Forschende der Universität Basel stellen erhebliche Mängel beim Schutz der Privatsphäre fest

Die „Toniebox“ und die dazugehörigen Figuren sind vor allem bei kleinen Kindern beliebt. Viel einfacher zu bedienen als klassische Musik-Player, erlauben sie den Kleinen, Musik und Hörspiele jederzeit selbständig anzuschalten: Einfach eine Plastikversion des Räuber Hotzenplotz auf die Box stellen und schon startet die Geschichte von Ottfried Preussler. Möchte das Kind die Geschichte stoppen, nimmt es die Figur herunter. Zum Vor- und Zurückspulen kippt es die Box nach links beziehungsweise rechts.

Tolles Produkt, denken wohl viele Eltern. Allerdings registriert die „Toniebox“ genau, wann sie mit welcher Figur aktiviert wird, wann das Kind stoppt und wohin es spult – und sendet die Daten an die Herstellerfirma.

Zwölf Smart Toys getestet

Die „Toniebox“ ist eins von zwölf Smart Toys, welche die Forschenden um Prof. Dr. Isabel Wagner vom Departement Mathematik und Informatik der Universität Basel untersucht haben. Darunter waren weithin bekannte Spielzeuge, neben der „Toniebox“ etwa der smarte Lernstift „Tiptoi“, die Lern-App „Edurino“ oder das virtuelle Haustier „Tamagotchi“. Dabei waren aber auch weniger bekannte Spielsachen wie der „Moorebot“, ein beweglicher Roboter mit Kamera und Mikrofon, oder „Kidibuzz“, ein Smartphone für Kinder mit elterlicher Kontrollfunktion.

Der Fokus der Analyse lag zum einen auf Fragen der Sicherheit, etwa ob und wie gut der Datenverkehr verschlüsselt wird. Weiterhin ging es um Datenschutz, Transparenz, also etwa wie einfach Nutzerinnen und Nutzer Einblick in die über sie gesammelten Daten beantragen können, sowie die Einhaltung der EU-Datenschutz-Grundverordnung. Ihre Ergebnisse stellen Wagner und ihre Mitarbeiterinnen Anfang September am Annual Privacy Forum vor. Danach veröffentlicht der Springer-Verlag alle Konferenzbeiträge in der Reihe „Privacy Technologies and Policy“.

Daten offline sammeln, dann online versenden

In Sachen Sicherheit schneiden etwa die „Toniebox“ und der „Tiptoi“-Stift schlecht ab, da sie den Datenverkehr nicht sicher verschlüsseln. Auch bei der Wahrung der Privatsphäre erkennen die Forschenden Mängel bei der „Toniebox“, da sie Daten sammelt und dem Hersteller sendet. Der „Tiptoi“-Stift erfasst hingegen nicht, wie und wann ein Kind ihn nutzt.

Auch wenn die „Toniebox“ offline betrieben und nur temporär beim Laden neuer Audioinhalte mit dem Internet verbunden würde, könnte das Gerät gesammelte Daten lokal speichern und bei nächster Gelegenheit an den Hersteller senden, vermutet Isabel Wagner. „Bei einem anderen Spielzeug, das wir im Moment noch untersuchen und das ChatGPT integriert hat, sehen wir, dass Log-Daten regelmäßig verschwinden.“ Wahrscheinlich sei das System so eingerichtet, dass es die gesendeten Daten lokal wieder löscht, um den internen Speicher optimal zu nutzen.

Unternehmen behaupten oft, die gesammelten Daten würden ihnen helfen, ihre Geräte zu optimieren. Wozu die Daten noch dienen könnten, ist für Nutzerinnen und Nutzer aber kaum absehbar. „Begleit-Apps einiger Spielzeuge verlangen völlig unnötige Zugriffsrechte, wie etwa auf den Standort oder das Mikrophon des Smartphones“, hält die Forscherin fest. Und das ChatGPT-Spielzeug, dessen Analyse derzeit noch läuft, sende einen Datenstrom, der nach Audiodaten aussehe. Vielleicht wolle das Unternehmen damit die Spracherkennung von Kinderstimmen optimieren, vermutet die Professorin für Cyber Security.

Ein Label für Datenschutz

„Die Privatsphäre von Kindern ist besonders schützenswert“, betont Julika Feldbusch, Erstautorin der Studie. Spielzeughersteller sollten deshalb die Privatsphäre und Sicherheit ihrer Produkte entsprechend ihrer jungen

„Wir sehen jetzt schon Anzeichen für eine Zwei-Klassen-Gesellschaft beim Schutz der Privatsphäre von Kindern“, so Feldbusch. „Gut informierte Eltern setzen sich damit auseinander und können Spielzeuge wählen, die keine Verhaltensprofile ihrer Kinder erstellen. Aber vielen fehlt das technische Vorwissen oder sie haben keine Zeit, sich vertieft damit auseinanderzusetzen.“

Man könne sich zwar auf den Standpunkt stellen, dass den Kindern im Einzelfall wahrscheinlich keine negativen Konsequenzen entstehen, wenn Spielzeughersteller Profile von ihnen erstellen, sagt Isabel Wagner. „Aber wirklich sicher weiß man das nicht, weil sich umfassende Überwachung zum Beispiel negativ auf die Persönlichkeitsentwicklung auswirken kann.“

Originalpublikation

Julika Feldbusch, Valentyna Pavliv, Nima Akbari, Isabel Wagner
No Transparency for Smart Toys
Privacy Technologies and Policy (2024), doi: https://doi.org/10.1007/978-3-031-68024-3_11

Weitere Auskünfte

Prof. Dr. Isabel Wagner, Universität Basel, Departement Mathematik und Informatik, Tel. +41 61 207 05 56, E-Mail: isabel.wagner@unibas.ch

Quelle: Universität Basel, Angelika Jacobs

Welche Daten dürfen pädagogische Fachkräfte sammeln und austauschen – Broschüre zum Download

„Datenschutz“ ist heikles Thema. Während viele besonders in sozialen Medien oder beim Onlinekauf oftmals sehr persönliche Dinge preisgeben, reagieren sie in anderen Bereichen extrem empfindlich. Das hat in den vergangenen Jahren dazu geführt, dass das Datenschutzrecht immer komplizierter geworden ist. Und dieses Recht gilt für große Konzerne genauso wie für Kindertageseinrichtungen.

