Digitales Spielzeug und der Datenschutz

Smart Toys erstellen Verhaltensprofile von Kindern

Uhr
von Angelika Jacobs, Universität Basel

"Toniebox", "Tiptoi" und "Tamagotchi" sind sogenannte Smart Toys: Sie ermöglichen dank Software und Internetzugang interaktives Spielen. Bei einigen dieser Spielzeuge hapert es jedoch beim Schutz der Privatsphäre und manche sammeln sogar umfangreiche Verhaltensdaten der Kinder, wie Forschende der Universität Basel berichten.

Zwölf Spielzeuge standen im Fokus einer Studie zu Smart Toys und Datenschutz. (Source: Universität Basel, Céline Emch)
Zwölf Spielzeuge standen im Fokus einer Studie zu Smart Toys und Datenschutz. (Source: Universität Basel, Céline Emch)

Die "Toniebox" und die dazugehörigen Figuren sind vor allem bei kleinen Kindern beliebt. Viel einfacher zu bedienen als klassische Musik-Player, erlauben sie den Kleinen, Musik und Hörspiele jederzeit selbständig anzuschalten: Einfach eine Plastikversion des Räuber Hotzenplotz auf die Box stellen und schon startet die Geschichte von Ottfried Preussler. Möchte das Kind die Geschichte stoppen, nimmt es die Figur herunter. Zum Vor- und Zurückspulen kippt es die Box nach links beziehungsweise rechts.

Tolles Produkt, denken wohl viele Eltern. Allerdings registriert die "Toniebox" genau, wann sie mit welcher Figur aktiviert wird, wann das Kind stoppt und wohin es spult – und sendet die Daten an die Herstellerfirma.

Die "Toniebox" ist eins von zwölf Smart Toys, welche die Forschenden um Prof. Dr. Isabel Wagner vom Departement Mathematik und Informatik der Universität Basel untersucht haben. Darunter waren weithin bekannte Spielzeuge, neben der "Toniebox" etwa der smarte Lernstift "Tiptoi" und seine optionale Ladestation, die Lern-App "Edurino" oder das virtuelle Haustier "Tamagotchi". Dabei waren aber auch weniger bekannte Spielsachen wie der "Moorebot", ein beweglicher Roboter mit Kamera und Mikrofon, oder "Kidibuzz", ein Smartphone für Kinder mit elterlicher Kontrollfunktion.

Der Fokus der Analyse lag zum einen auf Fragen der Sicherheit, etwa ob und wie gut der Datenverkehr verschlüsselt wird. Weiterhin ging es um Datenschutz, Transparenz, also etwa wie einfach Nutzerinnen und Nutzer Einblick in die über sie gesammelten Daten beantragen können, sowie die Einhaltung der EU-Datenschutz-Grundverordnung. Ihre Ergebnisse stellen Wagner und ihre Mitarbeiterinnen Anfang September am Annual Privacy Forum vor. Danach veröffentlicht der Springer-Verlag alle Konferenzbeiträge in der Reihe "Privacy Technologies and Policy".

Daten offline sammeln, dann online versenden

In Sachen Sicherheit schneiden etwa die "Toniebox" und die "Tiptoi"-Ladestation schlecht ab, da sie den Datenverkehr nicht sicher verschlüsseln. Auch bei der Wahrung der Privatsphäre erkennen die Forschenden Mängel bei der "Toniebox", da sie Daten sammelt und dem Hersteller sendet. Der "Tiptoi"-Stift erfasst hingegen nicht, wie und wann ein Kind ihn nutzt. Es werden lediglich Audiodateien zu den gekauften Produkten heruntergeladen.

Eine Tabelle zeigt die detaillierte Auswertung der untersuchten Smart Toys. Nur die wenigsten von ihnen sind bezüglich Datenschutz in Ordnung.

Auch wenn die "Toniebox" offline betrieben und nur temporär beim Laden neuer Audioinhalte mit dem Internet verbunden würde, könnte das Gerät gesammelte Daten lokal speichern und bei nächster Gelegenheit an den Hersteller senden, vermutet Isabel Wagner. "Bei einem anderen Spielzeug, das wir im Moment noch untersuchen und das ChatGPT integriert hat, sehen wir, dass Log-Daten regelmässig verschwinden." Wahrscheinlich sei das System so eingerichtet, dass es die gesendeten Daten lokal wieder löscht, um den internen Speicher optimal zu nutzen.

Unternehmen behaupten oft, die gesammelten Daten würden ihnen helfen, ihre Geräte zu optimieren. Wozu die Daten noch dienen könnten, ist für Nutzerinnen und Nutzer aber kaum absehbar. "Begleit-Apps einiger Spielzeuge verlangen völlig unnötige Zugriffsrechte, wie etwa auf den Standort oder das Mikrophon des Smartphones", hält die Forscherin fest. Und das ChatGPT-Spielzeug, dessen Analyse derzeit noch läuft, sende einen Datenstrom, der nach Audiodaten aussehe. Vielleicht wolle das Unternehmen damit die Spracherkennung von Kinderstimmen optimieren, vermutet die Professorin für Cyber Security.

Ein Label für Datenschutz

"Die Privatsphäre von Kindern ist besonders schützenswert", betont Julika Feldbusch, Erstautorin der Studie. Spielzeughersteller sollten deshalb die Privatsphäre und Sicherheit ihrer Produkte entsprechend ihrer jungen Zielgruppe höher gewichten als sie es bisher tun.

Die Forscherinnen empfehlen, dass die Einhaltung von Sicherheits- und Datenschutzstandards mit einem Label auf der Verpackung kenntlich gemacht werden sollte, ähnlich wie Nährwertangaben auf Lebensmitteln. Es werde Eltern bisher zu schwer gemacht, die mit Smart Toys verbundenen Sicherheitsrisiken für ihre Kinder zu durchschauen.

"Wir sehen jetzt schon Anzeichen für eine Zwei-Klassen-Gesellschaft beim Schutz der Privatsphäre von Kindern", so Feldbusch. "Gut informierte Eltern setzen sich damit auseinander und können Spielzeuge wählen, die keine Verhaltensprofile ihrer Kinder erstellen. Aber vielen fehlt das technische Vorwissen oder sie haben keine Zeit, sich vertieft damit auseinanderzusetzen."

Man könne sich zwar auf den Standpunkt stellen, dass den Kindern im Einzelfall wahrscheinlich keine negativen Konsequenzen entstehen, wenn Spielzeughersteller Profile von ihnen erstellen, sagt Isabel Wagner. "Aber wirklich sicher weiss man das nicht, weil sich umfassende Überwachung zum Beispiel negativ auf die Persönlichkeitsentwicklung auswirken kann."

 

Originalpublikation

Julika Feldbusch, Valentyna Pavliv, Nima Akbari, Isabel Wagner: No Transparency for Smart Toys. In: Privacy Technologies and Policy (2024), doi: https://doi.org/10.1007/978-3-031-68024-3_11

Dieser Beitrag ist zuerst auf der Website der Universität Basel erschienen

Webcode
ynaLWPFJ