In der Schweiz gelten neue Bestimmungen für die «Cybersicherheit von drahtlosen Geräten». Das Bundesamt für Kommunikation (BAKOM) hat seine Verordnung über Fernmeldeanlagen (VFAV) per 1. September 2022 entsprechend angepasst und übernimmt damit europäisches Recht für die Schweiz.
Das BAKOM beschreibt die neuen Bestimmungen, die unter anderem Spielzeug wie «Stasi-Barbie» betreffen, wie folgt:
«Vernetzte Geräte müssen die Privatsphäre ihrer Benutzerinnen und Benutzer besser schützen. Neue Bestimmungen in der Verordnung des BAKOM über Fernmeldeanlagen (VFAV) erhöhen die Cybersicherheit von bestimmten, auf dem Schweizer Markt erhältlichen, drahtlosen Geräten wie Smartphones, Smartwatches, Fitness-Trackern und drahtlosen Spielzeugen.»
Und:
«Herstellerinnen und Entwickler von Produkten, die von der Revision betroffen sind, müssen die neuen Bestimmungen spätestens ab dem 1. August 2024 zwingend anwenden.»
Schutz von Netzen und Personendaten, Schutz vor Geldbetrug
Bei allen Internet-fähigen drahtlosen Geräten und Produkten muss der Schutz von Personendaten gewährleistet werden:
«Die Herstellerinnen müssen den unbefugten Zugriff auf Personendaten oder die unbefugte Übertragung solcher Daten durch vernetzte Geräte wie Spielzeuge, Babyphones oder sogenannte Wearables (tragbare Geräte wie Smartwatches und Fitness-Tracker) mit geeigneten Massnahmen verhindern.»
Bei drahtlosen Geräten, die für elektronische Zahlungen verwendet werden können, sind «Massnahmen gegen Geldbetrug» erforderlich:
«Wenn ein Smartphone oder ein anderes drahtloses Gerät für elektronische Zahlungen verwendet werden kann, muss es über Funktionen verfügen, die das Betrugsrisiko deutlich verringern. Dazu gehört zum Beispiel die verstärkte Kontrolle der Benutzerauthentifizierung.»
Ausserdem soll der «Schutz der Netze» gewährleistet werden:
«Ausserdem muss ausgeschlossen sein, dass vernetzte Geräte die Kommunikationsnetze beeinträchtigen oder den Betrieb von Websites oder anderen Diensten stören können. Sie müssen deshalb Funktionen aufweisen, die solche Risiken ausschliessen.»
Beispiel: Regulierung für Internet-fähiges Spielzeug
Die Umsetzung erfolgt durch direkte Verweise auf Recht der Europäischen Union im Anhang 1 der VFAV betreffend «Anwendbare zusätzliche grundlegende Anforderungen nach Artikel 7 Absatz 3 FAV und die betreffenden Funkanlagen».
Das BAG schreibt in diesem Zusammemhang:
«Mit den neuen Bestimmungen der VFAV wird die Schweizer Gesetzgebung an jene der Europäischen Union angeglichen. Zur Vereinfachung der Konformitätsbewertung und des Inverkehrbringens von Produkten erarbeiten die Normungsgremien der EU derzeit harmonisierte Normen, die der europäischen und schweizerischen Industrie spätestens am 30. September 2023 zur Verfügung stehen sollten.»
Die mehrstufige Herleitung erschwert schweizerischen Rechtsunterworfenen, zu ermitteln, was im Einzelnen gilt:
Für Internet-fähiges Spielzeug beispielsweise bildet die Verordnung über Fernmeldeanlagen (FAV) den Ausgangspunkt. Die FAV stützt sich auf das Fernmeldegesetz (FMG) und das Bundesgesetz über die technischen Handelshemmnisse (THG).
In der FAV ist Art. 7 über «Grundlegende Anforderungen» einschlägig und dort Abs. 3 lit. e:
«Das BAKOM bezeichnet, welche zusätzlichen grundlegenden Anforderungen anwendbar sind, sowie die betroffenen Funkanlagen oder Anlagenklassen unter Berücksichtigung der entsprechenden delegierten Rechtsakte der Europäischen Kommission. Die zusätzlichen Anforderungen sind die folgenden: […] die Anlagen müssen über Sicherheitsvorrichtungen zum Schutz personenbezogener Daten und der Privatsphäre der Benutzerinnen und Benutzer sowie der Teilnehmerinnen und Teilnehmer verfügen […].»
In Ziff. 8 von Anhang 1 zur VFAV bezeichnet das BAKOM solche «zusätzlichen grundlegenden Anforderungen» für «Spielzeug [sic!] nach der Verordnung des EDI vom 15. August 201228 über die Sicherheit von Spielzeug, die eine Funkanlage enthalten».
Sofern eine solche Spielzeug-Funkanlage «personenbezogene Daten verarbeiten» kann – das BAKOM verwendet nicht die schweizerische Terminologie «Personendaten bearbeiten» – wird auf die europäische Delegierte Verordnung (EU) 2022/30 der Kommission vom 29. Oktober 2021 zur Ergänzung der Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates im Hinblick auf die Anwendung der grundlegenden Anforderungen, auf die in Artikel 3 Absatz 3 Buchstaben d, e und f der Richtlinie Bezug genommen wird (Text von Bedeutung für den EWR) verwiesen.
Delegierte Verordnungen in der EU entsprechen Verordnungen in der Schweiz, das heisst, die Europäische Kommission kann «Rechtsakte ohne Gesetzescharakter mit allgemeiner Geltung zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften des betreffenden Gesetzgebungsaktes» selbst erlassen (Art. 290 AEUV).
Die Delegierte Verordnung ergänzt Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG (Text von Bedeutung für den EWR). Eine solche Richtlinie muss von den EU-Mitgliedstaten in nationales Recht umgesetzt werden.
Und so weiter …