Transcript
Fachveranstaltung „E-Rechnung in der Schweiz – Compliance und Führungsverantwortung“ E-Rechnung – Führungsverantwortung und Haftung 3. September 2015
RA Ursula Sury Prof. an der HSLU
Die Advokatur Sury AG
1
Zur Person RA Ursula Sury, Prof. an der HSLU • Gründung, Aufbau und Führung der Anwaltskanzlei „Die
Advokatur Sury AG“ (seit 1993) • Auf- und Ausbau des Schwerpunktes Informatik- und Datenschutzrecht an der Hochschule Luzern (seit 1993)
• Aufbau und Leitung CC Management & Law an der Hochschule Luzern (seit 2010) • Fachexpertin SQS für Datenschutzaudits (seit 2007)
• Vorstandsmitglied von swissVR seit 2012
Die Advokatur Sury AG
2
Überblick
Teil I
Einführungs-Beispiele
Teil II
Management Verantwortung
Teil III
Verantwortlichkeit und Haftung
Teil IV
Compliance
Teil V
Bearbeitungsprozess E-Rechnung
Teil VI
Gesetzliche Grundlagen
Teil VII
Beispiele
Teil VIII
Anhang Die Advokatur Sury AG
3
Teil I Einführungs-Beispiele
Die Advokatur Sury AG
4
Identische Rechnungen Beispiel 1: Bei einem Unternehmen werden 500 Rechnungen mit den gleichen Beträgen an die Kunden versendet. Beim Gebrauch der dazu benötigten Software wurde vergessen, ein Häkchen zu setzen. Daraufhin kann nicht zugeordnet werden, wer welche Rechnung bezahlt hat. Die Bank muss diese Zuordnung manuell machen und verlangt CHF 20.00 pro Kunde. Wer ist nun haftbar? Der Sachbearbeiter, der das Häkchen vergessen hat, die IT-Abteilung oder der Verwaltungsrat?
http://icons8.com/license/
Die Advokatur Sury AG
5
Digitale Buchführung Beispiel 2: Bei einer KMU wird die Buchführung komplett digitalisiert. Nachdem dieser Prozess vorgenommen wird, stimmen die Zahlen, welche die digitale Buchführung ergibt, nicht mehr mit den vorgängigen Zahlen überein. Wer trägt die Verantwortung? Die IT-Abteilung oder die Geschäftsleitung?
Die Advokatur Sury AG
6
Flugzeugverspätung Beispiel 3: Bei einem Flug von Dubai nach Zürich gibt es starke Verspätungen aufgrund eines Sandsturmes. Die Passagiere müssen verspätet nach Paris fliegen, um dort einen Anschlussflug zu erhalten. In Paris angekommen, wird den Passagieren mitgeteilt, dass für sie keine Buchung eines Anschlussfluges möglich sei, da die Passagiere laut dem System noch in Dubai seien. Wem muss man glauben? Dem System oder den Passagieren?
Die Advokatur Sury AG
7
Fehlerhafte Operation Beispiel 4: Aufgrund von Brustkrebs muss einer Patientin die linke Brust amputiert werden. Die genauen Angaben werden in eine Software aufgenommen. Aufgrund eines Systemfehlers, erhält der Arzt falsche Informationen und entfernt bei der Operation beide Brüste. Wer kann zur Verantwortung gezogen werden? Die IT-Abteilung oder der Arzt bzw. das Krankenhaus?
Die Advokatur Sury AG
8
Teil II Management Verantwortung
Die Advokatur Sury AG
9
Bisher: St. Galler Management Modell Kunden
Geschäftspartner
Management Prozess Verwaltungsrat
Geschäftsführung
Koordination
Strategie
Klienten
Kontrolle
Geschäftsprozess Leistung
Aktionäre
Marketing
Innovation
Prozessunterstützung Personal
Int. Service
Lieferanten
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
10
Verantwortliche Mitarbeitende des Unternehmens Kunden
Strategie
Geschäftspartner
Klienten
Management Prozess Art. 716a OR/ Art.754 OR
Geschäftsführung Verwaltungsrat
Geschäftsprozess Leistung
Marketing
Innovation
Lieferanten
Aktionäre Prozessunterstützung Int. Service
Personal
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
11
Art. 716a OR
Art. 716a 2. Unübertragbare Aufgaben 1
Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben: 1. die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen; 2. die Festlegung der Organisation; 3. die Ausgestaltung des Rechnungswesens, der Finanzkontrolle sowie der Finanzplanung, sofern diese für die Führung der Gesellschaft notwendig ist; 4. die Ernennung und Abberufung der mit der Geschäftsführung und der Vertretung betrauten Personen; 5. die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen; 6. die Erstellung des Geschäftsberichtes2 sowie die Vorbereitung der Generalversammlung und die Ausführung ihrer Beschlüsse; 7. die Benachrichtigung des Richters im Falle der Überschuldung.
