Leuchten und Kameras: Smart-Home-Produkte sind nicht fit für die DSGVO

Lichtlampen und -leuchten liefern nicht nur Licht. In ihrer digitalisierten Variante können LEDs sogar erkennen, ob jemand im Raum ist - und sich bei Abwesenheit ausschalten. Damit kann aber nicht nur Energie gespart werden. Die Daten können auch für Raumbuchungssysteme genutzt werden: Mitarbeiter können in flexibel organisierten Working Spaces per Smartphone zu freien Schreibtischen gelenkt werden. Nachweislich unbeliebte Arbeitsplätze können auf ungünstige Arbeitsbedingungen wie Lärm oder Luftzug untersucht werden. Das ist nur eines von vielen Einsatzszenarien, die Smart-Living-Produkte relevant für die Datenschutz-Grundverordnung machen. Oftmals blieben die Produkte "hinter den gesetzlichen Vorgaben zurück", stellt ein wissenschaftliches Gutachten zu Smart Living und Big Data fest.

Angefertigt wurde es von der Berliner Denkfabrik Conpolicy im Auftrag des vom Bundesforschungsministerium geförderten Abida-Forschungsprojekts Assessing Big Data. Die Conpolicy-Forscher untersuchten 22 in Deutschland erhältliche Smart-Home-Produkte, die über eine App gesteuert werden. Dabei prüften sie unter anderem den Umfang der Datenschutztexte im Playstore und Kontaktmöglichkeiten für Datenschutzfragen. Auch sahen sie sich an, wie nutzerfreundlich die Datenschutzbestimmungen gestaltet wurden. Für die Auswertung nutzten sie bereits teilweise den Prototyp des Datenschutzscanners. Nicht geprüft wurde hingegen, welche personenbezogenen Daten tatsächlich von den Geräten erhoben und beispielsweise vom Anbieter verarbeitet werden.

Bewohner werden überwacht

Sie untersuchten etwa LED-Leuchten, die ihre Lichtfarbe dem natürlichen Tageslicht anpassen: kühleres Licht am Mittag, etwas wärmeres Licht am Abend. Insbesondere im Winter können starke Tageslichtlampen sogar dem verbreiteten Winterblues entgegenwirken, der mit schwindendem Tageslicht einsetzt. Manche Smart-Home-Konzepte sorgen in verschiedenen Räumen zu verschiedenen Uhrzeiten für die richtige Lichtumgebung: im Bad strahlendes Morgenlicht, am Abend gedämpftes Licht im Wohnzimmer. In der Nacht ein stark gedimmtes Licht im Flur und Bad, damit man sich nicht stößt. Die Steuerung übernehmen kleine Automaten, die das Verhalten der Bewohner registrieren, erkennen und entsprechend reagieren.

Die Smart-Home-Produkte meistern unterschiedlich komplexe Szenarien. Die datengetriebenen Anwendungen werten damit zwangsläufig das Verhalten der Bewohner aus, womit Datenschutz auch für Lampen und Home-Kameras ein Thema ist.

"Schwarze Schafe" gefunden

Projektleiterin Sara Kettner konnte mit ihrer Analyse einige "schwarze Schafe" identifizieren, deren Datenschutzpraktiken nicht ausreichen. Auf der anderen Seite konnte sie aber auch feststellen, dass einige Anbieter sogar zusätzliche Dienste anbieten, die den Kunden das Lesen und Verstehen der Datenschutzbestimmungen erleichtern. Die Studie listet die Ergebnisse der Überprüfungen von 22 Smart-Living-Produkten in Prozentzahlen auf. So hatten 75 Prozente der Beleuchtungsprodukte und 70 Prozent der Videokameras eine Datenschutzerklärung. Doch nur 25 Prozent der Beleuchtungsmittel und 40 Prozent der Videokameras stellten diese auch in deutscher Sprache zur Verfügung. Eine Kontaktmöglichkeit für Kunden, die Fragen zu Datenschutzthemen haben, stellen 88 Prozent der Hersteller von Beleuchtungsprodukten, aber nur 70 Prozent der Hersteller von Videokameras zur Verfügung.

Kettner nannte Golem.de aber auch konkrete Produkte und Firmen samt ihren Prüfergebnissen. Für "besonders problematisch" hält sie es, dass sich etwa Nutzer der Smart-Home-Kamera Skybell HD vor der Installation der App nur mit besonderem Aufwand über Datenverarbeitungen informieren können: So verbirgt sich im Google Playstore hinter dem Link zur Datenschutzerklärung eine fehlerhafte Seite. Nur mit zusätzlichem Suchaufwand können die Nutzer deshalb über die allgemeine Webseite überhaupt eine Datenschutzinformation finden, wobei diese dann nur in englischer Sprache vorhanden ist. Außerdem gibt der Hersteller keine eindeutigen Kontaktdaten für datenschutzrechtliche Anliegen an. Kettner sagte: "Möchte ein Nutzer beispielsweise Auskunft über seine Daten erhalten oder diese löschen, kann es passieren, dass seine Anliegen im schlimmsten Fall nicht den verantwortlichen Ansprechpartner erreichen."