Es ist Weihnachten und vor allem für die Kids bedeuten diese Tage: Es gibt viele, viele Geschenke. Das moderne Zeitalter ist mittlerweile auch im Kinderzimmer angekommen: Statt Holzfiguren oder Brettspielen gibt es mittlerweile elektronisches Spielzeug, das mit neuesten technischen Sensoren ausgestattet ist. Von der Puppe mit Mikrofon und Internetverbindung bis hin zum Roboter oder der Drohne, die mit dem Smartphone verbunden ist, sind immer mehr Spielsachen mit dem Internet verbunden. Jedoch werfen diese Vorzüge aus dem Bereich des „Internet of Things“ auch zahlreiche Bedenken im Hinblick auf das Datenschutzrecht und die IT-Sicherheit auf.

Nicht ohne Grund warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch in diesem Jahr zur Weihnachtszeit wieder vor dem Kauf und Einsatz dieser sog. Smart Toys.

Denn viele Geräte zeichnen über das eingebaute Mikrofon oder sogar Kameras unbehelligt Daten auf und übertragen diese Video- oder Tonaufzeichnungen auf den Servern des Herstellers. Unter Umständen sind sogar noch Apps und Anwendungen mitgeliefert, über die Drittanbieter Zugriff auf die Daten des Nutzers haben. Und es ist sogar denkbar, dass Angreifer über das W-LAN des Hauses oder direkt durch einen Angriff auf das Gerät sensible Informationen des Nutzers auslesen können, da die Geräte oftmals nur durch unsichere oder gar keine Passwörter geschützt sind.

In einem der letzten Tatort-Folgen in der ARD wurde diese Gefahr etwas zugespitzt dargestellt, in dem ein Angreifer über eine solche Puppe mit dem beschenkten Kind im Kinderzimmer kommunizierte, diese unter anderem nachts zum Öffnen der Haustür oder sogar zum Sprung aus dem Fenster zu überzeugen versuchte.

Datenschutz

Mit Blick auf das Datenschutzrecht könnte darüber diskutiert werden, ob und inwiefern die Verarbeitung der personenbezogenen Daten des Nutzers, der häufig bei diesen Smart Toys unter 14 Jahren ist, überhaupt zulässig ist.

Eine Rechtsvorschrift als Rechtsgrundlage der Datenverarbeitung dürfte in jedem Fall ausscheiden, da das Abhören und Aufzeichnen von Ton- und Bild von Kindern in diesem höchstpersönlichen Raum (Kinderzimmer) weder für die Erfüllung eines Vertrages erforderlich ist (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) noch im berechtigten Interesse des Herstellers erfolgen dürfte (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Denn anders als bei Alexa und Co., wo offensichtlich die Sprachsteuerung zum Kauf von Produkten bei Amazon oder Abfrage von Informationen als digitaler Assistent gerade eine wesentliche Rolle für den Einsatz dieses Gerätes/Software einnimmt, dienen diese Funktionen am Spielzeug keiner Dienstleistung oder einem Vertrag. Mithin dürfte auch das schutzwürdige Interesse des Kindes überwiegen.

Im Ergebnis lässt sich die Datenverarbeitung nur auf die Einwilligung des Betroffenen, im Fall eines Kindes auf die der Eltern stützen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO, Art. 7, Art. 8 DSGVO). Hieran sind hohe Anforderungen gestellt, insbesondere müsste der Betroffene (bzw. die Eltern) transparent und umfassend über die tatsächliche Datenverarbeitung aufgeklärt werden. Die Einwilligung müsste ausdrücklich erfolgen, jedenfalls nicht durch den Kauf des Spielzeugs oder dessen Aktivierung. Sofern sogar noch besondere Kategorien personenbezogener Daten verarbeitet werden, wie es bei deutlichen Gesundheitsdaten (Informationen zu Krankheiten des Kindes) oder biometrischer Daten (Fingerabdruck), wird ohnehin eine ausdrückliche Einwilligung gefordert (Art. 9 Abs 1 DSGVO). Ohne Display oder Eingabegerät lässt sich die Darstellung einer Datenschutzerklärung wie auch und die Abgabe der Einwilligung schwer nachweisen – ein Widerruf ist ebenso nicht umzusetzen. In der Regel dürften die Hersteller dieser Geräte den datenschutzrechtlichen Anforderungen hierzulande nicht genügen.

Sodann ergeben sich in der Praxis häufig Zweifel an der sicheren Datenverarbeitung, insbesondere bei einer etwaigen unverschlüsselten Datenübertragung von Ton- oder Videodateien oder GPS-Daten an die Server der Hersteller außerhalb der EU. Ob und inwiefern diese Daten überhaupt gelöscht werden, steht auf einem anderen Blatt. Oftmals fehlt es bereits an der Kontrollmöglichkeit (und Kenntnis) des Betroffenen.

Verbot

Die Bundesnetzagentur hatte Anfang 2017 bereits eine derartige Puppe („My Friend Cayla“) verboten, da diese wie eine „Sendeanlage“ agiere und unerlaubt die Nutzer (Kinder) belauschen würde.

Und das Ausspähen dieses höchstpersönlichen Lebensbereichs durch Bildaufnahmen ist auch in der Regel strafbar nach § 201a StGB, wie es beispielsweise bei versteckten Kameras in dem Spielzeug denkbar wäre. Die Datenschutzbehörden äußersten sich erst deutlich später zu diesen Risiken.

Fazit

Auch wenn viele Smart Toys den Kindern ein Leuchten in den Augen erzeugen, sollte die Technik genauesten geprüft werden. Der Nutzen von Mikrofon oder Kameras im Spielzeug für ganz kleine Kinder sollte hinterfragt werden. Ein kritischer Blick ist nicht unangebracht, auch wenn die omnipräsenten IoT-Geräte immer mehr Einzug in den Alltag finden.