Der Verwaltungsrat kann die Vorbereitung und die Ausführung seiner Beschlüsse oder die Überwachung von Geschäften Ausschüssen oder einzelnen Mitgliedern zuweisen. Er hat für eine angemessene Berichterstattung an seine Mitglieder zu sorgen. 2
Die Advokatur Sury AG
12
Verantwortlichkeit Art. 716a OR Art. 716 / 716a OR
Verwaltungsrat
CEO
CFO
CIO
Positive Gesamtverantwortung für: Oberleitung der Gesellschaft Festlegung der Organisation Rechnungswesen und Finanzen etc. Die Advokatur Sury AG
13
Müssen E-Rechnungen geschützt werden? Kunden
Geschäftspartner
Klienten
Management Prozess Geschäftsführung Verwaltungsrat
Geschäftsprozess Leistung
Marketing
Innovation
Lieferanten
Aktionäre Prozessunterstützung Int. Service
Personal
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
14
Die Zukunft: Digitale Transformation Kunden
Geschäftspartner
GeschäftsProzess
Management Prozess
Kontrolle
Prozessunterstützung
Koordination
Klienten
Strategie
Marketing
Personal
Lieferanten
Aktionäre
Int. Service
Innovation Leistung
Infrastruktur
Mitarbeiter
Die Advokatur Sury AG
15
Teil III Verantwortlichkeit und Haftung
Die Advokatur Sury AG
16
Verantwortlichkeit nach Art. 716a OR • Die oberste Verantwortung tragen der Verwaltungsrat und die Geschäftsführung
• Diese sind verpflichtet, die erforderliche Infrastruktur sowie die personellen und finanziellen Ressourcen bereit zu stellen und Weisungen über den Umgang mit Geschäftsdokumenten im Unternehmen zu erlassen --> gute Governance notwendig Beizug von Experten ist zwingend notwendig Aneignung eigener notwendiger Kompetenzen im Bereich der Informatik und Finanzen, um den Durchblick zu haben
Die Advokatur Sury AG
17
Wer trägt die Verantwortung für die IT? Governance und Corporate Governance Verantwortliche Mitarbeitende: –
Vorstand
–
CEO
–
Chief Digital Officer (CDO)
–
Chief technology officer (CTO)
–
Chief information officer (CIO)
Neue Fähigkeiten sind gefordert! ABER: Angestellte, z.B. ein Informatiker, sind auch verantwortlich Sorgfaltspflicht gemäss Art. 321a ff. OR! Die Advokatur Sury AG
18
Haftung nach Art. 754 OR • Verwaltungsrat und Geschäftsführung tragen Verantwortung für den Schaden aus Pflichtverletzung.
• Eine Sorgfalts- bzw. Treuepflichtverletzung kann eine persönliche und solidarische Haftung zur Folge haben. • Bei vielen Beteiligten im Unternehmen können auch andere Personen, wie ein CFO oder Rechnungslegungsexperte Verantwortungsträger und damit haftbar sein.
Die Advokatur Sury AG
19
Teil IV Compliance
Die Advokatur Sury AG
20
Compliance - Massnahmen
Wie wird Compliance gewährleistet?
