Es ist Dezember, und viele von uns stehen vor einer altbekannten Herausforderung: das perfekte Geschenk für die Kinder zu finden, sei es für die eigenen oder die von Freunden. Vor allem im digitalen Zeitalter kann der Kauf von Weihnachtsgeschenken eine schwierige Aufgabe sein: Die Auswahl ist riesig und die Erwartungen sind hoch. In der Hoffnung, auch die anspruchsvollsten Kinder zufriedenzustellen, lassen sich einige von uns dazu verleiten, intelligente Spielzeuge (Smart Toys) zu kaufen, wie z. B. interaktive Puppen, die mit uns sprechen können, Spielzeugkameras, die echte Fotos machen können, oder Bluetooth-fähige Karaoke-Mikrofone, die mit jedem Gerät verbunden werden können.

Ein neuer Bericht der US Public Interest Research Group (US PIRG), der Anfang November veröffentlicht wurde, beleuchtet den Stand des Internet of Toys (IoToys), einer Untergruppe des Internet of Things (IoT). IoT ist der Oberbegriff für Geräte, die sich mit anderen Geräten in der Cloud verbinden können und Informationen austauschen.

Der Markt für IoToys ist in den letzten Jahren rasch gewachsen und wird voraussichtlich von 14,1 Milliarden Dollar im Jahr 2022 auf 16,7 Milliarden Dollar im Jahr 2023 ansteigen. Laut der neusten Marktstudie wird sich die Marktgröße in den nächsten vier Jahren voraussichtlich verdoppeln. Das bedeutet, dass es in naher Zukunft wohl kein Kinderzimmer mehr ohne Smart Toys geben wird.

Auch wenn es auf den ersten Blick eine Win-Win-Situation zu sein scheint, einem Kind ein Smart-Spielzeug zu schenken — schließlich macht es Spaß und kann die Eltern entlasten —, gibt es auch Nachteile. Der schwerwiegendste Nachteil ist die Bedrohung der Sicherheit und Privatsphäre von Kindern und ihren Eltern.

Wie Smart Toys die Privatsphäre von Kindern bedrohen

Der Bericht von US PIRG zeigt eine Vielzahl von Risiken auf, die Smart Toys für Kinder darstellen können. Im Allgemeinen gilt: Je mehr Sensoren und Kameras ein Spielzeug hat und je mehr drahtlose Kommunikationstechnologien es unterstützt, desto gefährlicher ist es.

Dies liegt daran, dass es immer mehr Möglichkeiten gibt, Informationen wie Sprachdaten und Gesichtsausdrücke von einem Kind an externe Servern eines Unternehmens zu übertragen. So kann beispielsweise eine WLAN-fähige Puppe mit eingebautem Mikrofon das Gebrabbel eines Kindes an eine Spracherkennungssoftware übertragen, die vom Hersteller gehostet wird. Die Software kann dann die Worte des Kindes mit ihrer Datenbank vergleichen und eine passende Antwort vorschlagen, die dann über WLAN durch das Mikrofon des Spielzeugs übertragen wird, so die Forscher:innen.

Darüber hinaus kann der Hersteller die gesammelten Daten an Drittanbieter oder seine Werbepartner weitergeben. Während US‑Gesetze, nämlich COPRA, den Eltern die Kontrolle über die Daten ihrer Kinder geben und es ihnen ermöglichen, deren Löschung zu verlangen, kann ein Hersteller einfach nicht mitmachen. Ein Beispiel dafür ist der Fall von Amazon. Im Juni 2023 beschuldigten die US‑amerikanische Federal Trade Commission (FTC) und das Justizministerium der Vereinigten Staaten (DOJ) den E-Commerce-Giganten, gegen die Datenschutzgesetze für Kinder verstoßen zu haben, indem er über seine Alexa/Echo-Geräte Sprach- und Geolokalisierungsdaten von Kindern gesammelt und für eigene Zwecke verwendet habe, während er die Aufforderungen der Eltern zur Löschung der Daten ignorierte. Amazon erklärte sich im Rahmen eines Vergleichs bereit, eine Strafe in Höhe von 25 Millionen Dollar zu zahlen. Im Jahr 2018 wurde der Spielzeughersteller VTech, der auf elektronisches Spielzeug für Babys und Kleinkinder spezialisiert ist, von der FTC zu einer Geldstrafe in Höhe von 650.000 Dollar verurteilt, weil er die Privatsphäre von Kindern verletzt hatte, indem er Daten von Kindern unter 13 Jahren gesammelt hatte, ohne die Zustimmung der Eltern einzuholen. Dasselbe Unternehmen wurde 2015 Opfer eines Hackerangriffs, bei dem rund 4,8 Millionen Kundendaten gestohlen wurden, darunter Namen, Adressen, IP-Adressen, E-Mail-Adressen, Download-Verläufe und Passwörter.

