des Versands Art. 122 Besondere gesetzliche Bestimmungen, welche die Übermittlung oder Aufbewahrung der genannten Daten und Informationen in einer besonderen Form vorschreiben, bleiben vorbehalten. 2 Bundesgesetz über die Mehrwertsteuer (MWSTG) (SR 641.20) Art. 70 Abs. 4 Der Bundesrat regelt die Voraussetzungen, unter welchen Belege, die nach diesem Gesetz für die Durchführung der Steuer nötig sind, papierlos übermittelt und aufbewahrt werden können. Die Advokatur Sury AG 36 Gesetzliche Grundlagen Erlass Mehrwertsteuerverordnung (MWST-V) (SR 641.201) Norm Inhalt Die ESTV darf für die nachstehend aufgeführten Aufgaben die folgenden Daten und Informationen bearbeiten: g. Verhängung und Vollstreckung von administrativen oder strafrechtlichen Sanktionen: Daten und Informationen über die in Administrativ- und Strafverfahren festgestellten Widerhandlungen sowie über die Strafzumessungsgründe, wie die Einkommensund Vermögensverhältnisse Art. 131 Die ESTV ist zur Bearbeitung derjenigen Daten und Informationen befugt, die zur Steuererhebung und zum Steuereinzug erforderlich sind; dazu gehören auch Angaben über administrative und strafrechtliche Verfolgungen und Sanktionen. Zu diesem Zweck unterhält sie die dazu notwendigen Datensammlungen und die Mittel zur Bearbeitung und Aufbewahrung 1 Bundesgesetz über die Mehrwertsteuer (MWSTG) (SR 641.20) Art. 76 Abs. 1 Die Advokatur Sury AG 37 Teil VII Beispiele Die Advokatur Sury AG 38 Identische Rechnungen Beispiel 1: Bei einem Unternehmen werden 500 Rechnungen mit den gleichen Beträgen an die Kunden versendet. Beim Gebrauch der dazu benötigten Software wurde vergessen, ein Häkchen zu setzen. Daraufhin kann nicht zugeordnet werden, wer welche Rechnung bezahlt hat. Die Bank muss diese Zuordnung manuell machen und verlangt CHF 20.00 pro Kunde. Wer ist nun haftbar? Der Sachbearbeiter, der das Häkchen vergessen hat, die IT-Abteilung oder der Verwaltungsrat? Lösung: Nach Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat und die Geschäftsleitung für die Festlegung der Organisation zuständig, es muss also für eine gute Governance gesorgt werden. Der Verwaltungsrat hätte mit einer gut strukturierten Organisation eine zuständige Abteilung bestimmen müssen, welche für die Problem-behebung und somit für die Schadensminderung zuständig ist. Nach Art. 754 Abs. 1 OR haftet de Verwaltungsrat für einen Schaden, der aus einer Pflichtverletzung entsteht. Daher haftet der Verwaltungsrat und die Geschäftsleitung nun für den Schaden nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR. Die Advokatur Sury AG 39 Digitale Buchführung Beispiel 2: Bei einer KMU wird die Buchführung komplett digitalisiert. Nachdem dieser Prozess vorgenommen wird, stimmen die Zahlen, welche die digitale Buchführung ergibt, nicht mehr mit den vorgängigen Zahlen überein. Wer trägt die Verantwortung? Die IT-Abteilung oder die Geschäftsleitung? Lösung: Gemäss Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat und die Geschäftsleitung für die Organisation, einer guten Governance, zuständig. Der Verwaltungsrat muss in seiner Strategie eine zuständige Stelle definieren, welche für die Problembehebung vornehmen muss. Da er dieser Pflicht nicht nachgekommen ist, haftet er nach Art. 754 Abs. 1 OR für den Schaden, den er zumindest fahrlässig verursacht hat. Damit besteht eine Haftung nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR. Die Advokatur