Technische Massnahmen: Signatur der E-Rechnung? PDF/A oder TIFF-Format der E-Rechnung? Feststellung Änderungen an E-Rechnung? Archivierung? PDF/A
Die Advokatur Sury AG
21
Compliance - Massnahmen
Organisatorische Massnahmen: Wer trägt die Verantwortung bei Fehlern mit E-Rechnungen? Verantwortlichkeits-Vereinbarungen mit Mitarbeitenden! Werden E-Rechnungen richtig bearbeitet und abgelegt? Kontrolle der Mitarbeitenden! Bestehen Anweisungen zum richtigen Umgang mit E-Rechnungen? Interne Richtlinien erlassen! Wie wird der Arbeitsplatz geschützt? Arbeitsplatzsicherheit gewährleisten! Wer hat Zugang zu den E-Rechnungen? Zugangsbeschränkung einiger Dokumente bzw. der E-Rechnungen! Die Advokatur Sury AG
22
Teil V Bearbeitungsprozess E-Rechnung
Die Advokatur Sury AG
23
Elektronische Signatur - Funktionsweise
Internet
Sender
Empfänger www.clipartsheep.com www.clipartsheep.com
http://icons8.com/license/
http://icons8.com/license/
http://icons8.com/license/ www.openclipart.org
Signiert mit eigenem Schlüssel
www.openclipart.org
Überprüft Signatur mit öffentlichem Schlüssel des Absenders Die Advokatur Sury AG
24
Elektronische Signatur – Was ist zu tun? Feststellung der Identität und Registrierung des Anwenders durch persönliches Erscheinen bei anerkannten Anbietern von Zertifizierungsdiensten*
Personalisierung (Chipkarte)
Art. 8 Abs. 1 ZertES
Zertifizierung des öffentlichen Schlüssels
Schlüsselgenerierung www.openclipart.org
Öffentliche kryptografische Schlüssel, zur Überprüfung einer elektronischen Signatur
Daten wie Codes oder private kryptografische Schlüssel Art. 2 lit. d ZertES
* Liste zu finden auf:
http://www.seco.admin.ch/sas/00229/05092/index.html?lang=de
www.openclipart.org
Art. 2 lit. e ZertES
Die Advokatur Sury AG
25
Welche Arten der Verschlüsselung gibt es? Es werden die nachfolgenden drei Arten der elektronischen Verschlüsselung unterschieden:
Symmetrische Verschlüsselung: Sender und Empfänger tauschen den geheimen Schlüssel auf einem sicherem Kanal aus. Der Sender verschlüsselt die Nachricht mit dem geheimen Schlüssel und der Empfänger entschlüsselt die Nachricht mit dem geheimen Schlüssel.
Asymmetrische Verschlüsselung: Der Empfänger gibt seinen Public Key öffentlich bekannt. Damit kann der Sender die Nachricht verschlüsseln. Mit dem Private Key vom Empfänger kann dieser die Nachricht wieder entschlüsseln.
Hybride Verschlüsselung: Der Empfänger gibt seinen Public Key öffentlich bekannt. Der Sender verschlüsselt die Nachricht mit dem geheimen Schlüssel sowie dem Public Key vom Empfänger. Der Empfänger entschlüsselt die Nachricht mit seinem Private Key und dem geheimen Schlüssel Die Advokatur Sury AG
26
Dokumentation des Verfahrens Eingang E-Rechnung
Ablage der E-Rechnung
Weitere Bearbeitung
i.d.R. im PDF/A oder TIFF-
Archivierung des PDF/A oder TIFF Dokuments
Format PDF/A PDF/A
http://icons8.com/license/
http://icons8.com/license/
Art. 3 EIDI-V
Art. 2 GeBüV
Art. 3 GeBüV
Art. 8 GeBüV
Beweiskraft elektronische
Einhaltung der Grundsätze
Nachweis der Integrität und
systematisches Inventar führen,
Signatur und Zertifikat (vgl.
der ordnungsgemässen
des Ursprungs
Schutz vor unbefugtem Zugriff.
Art. 3 ZertES)
Datenverarbeitung
Aufzeichnung Zugriffe und Zutritte Art. 4 EIDI-V Datensicherheit
Art. 10 EIDI-V Aufbewahrung, in ursprüngl. Form
Art. 122 MWSTV
und im ganzen Umfang auf
Voraussetzungen
maschinell verwertbaren
für Beweiskraft
Datenträgern
Die Advokatur Sury AG
27
Art. 3 EIDI-V Beweiskraft Die in Artikel 122 Absatz 1 MWSTV verlangten Voraussetzungen für die Beweiskraft elektronischer Daten sind erfüllt, sofern: 1
