Das folgende Transkript wurde mit Einsatz von Google Speech-to-Text API und ChatGPT v4.0 erstellt und anschließend auf Richtigkeit geprüft. Manche in der Podcastfolge getätigte Aussagen wurden zugunsten besserer Verständlichkeit gekürzt oder zusammengefasst, ohne deren Aussage zu verändern. Sollten Ihnen inhaltliche Fehler auffallen, mailen Sie bitte Ihre Hinweise an lohmeier@vz-bln.de (Patrick Lohmeier). Vielen Dank!
Intro:
[00:00:05] Patrick Lohmeier: Ach ja, wie schnell die Zeit vergeht. Ich kann mich noch gut daran erinnern, dass das erste Smarthome-Gerät in unserem Haushalt monatelang immer wieder ein Gesprächsthema war, wenn wir Gäste begrüßten. Das war ein intelligenter Lautsprecher mit Sprachsteuerung, Streamingfunktionen und dergleichen. Ich glaube, so fängt es bei den meisten an. „Der ist wahnsinnig praktisch und war nicht mal besonders teuer. Und ich muss nicht mehr die Fernbedienung suchen, wenn ich Musik hören will“ lobte ich den kleinen Lautsprecher. Das war jedenfalls Ende 2016 und zu diesem Zeitpunkt hatten Smarthome-Geräte noch einen echten Seltenheitswert. Mittlerweile, Ende 2023, befindet sich in jedem zweiten Haushalt in Deutschland ein oder mehrere solche Devices. Und Ihre Nutzerinnen und Nutzer verwenden die Geräte längst nicht mehr nur als Wecker oder zur Musikwiedergabe, sondern fürs Onlineshopping, energieeffizientes Heizen oder zur Steuerung ihrer Beleuchtung oder Sicherheitstechnik. Und teuer sind Amazon Echo, Google Nest & Co und die damit vernetzten Geräte immer noch nicht. Zumindest meistens. Dies könnte aber auch daran liegen, dass der viel größere Wert für die Anbieter in den kostbaren Nutzerdaten liegt, die wir durch die Nutzung solcher Geräte preisgeben. Das smarte und rundum vernetzte Zuhause ist ein milliardenschweres Geschäft für unzählige Unternehmen und der Verkauf entsprechender Technik eben nicht alles, was zu Geld gemacht werden soll. Auch hier sind Informationen längst eine harte Währung. Und wie genau diese Anbieter – und im schlimmsten Fall gar Kriminelle - unsere über Smarthome Geräte geteilten Daten sammeln, verarbeiten und nutzen, das kann Ihnen meine Kollegin, Datenschutzexpertin Ayten Öksüz von der VZ Nordrhein-Westfalen erklären. Und natürlich hat sie gute Tipps dabei, wie Sie, liebe Verbraucherinnen und Verbraucher, möglich sparsam und sicher mit Ihren Daten in den heimischen vier Wänden haushalten. Mein Name ist Patrick Lohmeier, Sie hören genau genommen und ich wünsche Ihnen gute Unterhaltung beim nun folgenden Gespräch.
Expertengespräch:
[00:02:18] Patrick Lohmeier: Wir sprechen über Smart-Home-Geräte, die in vielen unserer Wohnzimmer stehen, und deren Bedeutung für unsere Datensicherheit und den Datenschutz. Als Expertin zum Thema habe ich meine Kollegin Ayten Öksüz eingeladen. Hallo, Ayten.
[00:02:30] Patrick Lohmeier: Ayten, erzähl doch bitte ein wenig darüber, was du bei der Verbraucherzentrale NRW machst.
[00:02:36] Ayten Öksüz: Bei der Verbraucherzentrale NRW bin ich als Referentin für den Bereich Datenschutz und Datensicherheit in der digitalen Welt tätig.
[00:02:44] Patrick Lohmeier: Damit bist du genau die richtige Person, um mich darüber aufzuklären, inwieweit meine digitalen Assistenten und andere Geräte in meiner Wohnung Daten ausspähen können. Beginnen wir mit einer Begriffsdefinition: Was verstehen wir unter Smart-Home-Geräten?
