Alle Jahre wieder: Datenschutz und Kinderspielzeug

16.12.2016
G DATA Blog

Wie jedes Jahr zu Weihnachten haben Eltern die Qual der Wahl: was schenkt man seinem Kind? Die Weihnachtswünsche sind teilweise sehr konkret, was die Suche nach den richtigen Geschenk natürlich vereinfacht. Allerdings sollten Eltern gerade bei elektronischem Spielzeug Vorsicht walten lassen, denn manchmal sind Puppen "smarter" als man eigentlich möchte.

Sammelwütige Puppen

In der Vergangenheit gab es bereits Berichte über mangelhafte Sicherheit bei "smarten" Kinderspielzeugen. So machte "Hello Barbie" in der Weihnachtssaison 2015 von sich reden, indem sie bestimmte Daten unzureichend gesichert verarbeitet und teilweise in die Cloud schickte. Das brachte Mattel, dem Hersteller der berühmten Puppe, damals die Negativ-Auszeichnung "Big Brother Award" ein.

Dieses Jahr sorgt der Hersteller "Genesis Toys", der seine Produkte auch in Deutschland vertreibt, für Aufruhr bei Eltern und Datenschützern. Nach Erkenntnissen von Forschern sammelt das Spielzeug Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen. Laut einer von Datenschützern eingereichten Klageschrift, die am 6. Dezember bei der Federal Trade Commission (FTC) eingegangen ist, fragen die beanstandeten Puppen die folgenden Informationen ab:

  • Namen des Kindes
  • Namen der Eltern
  • Lieblingsessen
  • Wo das Kind zur Schule geht
  • Lieblings-Fernsehsendung
  • Lieblings-Prinzessin
  • Lieblingsspielzeug

Das Sammeln dieser Daten und deren Übersendung ins Internet dürfte hierzulande zumindest Besorgnis hervorrufen. Diese Daten sind sehr persönlicher Natur. Gelangen diese Daten in die Händen von Straftätern, sind katastrophale Ereignisse vorprogrammiert. Es dürfte kaum jemandem daran gelegen sein, dass Straftäter beispielsweise den Wohnort und die Schule fremder Kinder kennen und auch Informationen besitzen, die sonst nur dem engsten Familienkreis bekannt sind. Die Spielzeuge sind zudem praktisch ideale Abhörgeräte, denn sie lassen sich am besten Ort verstecken, den es gibt: ganz offen im Raum.

Konfiguriert wird das Spielzeug über eine separate App, die es für iOS und Android gibt. Eine Verbindung zum Spielzeug wird per Bluetooth hergestellt. Die App verlangt recht umfassende Berechtigungen, unter Anderem eben Zugriff auf das Mikrofon, ohne allerdings darüber aufzuklären, was genau die Berechtigungen bedeuten.

Datenauswertung

Die gesammelten (Stimm-)Daten werden jedoch nicht durch Genesis Toys verarbeitet. Die Stimmerkennung des Spielzeuges nutzt die Technologie eines anderen Anbieters namens Nuance Communications.

Die gesammelten Daten werden in die USA übermittelt, wo der Anbieter die Daten analysiert. Dieses Vorgehen ist per se nicht unüblich; wer Siri auf seinem iPhone oder iPad nutzt, greift auf ein Apple-Pendant einer vergleichbaren Infrastruktur zurück. Die Analyse der gesprochenen Worte findet bis auf wenige Ausnahmen immer in der Cloud statt, da die lokal verfügbare Rechenleistung in einem Smartphone oder einem Kinderspielzeug nicht ausreichend ist.

Problematisch wird es, wenn mit Daten von Minderjährigen umgegangen wird. In der Vergangenheit ist ein anderer Hersteller, VTech, bereits auffällig geworden. Dieser hatte durch eine Sicherheitslücke in seinem Onlineportal unbeabsichtigt die Daten tausender Kinder potenziell für Angreifer zugänglich gemacht und später versucht, über eine Änderung seiner Lizenzbestimmungen die Verantwortung für die künftige Zwischenfälle ähnlicher Art auf die Eltern abzuwälzen.

 

Paragraphen-Dschungel: "Ich akzeptiere die AGB".

Hand aufs Herz:
Wann haben Sie zuletzt mehrere Seiten AGB oder Lizenzbestimmungen gelesen, bevor Sie auf "Ich akzeptiere die AGB" geklickt haben?

