Skip to content

Bei einer Vermietung über AirBnB gilt es weiterhin Art. 262 OR zur Untervermietung zu beachten

Das Zürcher Mietgericht hatte in einem aktuellen Fall (Urteil MG160009 vom 9. 2. 17) die Untervermietung über eine Buchungsplattform (AirBnB) zu beurteilen und hat dabei die Untervermietung ohne vorgängige Information des Vermieters erwartungsgemäss als unzulässig beurteilt. Da sich der Mieter uneinsichtig zeigte, wurde ihm die Untervermietung sogar für die Zukunft verboten. Zusammenfassend stellte das Gericht fest:

„Die Untervermietung von Wohnungen über Buchungsplattformen im Internet untersteht den Regeln von Art. 262 OR. Diese lassen die Untervermietung zwar grundsätzlich zu. Der Mieter und Untervermieter muss allerdings die Zustimmung des Vermieters einholen. Dieser kann sich der Untervermietung widersetzen, wenn der Mieter sich weigert, ihm die Bedingungen des Untermietvertragsbekannt zu geben, wenn die Bedingungen missbräuchlich sind oder wenn dem Vermieter aus der Vermietung wesentliche Nachteile entstehen (E. V.2.3). Bietet der Mieter aufgrund seines Verhaltens in der Vergangenheit keine Gewähr für eine korrekte Untervermietung über Buchungsplattformen, kann ihm diese ganz untersagt werden (E. V.2.3.11 f.). Der Vermieter kann nach den Regeln über die Geschäftsführung ohne Auftrag die Herausgabe des Gewinns aus missbräuchlicher Untervermietung verlangen, wenn er dieser nicht zugestimmt hat (E. V.3.2).“

Will ein Mieter seine Wohnung auf einer Buchungsplattform wie AirBnB anbietet, muss er folgendes beachten:

  • Der Vermieter ist zu informieren. Es reicht aus, eine generelle Zustimmung zur Vermietung auf einer Plattform einzuholen. Es muss also nicht jede Vermietung einzeln gemeldet werden.
  • Der Vermieter kann eine Untervermietung nur unter den in Art. 262 Abs. 2 OR genannten Gründen verweigern.
  • Der Mieter darf mit der Untervermietung keinen übermässigen Gewinn erzielen. Er darf jedoch Zusatzleistungen wie Möblierung, Renovation, Reinigung oder Verwaltungsaufwand auf die Grundmiete draufschlagen (dies dürfte das Vermieten für viele bereits unattraktiv machen, da man nicht mehr als die Selbstkosten verlangen darf).
  • Die Wohnung darf nur gemäss dem Mietvertrag verwendet werden, d.h. die Wohnung darf nicht überbelegt werden, da dies sonst zu einer übermässigen Abnutzung der Mietsache führen würde. Des Weiteren dürfen die anderen Mieter nicht durch übermässigen Lärm oder sonstige Unannehmlichkeiten gestört werden.

Für detaillierte Ausführungen zur Vermietung über AirBnB kann auf ein früherer Blog-Eintrag verwiesen werden.

Elektronisch archivieren

Es gibt verschiedene Gründe, weshalb Daten archiviert werden. Dazu zählen etwa gesetzliche Vorschriften (handelsrechtliche oder steuerrechtliche Pflichten), die Speicherung von Know-How, um Geschäftsvorfälle belegen zu können (z.B. in Haftung- oder Strafverfahren) oder weil die Daten zu einem späteren Zeitpunkt vielleicht noch einmal nützlich sein könnten. Unternehmen steht es offen, ob sie sich für eine traditionelle Archivierung (mit Papierbelegen) oder eine E-Archivierung entscheiden wollen. Momentan findet eine Entwicklung vom manuellen papiergetriebenen Prozessablauf hin zur elektronischen Lösung statt. Gemischte Archive werden dabei zur Regel. Dabei besteht einerseits die Gefahr, dass doppelt archiviert wird (Gefahr der Redundanz) und andererseits, dass die Archive nicht einheitlich und somit nicht auf dem aktuellsten Stand oder lückenhaft sind. Die Lösung besteht in einer detaillierten Verfahrensdokumentation, welche die organisatorische Struktur, den Prozess und die Verantwortlichkeiten umschreibt.

