Inter­pel­la­ti­on Reynard (17.4128): Ver­netz­tes Spiel­zeug: Wie las­sen sich Miss­bräu­che ver­mei­den?

Eingereichter Text

Am 4. Dezem­ber 2017 for­der­te die fran­zö­si­sche CNIL (Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés) das Unter­neh­men Gene­sis auf, sich geset­zes­kon­form zu ver­hal­ten, um sein ver­netz­tes Spiel­zeug wei­ter­hin ver­kau­fen zu kön­nen. Deutsch­land hat die­se Spiel­zeu­ge im Febru­ar 2017 ver­bo­ten. Es hat­te sich her­aus­ge­stellt, dass bös­wil­li­ge Per­so­nen sich über Blue­tooth mit ver­netz­tem Spiel­zeug ver­bin­den kön­nen – ohne Pass­wort oder ande­re Sicher­heits­mass­nah­me. So ist es leicht mög­lich, einem Kind ohne Wis­sen der Eltern zuzu­hö­ren und mit ihm zu spre­chen. Auch die Ana­ly­se und Über­mitt­lung der zu Wer­be­zwecken erho­be­nen Daten wer­den beim Kauf des Spiel­zeugs nicht klar dekla­riert. Die Eltern wis­sen daher nicht, dass ihre eige­nen Daten und die ihrer Kin­der unkon­trol­liert ins Aus­land über­mit­telt wer­den.

Ver­schie­de­ne Abklä­run­gen haben erge­ben, dass in der Schweiz kei­ne Orga­ni­sa­ti­on so inter­ve­nie­ren könn­te, wie dies bei unse­ren Nach­barn mög­lich ist, um die Ein­hal­tung des schwei­ze­ri­schen Rechts zu gewähr­lei­sten. Der Bun­des­rat wird gebe­ten, die fol­gen­den Fra­gen zu beant­wor­ten:

1. Ist es effek­tiv nicht mög­lich, gegen ver­netz­te Objek­te vor­zu­ge­hen, bei denen bestimm­te Min­dest­an­for­de­run­gen an die Sicher­heit im Bereich des Daten­schut­zes nicht ein­ge­hal­ten wer­den?

2. War­um ist das Bun­des­ge­setz über die Pro­duk­te­si­cher­heit bei einer Ver­let­zung der Pri­vat­sphä­re nicht anwend­bar?

3. Wel­che Lösun­gen könn­te es geben, damit ein Bun­des­or­gan ein­grei­fen kann?

4. Wäre es denk­bar, dass der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te dem SECO emp­fiehlt, bestimm­te Pro­duk­te vom Markt zu neh­men?

5. Kann der Bun­des­rat garan­tie­ren, dass mit der Revi­si­on des Daten­schutz­ge­set­zes und den Grund­sät­zen “pri­va­cy by design and by default” und “con­trol by design” die­se Art von Pro­ble­men künf­tig nicht mehr vor­kommt?

6. Muss der Impor­teur oder Händ­ler prü­fen, ob ein ver­netz­tes Objekt sicher und geset­zes­kon­form ist, wie z. B. im Lebens­mit­tel­be­reich?

7. Wo steht man in der Dis­kus­si­on auf euro­päi­scher Ebe­ne zur Fra­ge, wie man bes­ser auf unge­si­cher­te ver­netz­te Objek­te reagie­ren kann?

Stellungnahme des Bundesrats vom 21. Februar 2018

Ver­netz­tes Spiel­zeug kann unter ver­schie­de­ne Geset­zes­be­stim­mun­gen fal­len. Das Bun­des­ge­setz über den Daten­schutz (DSG, SR 235.1) gilt für die Bear­bei­tung von Per­so­nen­da­ten, ausser wenn die Daten aus­schliess­lich zum per­sön­li­chen Gebrauch bear­bei­tet und nicht an Aussen­ste­hen­de bekannt gege­ben wer­den. Das Abhö­ren und Auf­neh­men von Gesprä­chen kann straf­bar sein (Art. 179ter ff. StGB, SR 311.0). Ver­net­ze Spiel­sa­chen wer­den ausser­dem durch die Ver­ord­nung des EDI über die Sicher­heit von Spiel­zeug (VSS, 817.023.11) und die Ver­ord­nung über Fern­mel­de­an­la­gen (FAV, SR 784.101.2) gere­gelt.

Der Bun­des­rat nimmt zur Inter­pel­la­ti­on wie folgt Stel­lung:

1. Nach Auf­fas­sung des Bun­des­ra­tes gibt es bereits heu­te Vor­ge­hens­mög­lich­kei­ten. Wenn das Unter­neh­men, wel­ches das betref­fen­de ver­netz­te Spiel­zeug her­stellt, Per­so­nen­da­ten bear­bei­tet (z. B. über eine App, die her­un­ter­ge­la­den wer­den kann) und sofern die Daten­be­ar­bei­tung einen genü­gend engen Anknüp­fungs­punkt zur Schweiz auf­weist (BGE 138 II 346), ist das DSG anwend­bar. Der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) könn­te dem Inha­ber der Daten­samm­lung des­halb bei­spiels­wei­se emp­feh­len, die Daten­be­ar­bei­tung zu unter­las­sen (Art. 29 Abs. 3 DSG). Wird eine sol­che Emp­feh­lung nicht befolgt, so kann der EDÖB die Ange­le­gen­heit dem Bun­des­ver­wal­tungs­ge­richt zum Ent­scheid vor­le­gen (Art. 29 Abs. 4 DSG). Mit dem Ent­wurf zur Revi­si­on des DSG (E-DSG, BBl 2017 7193) soll der EDÖB Ver­fü­gungs­kom­pe­ten­zen erhal­ten. Danach soll der EDÖB bei einer wider­recht­li­chen Daten­be­ar­bei­tung die Daten­be­ar­bei­tung unter­sa­gen und anord­nen kön­nen, dass die betrof­fe­nen Per­so­nen­da­ten ver­nich­tet wer­den müs­sen. Er könn­te auch anord­nen, dass im Bereich der Sicher­heit geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men getrof­fen wer­den müs­sen (s. Art. 45 Abs. 1 und 3 i. V. m. Art. 7 E-DSG).