Weder Genesis Toys noch Nuance Communications machen einen Hehl daraus, was wie mit den gesammelten Daten tun. Es steht fast alles in den AGB. Allerdings ist einiges davon so nebulös formuliert ([...]verwendet die Daten für interne Zwecke[...] ) und versteckt, dass man schon sehr genau hinsehen muss. Wer wissen will, wie genau Nuance Communications mit den gesammelten Daten verfährt, wird in den Bestimmungen per Link auf die Datenschutzrichtlinien von Nuance verwiesen. Dort heißt es explizit, dass die Daten auch für Werbezwecke eingesetzt werden.

So ist es nicht verwunderlich, dass die Spielzeuge auch als Plattform für Produktplazierungen genutzt werden. In der US-Version ist aufgefallen, dass eine der Puppen explizit sagt, dass sie gerne in die Disney World fährt und dass ihre Lieblingsattraktion dort das Epcot-Center sei.

Wenn es um die persönlichen Daten von Kindern geht, sind sowohl Datenschützer als auch Eltern hoch sensibilisiert. Daher beruht die Anzeige zu großen Teilen darauf, dass die Zielgruppe, für die die beanstandeten Spielzeuge gedacht sind, von Gesetzes wegen überhaupt nicht zu einer rechtlich verbindlichen Zustimmung fähig sei. In der Tat sind auch in Deutschland Kinder unter 14 Jahren nur eingeschränkt geschäftsfähig, weshalb die beispielsweise Vertragswerken (zu denen beispielsweise Nutzungsbedingungen gehören) nicht rechtsverbindlich zustimmen können. Überdies könne man auch nicht verlässlich verifizieren, ob die Eltern tatsächlich ihr Einverständnis gegeben haben.

In der Klageschrift heißt es weiter, dass beispielsweise Nuance Technologies nach eigener Aussage konform mit US-Datenschutzgesetzen sei. Das ist zwar faktisch korrekt, aber da für die persönlichen Daten von Minderjährigen andere Bestimmungen gelten, sei diese Feststellung nicht aussagekräftig ( [...]Nuance represents that it is in compliance with all privacy laws.[...] Nuance's representation is misleading because users may believe that Nuance is complying with COPPA (Child Online Privacy Protection Act, Anm. D. Verf.)).

Was Eltern tun können

Auf die aktuellen Berichte mit Besorgnis zu reagieren ist normal, da Spielzeughersteller sich in der Vergangenheit beim Datenschutz nicht immer vorbildlich verhalten haben.
In einem Atemzug jegliches elektronisches Spielzeug in Sippenhaft zu nehmen, ist jedoch auch nicht zielführend. Die Berichterstattung zum Datenschutz bei elektronischen Spielzeugen kann auch für Eltern eine Möglichkeit sein, sich einmal gezielt mit dem Thema zu befassen und gegebenenfalls eine Kaufentscheidung darauf zu basieren. 

In jedem Falle sollte man sich darüber im Klaren sein, was man dem Kind da unter den Weihnachsbaum legt und es im Rahmen der Möglichkeiten vorsichtig an das Spielzeug heran führen.

Update

Die Bedenken von Datenschutzexperten und Juristen haben für den deutschen Markt Wirkung gezeigt:
Einem aktuellen Rechtsgutachten nach gilt die "My Friend Cayla" - Puppe nun nach dem Telekommunikationsgesetz (TKG) als "Spionagewerkzeug", da sie dazu geeignet ist, nicht-öffentlich gesprochenes Wort aufzuzeichnen und per Funktechnologie (in diesem Falle Bluetooth) zu übertragen.
Zudem sind die elektronischen Bausteine, die für die Übersendung der Daten erforderlich sind, durch den Körper und die Kleidung der Puppe verdeckt. Außerdem könne man von der äußeren Gestalt der Puppe nicht darauf schließen, dass es sich um eine solche Sendeanlage handelt. Somit erfüllt die Puppe nach Meinung des begutachtenden Juristen und auch der Bundesnetzagentur alle Kriterien einer getarnten verbotenen Sendeanlage.

Das Spielzeug muss daher in Deutschland vom Markt genommen werden. Eltern, die ihren Kindern die Puppe geschenkt haben, müssten nun die Puppen vernichten, denn sowohl der Verkauf als auch der Besitz verbotener Sendeanlagen ist strafbar.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein