Original-URL des Artikels: https://www.golem.de/news/leuchten-und-kameras-smart-home-produkte-sind-nicht-fit-fuer-die-dsgvo-1805-134496.html    Veröffentlicht: 23.05.2018 09:09    Kurz-URL: https://glm.io/134496

Leuchten und Kameras

Smart-Home-Produkte sind nicht fit für die DSGVO

Smart-Living-Produkte sind häufig nicht mit der Datenschutz-Grundverordnung konform. Eine wissenschaftliche Untersuchung von 22 Produkten stellte bei allen Herstellern Mängel fest.

Lichtlampen und -leuchten liefern nicht nur Licht. In ihrer digitalisierten Variante können LEDs sogar erkennen, ob jemand im Raum ist - und sich bei Abwesenheit ausschalten. Damit kann aber nicht nur Energie gespart werden. Die Daten können auch für Raumbuchungssysteme genutzt werden: Mitarbeiter können in flexibel organisierten Working Spaces per Smartphone zu freien Schreibtischen gelenkt werden. Nachweislich unbeliebte Arbeitsplätze können auf ungünstige Arbeitsbedingungen wie Lärm oder Luftzug untersucht werden. Das ist nur eines von vielen Einsatzszenarien, die Smart-Living-Produkte relevant für die Datenschutz-Grundverordnung machen. Oftmals blieben die Produkte "hinter den gesetzlichen Vorgaben zurück", stellt ein wissenschaftliches Gutachten zu Smart Living und Big Data fest.

Angefertigt wurde es von der Berliner Denkfabrik Conpolicy im Auftrag des vom Bundesforschungsministerium geförderten Abida-Forschungsprojekts Assessing Big Data. Die Conpolicy-Forscher untersuchten 22 in Deutschland erhältliche Smart-Home-Produkte, die über eine App gesteuert werden. Dabei prüften sie unter anderem den Umfang der Datenschutztexte im Playstore und Kontaktmöglichkeiten für Datenschutzfragen. Auch sahen sie sich an, wie nutzerfreundlich die Datenschutzbestimmungen gestaltet wurden. Für die Auswertung nutzten sie bereits teilweise den Prototyp des Datenschutzscanners. Nicht geprüft wurde hingegen, welche personenbezogenen Daten tatsächlich von den Geräten erhoben und beispielsweise vom Anbieter verarbeitet werden.

Bewohner werden überwacht

Sie untersuchten etwa LED-Leuchten, die ihre Lichtfarbe dem natürlichen Tageslicht anpassen: kühleres Licht am Mittag, etwas wärmeres Licht am Abend. Insbesondere im Winter können starke Tageslichtlampen sogar dem verbreiteten Winterblues entgegenwirken, der mit schwindendem Tageslicht einsetzt. Manche Smart-Home-Konzepte sorgen in verschiedenen Räumen zu verschiedenen Uhrzeiten für die richtige Lichtumgebung: im Bad strahlendes Morgenlicht, am Abend gedämpftes Licht im Wohnzimmer. In der Nacht ein stark gedimmtes Licht im Flur und Bad, damit man sich nicht stößt. Die Steuerung übernehmen kleine Automaten, die das Verhalten der Bewohner registrieren, erkennen und entsprechend reagieren.

Die Smart-Home-Produkte meistern unterschiedlich komplexe Szenarien. Die datengetriebenen Anwendungen werten damit zwangsläufig das Verhalten der Bewohner aus, womit Datenschutz auch für Lampen und Home-Kameras ein Thema ist.

"Schwarze Schafe" gefunden

Projektleiterin Sara Kettner konnte mit ihrer Analyse einige "schwarze Schafe" identifizieren, deren Datenschutzpraktiken nicht ausreichen. Auf der anderen Seite konnte sie aber auch feststellen, dass einige Anbieter sogar zusätzliche Dienste anbieten, die den Kunden das Lesen und Verstehen der Datenschutzbestimmungen erleichtern. Die Studie listet die Ergebnisse der Überprüfungen von 22 Smart-Living-Produkten in Prozentzahlen auf. So hatten 75 Prozente der Beleuchtungsprodukte und 70 Prozent der Videokameras eine Datenschutzerklärung. Doch nur 25 Prozent der Beleuchtungsmittel und 40 Prozent der Videokameras stellten diese auch in deutscher Sprache zur Verfügung. Eine Kontaktmöglichkeit für Kunden, die Fragen zu Datenschutzthemen haben, stellen 88 Prozent der Hersteller von Beleuchtungsprodukten, aber nur 70 Prozent der Hersteller von Videokameras zur Verfügung.