Von der elektronischen Archivierung ist die elektronische Aufbewahrung abzugrenzen. Damit eine elektronische Archivierung vorliegt, müssen die Informationen systematisch inventarisiert und vor unbefugten Zugriff geschützt sein (Art. 8 GeBüV). Die Zugriffe und Zutritte müssen aufgezeichnet werden, damit die Nachvollziehbarkeit stets gewährleistet ist. Die Geschäftsbücher müssen so geführt und aufbewahrt und die Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt (Integrität, Art. 3 GeBüV). Zur Aufbewahrung zulässige Informationsträger sind unveränderbare Informationsträger sowie unter bestimmten Voraussetzungen auch veränderbare Informationsträger (vgl. dazu Art. 9 GeBüV). Der Nachweis des Ursprungs und der Unveränderbarkeit muss erbracht werden. Bei elektronischen Daten ist dieser Nachweis insbesondere dann erbracht, wenn die elektronischen Daten digital signiert sind. Das revidierte ZertES hat hierbei durch die erweiterten Möglichkeiten (bspw. elektronisches Siegel) und der Vereinfachung der Handhabung für Unternehmen, neue Möglichkeiten geschaffen. Es kann jedoch auch auf eine Software – Lösung gesetzt werden, welche alle Änderungen aufzeichnet und loggt. Dadurch kann ebenfalls der Nachweis erbracht werden, dass ein Dokument nicht verändert wurde. Im Gegensatz zu bspw. einem signierten PDF, wird ein Export eines durch eine Software gesicherten Dokuments schwieriger, da der Nachweis auch ohne die Software erbracht werden muss. Es müssen in diesem Fall auch die Log-Files aus der Software exportiert werden, damit der Nachweis der Unveränderbarkeit weiterhin erbracht werden. Die beste Lösung muss daher jeweils auf das Unternehmen bezogen evaluiert werden.

Sind diese Voraussetzungen nicht erfüllt, handelt es sich bloss um eine elektronische Aufbewahrung. Aus Beweisgründen sollten Unternehmen die elektronische Archivierung der elektronischen Aufbewahrung vorziehen.

Neben den Buchführungs- und steuerrechtlichen Aufbewahrungspflichten müssen die elektronischen Dokumente im schlechtesten Fall als Beweismittel verwendet werden können. Dabei kann durch den Medienbruch ein Beweisproblem entstehen, bspw. wenn es auf die Unterschrift auf dem Dokument ankommt. So hat das Bundesgericht in einem aktuellen Urteil die Zulässigkeit eines grafologischen Gutachtens anhand einer digitalisierten Kopie verneint. Da das Original nach der Digitalisierung vernichtet wurde, konnte es nicht mehr als Beweis beigebracht werden. Um dieses Risiko zu vermeiden, sollten Belege, auf denen die Unterschrift oder andere Merkmale des Originaldokuments wesentlich sind, nicht vernichtet, sondern weiterhin im Original archiviert werden.

Elektronische Rechnungen (E-Rechnung)

