«Toniebox», «Tiptoi» und «Tamagotchi» sind sogenannte Smart Toys: Sie ermöglichen dank Software und Internetzugang interaktives Spielen. Bei vielen dieser Spielzeuge hapert es jedoch beim Schutz der Privatsphäre und manche sammeln sogar umfangreiche Verhaltensdaten der Kinder, berichten Forschende der Universität Basel.
Die ’Toniebox’ und die dazugehörigen Figuren sind vor allem bei kleinen Kindern beliebt. Viel einfacher zu bedienen als klassische Musik-Player, erlauben sie den Kleinen, Musik und Hörspiele jederzeit selbständig anzuschalten: Einfach eine Plastikversion des Räuber Hotzenplotz auf die Box stellen und schon startet die Geschichte von Ottfried Preussler. Möchte das Kind die Geschichte stoppen, nimmt es die Figur herunter. Zum Vorund Zurückspulen kippt es die Box nach links beziehungsweise rechts.
Tolles Produkt, denken wohl viele Eltern. Allerdings registriert die ’Toniebox’ genau, wann sie mit welcher Figur aktiviert wird, wann das Kind stoppt und wohin es spult - und sendet die Daten an die Herstellerfirma.
Die ’Toniebox’ ist eins von zwölf Smart Toys, welche die Forschenden um Isabel Wagner vom Departement Mathematik und Informatik der Universität Basel untersucht haben. Darunter waren weithin bekannte Spielzeuge, neben der ’Toniebox’ etwa der smarte Lernstift ’Tiptoi’, die Lern-App ’Edurino’ oder das virtuelle Haustier ’Tamagotchi’. Dabei waren aber auch weniger bekannte Spielsachen wie der ’Moorebot’, ein beweglicher Roboter mit Kamera und Mikrofon, oder ’Kidibuzz’, ein Smartphone für Kinder mit elterlicher Kontrollfunktion.
Der Fokus der Analyse lag zum einen auf Fragen der Sicherheit, etwa ob und wie gut der Datenverkehr verschlüsselt wird. Weiterhin ging es um Datenschutz, Transparenz, also etwa wie einfach Nutzerinnen und Nutzer Einblick in die über sie gesammelten Daten beantragen können, sowie die Einhaltung der EU-Datenschutz-Grundverordnung. Ihre Ergebnisse stellen Wagner und ihre Mitarbeiterinnen Anfang September am Annual Privacy Forum vor. Danach veröffentlicht der Springer-Verlag alle Konferenzbeiträge in der Reihe ’Privacy Technologies and Policy’.
Daten offline sammeln, dann online versenden
In Sachen Sicherheit schneiden etwa die ’Toniebox’ und der ’Tiptoi’-Stift schlecht ab, da sie den Datenverkehr nicht sicher verschlüsseln. Auch bei der Wahrung der Privatsphäre erkennen die Forschenden Mängel bei der ’Toniebox’, da sie Daten sammelt und dem Hersteller sendet. Der ’Tiptoi’-Stift erfasst hingegen nicht, wie und wann ein Kind ihn nutzt.
Auch wenn die ’Toniebox’ offline betrieben und nur temporär beim Laden neuer Audioinhalte mit dem Internet verbunden würde, könnte das Gerät gesammelte Daten lokal speichern und bei nächster Gelegenheit an den Hersteller senden, vermutet Isabel Wagner. ’Bei einem anderen Spielzeug, das wir im Moment noch untersuchen und das ChatGPT integriert hat, sehen wir, dass Log-Daten regelmässig verschwinden.’ Wahrscheinlich sei das System so eingerichtet, dass es die gesendeten Daten lokal wieder löscht, um den internen Speicher optimal zu nutzen.
Unternehmen behaupten oft, die gesammelten Daten würden ihnen helfen, ihre Geräte zu optimieren. Wozu die Daten noch dienen könnten, ist für Nutzerinnen und Nutzer aber kaum absehbar. ’Begleit-Apps einiger Spielzeuge verlangen völlig unnötige Zugriffsrechte, wie etwa auf den Standort oder das Mikrophon des Smartphones’, hält die Forscherin fest. Und das ChatGPT-Spielzeug, dessen Analyse derzeit noch läuft, sende einen Datenstrom, der nach Audiodaten aussehe. Vielleicht wolle das Unternehmen damit die Spracherkennung von Kinderstimmen optimieren, vermutet die Professorin für Cyber Security.
Ein Label für Datenschutz
’Die Privatsphäre von Kindern ist besonders schützenswert’, betont Julika Feldbusch, Erstautorin der Studie. Spielzeughersteller sollten deshalb die Privatsphäre und Sicherheit ihrer Produkte entsprechend ihrer jungen Zielgruppe höher gewichten als sie es bisher tun.
Die Forscherinnen empfehlen, dass die Einhaltung von Sicherheitsund Datenschutzstandards mit einem Label auf der Verpackung kenntlich gemacht werden sollte, ähnlich wie Nährwertangaben auf Lebensmitteln. Es werde Eltern bisher zu schwer gemacht, die mit Smart Toys verbundenen Sicherheitsrisiken für ihre Kinder zu durchschauen.
’Wir sehen jetzt schon Anzeichen für eine Zwei-Klassen-Gesellschaft beim Schutz der Privatsphäre von Kindern’, so Feldbusch. ’Gut informierte Eltern setzen sich damit auseinander und können Spielzeuge wählen, die keine Verhaltensprofile ihrer Kinder erstellen. Aber vielen fehlt das technische Vorwissen oder sie haben keine Zeit, sich vertieft damit auseinanderzusetzen.’
Man könne sich zwar auf den Standpunkt stellen, dass den Kindern im Einzelfall wahrscheinlich keine negativen Konsequenzen entstehen, wenn Spielzeughersteller Profile von ihnen erstellen, sagt Isabel Wagner. ’Aber wirklich sicher weiss man das nicht, weil sich umfassende Überwachung zum Beispiel negativ auf die Persönlichkeitsentwicklung auswirken kann.’
Originalpublikation
Julika Feldbusch, Valentyna Pavliv, Nima Akbari, Isabel Wagner
No Transparency for Smart Toys
Privacy Technologies and Policy (2024), doi: https://doi.org/10.1007/978-3’031 -68024-3_11