Seit den Anfangstagen von Alexa waren Smart-Home-Geräte von jeher Gegenstand datenschutzrechtlicher Fragen: Was macht Amazon mit meinen Sprachaufzeichnung-en? Was sammelt der Hersteller alles an Daten über mich und mein Nutzungs-verhalten? Sind meine Daten auf dem Weg zum und beim Hersteller sicher? Und natürlich: Sind die Geräte als solche sicher – wie leicht oder schwer kann die Kontrolle darüber von Dritten übernommen werden?
Es gab dann in den Jahren seither diverse „Horrormeldungen“, was alles passieren kann, wenn die Kontrolle eben nicht mehr beim Nutzer liegt, sondern bei Dritten: So konnten sich Dritte Zugriff auf smarte Kameras verschaffen, so dass sie hervorragende Einblicke in die Wohnung der Nutzer hatten oder die Admin-Steuerung übernehmen konnten. Auch die (im Klartext übertragenen) Kennwörter von Smart Locks wurden ausgelesen. Aber das ist einige Zeit her. Seitdem hat sich die Diskussion über die Sicherheit und auch über datenschutzrechtliche Aspekte der Geräte etwas gelegt. Zu Recht?
Gängige Smart-Home-Systeme im Vergleich
Die Stiftung Warentest hat nun 14 verschiedene Smart-Home-Systeme (Geräte und Hubs) unter verschiedenen Kriterien getestet, u.a. darauf, wie zuverlässig sie auch ohne bestehende Internet-Verbindung funktionieren, wie komfortabel sie einzurichten sind, und wie der „Basisschutz“ persönlicher Daten zu bewerten ist. Nicht nur der Wortbestandteil „Basis-“zeigt also, dass der Test nicht primär auf datenschutzrechtliche Aspekte abstellte, dennoch wurden diese mitberücksichtigt. In diesem Bereich schnitten dann auch nur drei der getesteten Systeme mit „gut“ ab – der Rest verteilt sich auf „befriedigend“ (neun) und „ausreichend“ (zwei).
Welche Kriterien wurden hier für die datenschutzrechtliche Bewertung herangezogen?
Zum einen wurde das Sendeverhalten der jeweiligen Apps geprüft – welche Daten gehen an die Hersteller? Darüber hinaus der Schutz des Nutzerkontos und der eigentlichen Datenübertragung (also die Datensicherheit im engeren Sinne) und schließlich die Qualität und Vollständigkeit der Datenschutzerklärung. Spoileralarm – auf dem Treppchen in dieser Kategorie: Bosch, vor AVM und Google.
Ich hätte hier Apple unter den ersten dreien vermutet (ggf. statt Google), aber da die Prüfkriterien nicht transparenter sind als zuvor erwähnt, lässt sich hier nicht sagen, an welchen Punkten eine höhere Bewertung desjenigen Anbieters gescheitert ist, der sonst am intensivsten mit Datenschutz wirbt. Dass deutsche Anbieter in diesem Bereich unter den TOP 3 sind, überraschte mich nicht. Lassen Sie uns gemeinsam einen Blick darauf werfen, was die „datenschutzfreundlicheren“ Anbieter von denen unterscheidet, die nur mit „ausreichend“ abgeschnitten haben. Da wir nicht auf die Details der Prüfergebnisse zurückgreifen können, bleibt insoweit nur der Blick in die (öffentlichen) Datenschutz-Bestimmungen und weitere öffentliche Informationen der Hersteller.
AVM und Bosch verarbeiten Nutzungsdaten ohne Personenbezug
Bei Bosch werden die Nutzungsdaten grundsätzlich ohne Personenbezug verarbeitet, eine Verknüpfung findet hier nur mit ausdrücklicher Zustimmung der Nutzer statt, darüber hinaus werden die gem. DSGVO erforderlichen Betroffenenrechte gewährt. Auch AVM punktet datenschutzrechtlich damit, die Nutzungsdaten nicht mit den identifizierenden Nutzerdaten zu verknüpfen, also keine Nutzerprofile über die verbundenen Geräte erstellen zu können.
Fast überflüssig zu sagen, dass die deutschen Hersteller darauf achten, dass die Daten in Deutschland oder in der EU verarbeitet werden, so dass weitere Anforderungen wie Data Privacy Framework oder andere Garantien gem. Art. 46 DSGVO nicht relevant sind.
Google zeigt Transparenz in den Datenschutz-Informationen
Und Google, denen ja „früher“ nicht die besten datenschutzrechtlichen Zeugnisse ausgestellt wurden? Google kann, um gleich den letztgenannten Punkt aufzugreifen, auf die Garantie des Data Privacy Framework zurückgreifen und damit einen nicht unwichtigen Punkt hinsichtlich der Rechtmäßigkeit der Datenübermittlung in ein Drittland abhaken – unabhängig davon wird (zusätzlich) mit entsprechenden Einwilligungen gem. Art. 49 Abs. 1 lit. a DSGVO gearbeitet.
Auch Google nimmt gem. der umfangreichen Datenschutz-Informationen keine Verknüpfungen der Nutzungsdaten mit den Kundendaten vor. Was gegenüber den vorgenannten Anbietern auffällt, ist die Transparenz und die sehr umfassende Information der Nutzer – wenn diese denn wollen – über sämtliche datenschutzrelevanten Funktionen und auch Bauteile (z.B. Sensoren) der Smart-Home-Geräte. Diese Informationen aufzufinden und in ihrer Gänze aufzunehmen, ist mühsam, zeugt aber durchaus von einer Ernsthaftigkeit des Anbieters. Wichtig ist, dass der Nutzer hier oft selbst aktiv werden muss, um vorhandene Einstellungen zum Datenschutz vorzunehmen.
Wodurch zeichnen sich nun, im Gegensatz, die „negativen“ Datenschutz-Kriterien der Anbieter aus?
Vielleicht schon mal durch fehlende Aktualität? Einer der hier negativ bewerteten Anbieter präsentiert eine Datenschutz-Information mit dem Stand 2023! Darüber hinaus werden dem Nutzer durch den bloßen Gebrauch der Geräte Einwilligungen „untergeschoben“ und auch bereits zukünftige Änderungen fiktiv als akzeptiert bewertet. Schließlich ist der Umfang der für die Nutzung angeblich erforderlichen Daten erheblich größer als bei den „datenschutzfreundlichen“ Anbietern.
Auch die Sicherheit der Geräte sollte nicht vernachlässigt werden
Zuvor wurden Spotlight-mäßig nur die Datenschutz-Themen der Anbieter beleuchtet. Was im Zweifel mindestens so wichtig ist, ist die Sicherheit der Geräte. Obwohl Smart-Home-Geräte nicht mehr wirklich neu sind, unterlassen immer noch viele Nutzer, die Standard-Einstellungen, insbesondere Passwörter, zu ändern. Auch die stets erforderlichen Updates müssen, wenn keine Auto-Update-Funktion aktiviert oder vorhanden ist, manuell zeitnah durchgeführt werden, um möglichen Angreifern nicht durch bekannte Sicherheitslücken zu ermöglichen, ins Heim-Netz einzudringen oder dort schädliche Software zu hinterlassen. Auch die Verlagerung sämtlicher Geräte in ein Gast-Netz kann hier vor solchen Risiken schützen. Wer bei Kauf und Installation auf Nummer sicher gehen will, findet bei vielen Verbraucherzentralen wie bspw. beim Verbraucherportal Baden-Württemberg oder auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ausführliche Hinweise.