a. die Übermittlung und die Aufbewahrung von Daten mittels elektronischer Signatur abgesichert sind; b. das durch eine Anbieterin von Zertifizierungsdiensten nach Artikel 2 Absatz 2 ausgestellte Zertifikat zum Zeitpunkt der Signaturerstellung gültig war; c. die elektronischen Daten bis zum Ablauf der Aufbewahrungsdauer nach Artikel 11 im notwendigen Umfang mittels Verifikation der elektronischen Signatur auf Integrität, Authentizität und Signaturberechtigung geprüft werden und bei automatisierter Verarbeitung die Verifikation der elektronischen Daten systematisch nach abgeschlossener Übermittlung, spätestens aber vor ihrer Verwendung, stattfindet und das Ergebnis dokumentiert ist; d. der zur Überprüfung der elektronischen Signatur notwendige öffentliche Schlüssel mit den abgesicherten Daten aufbewahrt wird; dies gilt auch für das durch eine anerkannte Anbieterin von Zertifizierungsdiensten ausgestellte Zertifikat nach Buchstabe b, sofern das Zertifikat nicht veröffentlicht wurde; e. bei Einsatz von Kryptografietechniken der Schlüssel zur Entschlüsselung verschlüsselter Daten aufbewahrt wird; f. keine Pseudonyme verwendet werden; und g. die Schlüssel im Zeitpunkt ihrer Verwendung unzweifelhaft als sicher betrachtet werden konnten. Elektronische Daten, die der Leistungsempfänger oder die Leistungsempfängerin an die Adresse des Leistungserbringers oder der Leistungserbringerin richtet (z.B. Gutschriftserteilung) oder die er oder sie im Namen und für Rechnung des Leistungserbringers oder der Leistungserbringerin erstellt (Self-billing), bedürfen einer Empfangsbestätigung durch den Leistungserbringer oder die Leistungserbringerin. Die Empfangsbestätigung muss die Voraussetzungen nach Absatz 1 erfüllen und eindeutig Bezug auf die empfangenen Daten nehmen. 2
Eine Empfangsbestätigung nach Absatz 2 ist ebenfalls erforderlich, wenn der Leistungserbringer oder die Leistungserbringerin den Nachweis, dass der Leistungsempfänger oder die Leistungsempfängerin seinen oder ihren Wohn- oder Geschäftssitz im Ausland hat, einzig aufgrund elektronisch übermittelter Daten geltend machen will. 3
Die Advokatur Sury AG
28
Verfahren E-Rechnung
• Art. 3 EIDI-V: konkretisiert die in Art. 122 MWSTV verlangten Voraussetzungen für die Beweiskraft elektronischer Daten • Art. 2 GeBüV: Einhaltung der Grundsätze der ordnungsgemässen Datenverarbeitung • Art. 3 GeBüV: Integrität (Echtheit & Unverfälschbarkeit), Führung und Aufbewahrung der Geschäftsbücher und Buchungsbelege, so dass sich jede Änderung feststellen lässt, auch bei E-Rechnungen!
Die Advokatur Sury AG
29
Verfahren E-Rechnung • Art. 4 EIDI-V: Datensicherheit, d.h. das Datenverarbeitungsverfahren muss dafür sorgen, dass zu verarbeitende Daten nicht unbemerkt unterdrückt oder verändert werden können. • Format der E-Rechnung: gesetzlich nicht definiert; von ISO 19005-1 im PDF/A-Format definiert, da damit gesetzliche Anforderung der GeBüV erfüllt werden • Archivierung gemäss Art. 8 GeBüV: Zugriffe und Zutritte werden aufgezeichnet, Schutz vor unbefugtem Zutritt Art. 10 EIDI-V: Aufbewahrung in ursprünglicher und elektronischer Form
Die Advokatur Sury AG
30
Teil VI Gesetzliche Grundlagen
Die Advokatur Sury AG
31
Gesetzliche Grundlagen Wichtigste rechtliche Grundlage im Zusammenhang mit der Führungsverantwortung: Erlass
Norm
Inhalt Unübertragbare und unentziehbare Aufgaben des Verwaltungsrats:
Schweizerisches Obligationenrecht (OR) (SR 220)
Art. 716a
•
Oberleitung Gesellschaft, Erteilung Weisungen
•
Festlegung Organisation
•
Ausgestaltung Rechnungswesens, Finanzkontrolle, Finanzplanung
•
Ernennung und Abberufung der mit der Geschäftsführung/Vertretung betrauten Personen
•
Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen
•
Erstellung Geschäftsbericht, Vorbereitung GV und Ausführung ihrer Beschlüsse
•
Benachrichtigung Richters bei Überschuldung
Die Advokatur Sury AG
32
Gesetzliche Grundlagen Erlass
Norm
Inhalt
Haftung der Verwaltung & Geschäftsführung:
Schweizerisches Obligationenrecht (OR) (SR 220)
Strafgesetzbuch (StGB) (SR 311.0)
Art. 754
Art. 166
•
Schaden wurde durch absichtliche oder fahrlässige Pflichtverletzung verursacht
•
Mitglieder des Verwaltungsrates und die Geschäftsführung tragen Verantwortung gegenüber: •
Gesellschaft
•
Einzelnen Aktionären und Gläubigern
Pflichtverletzung zur ordnungsmässigen Führung und Aufbewahrung von Geschäftsbüchern oder Bilanzaufstellung, so dass Vermögensstand nicht oder nicht vollständig ersichtlich ist •
Freiheitsstrafe bis zu 3 Jahren
•
Geldstrafe Die Advokatur Sury AG
33
Gesetzliche Grundlagen Erlass
Norm
Inhalt
Art. 2 Abs. 2
Werden die Geschäftsbücher elektronisch oder auf vergleichbare Weise geführt und aufbewahrt und die Buchungsbelege elektronisch oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten.