2. Das Bun­des­ge­setz über die Pro­duk­te­si­cher­heit (PrSG, 930.11) schützt die Sicher­heit und die Gesund­heit der Ver­wen­de­rin­nen und Ver­wen­der sowie Drit­ter. Der Zweck des PrSG ist die genu­in kör­per­li­che Sicher­heit und Gesund­heit und damit allein der Schutz der kör­per­li­chen Unver­sehrt­heit bei der Pro­dukt­be­nut­zung, nicht jedoch der Schutz der Per­so­nen­da­ten oder der Pri­vat­sphä­re. In Bezug auf ver­netz­te Spiel­zeu­ge muss zusätz­lich fest­ge­hal­ten wer­den, dass in erster Linie die VSS anwend­bar ist. Nur für Aspek­te, wel­che die VSS nicht abdeckt, kommt eine sub­si­diä­re Anwen­dung des PrSG in Fra­ge.

3. Sie­he Zif­fern 1, 5 und 7.

4. Wie unter Zif­fer 1 dar­ge­legt, wird der EDÖB mit der Revi­si­on des DSG Ver­fü­gun­gen in Bezug auf das Bear­bei­ten von Per­so­nen­da­ten erlas­sen kön­nen. Es ist jedoch nicht vor­ge­se­hen, ihm die Kom­pe­tenz zu ver­lei­hen, Pro­duk­te vom Markt zu neh­men. Dies fie­le nicht mehr in den Bereich des Daten­schut­zes.

5. Der E-DSG umfasst ver­schie­de­ne Mass­nah­men, die dazu bei­tra­gen soll­ten, dass die für die Daten­be­ar­bei­tung Ver­ant­wort­li­chen mehr Ver­ant­wor­tung tra­gen. Dazu gehört auch die Ein­hal­tung der Grund­sät­ze des Daten­schut­zes durch Tech­nik und daten­schutz­freund­li­che Vor­ein­stel­lun­gen. Ausser­dem müs­sen die Ver­ant­wort­li­chen durch geeig­ne­te orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men die ange­mes­se­ne Sicher­heit der Daten gewähr­lei­sten und eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren, wenn eine Bear­bei­tung ein hohes Risi­ko für die Per­sön­lich­keit der betrof­fe­nen Per­son mit sich brin­gen kann. Es ist nicht aus­zu­schlie­ssen, dass in Zukunft wei­te­re Mass­nah­men erfor­der­lich sind, die nicht unbe­dingt in den Bereich des Daten­schut­zes fal­len. Der Bun­des­rat ver­weist dies­be­züg­lich ins­be­son­de­re auf sei­ne Ant­wort auf das Postu­lat Glätt­li 17.4295, in dem der Bun­des­rat ersucht wird, in einem Bericht die Sicher­heits­stan­dards für an das Inter­net ange­bun­de­ne Gerä­te abzu­klä­ren.

6. In Ver­kehr gebrach­te Pro­duk­te müs­sen den grund­le­gen­den Sicher­heits- und Gesund­heits­an­for­de­run­gen nach Arti­kel 4 PrSG oder, wenn kei­ne sol­chen Anfor­de­run­gen fest­ge­legt wor­den sind, dem Stand des Wis­sens und der Tech­nik ent­spre­chen. Wer ein Pro­dukt in Ver­kehr bringt, muss nach­wei­sen kön­nen, dass die oben genann­ten Anfor­de­run­gen ein­ge­hal­ten wer­den. Da die mei­sten Pro­duk­te kei­ner Zulas­sung mehr bedür­fen und frei auf den Markt gebracht wer­den kön­nen, wird die Ein­hal­tung die­ser Anfor­de­run­gen durch die Markt­über­wa­chungs­be­hör­den nach­träg­lich auf dem Markt auf­grund von Stich­pro­ben und Mel­dun­gen kon­trol­liert. Wie in Zif­fer 2 erwähnt, schützt das PrSG aber nicht Per­so­nen­da­ten oder die Pri­vat­sphä­re, und auch die wesent­li­chen Anfor­de­run­gen an die Kon­for­mi­tät der Pro­duk­te beinhal­ten kei­ne Vor­ga­ben zum Schutz die­ser Güter.

7. Im Febru­ar 2018 fin­den auf euro­päi­scher Ebe­ne Gesprä­che zum The­ma statt, ob für die kabel­los ver­netz­ten Objek­te nicht zusätz­li­che Daten­schutz­an­for­de­run­gen im Rah­men der Richt­li­nie 2014/53/EU (Richt­li­nie über die Har­mo­ni­sie­rung der Rechts­vor­schrif­ten der Mit­glied­staa­ten über die Bereit­stel­lung von Funk­an­la­gen auf dem Markt) ver­bind­lich gemacht wer­den sol­len. Da die­se Richt­li­nie in der FAV umge­setzt ist, wird der Bun­des­rat die Ent­wick­lun­gen auf die­sem Gebiet mit Inter­es­se ver­fol­gen. Über­dies hat die Arti­kel-29-Daten­schutz­grup­pe am 16. Sep­tem­ber 2014 Emp­feh­lun­gen zu ver­netz­ten Objek­ten abge­ge­ben.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.