03.06.2013

Fehlender Datenschutz bei Smart TVs - Smart TV-Funktionen erlauben Sendeanstalten die heimliche Erfassung und Auswertung des Nutzungsverhaltens von TV-Zuschauern

Portrait von Dominik Hausen
Dominik Hausen

An dieser Stelle bin ich bereits in zwei früheren Beiträgen auf die rechtlichen Anforderungen für die Erfassung des Nutzungsverhaltens bei IPTV eingegangen (siehe Hausen, "Rechtsgrundlage für die Erfassung des Nutzungsverhalten bei IPTV“, CRonline Blog v. 3.7.2012 und Hausen, "Erfassung des Nutzungsverhaltens bei IPTV – Anforderungen an eine pseudonyme Erfassung“, CRonline Blog v. 9.7.2012).

Bei IPTV lag die technische Möglichkeit der Erfassung des Nutzungsverhaltens gewissermaßen auf der Hand – so nutzt IPTV, wie der Name bereits andeutet, zur Verbreitung des TV-Signals IP-Netze und damit grundsätzlich die gleiche Infrastruktur wie das Internet. Der Rückkanal vom Zuschauer zum Sender ist bei IPTV bereits „vorprogrammiert“.

Tracking auch bei Fernsehempfang über unidirektionale Kanäle möglich?

So verwundert auf den ersten Blick umso mehr das Ergebnis einer am 15.5.2013 auf dem 13. Deutschen IT-Sicherheitskongress vorgestellten Studie ( Marco Ghiglieri/Florian Oswald/Erik Tews, "HbbTV – I Know What You Are Watching", Eine Sicherheitsanalyse von HbbTV-Anwendungen im deutschsprachigen Raum), die zu dem Ergebnis kommt, dass auch bei der „herkömmlichen“ Verbreitung von TV-Signalen per Kabel (DVB-C), terrestrisch (DVB-T) und per Satellit (DVB-S) und damit über unidirektionale Kanäle ein Ausspähen von TV-Zuschauern möglich ist.

Technisch möglich macht dies die zunehmende Verzahnung des Fernsehens mit dem Internet. Unter dem Stichwort Smart TV findet diese Gerätekategorie zunehmend stärkere Verbreitung. Laut Statista werden in Deutschland bis 2016 voraussichtlich über ein Drittel aller Haushalte ein Smart TV nutzen ("Anzahl der Haushalte (in Mio.) mit mind. einem an das Internet angeschlossenen TV-Gerät von 2011 bis 2016", statistika.de v. April 2012).

HbbTV als Bindeglied zwischen herkömmlicher Fernsehwelt und dem Internet

Auf einer technischen Ebene zeichnet sich v.a. das Hybrid broadcast broadband TV (HbbTV), ein Standard für das Anzeigen von Internetinhalten auf Smart TVs, für die Verzahnung von TV und Internet verantwortlich. Besitzern von Smart TVs dürfte HbbTV v.a. durch den sog. „Red Button“ bekannt sein, der beim Aufruf von TV-Sendern ohne eigenes Zutun kurz eingeblendet wird und den Zuschauer darauf hinweist, dass durch das Drücken der roten Taste auf der Fernbedienung zusätzliche Inhalte – etwa weitere Informationen zum laufenden Programm – abgerufen werden können. Diese zusätzlichen Inhalte finden über das Internet den Weg zum Zuschauer und werden in einem „abgespeckten“ Webbrowser, der aber nicht als solcher zu erkennen ist, angezeigt. HbbTV soll langfristig den altehrwürdigen Teletext ablösen.

Tracking auch ohne Nutzung von Smart TV–Funktionen

Die bereits erwähnte Studie zeigt, dass bereits bei der Anwahl eines Senders, ohne dass der Zuschauer HbbTV aktiv durch Drücken des Red Buttons nutzt, der Fernseher mit den Servern der jeweiligen Sendeanstalt kommuniziert und im Abstand von einer Sekunde bis zu 15 Minuten fortlaufend Daten an diese übermittelt. Diese periodischen Aufrufe erlauben den Sendeanstalten – u.a. unter Zuhilfenahme von Internet-Technologien wie z.B. Cookies – die Verweildauer und das Umschaltverhaltens von Nutzern zu erfassen und diese anhand von IDs eindeutig zu identifizieren.

Diese Informationen sind für Sendeanstalten wertvoll, so lassen sich damit z.B. regionale Einschaltquoten ermitteln und die Übertragung personalisierter Werbung realisieren. Den Ergebnissen der Studie zufolge machen Fernsehanstalten in unterschiedlichen Umfang von den technischen Möglichkeiten Gebrauch. Einige der untersuchten Sendeanstalten übermitteln teilweise die Nutzungsdaten auch an Dienstleister (die Studie nennt z.B. Chartbeat, Webtrekk und Google Analytics), die die gesammelten Daten auswerten.

Datenschutzunterrichtung zwingend vorgeschrieben

§ 13 Abs. 1 Telemediengesetz (TMG) verpflichtet Diensteanbieter, zu denen auch die Anbieter der über HbbTV zugänglichen Zusatzinhalte (in der Regel die Fernsehsender) gehören,

den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten […]. Weiter muss „der Inhalt der Unterrichtung […] für den Nutzer jederzeit abrufbar sein.“

Ist diese Art der Unterrichtung auf Websites unter dem Stichwort „Datenschutzerklärung“ oder „Privacy Policy“ bereits weit verbreitet, so scheint die Notwendigkeit zum Vorhalten einer solchen Unterrichtung wohl bislang noch nicht zu den Herstellern von Smart TVs und den Inhalteanbietern vorgedrungen zu sein.

