Smart Toys und der Datenschutz – Spione im Kinderzimmer?

Fachbeitrag

Unsere Welt wird immer „smarter“, alle Bereiche der Heimelektronik können immer weiter untereinander und mit dem Internet kommunizieren. Dieser Artikel widmet sich den Gefahren die Smart Toys ins Kinderzimmer bringen können und der Frage, inwiefern diese als Spione genutzt werden. Datenschutz ist gerade in diesem Kontext kein Verhinderer, sondern ein wichtiger Grundsatz, um die Jüngsten zu schützen. Lesen Sie in diesem Beitrag mehr zu allem Wichtigen rund um Smart Toys.

Wie funktionieren Smart Toys?

Als Smart Toy (zu Deutsch intelligentes Spielzeug) bezeichnet man Spielzeuge, die durch den Einsatz von Technik erweitert werden und entweder über eine gewisse künstliche Intelligenz verfügen oder Teil des Internet of Things sind. Sie können in einem gewissen Rahmen auf das Verhalten der Kinder reagieren, z.B. über eine Kamera, Mikrofon und Lautsprecher oder Bewegungssensoren. Hierunter fallen unter anderem Puppen, die Gespräche führen können, Bücher, die sich mit einem zusätzlichen Lautsprecher selbst vorlesen, aber auch Geräte wie Lern-Tablets.

Ob „Hello Barbie“ oder „My Friend Cayla“, werden unsere Kinder belauscht?

Zwei Beispiele für spannende neue Techniken, die mit einem großen Haken daherkommen, sind „Hello Barbie“ (mehr dazu in diesem Artikel) und „My Friend Cayla“. In diesen Fällen zeigte sich die Neugier von Smart Toys. Beide Puppen haben ein Mikrofon mit dem Fragen von Kindern aufgenommen werden können. Sie sind mit dem Internet verbunden und senden die gestellten Fragen an die Servern der Hersteller, um dann eine passende Antwort zurückzusenden. Hier Bedarf es wenig Fantasie, dass der Puppe unter Umständen Geheimnisse anvertraut werden.

Wie die Daten sonst noch verwendet werden und inwiefern sie dann zur Profilbildung sowie Werbung genutzt werden bleibt unklar. Die Puppe „My Friend Cayla“ war in der Folge als „verbotene Sendeanlage“ durch die Bundesnetzagentur eingeordnet worden, da unbemerkt Audiodateien an den Hersteller übertragen werden konnten. Die Bundesnetzagentur hatte die Puppe nicht nur vom Markt genommen, sondern hatte für diese ein Verkaufs- und Betriebsverbot erlassen.

Die „Hello Barbie“ kam in Deutschland zwar nie auf den Markt. Ihr Verkaufsstart in den USA sorgte aber auch hierzulande für Furore. Der Kryptologe Matt Jakubowski prüfte das Spielzeug und berichtete in einem Interview mit dem US-Sender NBC, dass er auf Account-IDs, Audiodateien, das Mikrofon und Netzwerknamen zugreifen konnte. Wie problematisch ein solcher Zugriff sein kann, wird dadurch deutlich, dass Kinder den Puppen nicht nur einfache Fragen stellten, sondern diese teilweise als Tagebuch nutzten und dort private Details preisgaben. Aber nicht nur Dritte konnten aufgrund Sicherheitsmängel möglicherweise auf die Gespräche zugreifen, Matell stellte den Eltern diesen auch den Eltern zur Verfügung. Ein Umstand der den Wissenschaftlichen Dienst des Bundestages veranlasste, mögliche Ansprüche des Kindes gegen seine Eltern zu prüfen, wenn diese die Gespräche ihres Kindes mit der Barbie anhören und Matell einen Big Brother Award bescherte.

Für wen sind die von Smart Toys gewonnenen Daten zugänglich?