Verordnung über die Führung und Aufbewahrung der Geschäftsbücher Art. 3 (GeBüV) (SR 221.431)
Art. 8
Die Geschäftsbücher müssen so geführt und aufbewahrt werden und die Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt. Die Informationen sind systematisch zu inventarisieren und vor unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind aufzuzeichnen. Diese Aufzeichnungen unterliegen derselben Aufbewahrungspflicht wie die Datenträger.
Die Advokatur Sury AG
34
Gesetzliche Grundlagen Erlass
Norm
Inhalt Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen von den Personen, die einen Antrag auf Ausstellung eines qualifizierten Zertifikats stellen, verlangen, dass sie persönlich erscheinen und den Nachweis ihrer Identität erbringen. Im Falle von Art. 7 Abs. 2 lit. a ist die Einwilligung der vertretenen Person nachzuweisen; berufsbezogene oder sonstige Angaben zur Person sind durch die zuständige stelle zu bestätigen. 1
Art. 8 Abs. 1 Bundesgesetz über die elektronische Signatur (ZertES) (SR 943.03)
Art. 2
lit. d/e
lit. d. Signaturschlüssel: einmalige Daten wie Codes oder private kryptografische Schlüssel, die von der Inhaberin oder vom Inhaber zur Erstellung einer elektronischen Signatur verwendet werden; lit. e.: Signaturprüfschlüssel: Daten wie Codes oder öffentliche kryptografische Schlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden Die Advokatur Sury AG
35
Gesetzliche Grundlagen Erlass
Norm
Inhalt Elektronisch oder in vergleichbarer Weise übermittelte und aufbewahrte Daten und Informationen, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, haben die gleiche Beweiskraft wie Daten und Informationen, die ohne Hilfsmittel lesbar sind, sofern folgende Voraussetzungen erfüllt sind: 1
Mehrwertsteuerverordnung (MWST-V) (SR 641.201)
a.Nachweis des Ursprungs; b.Nachweis der Integrität; c.Nichtabstreitbarkeit des Versands
Art. 122
Besondere gesetzliche Bestimmungen, welche die Übermittlung oder Aufbewahrung der genannten Daten und Informationen in einer besonderen Form vorschreiben, bleiben vorbehalten. 2
Bundesgesetz über die Mehrwertsteuer (MWSTG) (SR 641.20)
Art. 70 Abs. 4
Der Bundesrat regelt die Voraussetzungen, unter welchen Belege, die nach diesem Gesetz für die Durchführung der Steuer nötig sind, papierlos übermittelt und aufbewahrt werden können. Die Advokatur Sury AG
36
Gesetzliche Grundlagen Erlass
Mehrwertsteuerverordnung (MWST-V) (SR 641.201)
Norm
Inhalt
Die ESTV darf für die nachstehend aufgeführten Aufgaben die folgenden Daten und Informationen bearbeiten:
g. Verhängung und Vollstreckung von administrativen oder strafrechtlichen Sanktionen: Daten und Informationen über die in Administrativ- und Strafverfahren festgestellten Widerhandlungen sowie über die Strafzumessungsgründe, wie die Einkommensund Vermögensverhältnisse
Art. 131
Die ESTV ist zur Bearbeitung derjenigen Daten und Informationen befugt, die zur Steuererhebung und zum Steuereinzug erforderlich sind; dazu gehören auch Angaben über administrative und strafrechtliche Verfolgungen und Sanktionen. Zu diesem Zweck unterhält sie die dazu notwendigen Datensammlungen und die Mittel zur Bearbeitung und Aufbewahrung 1
Bundesgesetz über die Mehrwertsteuer (MWSTG) (SR 641.20)
Art. 76 Abs. 1
Die Advokatur Sury AG
37
Teil VII Beispiele
Die Advokatur Sury AG
38
Identische Rechnungen Beispiel 1:
Bei einem Unternehmen werden 500 Rechnungen mit den gleichen Beträgen an die Kunden versendet. Beim Gebrauch der dazu benötigten Software wurde vergessen, ein Häkchen zu setzen. Daraufhin kann nicht zugeordnet werden, wer welche Rechnung bezahlt hat. Die Bank muss diese Zuordnung manuell machen und verlangt CHF 20.00 pro Kunde. Wer ist nun haftbar? Der Sachbearbeiter, der das Häkchen vergessen hat, die IT-Abteilung oder der Verwaltungsrat?