Eine elektronische Rechnung ist ein elektronischer Beleg, der die gleichen Inhalte und Rechtsfolgen hat wie eine Rechnung auf Papier. Zur Gewährleistung der Sicherheit muss die E- Rechnung dem Empfänger digital signiert übermittelt werden. Die elektronische Signatur fügt der Service-Provider der E-Rechnung an. Sie garantiert die Echtheit, Herkunft und Unveränderbarkeit der übermittelten Daten. In der Praxis werden elektronische Rechnungen häufig als unsignierte PDF-Dateien online bereitgestellt oder per E-Mail versendet. Es ist zu betonen, dass versendete Rechnungen im PDF-Format nicht automatisch E-Rechnungen sind. Nur wenn die PDF-Rechnung eine elektronische Signatur aufweist, ist sie auch eine E-Rechnung. Gesetzliche Grundlagen für die E- Rechnung finden sich insbesondere im Mehrwertsteuergesetz (MWSTG), in der Mehrwertsteuerverordnung (MWSTV), bei den Regelungen zur kaufmännischen Buchführung (Art. 957 ff. OR), in der Geschäftsbücherverordnung (GeBüV), in der Verordnung des EFD über elektronische Daten und Informationen (ElDI-V) und in den technischen und administrativen Vorschriften der ESTV vom 01. November 2007. In der Praxis wird eine E-Rechnung meist als PDF/A versendet. Das PDF/A ist ein signiertes Dokument, wird das PDF nachträglich durch eine Manipulation verändert, würde das Siegel sofort brechen und die Manipulation wird ersichtlich. Zusätzlich kann über die Signatur auch der Absender nachgeprüft werden, was Betrugsversuche durch falsch versendete Rechnungen einfacher erkennbar macht.

Relevant ist der Nachweis einer Transaktion und Verbuchung einer Rechnung im B2B Bereich vor allem in Bezug auf den Vorsteuerabzug bei der MWST. Im MWSTG gilt jedoch der Grundsatz der Beweismittelfreiheit, diesen Grundsatz stellt die ESTV nun über das Erfordernis einer Signatur. Die ESTV muss bei jedem Beweismittel prüfen, ob dieses die geltend gemachte Tatsache (z.B. Vorsteuerabzug) tatsächlich belegen kann. Liegt für einen bestimmten Sachverhalt bloss ein Beweismittel vor, so muss dieses eindeutig sein (z.B. Original-Belege oder elektronisch signierte Belege). Liegt dieses eindeutige Beweismittel nicht vor, kann sich aus dem Gesamtbild mehrerer Beweismittel trotzdem ein eindeutiger Beweis ergeben. Somit ist eine Signatur gemäss der angepassten Praxis der ESTV nicht zwingend notwendig. Die Folgen der Beweislosigkeit trägt jedoch diejenige Person, die nach dem Gesetz den Beweis zu erbringen hat. Das Risiko, dass mit einem unsignierten Belege der Beweis nicht erbracht werden kann, verbleibt beim Unternehmen. Wenn immer möglich, sollte daher ein eindeutiges Beweismittel vorhanden sein und aufbewahrt werden. Eindeutig sind die Original-Belege oder elektronisch signierte Belege.

Bei übermittelten und aufbewahrten Daten, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, muss unabhängig davon, ob sie auf Papier oder elektronisch vorliegen, der Nachweis des Ursprungs und der Unverändertheit erbracht werden. Bei elektronischen Daten ist dieser Nachweis insbesondere dann erbracht, wenn die elektronischen Daten digital signiert sind. Eine digitale Signatur bietet den besten Schutz vor nicht feststellbaren Veränderungen. Aufgrund des Grundsatzes der Beweismittelfreiheit kann der Nachweis des Ursprungs und der Unveränderbarkeit aber auch dann als erbracht angenommen werden, wenn die Grundsätze ordnungsmässiger Buchführung nach Artikel 957a OR eingehalten sind.

Weitere Informationen zur E-Rechnung finden Sie hier

 

Brauche ich einen DPO in meinem Unternehmen?

