Datenschutzanforderungen an Smart TVs

Fast die Hälfte aller Fernseher haben heutzutage internetbasierte Zusatzfunktionen. Nutzer können im Internet surfen, auf Mediatheken zugreifen, Filme streamen, Videoclips abrufen und Online-Videotheken wie Maxdome oder Netflix nutzen. Was viele Nutzer vergessen, ist der anfallende Datenverkehr. Denn durch die Nutzung der Dienste werden von Unternehmensservern ungefragt Nutzerdaten gesammelt. Doch nicht nur die Gerätehersteller tragen in dem Zusammenhang die datenschutzrechtliche Verantwortung, sondern auch die App-Anbieter.
 

Welche Daten werden erhoben und verarbeitet?

Durch die Nutzung der Smart-Funktionen sammeln Hersteller und Dienstanbieter Nutzerdaten, gegen die sich der Konsument nicht vollständig schützen kann. Dieser Datenverkehr ist für Fernsehnutzer nicht sichtbar. Darüber hinaus kann dies, anders als bei PCs, nicht unterbunden werden. Auch wenn die Daten größtenteils gut bis sehr gut verschlüsselt sind, gibt es für den Kunden keine Klarheit, wofür die gesammelten Daten verwendet werden. Es ist aber davon auszugehen, dass sie genutzt werden, um neue Betriebssoftwares abzurufen oder über aktuelle Angebote von Online-Videotheken zu informieren.

Das sind die Datenempfänger:

  • Hersteller von TV-Geräten
  • Cloudanbietern wie Maxdome
  • Microsoft
  • Verschiedenste Google-Dienste

Diese Daten werden erhoben und verarbeitet:

  • Die Registrierungsdaten
  • Die Geräte-ID
  • Das Fernsehverhalten
  • Informationen über die Nutzung von Smart-TV-Diensten
  • IP-Adresse
  • Audiodaten oder Fotodateien

 

Welche Pflichten haben die verantwortlichen Stellen?

Datenschutzexperten und Aufsichtsbehörden haben Pflichten formuliert, die Geräteherstellern und Anbieter bei einer datenschutzkonformen Ausgestaltung ihrer Dienste beachten sollten. Diese werden folgend zusammengefasst.

Informationspflichten

Anbieter müssen die Nutzer ihrer Dienste im Vorfeld über den Umgang mit ihren personenbezogenen Daten informieren. Dies geschieht üblicherweise in Form einer Datenschutzerklärung. Hierzu heißt es im Paragraph 13, Absatz 1 des Telemediengesetzes:

„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

Bei den Einstellungsmöglichkeiten auf Nutzerebene existieren jedoch technische Unterschiede zwischen Smart-TV-Diensten und herkömmlichen Webseiten. Daher ist darauf zu achten, dass in der Datenschutzerklärung keine Textbausteine verwendet werden, die für herkömmliche Webseiten Verwendung finden, sondern explizit auf die Nutzung von Smart-TVs abzielen.

Datenvermeidung und Datensparsamkeit

Smart-TVs oder App-Funktionen sollten nach den Grundsätzen der Datenvermeidung und Datensparsamkeit entwickelt werden. Diese besagen, dass so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden sollten. Somit ergibt sich für die Hersteller, dass ihre Geräte oder Dienste so zu entwickeln sind, dass standardmäßig die datenschutzfreundlichste Einstellung gewählt wird. Im Umkehrschluss bedeutet dies, dass beispielsweise das Mikrofon oder die Kamera zu Beginn der Nutzung immer deaktiviert sein müssen.

Datensicherheit

Auch an die Sicherheit der personenbezogenen Daten gibt es bestimmte Mindestanforderungen, die durch das Bundesamt für Sicherheit in der Informationstechnik definiert sind:

  • HTTPS-Verbindungen (Hypertext Transfer Protocol Secure)
  • Perfect Forward Secrecy
  • kein SSL2/SSL3
  • mindestens 2048-Bit beim X.509 Zertifikat
  • keine RC4-Verschlüsselung
  • kein SHA1-Hashverfahren

 

Wie gehen Hersteller und Anbieter mit diesen Forderungen um?

Auch wenn bereits von verschiedensten Stellen diverse Forderungen und Pflichten formuliert wurden, werden diese bis heute von den Herstellern und Anbietern kaum bis gar nicht umgesetzt. Speziell die Voreinstellungen an den Geräten sind nicht datenschutzkonform. Es ist zwingend erforderlich, dass sich die verantwortlichen Firmen intensiv mit dem Thema Datenschutz auseinandersetzen und ihre Funktionen und Einstellungen entsprechend anpassen.

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.