Lösung: Nach Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat und
die Geschäftsleitung für die Festlegung der Organisation zuständig, es muss also für eine gute Governance gesorgt werden. Der Verwaltungsrat hätte mit einer gut strukturierten Organisation eine zuständige Abteilung bestimmen müssen, welche für die Problem-behebung und somit für die Schadensminderung zuständig ist. Nach Art. 754 Abs. 1 OR haftet de Verwaltungsrat für einen Schaden, der aus einer Pflichtverletzung entsteht. Daher haftet der Verwaltungsrat und die Geschäftsleitung nun für den Schaden nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR. Die Advokatur Sury AG
39
Digitale Buchführung Beispiel 2:
Bei einer KMU wird die Buchführung komplett digitalisiert. Nachdem dieser Prozess vorgenommen wird, stimmen die Zahlen, welche die digitale Buchführung ergibt, nicht mehr mit den vorgängigen Zahlen überein. Wer trägt die Verantwortung? Die IT-Abteilung oder die Geschäftsleitung?
Lösung: Gemäss Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat
und die Geschäftsleitung für die Organisation, einer guten Governance, zuständig. Der Verwaltungsrat muss in seiner Strategie eine zuständige Stelle definieren, welche für die Problembehebung vornehmen muss. Da er dieser Pflicht nicht nachgekommen ist, haftet er nach Art. 754 Abs. 1 OR für den Schaden, den er zumindest fahrlässig verursacht hat. Damit besteht eine Haftung nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR.
Die Advokatur Sury AG
40
Flugzeugverspätung Beispiel 3:
Bei einem Flug von Dubai nach Zürich gibt es starke Verspätungen aufgrund eines Sandsturmes. Die Passagiere müssen verspätet nach Paris fliegen, um dort einen Anschlussflug zu erhalten. In Paris angekommen, wird den Passagieren mitgeteilt, dass für sie keine Buchung eines Anschlussfluges möglich sei, da die Passagiere laut dem System noch in Dubai seien. Wem muss man glauben? Dem System oder den Passagieren?
Lösung: Die Software funktioniert in diesem Fall offensichtlich nicht,
denn die Passagiere können sich ausweisen. Gemäss Art. 716a Abs. 1 Ziff. 1 muss der Verwaltungsrat nötige Weisungen erteilen. Dabei muss er in seinen Weisungen klar definieren, wie in solchen Problemsituationen vorzugehen ist. Zudem muss er nach Art. 716a Abs. 1 Ziff. 2 die Organisation festlegen, d.h. er ist dafür zuständig, dass das Funktionieren der Software von der vordefinierten Stelle stets überprüft wird. Nach Art. 754 Abs. 1 OR haftet der Verwaltungsrat für einen Schaden durch eine absichtliche oder fahrlässige Pflichtverletzung. Somit haftet er hier nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 1 und 2 OR. Die Advokatur Sury AG
41
Fehlerhafte Operation Beispiel 4:
Aufgrund von Brustkrebs muss einer Patientin die linke Brust amputiert werden. Die genauen Angaben werden in einer Software aufgenommen. Aufgrund eines Systemfehlers, erhält der Arzt falsche Informationen und entfernt bei der Operation beide Brüste. Wer kann zur Verantwortung gezogen werden? Die IT-Abteilung oder der Arzt bzw. das Krankenhaus?
Lösung: Nach Art. 716a Abs. 1 Ziff. 2 OR ist der Verwaltungsrat für
die Festlegung der Organisation zuständig. Dabei muss er mit einer guten Governance eine Strategie entwickeln und gewährleisten, dass eine Qualitätskontrolle von der zuständigen Stelle vorgenommen wird, d.h. der Verwaltungsrat ist dafür zuständig, dass die Qualität des Systems eingehalten und der Fehler von der zuständigen Abteilung behoben wird. Nach Art. 754 Abs. 1 OR haftet der Verwaltungsrat für den Schaden aus einer absichtlichen oder fahrlässigen Pflichtverletzung. In diesem Fall ist der Verwaltungs-rat zumindest für eine fahrlässige Pflichtverletzung haftbar. Somit haftet er nach Art. 754 Abs. 1 OR i.V.m. Art. 716a Abs. 1 Ziff. 2 OR. Die Advokatur Sury AG
42
Fragen?
