Datenschutzrisiken im Kinderzimmer - Umgang mit Smart Toys & Co.

Was sind Smart Toys und was macht sie riskant?

Was für Erwachsene die Sprachassistenten sind, ist für Kinder das intelligente Spielzeug. Sogenannte Smart Toys oder Smart Games ziehen Kinder regelrecht an, weil die Entwicklungen interaktiv mit ihnen kommunizieren. Vernetzte Kuscheltiere und lernfähige Roboter können nicht nur laufen und sprechen, sondern reagieren mithilfe von Mikrofonen, Kameras oder künstlicher Intelligenz situationsabhängig.

Dabei arbeiten sie mit oder ohne Internetverbindung:

• Bei Spielzeug oder Apps mit Internetzugriff werden Informationen wie Stimmen, Geräusche und Tastenbefehle gesammelt und an einen zentralen Server übermittelt. Dort wird blitzschnell eine passende Reaktion errechnet und zurückgesendet. Der Server kann innerhalb oder außerhalb der EU stehen.
• Bei smartem Spielzeug ohne Internetverbindung (offline) ist die erforderliche Software bereits integriert und übermittelt daher keine Daten an einen externen Server.

Intelligente Spielsachen fördern zwar gezielt Lernprozesse („Gamification”), bergen aber insbesondere mit Internetverbindung und KI-Unterstützung ein nicht unerhebliches Datenschutzrisiko. Das Smart Toy zeichnet dazu das Geschehen in Reichweite des Mikrofons oder/und der Kamera auf. Daraus lassen sich Aufenthaltsorte, Interessen und Gewohnheiten der Familie erkunden. Mitunter werden solche Aufnahmen zu Werbezwecken verwendet, ohne dass dies den Eltern bewusst ist.

Wichtig: Funkfähige und zur heimlichen Bild-oder Tonaufnahme geeignete Spielsachen sind in Deutschland verboten (§ 8 Ziff. 1 TTDSG).

Beispiele für riskante Smart Toys

Puppen, Roboter und Spielzeugpanzer sind häufig heimliche Spione im Kinderzimmer. Eines der bekanntesten Beispiele war die Puppe „Cayla“, die im Jahr 2017 von der Bundesnetzagentur vom Markt genommen wurde. Aus demselben Grund wurden ein KI-gestützter Roboter und ein fotografierender Spielzeugpanzer verboten.

Smartwatches, also Uhren mit integriertem Handy, fallen normalerweise nicht unter § 8 TTDSG, es sei denn, sie verfügen über eine zusätzliche Abhörfunktion. Diese wird auch als „Babyphonefunktion”, „voice monitoring” oder „one-way conversation” bezeichnet. Sobald das Mikrofon der Smartwatch per SMS-Befehl oder Eingabe einer Telefonnummer in der dazugehörigen App aktiviert ist, kann alles aufgenommen werden, was in Reichweite ist. Der Aufnahmemodus ist meist nicht erkennbar.

Spielzeugautos können ebenfalls über versteckte Kameras verfügen. Wenn hiermit nicht nur bodennahe Aufnahmen, sondern gut erkennbare Personenaufnahmen möglich sind, die zudem auf ein Tablet oder ein Smartphone übertragen werden, fallen sie unter § 8 TTDSG.

Vermeiden Sie Datenschutzlecks im Kinderzimmer

Tipps für einen sicheren Umgang mit Smart Toys:

• Prüfen Sie, ob das Spielzeug eine Internetverbindung benötigt und eine Kamera oder ein Mikrofon hat. Erfragen Sie, ob die Daten innerhalb oder außerhalb der EU gespeichert werden. Kommt der Händler den Informationspflichten gemäß Art. 13, 14 DSGVO nicht nach, entscheiden Sie sich am besten dagegen.
• Bietet der Hersteller (kostenfreie) Updates über die zu erwartende Nutzungsdauer und eine Verschlüsselung zum Schutz anfallender Daten an? Nur eine aktuelle Software kann größtmögliche Sicherheit bieten. Die Infos dazu findet man beim Hersteller.
• Benötigt das Smart Toy die Nutzung einer App? Wenn ja, prüfen Sie, auf welche Daten die App zugreift, wie diese verwendet werden und ob sie durch den Anwender gelöscht werden können.
• Smart Toys, die dauerhaft über das Internet die Verbindung zu einem Server halten, sind riskanter als lokal arbeitende Systeme. Erfragen Sie im Fachhandel, ob es ein vergleichbares Offline-Produkt gibt.
• Schalten Sie das Spielgerät nur ein, wenn es benutzt wird. Smart Toys, die sich per Bluetooth automatisch mit einem Smartphone oder PC koppeln, sind als unsicher einzustufen. Das Spielzeug sollte zumindest eine PIN abfragen, bevor es mit einem Bluetooth-Gerät gekoppelt wird.
• Funktioniert das Spielzeug nur mit Abschluss eines kostenpflichtigen Abos? Sind zum Betrieb kostenpflichtige Zusatzfunktionen vorgesehen? Prüfen und deaktivieren Sie diese. Bei einem Abo werden Name, Adresse sowie Konto-/Kreditkartendaten abgefragt, gespeichert und meist unbemerkt verarbeitet.
• Wird ein Smart Toy verkauft oder verschenkt, ist Vorsicht geboten. Vor der Weitergabe sollten Sie sorgfältig prüfen, welche sensiblen Daten im Spielzeug oder in der App gespeichert sind. WLAN-Einwahldaten, Gesprächsaufnahmen oder Kontodaten könnten beispielsweise durch Dritte vom Server des Anbieters heruntergeladen und missbräuchlich genutzt werden.

Schließen Sie mit Ihrem Kind eine Smart Toy-Nutzungsvereinbarung

Intelligente Spielsachen stehen bei Kindern oft ganz obenauf der Wunschliste. Während man Puppen früher nur frisieren konnte, beantworten sie heute Fragen und passen ihr Verhalten ähnlich einer echten Freundin an. So aufregend Smart Toys auch sind, sollten Datenrisiken dennoch unbedingt vermieden werden. Sicherheitslücken in intelligenten Spielsachen ermöglichen u. a. die Erpressung durch Offenlegung personenbezogener Daten („Doxing“). Verwenden Sie Smart Toys daher nur mit hierfür eingerichteten E-Mail-Accounts, Pseudonymen und einem passwortgeschützten WLAN.

Damit sich Kinder der kritischen Punkte bewusst sind, erklären Sie ihnen vereinfacht Begriffe wie Datenschutz, Urheberrecht und Werbung. Außerdem lohnt es sich, eine kindgerechte Smart Toy-Nutzungsvereinbarung zu treffen. Das ist spielerisch auch schon mit kleinen Kindern möglich. Vereinbaren Sie bestimmte Surfzeiten im Netz. Legen Sie außerdem fest, dass ohne Ihre Zustimmung keine persönlichen Daten eingestellt oder Downloads vorgenommen werden. Auch Gewinnspiele sollten tabu sein. Hängen Sie die gemeinsame Vereinbarung gut sichtbar auf.