Die Daten, die durch die Smart Toys gewonnen werden, werden regelmäßig durch die Hersteller verarbeitet, um die Funktionen zu verbessern oder um bestimmte Funktionen zur Verfügung zu stellen. Welche Zwecke daneben noch verfolgt werden, ist in den meisten Fällen undurchsichtig. So fallen viele Smart Toys immer wieder negativ bei unabhängigen Tests auf. Zum Beispiel stufte die Stiftung Warentest bei der Überprüfung des Datensendeverhaltens und der Sicherheitsaspekte von 7 exemplarisch ausgewählte Smart Toys kein einziges als unkritisch ein:

„Vier Programme senden den Namen und den Geburts­tag des Kindes an Anbieter­server. Drei Apps über­tragen die Geräte-Identifikations­nummer des Smartphones an Dritte, zum Beispiel an Firmen wie Flurry, die auf Daten­analysen oder Werbung spezialisiert sind. Vier Anwendungen erfassen den Mobil­funkanbieter. Zwei kommunizieren mit Werbe­diensten von Google, sechs setzen Tracker, die möglicher­weise das Surf­verhalten der Eltern protokollieren können.“

Hier fehlt es in den Datenschutzhinweisen oft auch an konkreten Informationen, die grundsätzlich gemäß Art. 13, 14 DSGVO erfolgen müssten. Es bleibt in vielen Fällen unklar, ob und welche Daten ggf. an Dritte für welche Zwecke weitergegeben werden.

Datenschutzrisiken durch Smart Toys

Die Datenschutzrisiken bei Smart Toys sind, dass das Kind sowie der gesamte Haushalt durch einen smarten Gegenstand überwacht werden können und dies insbesondere von außen nicht ersichtlich ist. Weiter entsteht unter Umständen eine Drittlandübermittlung, in ein Land mit keinem angemessen Datenschutzniveau. Damit entsteht ein weiteres Risiko für eventuell sehr sensible Daten, denn Gespräche im Haushalt können nahezu jeden noch so intimen Bereich abdecken. So können auch regelmäßige Aufenthaltsorte, Gewohnheiten und Interessen des Kindes und anderer Familienmitglieder offenbart werden.

Erfolgreiche Hackerangriffe in der Vergangenheit

Eine weitere Gefahr von Smart Toys sind Hackerangriffe. Große Datensammlungen mit sensiblen Daten erregen regelmäßig Aufmerksamkeit von Hackern. Der Hersteller VTech, der unter anderem elektronische Lerngeräte, Babyfone und Smart Toys herstellt wurde 2015 gehackt. So konnten 5 Millionen Nutzerdaten gestohlen werden. Auch das Beispiel von „CloudPets“ zeigt die Gefahr, der ungenügenden technischen Sicherung von Smart Toys. Die smarten Kuscheltiere machten es möglich, Sprachnachrichten zwischen Eltern und Kindern auszutauschen. Die Nachrichten werden von der App des Handys ins Internet übertragen und von da aus zu den Kuscheltieren. Das Problem hierbei war, dass diese Daten nicht gesichert waren. Die Daten ließen sich von den Servern ohne Authentifizierung auch von Dritten aufrufen.

Behörden warnen vor Smart Toys

Nicht nur deutsche, sondern auch viele andere Behörden (z.B. US-Behörden) warnen vor den Gefahren von Smart Toys. Die Bundesregierung warnt auf ihrer Website insbesondere davor, dass Spielzeuge ggf. zum Spionagegerät verkommen können. Hierbei geht es insbesondere um solche, die eine Verbindung zum Internet aufbauen sowie Audio- oder Bilddateien aufnehmen und an Dritte übermitteln können.

Vorgaben der DSGVO und des TTDSG an Smart Toys

Aus Sicht des Datenschutzrechts ist nicht nur eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten durch den Spielzeughersteller erforderlich, es sind auch weitere Grundsätze zu beachten, sofern er als Verantwortlicher für den smarten Dienst auftritt. Grundsätzlich gelten die Voraussetzungen des Art. 32 DSGVO für die Auswahl geeigneter technischer und organisatorischer Maßnahmen. Es muss eine Balance zwischen dem Schutzniveau, das dem Stand der Technik entspricht und dem Risiko gefunden werden.

Doch wieso hapert es daran bis heute? Das dürfte einerseits an dem Zuständigkeitswirrwarr der Aufsichtsbehörden (Bundesnetzagentur, Bundesamt für Sicherheit in der Informationstechnik und Datenschutzbehörden) und anderseits an der ungenügenden Umsetzung der E-Privacy-Richtlinie, bzw. der fehlenden E-Privacy-Verordnung, gelegen haben. Denn auch Smart Toys, die an das Internet angeschlossen sind, fallen als Endeinrichtungen unter den Schutzbereich der Richtlinie. Das TTDSG hat hier nur bedingt für Klarheit gesorgt. Zwar müssten wohl auch die Hersteller von Smart Toys als Telemedienanbieter die teilweise strengeren Vorgaben zu technischen und organisatorischen Vorkehrungen in § 19 TTDSG sowie die Einwilligungspflicht des § 25 TTDSG beachten.

