Smart-TV und Datenschutz

Artikel von Felix Hudy·9. November 2015

Laut der Verbraucherzentrale Nordrhein-Westfalen übertragen Smart-TVs des Herstellers Samsung Nutzerdaten ungefragt an Unternehmensserver, sobald das Gerät an das Internet angeschlossen wird. Grund genug, die wichtigsten datenschutzrechtlichen Anforderungen zu beleuchten.

Der Inhalt im Überblick

Orientierungshilfe des Düsseldorfer Kreises
Was ist Smart-TV?
Personenbezogene Daten
Rechtsgrundlagen der Datenverarbeitung
Pflichten der verantwortlichen Stellen
Fazit

Orientierungshilfe des Düsseldorfer Kreises

Diese Anforderungen hat der Düsseldorfer Kreis vor einigen Tagen in einer umfangreichen Orientierungshilfe zu den Datenschutzanforderungen an Smart-TV-Dienste veröffentlicht.

Was ist Smart-TV?

Smart-TV ist die Bezeichnung für Fernsehgeräte mit internetbasierten Zusatzfunktionen. Mit diesen Geräten ist es u.a. möglich, im Internet zu surfen, Filme zu streamen oder über HbbTV Informationen abzurufen. Datenschutzrechtlich verantwortlich in diesem Zusammenhang können neben dem Gerätehersteller auch App-Anbieter oder die Anbieter von HbbTV-Funktionen sein.

Personenbezogene Daten

Im Rahmen dieser Funktionen werden vom Gerätehersteller oder App- bzw. Dienstanbieter verschiedene personenbezogene Daten der Nutzer erhoben und verarbeitet:

IP-Adresse
Geräte-ID
Eventuell Audiodaten oder Foto -und Filmaufnahmen
Informationen über die Smart-TV-Dienste-Nutzung
Fernsehverhalten
Registrierungsdaten

Nach Ansicht der Aufsichtsbehörden ist es datenschutzrechtlich dabei nicht von Belang, ob der Smart-TV von einer oder mehreren Personen genutzt wird.

„Darüber hinaus ist es auch möglich, bei Heranziehung des Nutzungsverhaltens Unterscheidungen zu tätigen (z.B. kann anhand der gesehenen Sendungen das Geschlecht und ggf. das Alter eingeschätzt werden) und so die jeweils konkrete Person zu individualisieren. Bei einigen Geräten lassen sich außerdem Profile für die einzelnen Nutzer einrichten, wobei dann in der Regel personalisierte IDs verwendet werden, die zweifellos als personenbezogene Daten einzustufen sind.“

Rechtsgrundlagen der Datenverarbeitung

Für Datenverarbeitungen bei der Nutzung von Smart-TV kommen verschiedene Rechtsgrundlagen in Betracht. Gesetzliche Erlaubnistatbestände sind hierbei in der Regel im Telemediengesetz als Spezialgesetz zu suchen, wenn es um Bestandsdaten (§ 14 TMG) oder Nutzungsdaten (§ 15 TMG) geht.

Nach § 15 Abs. 3 etwa darf der Diensteanbieter

„für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“

Hierbei ist zu beachten, dass die Widerspruchsmöglichkeit zumindest in der Datenschutzerklärung beschrieben und effektiv und angemessen sein muss. Sie sollte durch eine direkte Opt-Out-Möglichkeit in Form eines Links oder der Möglichkeit des Auskreuzens umgesetzt werden.

Existiert kein gesetzlicher Erlaubnistatbestand, sind Erhebung und Verwendung personenbezogener Daten nur mit einer wirksamen Einwilligung des Nutzers möglich, wobei die allgemeinen Anforderungen an eine Einwilligungserklärung zu berücksichtigen sind.

Pflichten der verantwortlichen Stellen

In der Folge formulieren die Aufsichtsbehörden verschiedene Pflichten und Grundsätze, die von Geräteherstellern oder Diensteanbietern bei einer datenschutzkonformen Ausgestaltung zu beachten sind.

Informationspflichten

Der Nutzer muss durch die jeweils verantwortliche Stelle in Form einer Datenschutzerklärung bei Beginn des Nutzungsvorgangs über den Umgang mit seinen personenbezogenen Daten informiert werden (§ 13 Abs. 1 TMG).

Neben den allgemeinen Anforderungen an eine Datenschutzerklärung ist zu beachten, dass keine Textbausteine, die häufig für herkömmliche Webseiten verwendet werden, genutzt werden, da bei den Einstellungsmöglichkeiten auf Nutzerebene technische Unterschiede zwischen Smart-TV-Diensten und herkömmlichen Webseiten für bestehen.

