Smartes Spielzeug: Oh, du fröhliche Datensammelzeit

Weiterleitung persönliche Daten über das Internet

[datensicherheit.de, 16.12.2016] Im Vorfeld des Weihnachtsfestes 2016 raten Experten der G DATA Security Labs insbesondere Eltern, gerade bei elektronischem Spielzeug genauer hinzuschauen, denn diese können „smarter“ sein als gedacht. Nach Erkenntnissen von Forschern sammeln demnach manche Spielzeuge Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen – zum Entsetzen von Datenschützern.

Kinderspielzeug: Alle Jahre wieder Datenschutz-Bedenken

Jedes Jahr zu Weihnachten haben Eltern oft die Qual der Wahl – die Weihnachtswünsche der Kinder sind teilweise sehr konkret, was die Suche nach dem richtigen Geschenk vereinfacht, aber Eltern sollten gerade bei elektronischem Spielzeug Vorsicht walten lassen, denn manchmal sind Puppen „smarter“ als man eigentlich möchte.
In der Vergangenheit habe es bereits Berichte über mangelhafte Sicherheit bei „smarten“ Kinderspielzeugen gegeben, so Tim Berghoff in einer aktuellen Stellungnahme. So habe z.B. „Hello Barbie“ in der Weihnachtssaison 2015 von sich reden gemacht, indem sie bestimmte Daten unzureichend gesichert verarbeitet und teilweise in die Cloud geschickt habe. Das habe nun Mattel, den Hersteller der berühmten Puppe, die Negativ-Auszeichnung „Big Brother Award“ eingebracht.

Kein Kinderspiel: Eifrige Datensammler

2016 sorge der seine Produkte auch in Deutschland vertreibende Hersteller „Genesis Toys“ für Aufruhr bei Eltern und Datenschützern. Nach Erkenntnissen von Forschern sammele das Spielzeug Informationen wie Namen, GPS-Daten und auch Stimmaufzeichnungen. Laut einer von Datenschützern eingereichten Klageschrift, die am 6. Dezember 2016 bei der Federal Trade Commission (FTC) eingegangen sei, fragten die beanstandeten Puppen die folgenden Informationen ab:

• Namen des Kindes
• Namen der Eltern
• Lieblingsessen
• Ort des Schulbesuchs
• Lieblings-Fernsehsendung
• Lieblings-Prinzessin
• Lieblingsspielzeug

Das Sammeln dieser Daten und deren Übersendung ins Internet dürfte hierzulande zumindest Besorgnis hervorrufen. Diese Daten seien sehr persönlicher Natur. Gelangen diese Daten in die Händen von Straftätern, seien katastrophale Ereignisse vorprogrammiert, warnt Berghoff. Es dürfte kaum jemandem daran gelegen sein, dass Straftäter beispielsweise den Wohnort und die Schule fremder Kinder kennen und auch Informationen besitzen, die sonst nur dem engsten Familienkreis bekannt sind.

Little Toy is listening to you!

Die Spielzeuge seien zudem praktisch ideale Abhörgeräte, denn sie ließen sich am besten Ort verstecken, den es gibt: ganz offen im Raum. Konfiguriert werde dieses Spielzeug über eine separate App, die es für „iOS“ und „Android“ gebe. Eine Verbindung zum Spielzeug werde per Bluetooth hergestellt. Die App verlange recht umfassende Berechtigungen, unter Anderem eben Zugriff auf das Mikrofon, ohne allerdings darüber aufzuklären, was genau die Berechtigungen bedeuten.

Datenauswertung in den USA

Die gesammelten (Stimm-)Daten würden jedoch nicht durch Genesis Toys verarbeitet. Die Stimmerkennung des Spielzeuges nutze die Technologie eines anderen Anbieters namens Nuance Communications.
Die gesammelten Daten würden in die USA übermittelt, wo der Anbieter die Daten analysiere. Dieses Vorgehen sei per se nicht unüblich; wer „Siri“ auf seinem „iPhone“ oder „iPad“ nutzt, greife auf ein Apple-Pendant einer vergleichbaren Infrastruktur zurück.
Die Analyse der gesprochenen Worte finde bis auf wenige Ausnahmen immer in der Cloud statt, da die lokal verfügbare Rechenleistung in einem Smartphone oder einem Kinderspielzeug nicht ausreichend sei. Problematisch werde es, wenn mit Daten von Minderjährigen umgegangen wird.

Es stand doch alles in den AGB…

Berghoff: „Wann haben Sie zuletzt mehrere Seiten AGB oder Lizenzbestimmungen gelesen, bevor Sie auf ,Ich akzeptiere die AGB‘ geklickt haben?“ Weder Genesis Toys noch Nuance Communications machten einen Hehl daraus, was wie mit den gesammelten Daten tun. Es stehe fast alles in den AGB.
Allerdings sei einiges davon so nebulös formuliert und versteckt, dass man schon sehr genau hinsehen müsse. Wer wissen will, wie genau Nuance Communications mit den gesammelten Daten verfährt, werde in den Bestimmungen per Link auf die Datenschutzrichtlinien von Nuance verwiesen – dort heiße es explizit, dass die Daten auch für Werbezwecke eingesetzt würden.
So sei es nicht verwunderlich, dass die Spielzeuge auch als Plattform für Produktplazierungen genutzt würden. In der US-Version sei aufgefallen, dass eine der Puppen explizit sage, dass sie gerne in die „Disney World“ fahre und dass ihre Lieblingsattraktion dort das „Epcot-Center“ sei.

Zielgruppe kann nicht rechtsverbindlich zustimmen!

Wenn es um die persönlichen Daten von Kindern geht, seien sowohl Datenschützer als auch Eltern hoch sensibilisiert. Daher beruhe die Anzeige zu großen Teilen darauf, dass die Zielgruppe, für die die beanstandeten Spielzeuge gedacht sind, von Gesetzes wegen überhaupt nicht zu einer rechtlich verbindlichen Zustimmung fähig sei.
In der Tat seien auch in Deutschland Kinder unter 14 Jahren nur eingeschränkt geschäftsfähig, weshalb diese beispielsweise Vertragswerken nicht rechtsverbindlich zustimmen könnten. Überdies könne man auch nicht verlässlich verifizieren, ob die Eltern tatsächlich ihr Einverständnis gegeben haben.

Weitere Informationen zum Thema:

G DATA Security Blog, 16.12.2016
Tim Berghoff: „Alle Jahre wieder: Datenschutz und Kinderspielzeug“

datensicherheit.de, 21.10.2016
Individueller Netzwerkschutz: Große Nachfrage auf der „it-sa 2016“

datensicherheit.de, 29.03.2016
eco startet Veranstaltungsreihe LocalTalk 2016 – Datacenter Life Savers –