Wie heißt der D-Promi im Dschungelcamp nochmal? Schnell parallel zur Sendung im Netz gecheckt, abgerufen über den Bildschirm des Smart-TV. Das bildet allerdings munter Profile über das individuelle Fernsehverhalten, erklärt Tobias Kohl.
Noch vor wenigen Jahren waren Fernseher reine Empfangsgeräte. Im Zeitalter des Internets hat sich dies geändert: Auch noch Tage nach der Ausstrahlung im TV kann der Nutzer eine verpasste Folge seiner Lieblingsserie in der Mediathek des Senders abrufen. Und das nicht nur am Rechner, mit einem Smart-TV kann er über USB-Schnittstellen an den Geräten oder per WLAN über den Fernseher im Internet surfen, soziale Netzwerke nutzen oder elektronische Programmzeitschriften einsehen.
Anfang November 2015 wurde bekannt, dass die Verbraucherzentrale Nordrhein-Westfalen Klage gegen den Smart-TV-Hersteller Samsung eingereicht hat. Einer der Vorwürfe: Das Smart-TV-Gerät UE40H6270 des koreanischen Unternehmens soll bereits bei seiner Inbetriebnahme die IP-Adresse des Internetanschluss-Inhabers – ohne dessen Einwilligung – an die Server von Samsung versenden. Ob hierin ein Verstoß gegen datenschutzrechtliche Vorschriften liegt, wird das Landgericht (LG) Frankfurt am Main ab Mai verhandeln.
Der Elektronikhersteller hat als Reaktion auf die Musterklage der Verbraucherzentrale in einer Pressemitteilung bereits vorab eine Übertragung "sensibler Daten" abgestritten. Vielmehr sei eine Übermittlung der IP-Adresse bei der Erstinstallation zwingend nötig, um die jeweils erforderlichen Sprachfassungen der AGB und Datenschutzrichtlinie auf das Gerät herunterzuladen. Dabei können die smarten Geräte viel mehr übertragen als nur das.
Im gläsernen Wohnzimmer?
Für den Nutzer, der neben dem klassischen Empfang von Rundfunksignalen auch digitale Zusatzfunktionen und vor allem das Internet über das TV-Gerät nutzen kann, wird es immer schwieriger, zu unterscheiden, ob er gerade ein TV-Programm oder einen Internet-Dienst nutzt.
Dass er durch die Online-Verbindung zudem Daten an Fernsehsender, Smart-TV-Hersteller oder sonstige Dritte sendet, ist ihm oft nicht einmal bewusst. Den Anbietern von Smart-TV-Diensten eröffnet dieser Rückkanal die Möglichkeit, die Fernsehgewohnheiten oder das Surfverhalten des einzelnen TV-Zuschauers zu erfassen. Auf dieser Grundlage können sie Profile ihrer Nutzer erstellen, die sie nicht nur für eine gezielte Ansprache ihrer Kunden selbst nutzen, sondern zum Beispiel für personalisierte Werbung an Dritte weiterveräußern können.
Technisch funktioniert das, indem den Nutzern des Smart-TVs bei der Internetkommunikation – wie auch sonst üblich – IP-Adressen zugewiesen werden, nach herrschender Meinung personenbezogene Daten nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG). Die meisten Smart-TVs verwenden zudem Geräte-IDs, die sowohl dem jeweiligen Gerät als auch seinem Nutzer zugeordnet werden können.
Smart-TV-Hersteller nutzen die genannten personenbezogenen Daten u.a. für Software-Updates und die Analyse des Nutzerverhaltens, etwa um die Benutzerfreundlichkeit zu verbessern.
Wie es sein sollte: Information bei Installation, Einwilligung bei Analyse
Über das Erheben und Verwenden der IP-Adresse und der Geräte-ID muss der Smart-TV-Hersteller seinen Nutzer nach § 4 Abs. 3 BDSG jedoch frühestmöglich informieren. Er ist bereits bei der Einrichtung des Gerätes darüber in Kenntnis zu setzen, welche personenbezogenen Daten zu welchem Zweck erhoben werden. Diese Informationen zum Datenschutz müssen wie die Datenschutzbestimmungen eines Internetauftritts jederzeit abrufbar sein (§ 13 Abs. 1 Telemediengesetz).
Sobald das Nutzungsverhalten bei der Bedienung des Smart-TVs analysiert wird und eine Identifizierung des Nutzers möglich ist, muss der Nutzer die Erhebung und Verwendung seiner personenbezogenen Daten sogar aktiv erlauben, eine bloße Information darüber reicht nicht aus.
Dass nicht alle Smart-TV-Hersteller diesen Vorgaben aus dem BDSG nachkommen, zeigt eine Überprüfung von dreizehn Smart-TV-Geräten durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im Jahr 2015.