Sury AG 40 Flugzeugverspätung Beispiel 3: Bei einem Flug von Dubai nach Zürich gibt es starke Verspätungen aufgrund eines Sandsturmes. Die Passagiere müssen verspätet nach Paris fliegen, um dort einen Anschlussflug zu erhalten. In Paris angekommen, wird den Passagieren mitgeteilt, dass für sie keine Buchung eines Anschlussfluges möglich sei, da die Passagiere laut dem System noch in Dubai seien. Wem muss man glauben? Dem System oder den Passagieren? Lösung: Die Software funktioniert in diesem Fall offensichtlich nicht, denn die Passagiere können sich ausweisen. Gemäss Art. 716a Abs. 1 Ziff. 1 muss der Verwaltungsrat nötige Weisungen erteilen. Dabei muss er in seinen Weisungen klar definieren, wie in solchen Problemsituationen vorzugehen ist. Zudem muss er nach Art. 716a Abs. 1 Ziff. 2 die Organisation festlegen, d.h. er ist dafür zuständig, dass das Funktionieren der Software von der vordefinierten Stelle stets überprüft wird. Nach Art. 754 Abs. 1 OR haftet der Verwaltungsrat für einen Schaden durch eine absichtliche oder fahrlässige Pflichtverletzung. Somit haftet er hier nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 1 und 2 OR. Die Advokatur Sury AG 41 Fehlerhafte Operation Beispiel 4: Aufgrund von Brustkrebs muss einer Patientin die linke Brust amputiert werden. Die genauen Angaben werden in einer Software aufgenommen. Aufgrund eines Systemfehlers, erhält der Arzt falsche Informationen und entfernt bei der Operation beide Brüste. Wer kann zur Verantwortung gezogen werden? Die IT-Abteilung oder der Arzt bzw. das Krankenhaus? Lösung: Nach Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat für die Festlegung der Organisation zuständig. Dabei muss er mit einer guten Governance eine Strategie entwickeln und gewährleisten, dass eine Qualitätskontrolle von der zuständigen Stelle vorgenommen wird, d.h. der Verwaltungsrat ist dafür zuständig, dass die Qualität des Systems eingehalten und der Fehler von der zuständigen Abteilung behoben wird. Nach Art. 754 Abs. 1 OR haftet der Verwaltungsrat für den Schaden aus einer absichtlichen oder fahrlässigen Pflichtverletzung. In diesem Fall ist der Verwaltungs-rat zumindest für eine fahrlässige Pflichtverletzung haftbar. Somit haftet er nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR. Die Advokatur Sury AG 42 Fragen? 43 Danke Publikationen: • IT-Fehler In: Handbücher für die Anwaltspraxis – Haftung und Versicherung, Weber / Münch, Helbling & Lichtenhahn Verlag 2015 • IT-Outsourcing Verträge In: Prinzipen des Vertragsrechts, Böhringer/Müller/Münch/Waltenspühl, Schulthess-Verlag 2015 • BGE 125 III 263: Softwarelizenz: Wie weit reichen die Nutzungsrechte der Lizenznehmerin? In: Immaterialgüterrecht in kommentierten Leitentscheiden, SchulthessVerlag 2015 44 Danke Publikationen: • Kurzeinführung ins Arbeitsrecht - von der Vertragsanbahnung bis zur Kündigung Sprenger/Sury/Seger, Stämpfli Verlag 2013 • Informatikrecht Sury Ursula, Stämpfli Verlag 2013 • Beitrag „Recht im Offshoring“, In: IT-Offshoring - Potenziale, Risiken, Erfahrungsberichte, Sury Ursula, Orell Füssli Verlag 2006 45 Danke Beiträge Ursula Sury in: IT-business Home Office und Arbeitsrecht Ausgabe 4/2013 E-Mail aus der Cloud – für KMU eine gute Alternative? Ausgabe 3/2013 Die rechtlichen Aspekte der elektronischen Archivierung Ausgabe 2/2013 Datenschutzrechtliche Aspekte zur Software as a Service (SaaS) Ausgabe 1/2013 Umsicht bei