Einwilligung erforderlich?

Ob abgesehen von der bloßen Unterrichtung die Fernsehsender auch die Einwilligung ihrer Zuschauer in die Erfassung des Nutzungsverhaltens einholen müssen, ist gegenwärtig unklar (siehe dazu ausführlich meinen Beitrag Hausen, "Erfassung des Nutzungsverhaltens bei IPTV – Anforderungen an eine pseudonyme Erfassung“, CRonline Blog v. 9.7.2012):

  • Deutsche Opt-out-Regelung:  Die deutsche Regelung in § 15 Abs. 3 TMG verweist den Zuschauer auf eine Widerspruchslösung. D.h. die Erfassung des Nutzungsverhaltens zu Zwecken der Werbung und der Marktforschung ist (allerding nur in pseudonymer Form) zulässig, bis der Zuschauer seinen entgegenstehenden Willen bekundet (Opt-out-Regelung). Über das Recht zum Widerspruch muss der Zuschauer zuvor (im Rahmen der Datenschutzunterrichtung, vgl. § 15 Abs. 3 S. 2 TMG) aufgeklärt werden. Ob ein von Zuschauer etwa per Checkbox erklärter Widerspruch vom Fernsehsender in Eigenregie technisch umgesetzt werden kann oder ob zwingend die Mitwirkung des Herstellers des Smart TV erforderlich ist, gälte es zu klären.
  • Europäisches Zustimmungserfordernis:  Evtl. ist aber aufgrund der europäischen „Cookie-Regelung“, die deutsche Opt-out-Regelung europarechtswidrig und die Erfassung des Nutzungsverhaltens von TV-Zuschauern nur nach deren vorheriger ausdrücklicher Zustimmung zulässig. Auch in diesem Fall müsste die bestehende Praxis der ungefragten Einblendung des „Red Buttons“ geändert werden.

Zusammenarbeit von Smart TV-Herstellern und Sendeanstalten erforderlich

Es ist immer wieder erstaunlich, wie wenig Beachtung dem Prinzip des „Privacy by Design“ bei der Einführung neuer Technologien bzw. der Übertragung bestehender Internet-Technologie auf neue Sachverhalte und Geräte eingeräumt wird.

Dies zeigt sich auch bei der Gestaltung von Smartphone-Apps, wie zuletzt eine Untersuchung des Bayerischen Landesamtes für Datenschutzaufsicht ergab (siehe "App-Prüfung zeigt erhebliche Mängel beim Datenschutz", Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht v. 14.5.2013). So verfügten lediglich ca. 25 % der geprüften Apps über eine app-spezifische Datenschutzunterrichtung.

Beim Thema Datenschutz und Smart Devices besteht für die Beteiligten noch viel Nachholbedarf.

 

Update v. 21.11.2013:  Wie Berichte der vergangenen Monate nahelegen, ist nicht nur über HbbTV ein Ausspähen der Nutzungsgewohnheiten von Smart-TV-Besitzern möglich, sondern auch die Hersteller von Smart-TVs bedienen sich des Rückkanals Internet um Daten über das Nutzungsverhalten aufzuzeichnen. Zuletzt gestand ein großer Smart-TV Hersteller ein, dass einige der vertriebenen Fernseher auch bei ausgeschalteter Option zur "Nutzerbeobachtung" Daten über das Nutzungsverhalten an den Hersteller senden (siehe LG Smart-TVs spähen Nutzer aus, heise Newsticker-Meldung v. 21.11.2013). Dabei zeichnet der Hersteller nicht nur das Konsumverhalten von Fernsehinhalten auf, sondern interessiert sich wohl auch für die Nutzung des Geräts im Übrigen, etwa für das Abspielen von Mediendateien vom USB-Stick. Die Erklärung des Herstellers, wiedergegeben in der heise Newsticker-Meldung v. 21.11.2013, "das Verhalten sei Teil einer früher einmal geplanten Funktion, die offenbar zu gerade betrachteten Sendungen zusätzliche Informationen aus dem Netz bereitstellen sollte. Dabei sei das Feature nie vollständig implementiert worden [...]." zeigt, dass auch die Hersteller von Smart-TVs im Rahmen der Qualitätskontrolle der Firmware Nachholbedarf haben.

Risiken für die Privatsphäre der Nutzer drohen bei der Nutzung von Smart-TVs noch von ganz anderer Seite. Hersteller, die die Firmware des Smart-TVs in IT-sicherheitstechnischer Hinsicht nicht ausreichend absichern, riskieren, dass sich Dritte Zugriff auf das Smart-TV verschaffen können. So haben Hacker auf der diesjährigen Black Hat-Konferenz anhand eines Samsung-Fernsehers demonstriert (siehe BlackHat 2013, The Outer Limits: Hacking the Samsung Smart TV), dass es Dritten möglich ist, die Kontrolle über die im Smart-TV verbaute Webcam zu übernehmen und damit direkt ins Wohnzimmer des Smart-TV-Besitzers zu blicken. Notebooks haben bereits seit Längerem oft standardmäßig eine Webcam eingebaut. Nutzer, die Bedenken haben, unbemerkt ausgespäht zu werden greifen zur Selbsthilfe und kleben die Webcam schlicht ab. Auch eine Möglichkeit, sich zu schützen.

Zurück