Datenvermeidung und Datensparsamkeit

Nach den Grundsätzen der Datenvermeidung und Datensparsamkeit sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Daraus ergibt sich auch, dass Smart-TV Geräte oder Dienste bereits nach diesen Grundsätzen zu entwickeln sind und dass ab Werk standardmäßig die datenschutzfreundlichste Voreinstellung gewählt wird.

Dieses „privacy by default“ bedeutet für Hersteller also beispielsweise, dass Funktionen wie z.B. Mikrofon oder Kamera standardmäßig deaktiviert sein müssen.

Datensicherheit

Schließlich sind nach Ansicht der Aufsichtsbehörden hohe Anforderungen an die Sicherheit von personenbezogenen Daten zu beachten. Die Orientierungshilfe verweist dabei auf die Richtlinien des BSI und nennt folgende Mindestanforderungen:

HTTPS-Verbindungen
Perfect Forward Secrecy
kein SSL2/SSL3
mindestens 2048-Bit beim X.509 Zertifikat
keine RC4-Verschlüsselung
kein SHA1-Hashverfahren

Fazit

Viele dieser Anforderungen werden von den jeweils verantwortlichen Stellen bislang leider nicht oder nur unzureichend umgesetzt. Insbesondere die Voreinstellungen zum Datenschutz waren eher das Gegenteil von „privacy by default“.

Dies sieht auch die Verbraucherzentrale Nordrhein-Westfalen so und hat eine Musterklage eingereicht. Ihrer Ansicht nach fehle es für Datenübertragungen, die standardmäßig aktiviert und ohne Hinweis automatisch erfolgen, an einer Rechtsgrundlage. Über den Ausgang des Verfahrens, dessen erster Verhandlungstermin allerdings erst im Mai 2016 stattfindet werden wir hier informieren.

- Privacy by Default
  Was bedeutet Privacy by Design / Privacy by Default wirklich?Fachbeitrag·31. März 2022
- Privacy by Design durch Hersteller von SoftwareFachbeitrag·22. April 2021
- Autonomes Fahren: Datenschutzrechtliche Probleme am Beispiel TeslaFachbeitrag·4. November 2020
Mehr zum Thema
- Smart-TV
  Smart Home: Das vernetzte Zuhause sicherer gestaltenFachbeitrag·1. Februar 2018
- Hacking: Smart-TV via DVB-T ausspionierenNews·3. April 2017
- Kommentar: Hilflos gegen die Macht der KonzerneNews·14. Dezember 2016
Mehr zum Thema
- Telemediengesetz
  Online-Marketing und der DatenschutzFachbeitrag·22. März 2022
- Das neue TTDSG – Die wichtigsten Änderungen im ÜberblickFachbeitrag·15. Dezember 2021
- EuGH-Urteil: Aktive Einwilligung für Cookies erforderlichUrteil·1. Oktober 2019
Mehr zum Thema
- Verbraucherschutz
  Die Telematik-Tarife der Kfz-Versicherer: Rabatt gegen Daten!Fachbeitrag·30. Oktober 2023
- Bezahlen mit Daten – ein Widerspruch zum Kopplungsverbot?Fachbeitrag·15. Juli 2021
- CCPA: Das strengste Datenschutzgesetz der USAFachbeitrag·9. Januar 2020
Mehr zum Thema
- Verbraucherzentrale
  EuGH: Wer darf gegen DSGVO-Verstöße klagen?Urteil·28. April 2022
- Facebook: Urteil stellt Datenschutzverstöße festUrteil·12. Februar 2018
- Geändertes Gesetz: Datenschutz nun auch VerbraucherschutzNews·24. Februar 2016
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Ich verstehe nicht, warum der Gesetzgeber nicht mit einem Verkaufsverbot oder zumindest der Androhung mehr Druck auf die Industrie ausübt. Die Automobilindustrie muss ihre Fahrzeuge ja beispielsweise auch einer Prüfung unterziehen.

Töns am 10. Februar 2016, 10:31 Uhr

Antworten
Ich sehe es ohnehin als absolute Schweinerei an, das der Gesetzgeber nichts gegen diese Datensammelwut unternimmt. Wieso oder mit welchem Recht kann ich nach dem Kauf eines elektronischen Gerätes gezwungen werden, vor der Erstnutzung meine kompletten Daten Geburt, Wohnanschrift usw. irgendwohin zu einem globalen Unternehmen in USA, Korea, Japan zu senden um ein gekauftes Gerät überhaupt nutzen zu dürfen? Was würde überhaupt passieren wen hier völlig falsche Daten eingepflegt werden? Antwort wäre sicher von allgemeinem Interesse. Hätte das Auswirkungen auf die Garantie?

Mawe am 21. Mai 2016, 09:05 Uhr

Antworten