Open Source Ausgabe 4/2012 IT-Sicherheit im KMU aus technischer und rechtlicher Sicht Ausgabe 3/2012 „Bring your own“ im Arbeitsalltag Ausgabe 1/2012 Beiträge Ursula Sury in: Informatik Spektrum (Springer-Verlag) Cyber-Spionage und Führungsverantwortung Heft 5/2015 FinTech und Recht Heft 4/2015 Rechtsaspekte der Digitalisierung von Unternehmensprozessen Heft 3/2015 Chief Digital Officer und Compliance Heft 2/2015 Google Glass und Recht Heft 1/2015 Contactless Heft 4/2014 Datability Heft 3/2014 46 Danke www.dieadvokatur.ch [email protected] RA Ursula Sury, Prof. an der HSLU Die Advokatur Sury AG Alpenquai 4 6005 Luzern 47 Teil VIII Anhang Die Advokatur Sury AG 48 Digitale Transformation – Governance Wie ist der Umgang damit? Erkennung der Risiken mit E-Rechnungen ist wichtig! Notwendiger Umgang mit Risiken: • Vorbeugende Massnahmen: Risiken im Umgang mit ERechnungen beheben! • Fehlerbehebende Massnahmen: sofortiges Handeln bei Fehlern mit E-Rechnungen! • Beispiel: Anpassung der Vertragsbedingungen, so dass E-Rechnungen auch geregelt und geschützt sind CDO-Einsetzung im Verwaltungsrat Die Advokatur Sury AG 49 Schutz von Informationen in der E-Rechnung Welche Informationen in der E-Rechnung müssen geschützt werden? – Gesetzliche Verpflichtungen (wie bspw. Anwalts-, Arzt-, und Amtsgeheimnis) müssen auch in E-Rechnungen geschützt werden – Personendaten und besonders schützenswerte Personendaten E-Rechnung enthält Personendaten (u.U. besonders schützenswerte), welche geschützt werden müssen! Die Advokatur Sury AG Chief Digital Officer (CDO) Wieso ein CDO? Die Schaffung dieser Position ist eine Reaktion auf die Bedürfnisse der neuen Management-Kompetenzen, speziell in der Geschäftsführung und der strategischen Leitung von Unternehmen. Neue Funktionen des CDO Digitale Transformation Cloud digitalisierte Prozessunterstützung Die Advokatur Sury AG 51 Verantwortlichkeit Art. 716a OR • Die Mitarbeitenden sind verpflichtet, die Weisungen einzuhalten. • Existieren keine verbindlichen Regelungen, so müssen die Mitarbeitenden im Rahmen ihrer Sorgfaltspflicht dafür Sorge tragen, dass ihre Tätigkeit genügend dokumentiert ist und wichtige Geschäftsdokumente aufbewahrt werden. Die Advokatur Sury AG 52 Problematik der Komplexität • Die Richtigkeit der Dokumentation muss gewährleistet sein, was wiederum mit Kosten verbunden ist. • Die Komplexität steigt mit den moderneren und komplexeren Systemen. • Hohe Fluktuation der Stellenbesetzung erschweren die Umstände, da informelles Wissen verloren geht. • Auch eine Überdokumentation kann zu Problemen führen. Zum einen, kann der Inhalt der Dokumentation zu komplex sein und zum anderen, kann die Dokumentation unverständlich und nicht nachvollziehbar sein. Die Advokatur Sury AG 53 Eine Herausforderung für jedes Unternehmen Es liegt in der Verantwortung des Unternehmens für den richtigen Umgang mit E-Rechnungen zu sorgen! Die Advokatur Sury AG 54 Art. 122 MWSTV Art. 122 Grundsatz (Art. 70 Abs. 4 MWSTG) Elektronisch oder in vergleichbarer Weise übermittelte und aufbewahrte Daten und Informationen, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, haben die gleiche Beweiskraft wie Daten und Informationen, die ohne Hilfsmittel lesbar sind, sofern folgende Voraussetzungen erfüllt sind: 1 a. Nachweis des Ursprungs; b. Nachweis der Integrität; c. Nichtabstreitbarkeit des Versands Besondere gesetzliche Bestimmungen, welche die Übermittlung oder Aufbewahrung der genannten Daten und Informationen in einer besonderen Form vorschreiben, bleiben vorbehalten. 