Mit der Einführung der EU – Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 werden auch in der Schweiz viele Unternehmen einen Datenschutzbeauftragten bestimmen müssen. In der Schweiz spricht man jeweils von einem betrieblichen Datenschutzverantwortlichen, in der EU von einem betrieblichen Datenschutzbeauftragten und international vom Data Protection Officer (DPO). Grundsätzlich erfüllen aber alle denselben Zweck, sie stellen die Einhaltung und Umsetzung des Datenschutzes innerhalb eines Unternehmens sicher. Ausserdem sind sie Anlaufstelle für Fragen zum Datenschutz, dies sowohl intern als auch extern. Insbesondere stellen sie auch die Kontaktperson für die Aufsichtsbehörden dar. Gemäss einer Studie der International Association of Privacy Professionals (IAPP) werden weltweit 75’000 DPOs benötigt. Für die Schweiz schätzt die Studie einen Bedarf von 3’682 DPOs[1]. Da die Schweiz das Konzept des DPO bereits kennt, haben verschiedene Unternehmen bereits einen DPO bestimmt. Trotzdem werden viele Unternehmen die Stelle erst jetzt neu schaffen und benötigen dafür entsprechend qualifiziertes Personal. Unternehmen sollten daher möglichst bald abklären, ob sie in Zukunft einen DPO bestimmen müssen.

Wann benötige ich als Unternehmen einen DPO?

In der Schweiz hat ein Unternehmen die Möglichkeit, einen Mitarbeiter oder einen Dritten als DPO zu bezeichnen (Art. 12a VDSG). Dieser ist sodann für die Datensammlungen und alle Datenschutzthemen verantwortlich. Als Datensammlung gilt jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind (Art. 3 lit. g DSG). Zwingend ist die Einsetzung in der Schweiz nur für Unternehmen, wenn sie ihre Datensammlungen nicht beim EDÖB melden möchten.

Ein Schweizer Unternehmen hat die EU-DSGVO zu beachten, sobald Personendaten bspw. Kundendaten von Personen aus der EU bearbeitet werden. Eine Niederlassung in einem EU-Staat ist nicht erforderlich.[2] Die DSGVO schreibt unter gewissen Bedingungen die Benennung eines DPO vor (Art. 37ff. EU-DSGVO). Gleich wie in der Schweiz, darf natürlich ein solcher freiwillig ernannt werden. In Zukunft steht es den Mitgliedländern der EU weiterhin frei, strengere Regelungen zu schaffen. Deutschland wird vorausaussichtlich an seinen strengeren Vorschriften festhalten.

Zwingend muss im Unternehmen ein DPO bestellt werden, wenn zu den Kernaktivitäten des Unternehmens die „umfangreiche regelmässige und systematische Überwachung von Betroffenen“ und/oder sensitive Daten „umfangreich verarbeitet“ werden. Die Einsetzung wird nicht wie bspw. in Deutschland von der Anzahl Mitarbeiter abhängig gemacht. Es wird somit nicht zwischen einem Start-Up und einem Grossunternehmen unterschieden. Dies hat den Vorteil, dass grössere Unternehmen weiterhin auf einen DPO verzichten können. Da es sich um eine umfangreiche Datenbearbeitung handeln muss, welche zusätzlich zur Kernaktivität des Unternehmens gehört, muss weiterhin nicht jeder Datenverarbeiter einen DPO bestellen. Administrative Datenbearbeitungen im Rahmen des Finanz- oder Personalwesens haben keine Bedeutung. Findet eine Datenverarbeitung im Produkteportfolio statt, gilt es die Einsetzung zu prüfen. Ein Industrieunternehmen wird meist nicht darunter fallen aber auch ein Online – Shop der ein Analyse-Tool auf seiner Webseite einsetzt, fällt noch nicht darunter. Der Softwareanbieter eines solchen Analysetools muss dagegen einen DPO ernennen. Bei IT-Unternehmen sind das Geschäftsmodell und die Art der Datenbearbeitung ausschlaggebend. Schweizer IT-Unternehmen welche im EU-Raum tätig sind oder Kunden aus der EU betreuen, werden nicht darum herumkommen, ihre Datenverarbeitungsprozesse genauer zu analysieren und zu prüfen, ob sie in Zukunft einen DPO einsetzen müssen. Hier gilt es zu erwähnen, dass auch für Auftragsverarbeiter (Outsourcing-, Dienstleistungsunternehmen, etc.) dieselben Regeln gelten, selbst wenn sie die Daten nur im Auftrag verarbeiten.