2/2: Und wie es ist: Daten werden unrechtmäßig erhoben – und zu Geld gemacht
Die bayerischen Datenschützer kamen zu zum Teil erstaunlichen Ergebnissen: Nur sechs von dreizehn Geräte informierten ihre Nutzer überhaupt über den Umgang mit personenbezogenen Daten, sieben Smart-TVs verfügten nicht einmal über Datenschutzbestimmungen.
Bereits mit Inbetriebnahme der Geräte flossen in zwölf von dreizehn Fällen Daten an die Hersteller. Die Datenflüsse reichten von der Registrierung des Geräts über Software-Updates bis zum Laden von Inhalten.
Thomas Kranig, Präsident des BayLDA, fand bei der Präsentation der Prüfungsergebnisse dazu deutliche Worte: "Es darf nicht sein, dass die Unternehmen, die unrechtmäßig erhobene personenbezogene Daten zu Geld machen, dadurch die Produktion ihrer Fernsehgeräte subventionieren und diese billiger auf den Markt bringen können."
"Smartes Fernsehen nur mit smartem Datenschutz"?
An sich sollten die Gerätehersteller wissen, wie sie mit dem Thema Datenschutz umzugehen haben. Bereits vor der Prüfung durch das BayLDA hatten die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) und die Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten eine gemeinsame Position zum Datenschutz bei Smart-TV formuliert.
Unter der Überschrift "Smartes Fernsehen nur mit smartem Datenschutz" richten die Datenschützer u.a. folgende datenschutzrechtliche Forderungen an die Anbieter von Smart-TV-Diensten und somit auch die Hersteller der Geräte:
- Die Nutzer müssen über Datenerhebung und –verwendung spätestens bei Beginn der Nutzung der Smart-TV-Dienste informiert werden.
- Die Grundeinstellungen der Smart-TV-Anbieter müssen datenschutzfreundlich gestaltet sein (privacy by default), so dass dem Nutzer die jederzeitige Kontrolle über die auf dem Gerät gespeicherten Daten verbleibt.
- Die Anbieter von Smart-TV-Diensten müssen sicherheitstechnisch dafür Sorge tragen, dass die Geräte und der Datenverkehr vor dem Zugriff unbefugter Dritter geschützt werden.
Orientierungshilfe von den Datenschützern
Aufbauend auf diesen Forderungen hat der Düsseldorfer Kreis im September 2015 zudem eine umfangreiche "Orientierungshilfe zu den Datenschutzanforderungen an Smart-TV-Dienste" veröffentlicht.
Darin wird in Bezug auf Software-Updates durch die Smart-TV-Hersteller etwa vorgeschlagen, dass dem Nutzer bei Einrichtung des Geräts die Wahlmöglichkeit eröffnet werden sollte, den Zeitpunkt der Prüfung und die Installation neuer Updates selbst bestimmen zu können, die Installation automatisch durchführen zu lassen oder den Wunsch nach einer Benachrichtigung zu äußern, sobald ein neues Software-Update zur Verfügung steht. Diese Entscheidungsoptionen würden zu einer Kontrolle über seine personenbezogenen Daten beitragen.
Auch zur Analyse des Nutzungsverhaltens enthält das Papier konkrete rechtliche sowie technische Hinweise. Durch eine immer verfügbare direkte Opt-Out-Möglichkeit (Link mit Möglichkeit des Ankreuzens) soll der Nutzer die Möglichkeit haben, den Datenfluss an den Smart-TV-Hersteller jederzeit zu unterbrechen und so die Erstellung eines Nutzungsprofils zu verhindern.
Ob die Nutzer des Samsung-Modells UE40H6270 vom Zeitpunkt der Einrichtung des Geräts an eine jederzeitige Kontrolle über ihre personenbezogenen Daten haben, wird das LG Frankfurt entscheiden müssen. Eine Antwort auf die Frage, wie und zu welchem Zeitpunkt Smart-TV-Hersteller ihre Nutzer über den Umgang mit personenbezogenen Daten informieren müssen, dürfte jedenfalls auch für die übrigen Anbieter von Smart-TV-Diensten wie Fernsehsender oder App-Store-Betreiber von großem Interesse sein.
Der Autor Tobias Kohl, LL.M. ist Rechtsanwalt und Consultant Datenschutz & Compliance bei der tekit Consult Bonn GmbH, einem Tochterunternehmen des TÜV Saarland. Als externer Datenschutzbeauftragter betreut er branchenübergreifend eine Reihe von Unternehmen. Er publiziert regelmäßig zu den Themen IT-Recht, Datenschutz und Apps und ist Dozent der TÜV Saarland Seminare.
Tobias Kohl, LL.M., Fernsehverhalten, analysiert und verkauft: Your Smart-TV is watching you . In: Legal Tribune Online, 28.01.2016 , https://www.lto.de/persistent/a_id/18298/ (abgerufen am: 29.03.2024 )
Infos zum Zitiervorschlag