„das Verhältnis der Regelung zu anderen gesetzlichen Vorschriften ist nicht klar, weil die Vorgaben weitestgehend unreflektiert aus den Vorgängernormen übernommen worden sind, ohne dass sich der Gesetzgeber ersichtlich Gedanken über die Einbettung dieser Vorgaben in den durch die DSGVO gesetzten Rechtsrahmen gemacht hat. […] sodass der Anwendungsvorrang des Europarechts hier eine DSGVO-konforme Auslegung gebieten oder außerhalb expliziter Öffnungsklauseln zu einer Unanwendbarkeit bestimmter Vorgaben des § 19 TTDSG führen kann.“ (Taeger/Gabel (2022), § 19 TTDSG Rn. 3)

Und auch bei der Zuständigkeit der Datenschutzbehörden für die Überwachung der Vorgaben des TTDSG gibt es noch Probleme. Da der Bund nicht die Kompetenzen von Landesbehörden festlegen kann, findet sich in den §§ 28, 29 TTDSG nur eine Zuständigkeit des BfDI für Bußgelder gegenüber Anbieter von Telekommunikationsdiensten oder Bundesbehörden. Die Bundesländer müssten ihre Gesetze noch anpassen und den Landesdatenschutzbeauftragten entsprechende Kompetenzen zuweisen. Ein solches Vorhaben hat bisher nur Berlin angekündigt.

Was können Eltern tun, um ihre Kinder vor den Gefahren von Smart Toys zu schützen?

Die Bundesnetzagentur rät Eltern, beim Kauf darauf zu achten, ob das Produkt ein Mikrofon oder eine Kamera hat und ob diese Daten kabellos an den Hersteller übertragen werden können. Wenn ein heimlicher externer Zugriff möglich ist, sind diese Gegenstände verboten. Die Initiative „Schau Hin!“ der Bundesregierung, empfiehlt Smart Toys mit Internetzugriff erst ab einem Alter von 10 Jahren, da für die Nutzung eine gewisse Medienkompetenz und ein Bewusstsein für Risiko vorhanden sein sollte.

Im Einzelnen sollte folgende Punkte beachtet werden:

  • Recherche nach bekannten Sicherheitsrisiken des Spielzeugs.
  • Die Informationen über das Produkt genau lesen. Zugehörige Apps im Vorfeld installieren und bezüglich Berechtigung sowie möglichen In-App-Käufen überprüfen.
  • Über die Datenschutzerklärung sollte geklärt werden, wie personenbezogene Daten verarbeitet werden und welchen Standort ggf. die Server haben.
  • Eltern sollten das Spielzeug vorher in jedem Fall selbst testen und das Kind beim Spielen begleiten.
  • Das Spielzeug sollte dann möglichst sicher eingestellt werden und bestimmte Funktionen (wie z.B. Bluetooth) ausgeschaltet werden.
  • Nach der Nutzung sollte darauf geachtet werden, dass das Smart Toy vollständig ausgeschaltet ist.

Datenhoheit den Eltern

Spione im Kinderzimmer hört sich nach einem schlechten Filmtitel an. Um die düstere Zukunftsvision von der Dauerüberwachung nicht wahr werden zu lassen, muss dringend gesteuert werden, in welchem Maße Daten verarbeitet werden. Datenschutz sollte hier nicht als Bremse verstanden werden, sondern als wichtiger Grundsatz. Dies wird in einer immer weiter digitalisierten Welt ein zunehmend wichtiger Punkt. Es wird immer undurchsichtiger wer welche Daten verarbeitet, wo Profile angelegt werden und wie diese verwendet werden. Kinder sind besonders schützenswert, daher sollte gerade im Bereich der Smart Toys ein besonderes Augenmerk auf den Datenschutz gelegt werden. Die Datenhoheit muss in die Hände der Eltern gelegt werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.