An seiner Sitzung vom 22. Oktober 2025 hat der Bundesrat die Vernehmlassung zur Änderung des Finanzinstitutsgesetzes (FINIG) eröffnet. Ziel der Revision ist es, die Attraktivität des Finanzstandorts Schweiz zu stärken und die Integration innovativer Finanztechnologien zu fördern. Gleichzeitig sollen internationale Standards umgesetzt werden.

Mit dem EU Data Act werden neue Standards für den Datenzugang und die Vertragsgestaltung gesetzt. Schweizer Unternehmen mit EU-Bezug sind faktisch verpflichtet, ihre Strukturen anzupassen.

Für Geschäftsleitungsmitglieder und Verwaltungsräte ist der richtige Umgang mit den Datenschut- zerklärungen zentral zur Risikominimierung und zur Erfüllung ihrer Aufsichts- und Sorgfaltspflicht gemäss Datenschutzgesetz (DSG). Eine wirksame Datenschutzerklärung stellt ein zentrales Ele- ment eines umfassenden Datenschutzkonzepts dar. Sobald Personendaten beschafft werden, z. B. via Website, E-Mail, Formular, Bewerbungen, braucht die Unternehmung eine Datenschutzerklärung.

Nutzt ein Unternehmen KI-Tools Dritter (z. B. Textgenerierung, Datenanalyse), liegt bei Zugriff auf Per- sonendaten durch den Anbieter eine Auftragsbearbeitung gemäss Art.9 DSG vor. Ein Auftragsbearbei-

tungsvertrag (ABV) ist zwingend notwendig, um sicherzustellen, dass der Verantwortliche die Kon-

trolle behält und der Anbieter die Datenschutzpflichten einhält. Wenn ein Unternehmen KI-Systeme von externen Anbietern nutzt, muss der ABV spezifische Risiken und Anforderungen berücksichtigen.

Execution-Only gewinnt im Vertrieb von Finanzinstrumenten zunehmend an Bedeutung. Die Digitalisierung des Anlagegeschäfts, das Bedürfnis nach Flexibilität und Effizienz sowie der Wunsch vieler Kund*innen nach Selbstbestimmung begünstigen eine Entwicklung hin zur reinen Ausführung von Anlageaufträgen ohne vorgängige Beratung. Was auf den ersten Blick einfach wirkt, ist rechtlich anspruchsvoll. FIDLEG und FIDLEV haben für Execution-Only-Dienstleistungen in der Schweiz aufsichtsrechtliche Rahmenbedingungen und Pflichten für Finanzdienstleister welche sie auch ohne Beratung gegenüber ihren Kund*innen einhalten müssen.

Die Fintech-Bewilligung gemäss Art. 1b Bankengesetz ermöglicht innovativen Finanzunternehmen den Markteintritt ohne volle Banklizenz. Bis zu CHF 100 Mio. an Kundengeldern dürfen entgegengenommen werden – solange keine Zinsgeschäfte erfolgen. Sie richtet sich insbesondere an Neobanken, Crowdfunding- und Zahlungsplattformen.

Actively Managed Certificates (AMCs) erfreuen sich wachsender Beliebtheit, insbesondere bei innovativen Anlagestrategien und massgeschneiderten Investmentlösungen. Sie gelten als strukturierte Produkte und erlauben es, aktiv verwaltete Strategien in einer einfachen Produktform umzusetzen. Im Gegensatz zu klassischen Fonds unterliegen sie nicht dem Kollektivanlagengesetz (KAG), sondern den Regeln des Finanzdienstleistungsgesetzes (FIDLEG) und der entsprechenden Verordnung (FIDLEV).

Künstliche Intelligenz (KI) wird in regulierten Branchen wie dem Finanzwesen oder Gesundheitssektor zunehmend eingesetzt. Damit Unternehmen diese Technologien verantwortungsvoll nutzen können, braucht es klare Regeln, Strukturen und Kontrollen. Dieser Beitrag beleuchtet zentrale Anforderungen und Umsetzungsmöglichkeiten für eine wirksame KI-Governance in der Schweiz.

Als Lebensmittelbetrieb tragen Sie die Hauptverantwortung für sichere Produkte. Sie bestimmen eine verantwortliche Person, die sicherstellt, dass alle lebensmittelrechtlichen Vorgaben eingehalten werden. Zusätzlich kontrollieren das Bundesamt für Lebensmittelsicherheit und Veterinärwesen (BLV) sowie kantonale Labore regelmässig, ob Ihr Betrieb alle gesetzlichen Anforderungen erfüllt. Diese Kontrollen erfolgen risikobasiert und unangemeldet.

Am 7. März 2025 hat der Bundesrat beschlossen, die Meldepflicht für Cyberangriffe auf Betreiberinnen und Betreiber kritischer Infrastrukturen per 1. April 2025 in Kraft zu setzen. Diese Massnahme dient der Stärkung der Cybersicherheit in der Schweiz und der Erhöhung der Resilienz essenzieller Dienste. Die Verordnung über die Cybersicherheit (CSV) enthält die erforderlichen Ausführungsbestimmungen und regelt insbesondere die Ausnahmen der Meldepflicht nach Art. 74c des Informationssicherheitsgesetzes (ISG).

Im heutigen Wirtschaftsumfeld setzen Unternehmen zunehmend auf Outsourcing, um die Effizienz zu steigern, Kosten zu senken und Zugang zu spezialisiertem Know-how zu erhalten. Insbesondere profitieren kleine und mittlere Unternehmen (KMU) von der Auslagerung bestimmter Prozesse, da sie sich auf ihre Kernkompetenzen konzentrieren können. Allerdings ist nicht jede Form des Outsour- cings aus datenschutzrechtlicher Sicht relevant. Entscheidend ist, ob Personendaten durch den ex- ternen Dienstleister bearbeitet werden.