Kettner nannte Golem.de aber auch konkrete Produkte und Firmen samt ihren Prüfergebnissen. Für "besonders problematisch" hält sie es, dass sich etwa Nutzer der Smart-Home-Kamera Skybell HD vor der Installation der App nur mit besonderem Aufwand über Datenverarbeitungen informieren können: So verbirgt sich im Google Playstore hinter dem Link zur Datenschutzerklärung eine fehlerhafte Seite. Nur mit zusätzlichem Suchaufwand können die Nutzer deshalb über die allgemeine Webseite überhaupt eine Datenschutzinformation finden, wobei diese dann nur in englischer Sprache vorhanden ist. Außerdem gibt der Hersteller keine eindeutigen Kontaktdaten für datenschutzrechtliche Anliegen an. Kettner sagte: "Möchte ein Nutzer beispielsweise Auskunft über seine Daten erhalten oder diese löschen, kann es passieren, dass seine Anliegen im schlimmsten Fall nicht den verantwortlichen Ansprechpartner erreichen."

Erklärungen oft lang und unverständlich

Laut der bald in Kraft tretenden Datenschutz-Grundverordnung müssen Firmen ihre Nutzer in verständlicher Sprache über Datenverarbeitungen informieren - bei strikter Auslegung in Deutschland also in deutscher Sprache. Deshalb sind auch die Informationen der Playbulb-App zur Steuerung der intelligenten Glühbirne von Mipow aus Sicht der Forscher mangelhaft. Denn für diese App finden Nutzer lediglich eine englischsprachige Datenschutzerklärung. Auch hier werden keine eindeutigen Kontaktdaten für datenschutzrechtliche Anliegen angegeben.

Zu den erfreulichen Funden hingegen gehört beispielsweise die Bosch Smart Camera: Auch hier ist die Datenschutzerklärung zur App, mit der die Kamera gesteuert werden kann, mit fast 2.000 Wörtern "sehr umfangreich". Nutzer bräuchten in diesem Fall durchschnittlich über acht Minuten, um den gesamten Text zu lesen. Gleichwohl bietet Bosch eine Mehr-Ebenen-Navigation, womit Nutzer zielgenau die Textstellen erreichen können, die besonders relevant für sie sind. Damit hat Bosch unter den zehn untersuchten Herstellern von smarten Videokameras ein Alleinstellungsmerkmal.

Forscher loben Philips Hue

Positiv kam auch die smarte Glühbirne Philips Hue bei den Forschern an. "Zwar ist die Datenschutzerklärung zur Nutzung der dazugehörenden App mit über 2.500 Wörtern sehr lang, aber die Gestaltung fällt positiv auf", sagte Kettner. Philips nutzt eine Navigationsleiste, mit deren Hilfe Nutzer schnell zu relevanten Textstellen navigieren können. Die Firma war damit der einzige von acht untersuchten Anbietern von Beleuchtungsmitteln, die einen solchen Dienst anboten. Die Datenschutz-Grundverordnung verlangt eine "verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache". Unangenehm fällt deshalb auf, dass 21 der 22 untersuchten Hersteller in ihren Datenschutzerklärungen ein Sprachniveau wählten, das dem der Fachliteratur entspricht. Die Datenschutzerklärungen für Beleuchtungsmittel und Videokameras hatten im Schnitt eine Länge von knapp unter 2.000 Wörtern mit einer durchschnittlichen Lesedauer von 8 Minuten und einem Seitenumfang zwischen drei und vier DIN-A4-Seiten. Die von Sprachassistenten hingegen hatten im Schnitt eine Länge von 3.000 Wörtern beziehungsweise sechs DIN-A4-Seiten. Das Lesen eines solchen Textes dauert rund eine Viertelstunde.

Im Übrigen verwenden alle untersuchten Hersteller unvollständige Aufzählungen, was aus rechtlicher Sicht angreifbar ist. Die Forscher haben zwar keine juristische Prüfung vorgenommen und auch nicht technisch nachvollzogen, welche Daten tatsächlich für welchen Zweck verarbeitet werden. Doch sie weisen darauf hin, dass damit für die Verbraucher "eine Unsicherheit bezüglich der Datenschutzpraktiken existiert".

Die Studie führt vor, wie man Datenschutzerklärungen systematisch analysieren kann, um Schwächen aufzudecken. Wenn im Sommer das Tool des Datenschutzscanners auf dem Markt kommt, können sich die Verbraucher selbst schneller einen ersten Überblick verschaffen, ohne unbedingt selbst Datenschutzexperte zu sein. Neben der Datenschutz-Grundverordnung erhöht das den Druck auf die Hersteller, nun rasch nachzubessern.  (csh)


Verwandte Artikel:
Zuckerberg-Anhörung: Nicht mehr reden, sondern regulieren   
(22.05.2018, https://glm.io/134514 )
DSGVO: Voßhoff fordert Gesetz gegen missbräuchliche Abmahnungen   
(22.05.2018, https://glm.io/134503 )
Datenschutz: Wordpress unterstützt Anforderungen der DSGVO   
(19.05.2018, https://glm.io/134471 )
DSGVO: EU-Kommission kritisiert "Fake-News" zur Datenschutzreform   
(16.05.2018, https://glm.io/134403 )
Bitkom zur DSGVO: "KI ohne Daten ist wie ein Schwimmbad ohne Wasser"   
(14.05.2018, https://glm.io/134371 )

© 1997–2019 Golem.de, https://www.golem.de/