Wie bei anderen vernetzten Produkten können wir auch bei intelligenten Spielzeugen nicht sicher sein, dass sie keine Daten an die Back-End-Server des Unternehmens übermitteln, auch wenn sie das behaupten. Und wenn sie es doch tun, werden wir vielleicht nie erfahren, was genau sie damit machen.

Das Zitat aus dem Bericht von US PIRG klingt daher für uns sehr wahr:

Wenn unser Kind mit einem vernetzten Spielzeug spielt, können wir nicht sicher sein, dass das Unternehmen uns nicht aufzeichnet oder unsere Daten sammelt. Alles, was wir haben, ist das Versprechen und die Androhung von Konsequenzen, wenn sie es brechen.

Ein Kindermikrofon ohne Passwort und ein Dino ohne Privatsphäre

Während der Untersuchungen testete die US PIRG eine Reihe von Smart Toys, um festzustellen, inwieweit sie privat sind und welche Risiken damit verbunden sind. Eines der untersuchten Spielzeuge war ein drahtloses Bluetooth-Mikrofon, das für Kinder im Vorschulalter vermarktet wird.

Quelle: Amazon

Das Mikrofon, hergestellt von Amazmic, wird derzeit zum Schnäppchenpreis von rund 17 Dollar verkauft und scheint das perfekte Geschenk zu sein. Es kann mit jedem Gerät gekoppelt werden, auch mit einem Smartphone oder Tablet, und kann mit einem Kabel verwendet werden. Es hat jedoch einen entscheidenden Nachteil, der einige Menschen abschrecken könnte. Die Forscher:innen wiesen darauf hin, dass für die Kopplung des Mikrofons mit einem Gerät ein Passwort erforderlich ist, das aber — nun ja — 0000 lautet. Beim Testen des Mikrofons mit einem iPhone stellten sie außerdem fest, dass sich das Mikrofon automatisch mit dem Gerät koppelte, ohne dass ein Passwort erforderlich war, und das aus einer Entfernung von bis zu 9 Metern.

Beunruhigend ist, dass es keine einfache Möglichkeit zu geben scheint, das Gerät unauffindbar zu machen, so dass Fremde Ihrem Kind keine unerwünschten Sprachnachrichten senden oder unangemessene Musik abspielen können.

Zu den anderen untersuchten Spielzeugen gehörte der niedliche Dino, der für Kinder zwischen fünf und neun Jahren vermarktet wird.

Quelle: HistoryInformation.com

Der Dino von Cognitoys, einer Marke für smartes, internetfähiges Spielzeug, wird derzeit für ca. 27 Dollar verkauft. Das Spielzeug ist Cloud-basiert, WLAN-fähig und soll in der Lage sein, „Kinder in intelligente Gespräche zu verwickeln“. Allerdings scheint das Spielzeug nicht mehr mit der App verbinden zu können, über die es mit den Kindern chatten kann. „Kaufen Sie das nicht! Die App und die Website funktionieren nicht mehr! Sie verschwenden Ihr Geld“, heißt es in einer Bewertung eines beliebten Online-Shops. Und obwohl die Firma, die hinter dem Dino steht, seine intelligenten Funktionen anscheinend nicht mehr unterstützt, ist das wahrscheinlich das Beste, so niedlich der Dino auch sein mag. PIRG behauptet, dass das Spielzeug, als es noch voll funktionsfähig war, also einige Jahre nach 2016, die Daten der Kinder verschlungen hätte. Tatsächlich liest sich die Datenschutzerklärung des Spielzeugs wie der schlimmste Albtraum eines Datenschützers.

Demnach sammelt der Hersteller nicht nur zahlreiche personenbezogene Daten, darunter die vollständigen Namen der Eltern und des Kindes, das Geburtsdatum und das Geschlecht des Kindes, die Handynummer der Eltern, die WLAN-SSID, die IP-Adresse, die MAC-Adressen der Geräte und Zahlungsinformationen. Es werden auch automatisch Spieldaten gesammelt, d. h. wie das Kind mit dem Spielzeug interagiert, einschließlich seiner „Vorlieben und Abneigungen, Interessen und anderer pädagogischer Metriken“. Mit anderen Worten, der Hersteller nimmt sich das Recht, ein vollständiges Profil des Kindes zu erstellen. Man kann nur hoffen, dass er dieses Profil nicht versehentlich verkauft oder weitergibt.