Die Schaffung eines DPO könnte für ein Unternehmen auch ohne Verpflichtung durchaus Sinn machen. Durch die Schaffung einer solchen Position würde die Aufmerksamkeit im Unternehmen für Datenschutzthemen gestärkt und nach Innen und Aussen stünde eine direkte Ansprechperson zur Verfügung. Da die Datenschutz – Compliance durch die EU-DSGVO an Stellenwert gewinnen wird, kann die Ernennung eines DPOs ebenso aus Marketingperspektive Sinn machen.

Organisatorische Einbindung

Der DPO muss unabhängig von Weisungen des Inhabers der Datensammlung bzw. des Unternehmens arbeiten können und es müssen ihm genügend Ressourcen zur Verfügung gestellt werden. In der Praxis heisst dies, dass der DPO nach Möglichkeit nicht in der Linie eingebunden sein soll, oder wenn, dann nur administrativ und dass er auf jeden Fall fachlich unabhängig bleibt. Zudem muss er schnell und unbürokratisch Zugang zu allen datenschutzrelevanten Informationen des Unternehmens haben, insbesondere zu allen Datensammlungen und Datenbearbeitungen (Art. 12 lit. b VDSG). Will man trotzdem eine fachliche Kontrolle des DPO vornehmen, was auf jeden Fall sinnvoll und im Sinne der Führungsverantwortung des Managements auch gesetzlich vorgeschrieben ist, kann dies über externe Audits/Peers erfolgen oder einer Ansiedlung bei der internen Revision. Nicht vereinbar und somit verboten, ist die Übernahme der Funktion des DPOs durch die Geschäftsleitung, den Betriebsinhaber oder den CIO. Die Unabhängigkeit wäre damit nicht mehr gewährleistet. Die Berichterstattung hat jedoch an das oberste Management bzw. die Geschäftsleitung zu erfolgen. Handelt es sich um eine Unternehmensgruppe mit mehreren Niederlassungen in der EU, kann ein gruppenweiter DPO bestimmt werden, sofern dessen leichte Erreichbarkeit für die konzernangehörigen Unternehmen gewährleistet ist.

Bei kleineren Unternehmen wird es sich beim DPO meist um ein Nebenamt handeln, dieses darf natürlich nicht mit der sonstigen Funktion kollidieren. Sowohl das Schweizer wie auch das EU Recht sehen zudem die Möglichkeit vor, dass ein externer Dritter mit der Aufgabe des DPO beauftragt wird. Dies kann gerade für ein KMU eine gute Lösung sein, da im Unternehmen selbst oft das Fachwissen fehlt.

Fachliche Anforderungen

Sowohl das Schweizer wie auch das EU Recht verlangen, dass der DPO ein entsprechendes Fachwissen mitbringt. Was dies genau heisst, ist nicht genauer umschrieben. Da die Speicherung vor allem elektronisch erfolgt, ist neben dem juristischen Wissen ein technisches Grundverständnis unabdingbar. Dem DPO müssen zudem die nötigen Ressourcen gegeben werden, um sich fachlich weiterzubilden und auf dem neusten Stand der Entwicklung zu bleiben.

Ernennung eines Datenschutzvertreters in der EU

Braucht es keinen Datenschutzbeauftragten, ist allenfalls die Bestellung eines Datenschutzvertreters notwendig. Für Unternehmen, die nicht in der Europäischen Union niedergelassen sind, aber auf welche die EU-DSGVO infolge der Ausrichtung ihrer Tätigkeit Anwendung findet, besteht in der Regel eine Pflicht, einen Datenschutzvertreter zu ernennen. Hauptfunktion desselben ist es, den Aufsichtsbehörden eine faktische Zugriffsmöglichkeit auf den Datenverarbeiter innerhalb der Europäischen Union zu ermöglichen. Der Datenschutzvertreter dient als Anlaufstelle für die Aufsichtsbehörden zur Sicherstellung der Einhaltung der Vorschriften der EU-DSGVO.

