Laut der Verbraucherzentrale Nordrhein-Westfalen übertragen Smart-TVs des Herstellers Samsung Nutzerdaten ungefragt an Unternehmensserver, sobald das Gerät an das Internet angeschlossen wird. Grund genug, die wichtigsten datenschutzrechtlichen Anforderungen zu beleuchten.
Der Inhalt im Überblick
Orientierungshilfe des Düsseldorfer Kreises
Diese Anforderungen hat der Düsseldorfer Kreis vor einigen Tagen in einer umfangreichen Orientierungshilfe zu den Datenschutzanforderungen an Smart-TV-Dienste veröffentlicht.
Was ist Smart-TV?
Smart-TV ist die Bezeichnung für Fernsehgeräte mit internetbasierten Zusatzfunktionen. Mit diesen Geräten ist es u.a. möglich, im Internet zu surfen, Filme zu streamen oder über HbbTV Informationen abzurufen. Datenschutzrechtlich verantwortlich in diesem Zusammenhang können neben dem Gerätehersteller auch App-Anbieter oder die Anbieter von HbbTV-Funktionen sein.
Personenbezogene Daten
Im Rahmen dieser Funktionen werden vom Gerätehersteller oder App- bzw. Dienstanbieter verschiedene personenbezogene Daten der Nutzer erhoben und verarbeitet:
- IP-Adresse
- Geräte-ID
- Eventuell Audiodaten oder Foto -und Filmaufnahmen
- Informationen über die Smart-TV-Dienste-Nutzung
- Fernsehverhalten
- Registrierungsdaten
Nach Ansicht der Aufsichtsbehörden ist es datenschutzrechtlich dabei nicht von Belang, ob der Smart-TV von einer oder mehreren Personen genutzt wird.
„Darüber hinaus ist es auch möglich, bei Heranziehung des Nutzungsverhaltens Unterscheidungen zu tätigen (z.B. kann anhand der gesehenen Sendungen das Geschlecht und ggf. das Alter eingeschätzt werden) und so die jeweils konkrete Person zu individualisieren. Bei einigen Geräten lassen sich außerdem Profile für die einzelnen Nutzer einrichten, wobei dann in der Regel personalisierte IDs verwendet werden, die zweifellos als personenbezogene Daten einzustufen sind.“
Rechtsgrundlagen der Datenverarbeitung
Für Datenverarbeitungen bei der Nutzung von Smart-TV kommen verschiedene Rechtsgrundlagen in Betracht. Gesetzliche Erlaubnistatbestände sind hierbei in der Regel im Telemediengesetz als Spezialgesetz zu suchen, wenn es um Bestandsdaten (§ 14 TMG) oder Nutzungsdaten (§ 15 TMG) geht.
Nach § 15 Abs. 3 etwa darf der Diensteanbieter
„für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Hierbei ist zu beachten, dass die Widerspruchsmöglichkeit zumindest in der Datenschutzerklärung beschrieben und effektiv und angemessen sein muss. Sie sollte durch eine direkte Opt-Out-Möglichkeit in Form eines Links oder der Möglichkeit des Auskreuzens umgesetzt werden.
Existiert kein gesetzlicher Erlaubnistatbestand, sind Erhebung und Verwendung personenbezogener Daten nur mit einer wirksamen Einwilligung des Nutzers möglich, wobei die allgemeinen Anforderungen an eine Einwilligungserklärung zu berücksichtigen sind.
Pflichten der verantwortlichen Stellen
In der Folge formulieren die Aufsichtsbehörden verschiedene Pflichten und Grundsätze, die von Geräteherstellern oder Diensteanbietern bei einer datenschutzkonformen Ausgestaltung zu beachten sind.
Informationspflichten
Der Nutzer muss durch die jeweils verantwortliche Stelle in Form einer Datenschutzerklärung bei Beginn des Nutzungsvorgangs über den Umgang mit seinen personenbezogenen Daten informiert werden (§ 13 Abs. 1 TMG).
Neben den allgemeinen Anforderungen an eine Datenschutzerklärung ist zu beachten, dass keine Textbausteine, die häufig für herkömmliche Webseiten verwendet werden, genutzt werden, da bei den Einstellungsmöglichkeiten auf Nutzerebene technische Unterschiede zwischen Smart-TV-Diensten und herkömmlichen Webseiten für bestehen.
Datenvermeidung und Datensparsamkeit
Nach den Grundsätzen der Datenvermeidung und Datensparsamkeit sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Daraus ergibt sich auch, dass Smart-TV Geräte oder Dienste bereits nach diesen Grundsätzen zu entwickeln sind und dass ab Werk standardmäßig die datenschutzfreundlichste Voreinstellung gewählt wird.
Dieses „privacy by default“ bedeutet für Hersteller also beispielsweise, dass Funktionen wie z.B. Mikrofon oder Kamera standardmäßig deaktiviert sein müssen.
Datensicherheit
Schließlich sind nach Ansicht der Aufsichtsbehörden hohe Anforderungen an die Sicherheit von personenbezogenen Daten zu beachten. Die Orientierungshilfe verweist dabei auf die Richtlinien des BSI und nennt folgende Mindestanforderungen:
- HTTPS-Verbindungen
- Perfect Forward Secrecy
- kein SSL2/SSL3
- mindestens 2048-Bit beim X.509 Zertifikat
- keine RC4-Verschlüsselung
- kein SHA1-Hashverfahren
Fazit
Viele dieser Anforderungen werden von den jeweils verantwortlichen Stellen bislang leider nicht oder nur unzureichend umgesetzt. Insbesondere die Voreinstellungen zum Datenschutz waren eher das Gegenteil von „privacy by default“.
Dies sieht auch die Verbraucherzentrale Nordrhein-Westfalen so und hat eine Musterklage eingereicht. Ihrer Ansicht nach fehle es für Datenübertragungen, die standardmäßig aktiviert und ohne Hinweis automatisch erfolgen, an einer Rechtsgrundlage. Über den Ausgang des Verfahrens, dessen erster Verhandlungstermin allerdings erst im Mai 2016 stattfindet werden wir hier informieren.
Ich verstehe nicht, warum der Gesetzgeber nicht mit einem Verkaufsverbot oder zumindest der Androhung mehr Druck auf die Industrie ausübt. Die Automobilindustrie muss ihre Fahrzeuge ja beispielsweise auch einer Prüfung unterziehen.
Ich sehe es ohnehin als absolute Schweinerei an, das der Gesetzgeber nichts gegen diese Datensammelwut unternimmt. Wieso oder mit welchem Recht kann ich nach dem Kauf eines elektronischen Gerätes gezwungen werden, vor der Erstnutzung meine kompletten Daten Geburt, Wohnanschrift usw. irgendwohin zu einem globalen Unternehmen in USA, Korea, Japan zu senden um ein gekauftes Gerät überhaupt nutzen zu dürfen? Was würde überhaupt passieren wen hier völlig falsche Daten eingepflegt werden? Antwort wäre sicher von allgemeinem Interesse. Hätte das Auswirkungen auf die Garantie?