Der Dino mag nicht mehr so smart gewesen sein, aber es besteht kein Zweifel daran, dass andere smarte Spielzeuge, die die Privatsphäre ebenso gefährden, ihm gefolgt sind. Und wir können nur vermuten, wie viele unsichere und die Privatsphäre gefährdende Spielzeuge derzeit auf Online-Marktplätzen und in Geschäften zu finden sind.

Dies bedeutet jedoch nicht, dass alle Smart Toys gleich gefährlich sind. Einige sind mit Funktionen ausgestattet, die die Daten und die Sicherheit der Benutzer:innen schützen. Und obwohl die Verwendung von vernetztem Spielzeug immer mit Risiken verbunden ist, insbesondere bei Spielzeug, das auf das Internet zugreifen kann, ist es wichtig zu wissen, wie man zwischen gutem und schlechtem Spielzeug im Hinblick auf den Datenschutz unterscheiden kann.

Smart Shopping für Smart Toys

Der Bericht von US PIRG enthält detaillierte Anweisungen, wie man Warnsignale erkennt und welche Fragen man den Herstellern stellen sollte. Hier geben wir Ihnen einen kurzen Überblick über die Grundregeln, die Sie befolgen sollten, bevor Sie ein Smart Toy für Ihr Kind kaufen oder akzeptieren:

• Suchen Sie nach dem Namen des Spielzeugs und lesen Sie die Bewertungen anderer Nutzer:innen. So erfahren Sie nicht nur, ob das Spielzeug nicht mehr unterstützt wird, sondern auch, ob Bösewichte es benutzt haben, um Kinder zu erschrecken, indem sie sich zum Beispiel mit dem Spielzeug verbunden haben.

• Wenn Sie das Spielzeug nicht für Ihr eigenes Kind kaufen, sprechen Sie mit den Eltern des Kindes, um sicherzugehen, dass sie einverstanden sind. Die Eltern des Kindes haben möglicherweise Bedenken hinsichtlich der Datenschutzfunktionen des Spielzeugs und haben bestimmte Wünsche in Bezug auf diese Funktionen.

• Recherchieren Sie den Hintergrund und den Ruf des Herstellers. Finden Sie heraus, ob es in der Vergangenheit Verstöße oder Skandale im Zusammenhang mit seinen Produkten oder Praktiken gegeben hat.

• Prüfen Sie, ob das Spielzeug eine Verbindung zum Internet herstellen und dem Kind das Versenden von Nachrichten oder den Zugang zu sozialen Medien ermöglichen kann. Wenn ja, finden Sie heraus, welche Sicherheitsvorkehrungen vorhanden sind, um unerwünschte oder unangemessene Interaktionen zu verhindern.

• Prüfen Sie, mit welcher Elektronik das Spielzeug ausgestattet ist. Wenn das Spielzeug z. B. ein Mikrofon und eine Kamera hat, sollten Sie herausfinden, wann und wie es aufnimmt, ob es einen Weckruf benötigt, um es zu aktivieren, und wohin es die Aufnahmen sendet. Sie sollten auch deutlich sehen oder hören können, wenn das Spielzeug aufzeichnet, und in der Lage sein, die Aufzeichnungen ohne unnötige Hindernisse zu löschen.

• Lesen Sie sich die Datenschutzerklärung des Spielzeugs sorgfältig durch, wenn sie verfügbar ist. Ist sie nicht verfügbar, sollten Sie das Spielzeug nicht kaufen — dies ist ein deutliches Warnsignal. Achten Sie darauf, die Datenschutzerklärung des Spielzeugs zu lesen, und zwar nicht nur die allgemeine Datenschutzerklärung des Herstellers oder der Website, auf der das Spielzeug verkauft wird, sondern die spezifische Datenschutzerklärung für das Spielzeug. Diese Datenschutzerklärung sollte erläutern, was das Spielzeug tut, welche Daten es sammelt, wie es diese verwendet und weitergibt und wie Sie dies kontrollieren können.

Weitere Anweisungen, einschließlich dazu, wie man die Datenschutzerklärung eines Spielzeugs liest, finden Sie im PIRG‑Bericht (S. 11).

Wir wünschen Ihnen eine schöne Weihnachtszeit und viel Spaß beim sicheren und smarten Einkaufen!