(Dieser Beitrag ist im Magazin IT business 4/2016 erschienen)

[1] https://iapp.org/news/a/study-gdprs-global-reach-to-require-at-least-75000-dpos-worldwide/

[2] Ausführlich Anselm Filliger in ITbusiness 1/2016

UBER und die Sozialabgaben

Die NZZ am Sonntag titelt „Das Uber-Modell ist nicht AHV-tauglich“, dass die Zürcher Behörden nun eine Nachdeklaration verlangen, war absehbar. Es ist wohl illusorisch anzunehmen, dass alle Fahrer die Sozialabgaben selber abführen, vor allem wenn sie nur sporadisch für den Dienst als Fahrer unterwegs sind. Auf die AHV- und UVG Abgaben bezogen, ist es nicht ungewöhnlich, dass ein Vermittler/Arbeitgeber die Abrechnung übernimmt (vgl. Der UBER-Fahrer als Angestellter?). Bereits heute liefert bspw. ein Arbeitgeber für seine im Stundenlohn angestellten Mitarbeiter, die Sozialabgaben direkt ab. Natürlich ist dies mit einem administrativen Mehraufwand verbunden und könnte die UBER Preise allenfalls verteuern oder die Nettoeinnahmen der Fahrer vermindern. Für ein Technologieunternehmen wie UBER sollte dieses Problem aber lösbar sein. Deshalb den Status eines Festangestellten zu verlangen, erscheint mir nicht sinnvoll, durch ein solches Vorgehen würde man den Nebenerwerb von UBER-Fahrern gefährden, weil es dann für UBER nicht mehr attraktiv sein wird, jedem die Möglichkeit zu geben, ein oder zwei UBER-Fahrten nebenher auszuführen.

Wie im Artikel richtig erwähnt, muss die AHV die digitale Transformation der Arbeitsmodelle mitberücksichtigen und allenfalls müssen neue Abrechnungsmethoden und Regeln geschaffen werden, damit Leute, die in der On-Demand- Economy tätig sind, nicht um ihre AHV gebracht werden. Was in dem Artikel aber leider ausgeblendet wurde, ist die zweite Säule (BVG), durch die Zersplitterung des Arbeitsverhältnisses werden die meisten On-Demand-Arbeiter die Schwelle wohl nicht erreichen und ein privates Sparen ist in diesem Bereich wohl eher illusorisch. Hier besteht sicherlich ebenfalls ein Reformbedarf.

Link

Privacy and Data Protection Workshop

SELISE continues to engage with more and more organizations from the financial sector, ranging from large insurance companies to fintech startups. These companies naturally require comprehensive data protection measures throughout their entire value proposition. The European Union (EU) is arguably the world’s strictest jurisdiction when it comes to protecting – See more at: http://selise.ch/selise-takes-a-steep-approach-towards-european-data-privacy-laws/#sthash.GWTp6QGQ.dpuf

 

 

Gute Protokolle als kostenloser Rechtsschutz

Protokolle werden vielfach als notwendiges Übel gesehen und in vielen Firmen vernachlässigt. Der verlinkte Podcast zeigt schön auf, wie wichtig und nützlich gut geführte Protokolle im Falle eines Rechtsstreits sein können. Ausserdem wird darin toll erklärt, warum ein möglichst umfassendes oder gar wörtliches Protokoll nicht ein gutes Protokoll ist. Es kommt dabei auf die richtige Balance an, so soll ein Protokoll zwischen einem Haiku und Tolstoy liegen.

Obwohl der vorliegende Podcast vom amerikanischem Recht ausgeht, lässt sich das Meiste auch auf unser Rechtssystem übernehmen.