43
Danke
Publikationen: • IT-Fehler In: Handbücher für die Anwaltspraxis – Haftung und Versicherung, Weber / Münch, Helbling & Lichtenhahn Verlag 2015
• IT-Outsourcing Verträge In: Prinzipen des Vertragsrechts, Böhringer/Müller/Münch/Waltenspühl, Schulthess-Verlag 2015
• BGE 125 III 263: Softwarelizenz: Wie weit reichen die Nutzungsrechte der Lizenznehmerin? In: Immaterialgüterrecht in kommentierten Leitentscheiden, SchulthessVerlag 2015 44
Danke
Publikationen:
• Kurzeinführung ins Arbeitsrecht - von der Vertragsanbahnung bis zur Kündigung Sprenger/Sury/Seger, Stämpfli Verlag 2013
• Informatikrecht Sury Ursula, Stämpfli Verlag 2013
• Beitrag „Recht im Offshoring“, In: IT-Offshoring - Potenziale, Risiken, Erfahrungsberichte, Sury Ursula, Orell Füssli Verlag 2006
45
Danke Beiträge Ursula Sury in: IT-business Home Office und Arbeitsrecht
Ausgabe 4/2013
E-Mail aus der Cloud – für KMU eine gute Alternative?
Ausgabe 3/2013
Die rechtlichen Aspekte der elektronischen Archivierung
Ausgabe 2/2013
Datenschutzrechtliche Aspekte zur Software as a Service (SaaS)
Ausgabe 1/2013
Umsicht bei Open Source
Ausgabe 4/2012
IT-Sicherheit im KMU aus technischer und rechtlicher Sicht
Ausgabe 3/2012
„Bring your own“ im Arbeitsalltag
Ausgabe 1/2012
Beiträge Ursula Sury in: Informatik Spektrum (Springer-Verlag) Cyber-Spionage und Führungsverantwortung
Heft 5/2015
FinTech und Recht
Heft 4/2015
Rechtsaspekte der Digitalisierung von Unternehmensprozessen
Heft 3/2015
Chief Digital Officer und Compliance
Heft 2/2015
Google Glass und Recht
Heft 1/2015
Contactless
Heft 4/2014
Datability
Heft 3/2014
46
Danke
www.dieadvokatur.ch
[email protected]
RA Ursula Sury, Prof. an der HSLU Die Advokatur Sury AG Alpenquai 4 6005 Luzern
47
Teil VIII Anhang
Die Advokatur Sury AG
48
Digitale Transformation – Governance Wie ist der Umgang damit?
Erkennung der Risiken mit E-Rechnungen ist wichtig! Notwendiger Umgang mit Risiken: • Vorbeugende Massnahmen: Risiken im Umgang mit ERechnungen beheben!
• Fehlerbehebende Massnahmen: sofortiges Handeln bei Fehlern mit E-Rechnungen!
• Beispiel: Anpassung der Vertragsbedingungen, so dass E-Rechnungen auch geregelt und geschützt sind CDO-Einsetzung im Verwaltungsrat
Die Advokatur Sury AG
49
Schutz von Informationen in der E-Rechnung Welche Informationen in der E-Rechnung müssen geschützt werden? – Gesetzliche Verpflichtungen (wie bspw. Anwalts-, Arzt-, und Amtsgeheimnis) müssen auch in E-Rechnungen geschützt werden – Personendaten und besonders schützenswerte Personendaten
E-Rechnung enthält Personendaten (u.U. besonders schützenswerte), welche geschützt werden müssen!
Die Advokatur Sury AG
Chief Digital Officer (CDO) Wieso ein CDO? Die Schaffung dieser Position ist eine Reaktion auf die Bedürfnisse der neuen Management-Kompetenzen, speziell in der Geschäftsführung und der strategischen Leitung von Unternehmen.
Neue Funktionen des CDO Digitale Transformation Cloud digitalisierte Prozessunterstützung
Die Advokatur Sury AG
51
Verantwortlichkeit Art. 716a OR • Die Mitarbeitenden sind verpflichtet, die Weisungen einzuhalten.
• Existieren keine verbindlichen Regelungen, so müssen die Mitarbeitenden im Rahmen ihrer Sorgfaltspflicht dafür Sorge tragen, dass ihre Tätigkeit genügend dokumentiert ist und wichtige Geschäftsdokumente aufbewahrt werden.
Die Advokatur Sury AG
52
Problematik der Komplexität • Die Richtigkeit der Dokumentation muss gewährleistet sein, was wiederum mit Kosten verbunden ist. • Die Komplexität steigt mit den moderneren und komplexeren Systemen. • Hohe Fluktuation der Stellenbesetzung erschweren die Umstände, da informelles Wissen verloren geht. • Auch eine Überdokumentation kann zu Problemen führen. Zum einen, kann der Inhalt der Dokumentation zu komplex sein und zum anderen, kann die Dokumentation unverständlich und nicht nachvollziehbar sein. Die Advokatur Sury AG
53
Eine Herausforderung für jedes Unternehmen
Es liegt in der Verantwortung des Unternehmens für den richtigen Umgang mit E-Rechnungen zu sorgen!