2 Die Advokatur Sury AG 55 Bundesgesetz über die elektronische Signatur (ZertES) Die Advokatur Sury AG 56 Bundesgesetz über die elektronische Signatur (ZertES) Die Advokatur Sury AG 57 Elektronische Signatur - Funktionsweise Die Advokatur Sury AG 58 Art. 2 GeBüV Art. 2 Grundsätze ordnungsgemässer Führung und Aufbewahrung der Bücher Bei der Führung der Geschäftsbücher und der Erfassung der Buchungsbelege sind die anerkannten kaufmännischen Grundsätze einzuhalten (ordnungsgemässe Buchführung). 1 Werden die Geschäftsbücher elektronisch oder auf vergleichbare Weise geführt und aufbewahrt und die Buchungsbelege elektronisch oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten. 2 3 Die Ordnungsmässigkeit der Führung und der Aufbewahrung der Bücher richtet sich nach den anerkannten Standards zur Rechnungslegung, sofern die Gesetzgebung, insbesondere der 32. Titel des Obligationenrechts und diese Verordnung, nichts anderes vorsehen. Die Advokatur Sury AG 59 Art. 3 GeBüV Art. 3 Integrität (Echtheit und Unverfälschbarkeit) Die Geschäftsbücher müssen so geführt und aufbewahrt und die Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt. Die Advokatur Sury AG 60 Art. 4 EIDI-V Art. 4 Datensicherheit Das verwendete Datenverarbeitungsverfahren muss Gewähr bieten, dass alle zu verarbeitenden Daten, die für die Steuer-erhebung relevant sein können, erfasst werden und zudem nicht unbemerkt unterdrückt oder verändert werden können. 1 Sämtliche Datenbestände und Datenverarbeitungssysteme, die für die Steuererhebung und die diesbezüglichen Kontrollen durch die ESTV relevant sein können, sind mittels systematischer Verzeichnisse sowie ausreichender Zugriffs- und Zugangskontrollen vor Unauffindbarkeit, unberechtigter Veränderung und Vernichtung sowie Diebstahl angemessen zu schützen. 2 Die Advokatur Sury AG 61 Art. 8 GeBüV Art. 8 Archiv Die Informationen sind systematisch zu inventarisieren und vor unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind aufzuzeichnen. Diese Aufzeichnungen unterliegen derselben Aufbewahrungspflicht wie die Datenträger. Die Advokatur Sury AG 62 Art. 10 EIDI-V Art. 10 Aufbewahrung Die für die Steuererhebung relevanten elektronischen Daten sind von der versendenden und von der empfangenden Person in der ursprünglichen Form der Übermittlung und in ihrem ganzen Umfang auf maschinell verwertbaren Datenträgern aufzubewahren. Eine Aufbewahrung ausschliesslich in gedruckter Form oder auf Mikrofilm ist nicht zulässig. 1 Bei Umwandlung (Konvertierung) der für die Steuererhebung relevanten elektronischen Daten in ein anderes Format (Inhouse-Format) müssen beide Versionen aufbewahrt und mit demselben Index verwaltet werden. Die konvertierte Version ist als solche zu kennzeichnen. 2 Die für die Steuererhebung relevanten Daten müssen während der in Artikel 11 festgelegten Aufbewahrungsdauer für die steuerpflichtige Person jederzeit direkt zugänglich sein und von ihr ohne unzumutbare zeitliche Verzögerung von nur einem Ort aus im Inland lesbar und maschinell auswertbar gemacht werden können. 3 Die Aufbewahrung von Datenträgern im Ausland ist nur zulässig, wenn der Zugriff, die Wiedergabe und die Verfügbarkeit der für die Steuererhebung relevanten Daten jederzeit gewährleistet bleiben. 4 Die Advokatur Sury AG 63