Dabei sind die pädagogischen Fachkräfte bei ihrer täglichen Arbeit darauf angewiesen, persönliche Daten Kindern und Eltern abzufragen, zu speichern und manchmal sogar zu dokumentieren. Aber wie sieht es denn bei der Kontrolle des Masernschutzes aus? Dürfen Erzieherinnen und Erzieher Daten mit den Grundschulen austauschen? Wann und wie dürfen Kinder fotografiert werden, und wie dürfen diese Bilder verwendet werden? Wann müssen Bildungs- und Entwicklungsdokumentationen vernichtet werden?

Auch wenn doch eigentlich die gesamte Energie in die Betreuung und Förderung der Kinder gesteckt werden sollte, müssen sich pädagogische Fachkräfte mit dem Datenschutz auseinandersetzen. Um das etwas zu erleichtern, gibt es vom VFR Verlag für Rechtsjournalismus für Kindertagesstätten die Website: https://www.datenschutz.org/kita/. Sie informiert über die wichtigsten Fragen. Daneben halten auch die verschiedenen Bundesländer Informationen bereit. Hier finden Sie etwa Informationen des Landes Baden-Württemberg samt einer ausführlichen Broschüre mit Mustervorlagen zum Download. Ausführliche Informationen bietet auch das Land Niedersachsen online oder Rheinland-Pfalz.

Bildungsgewerkschaft will Schulunterricht auch besser vor Hackerattacken schützen:

Die Gewerkschaft Erziehung und Wissenschaft (GEW) fordert, die Medienkompetenz der Kinder und Jugendlichen in der Schule zu stärken. Gleichzeitig gilt es. den Datenschutz sowie den Kinder- und Jugendschutz zu verbessern.

Sichere Lernwelten!

„Die virtuelle Lernwelt der Schülerinnen und Schüler muss sicherer werden“, sagt Ansgar Klinger, GEW-Vorstandsmitglied Berufliche Bildung und Weiterbildung, mit Blick auf die jüngsten Hackerangriffe auf Clouds und Videokonferenzsysteme in Schulen in mehreren Bundesländern. „Safer Internet: Das muss auch für das Fernlernen gelten. Die Hackerangriffe haben gravierende Sicherheitslücken offenbart. Schülerinnen, Schüler und Lehrkräfte müssen besser geschützt werden. Der virtuelle Klassenraum ist offener für Übergriffe als das Klassenzimmer im Schulgebäude.“

Gewalt und Fake News im Netz

Ilka Hoffmann, GEW-Vorstandsmitglied Schule, ergänzt: „Schülerinnen und Schüler können sich über das Netz Werbung und Fake News, Gewalt und Pornographie ins Wohnzimmer holen. Kinderrechte müssen jedoch auch in virtuellen Räumen gelten. In einem realen Setting würde man die Mädchen und Jungen vor Gewaltszenen und Pornographie schützen. Es ist unsere gesellschaftliche und politische Verantwortung, dies genauso selbstverständlich in einem virtuellen Setting zu tun. Viel zu häufig haben die Kinder aber freien Zugang zu jugendgefährdenden Inhalten und Clips in Dauerschleife. Sie dürfen in der virtuellen Welt nicht alleine gelassen werden.“

Medienkompetenz mit Unterricht fördern

Bessere Medienkompetenz ermögliche Kindern schon ab dem Grundschulalter, selbstbestimmt, kreativ und mündig in der virtuellen Welt zu navigieren. Hierzu gehöre, etwa Fake News erkennen zu können und mit der Informationsflut umzugehen. Die Geräte zu bedienen, sei bei der Stärkung der Medienkompetenz der kleinste Schritt.

Klare Regeln für Datenerhebung und -verarbeitung

Die GEW mahnt beispielsweise in ihren „Anforderungen an Cloudsysteme im Bereich Schule“, den Datenschutz sicher zu stellen. Es dürfe beispielsweise, so Hoffmann, keinen Zugriff auf die Clouds von außen geben. Die Verantwortung liege bei den Ländern als Arbeitgeber im Bereich Schule. Zudem seien für die Datenerhebung und -verarbeitung dringend klare Regeln erforderlich. Für die Lehrkräfte müsse Sicherheit beim Lehren gewährleistet sein.

Hintergrund

In den vergangenen Wochen hatten Hacker in Videokonferenzsysteme von Schulen eingegriffen, um den Unterricht zu unterbrechen. Videos über gestörte Fernunterrichtskonferenzen auf TikTok und YouTube hochzuladen, ist regelrecht zu einem Sport geworden. Noch gravierender waren die Eingriffe in mehreren Bundesländern, darunter Berlin, Hessen und Bayern: Hier hatten Hacker Lehrkräfte-Accounts gekapert und Kindern pornografische und teilweise rechte Inhalte gezeigt.