Greenwashing ist momentan ein wichtiges Thema in der Gesetzgebung. Nicht nur die EU sondern auch die Schweiz geht gegen Greenwashing
vor: das Gesetz gegen den unlauteren Wettbewerb (UWG) wird verschärft Die
Novellierung des CO2-Gesetzes und die Ergänzung des UWG sollen künftig dafür
sorgen, dass unrichtige Angaben zur Klimabelastung strikt geahndet werden.

Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so die Widerstandsfähigkeit und Sicherheit von Finanzdienstleistungen stärkt. Sie ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Januar 2025 umgesetzt werden. Betroffen von der DORA sind Anbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT), die Unternehmen im Finanzsektor der EU betreuen. IKT-Anbieter in der Schweiz sind ebenfalls von der DORA betroffen.

Als E-Commerce werden der Einkauf und Verkauf von Produkten und Dienstleistungen über das Internet (Online-Handel) bezeichnet. Für gewisse Unternehmen ist es überhaupt der einzige Vertriebskanal, den sie für ihr Angebot nutzen. Das Betreiben eines Webshops verlangt, dass verschiedene rechtliche Bestimmungen eingehalten werden. In diesem Beitrag machen wir auf mögliche rechtliche Stolpersteine aufmerksam und erläutern, wie ein Webshop rechtlich richtig zu betreiben ist.

Unternehmen aus verschiedenen Branchen locken Kunden mit Wettbewerben, Gewinnspielen und Preisausschreiben an. Solche Gewinnspiele werden seit Januar 2019 im Bundesgesetz über Geldspiele (BGS) vom 29. September 2017 geregelt. Die neue Gesetzgebung unterscheidet Spielbankenspiele, Grossspiele und Kleinspiele und löste das zuvor geltende Bundesgesetz über die Lotterien und die gewerbsmässigen Wetten und das Spielbankengesetz ab. Die neue gesetzliche Regelung brachte zahlreiche grundlegende Änderungen mit sich. So sind beispielsweise nun auch Wettbewerbe zur Verkaufsförderung erlaubt. Unter dem alten Recht durfte die Teilnahme an einem Gewinnspiel nicht an einen Kauf gekoppelt werden. In der Praxis bedeutete dies, dass eine Gratisteilnahme angeboten werden musste, um nicht unter das Lotteriegesetz zu fallen. Das ist unter der neuen Regelung nicht mehr der Fall.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 23. Januar 2024 einen aktualisierten Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) (Link). Die Zielgruppe des Leitfadens sind in erster Linie Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Personendaten beschäftigen. Der EDÖB stellt Massnahmen vor, die als generelle Richtlinien zu verstehen und einzelfallbezogen auf das Projekt und die Organisation anzupassen sind. Dieser Newsletter trägt die wichtigsten Take-aways in Bezug auf private Verantwortliche aus dem Leitfaden zusammen.

Seit dem 1. September 2023 gelten in der Schweiz das revidierte Datenschutzgesetz (DSG) sowie die dazugehörige Datenschutzverordnung (DSV). In diesem Beitrag wird insbesondere der Frage nachge- gangen, wie bei Datenbearbeitungen von Personendaten im Konzern korrekt umzugehen ist. In Bezug auf die konzerninternen Datenbearbeitungen bzw. Datenübermittlungen zwischen einzelnen Tochter- gesellschaften innerhalb eines Konzerns ist die korrekte Qualifizierung dieser Zusammenarbeit von entscheidender Bedeutung, um die Compliance mit dem DSG zu gewährleisten. Denn es gilt im DSG (und auch in der DSGVO) kein sogenanntes datenschutzrechtliches Konzernprivileg. Das heisst, dass jeder Datenaustausch zwischen Gruppengesellschaften eines Konzerns gesondert betrachtet und auch entsprechend qualifiziert werden muss. Zentral ist dabei die Frage, in welcher Rolle die beteiligten Unternehmen beim jeweiligen Datenaustausch auftreten. Einerseits ist ein Auftragsbearbeitungsver- hältnis zwischen einem Auftragsbearbeiter und einem Verantwortlichen und andererseits eine Bear- beitung von gemeinsamen Verantwortlichen als sogenannte Joint-Controller möglich.

Die Europäische Union hat sich auf ein Regelwerk für den Einsatz von KI verständigt. Dieser Rechtsrahmen zielt darauf ab, das Vertrauen der Bevölkerung in KI zu stärken und gleichzeitig Sicherheit sowie Grundrechte zu schützen. Am 8. Dezember 2023 haben sich die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament auf einen politischen Kompromiss zum AI Act geeinigt. 

Ab dem 1. September 2023 gilt in der Schweiz das revidierte Daten- schutzgesetz (DSG). Um die Wirkung des DSG zu verstärken, enthält es mehrere Strafbestimmungen für verschiedene Verletzungen des DSG. Im Gegensatz zum alten Recht sind die neuen Sanktionen im neu geltenden DSG erheblich verschärft worden. Die strafbaren Tat- bestände sind in Art. 60–63 DSG festgehalten. Im anschliessenden Beitrag werden die vier strafbaren Tatbestände konkreter abgehan- delt, sowie welche finanziellen Konsequenzen die Nichteinhaltung des DSG für Private und Unternehmen zur Folge hat.

Für im Versicherungsbereich tätige Unternehmen bedeutet die Teilrevision des VAG und dazugehöriger Verordnungen, dass sie ihre interne Compliance bis zu Jahresbeginn 2024 an die neuen Anforderungen anzupassen haben und prüfen müssen, welche aufsichtsrechtlichen Pflichten für sie nun anwendbar sind.