Auch im Kinderzimmer kann das Thema Datenschutz „ins Spiel kommen“. Wird leichtfertig ein „Smart Toy“ („vernetztes Spielzeug“) erworben, kann sich daraus ein Risiko für die Privatsphäre des Kindes ergeben.

Smart Toys können die Umgebung erkennen sowie ihre Umwelt wahrnehmen und auf sie reagieren, wenn sie mit einer Kamera, einem Mikrofon, Lautsprechern und Bewegungssensoren ausgestattet sind. Einige Spielzeuge verfügen außerdem über eine Schnittstelle und können sich so mit dem Internet oder anderen Geräten verbinden sowie via WLAN oder Bluetooth Daten übertragen lassen.

Datenerhebung

Durch die Erfassung der Stimme des spielenden Kindes durch das Smart Toy erhebt der Hersteller ein personenbezogenes Datum. Denn die menschliche Stimme fällt unter den Begriff der personenbezogenen Daten, da sie Ausdruck der individuellen physiologischen und genetischen Anlage ist (vgl. Art. 4 Nr. 1 DSGVO). Eine Forschungsgruppe der Uni Basel untersuchte zuletzt zwölf Smart Toys auf dem europäischen Markt. Dabei wurde bei mehreren interaktiven Spielzeugen festgestellt, dass vom Hersteller umfangreiche Verhaltensdaten der Kinder gesammelt werden.

Transparenz

Der Hersteller unterliegt als datenschutzrechtlich Verantwortlicher der gesetzlichen Verpflichtung aus Art. 13, 14 DSGVO zur umfassenden Information über konkret verarbeitete personenbezogene Daten. Diesen gesetzlichen Anforderungen wird in der Praxis oftmals nicht Genüge getan, sodass in vielen Fällen völlig unklar bleibt, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden und ob eine Übermittlung dieser Daten an Dritte stattfindet. Ebenso mangelt es meist an einer Rechtsgrundlage für die Datenverarbeitung.

Datenschutzrisiken

So kann es vorkommen, dass der gesamte Haushalt unbewusst über das Smart Toy überwacht wird. Darunter können auch persönliche Gespräche zwischen den Familienangehörigen fallen. Zudem könnte der Aufenthaltsort getrackt werden. Die erhobenen Daten könnten an Empfänger außerhalb der EU und ohne ausreichendes Datenschutzniveau übermittelt werden.

Gewährleistet der Hersteller kein angemessenes Schutzniveau über technische und organisatorische Maßnahmen (Art. 32 DSGVO), besteht die Gefahr einer Datenschutzverletzung nach Art. 33 DSGVO. Denn Hacker könnten als unberechtigte Dritte auf diese personenbezogenen Daten zugreifen und diese zu kriminellen Zwecken verwenden. So konnten die Hacker auf Daten aus 6,4 Millionen Kinder-Profilen (Namen, Geschlecht, Geburtstag) sowie 4,8 Millionen Eltern-Konten (E-Mail-Adressen, verschlüsselte Passwörter, IP-Adressen, Postanschrift und Liste bisheriger Downloads) zugreifen.

Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik gibt den Nutzern deshalb Hilfestellungen zum Umgang mit Smart Toys:

  • Einrichten von Rechten an dem Spielzeug und den dazugehörigen Applikationen, wenn das Spielzeug mit anderen Geräten (z.B. Smartphone oder Tablet) verbunden wird.
  • Nutzung des Spielzeugs nur mit passwortgeschütztem WLAN. Wenn möglich, Nutzung nur offline.
  • Inbetriebnahme in vertrauenswürdiger Umgebung (z.B. zuhause).
  • Garantie des Herstellers zum Bereitstellen von Updates über die zu erwartende Nutzungsdauer.
  • Regelmäßige Überprüfung, ob Updates vorhanden und installiert sind. Im besten Falle existiert eine automatische Update-Funktion.
  • Ersetzen der voreingestellten Codes und Passwörter durch eigene, hinreichend starke Passwörter/PINs.
  • Aktivierung von Schnittstellen (z.B. zu einem Smartphone) nur, wenn diese benötigt werden.
  • Sicherstellung, dass angemessene Mechanismen wie Verschlüsselung zum Schutz anfallender Daten vorliegen.
  • Möglichkeit der Aktivierung eines Zugriffsschutzes.
  • Sicherung des Koppelns des Spielzeugs mit anderen Geräten z.B. durch die Anzeige eines PIN-Codes oder das Einscannen eines beigelegten QR-Codes.

 

Auch wenn Smart Toys in Zukunft sicherlich eine große Rolle spielen werden, sollte bei der Auswahl des konkreten Spielzeugs das Datenschutzrecht mit einbezogen werden, um die Privatsphäre der Kinder und auch Eltern zu schützen.