Die Advokatur Sury AG
54
Art. 122 MWSTV Art. 122
Grundsatz
(Art. 70 Abs. 4 MWSTG) Elektronisch oder in vergleichbarer Weise übermittelte und aufbewahrte Daten und Informationen, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, haben die gleiche Beweiskraft wie Daten und Informationen, die ohne Hilfsmittel lesbar sind, sofern folgende Voraussetzungen erfüllt sind: 1
a. Nachweis des Ursprungs; b. Nachweis der Integrität; c. Nichtabstreitbarkeit des Versands Besondere gesetzliche Bestimmungen, welche die Übermittlung oder Aufbewahrung der genannten Daten und Informationen in einer besonderen Form vorschreiben, bleiben vorbehalten. 2
Die Advokatur Sury AG
55
Bundesgesetz über die elektronische Signatur (ZertES)
Die Advokatur Sury AG
56
Bundesgesetz über die elektronische Signatur (ZertES)
Die Advokatur Sury AG
57
Elektronische Signatur - Funktionsweise
Die Advokatur Sury AG
58
Art. 2 GeBüV Art. 2 Grundsätze ordnungsgemässer Führung und Aufbewahrung der Bücher Bei der Führung der Geschäftsbücher und der Erfassung der Buchungsbelege sind die anerkannten kaufmännischen Grundsätze einzuhalten (ordnungsgemässe Buchführung). 1
Werden die Geschäftsbücher elektronisch oder auf vergleichbare Weise geführt und aufbewahrt und die Buchungsbelege elektronisch oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten. 2
3
Die Ordnungsmässigkeit der Führung und der Aufbewahrung der Bücher richtet sich nach den anerkannten Standards zur Rechnungslegung, sofern die Gesetzgebung, insbesondere der 32. Titel des Obligationenrechts und diese Verordnung, nichts anderes vorsehen.
Die Advokatur Sury AG
59
Art. 3 GeBüV
Art. 3 Integrität (Echtheit und Unverfälschbarkeit) Die Geschäftsbücher müssen so geführt und aufbewahrt und die Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt.
Die Advokatur Sury AG
60
Art. 4 EIDI-V Art. 4 Datensicherheit Das verwendete Datenverarbeitungsverfahren muss Gewähr bieten, dass alle zu verarbeitenden Daten, die für die Steuer-erhebung relevant sein können, erfasst werden und zudem nicht unbemerkt unterdrückt oder verändert werden können. 1
Sämtliche Datenbestände und Datenverarbeitungssysteme, die für die Steuererhebung und die diesbezüglichen Kontrollen durch die ESTV relevant sein können, sind mittels systematischer Verzeichnisse sowie ausreichender Zugriffs- und Zugangskontrollen vor Unauffindbarkeit, unberechtigter Veränderung und Vernichtung sowie Diebstahl angemessen zu schützen. 2
Die Advokatur Sury AG
61
Art. 8 GeBüV Art. 8 Archiv Die Informationen sind systematisch zu inventarisieren und vor unbefugtem Zugriff zu schützen. Zugriffe und Zutritte sind aufzuzeichnen. Diese Aufzeichnungen unterliegen derselben Aufbewahrungspflicht wie die Datenträger.
Die Advokatur Sury AG
62
Art. 10 EIDI-V Art. 10 Aufbewahrung Die für die Steuererhebung relevanten elektronischen Daten sind von der versendenden und von der empfangenden Person in der ursprünglichen Form der Übermittlung und in ihrem ganzen Umfang auf maschinell verwertbaren Datenträgern aufzubewahren. Eine Aufbewahrung ausschliesslich in gedruckter Form oder auf Mikrofilm ist nicht zulässig. 1
Bei Umwandlung (Konvertierung) der für die Steuererhebung relevanten elektronischen Daten in ein anderes Format (Inhouse-Format) müssen beide Versionen aufbewahrt und mit demselben Index verwaltet werden. Die konvertierte Version ist als solche zu kennzeichnen. 2
Die für die Steuererhebung relevanten Daten müssen während der in Artikel 11 festgelegten Aufbewahrungsdauer für die steuerpflichtige Person jederzeit direkt zugänglich sein und von ihr ohne unzumutbare zeitliche Verzögerung von nur einem Ort aus im Inland lesbar und maschinell auswertbar gemacht werden können. 3
Die Aufbewahrung von Datenträgern im Ausland ist nur zulässig, wenn der Zugriff, die Wiedergabe und die Verfügbarkeit der für die Steuererhebung relevanten Daten jederzeit gewährleistet bleiben. 4
Die Advokatur Sury AG
63