[00:03:01] Patrick Lohmeier: Was verstehen wir eigentlich unter Smart Home?
[00:03:02] Ayten Öksüz: Vielleicht fangen wir am besten mit einer Definition an. "Smart Home" bedeutet übersetzt "intelligentes Zuhause". Es wird als intelligent bezeichnet, weil es Aufgaben automatisiert und dadurch das Leben komfortabler gestaltet. Ein Smart Home besteht aus verschiedenen Geräten, wie Lampen, Kühlschränken, Waschmaschinen, Fernsehern, aber auch Haustechnik wie Jalousien oder Rasenbewässerungssysteme, die untereinander oder mit dem Internet vernetzt sind. Deshalb spricht man auch häufig vom vernetzten Zuhause.
[00:03:47] Patrick Lohmeier: Zählen digitale Assistenten, die ich auf meinem Smartphone oder bei Apple-Geräten wie Siri finde, auch zu Smart-Home-Geräten oder -Anwendungen, oder ist das etwas völlig Anderes?
[00:04:01] Ayten Öksüz: Ja, solche Sprachassistenten, einschließlich Siri, können genutzt werden, um Smart-Home-Geräte zu steuern. Allein das Aktivieren von Siri oder anderen digitalen Sprachassistenten macht noch kein Smart Home aus. Es ist die Frage, ab wann ein Zuhause als Smart Home gilt. Auch mit einem smarten Lautsprecher ist man noch nicht direkt im Smart-Home-Bereich, aber das sind die ersten Schritte und oft eine Voraussetzung für ein Smart Home. [00:04:39] Patrick Lohmeier: Wie ich bereits in der Einleitung sagte, sind Smart-Home-Geräte in vielen unserer Wohnzimmer angekommen, und das nicht erst seit gestern, sondern schon seit einigen Jahren. Wir profitieren natürlich auch davon. Wir möchten nicht nur über Risiken sprechen, sondern auch darüber, wie unsere Geräte uns im Alltag unterstützen können. Ayten, welche geläufigen Anwendungsbeispiele für Smart-Home-Geräte gibt es?
[00:05:02] Ayten Öksüz: Also, über Smart Home habe ich ja bereits gesagt, dass diese Geräte vernetzt sind.
[00:05:06] Ayten Öksüz: Und hier stellt sich die Frage, warum sie vernetzt sind. Denn sie ermöglichen es, die Geräte beispielsweise von überall aus mit dem Smartphone zu steuern. Das bedeutet mehr Komfort, mehr Sicherheit, aber auch mehr Energieeffizienz. In meinem Alltag kann ich zum Beispiel die Heizung vom Büro aus ausschalten, wenn ich das zu Hause vergessen habe, oder man stattet sein Zuhause mit entsprechenden Sensoren aus, sodass die Heizung zum Beispiel erkennt, wenn ein Fenster geöffnet ist und sich dann automatisch ausschaltet, um nicht unnötig zu heizen.
[00:05:38] Ayten Öksüz: Weitere Anwendungsbeispiele sind z.B. intelligente Saugroboter, die mir lästige Hausarbeit abnehmen.
[00:05:50] Ayten Öksüz: Sehr interessant ist auch der Bereich Ambient Assisted Living. Das bedeutet, dass man im hohen Alter eine gewisse Lebensqualität in den eigenen vier Wänden erhalten kann, z.B. durch mit Sensoren ausgestattete Fußböden, die einen Alarm senden, wenn eine ältere Person stürzt.
[00:06:17] Ayten Öksüz: Solche Anwendungen helfen auch dabei, sich zu vergewissern, dass es älteren Familienangehörigen gut geht.
[00:06:28] Patrick Lohmeier: Okay, das ist ja spannend. Mit der Zeit nutzen wir alle solche Anwendungen und sind wortwörtlich in einem Smart Home angekommen, also wenn wir Smart-Home-Geräte in einem Umfang nutzen, der darüber hinausgeht, unserer Alexa zu sagen, sie soll unsere Lieblingsplaylist abspielen.
[00:06:47] Patrick Lohmeier: Jetzt sprechen wir heute dezidiert über Datenschutz und Datensicherheit im Zusammenhang mit Smart-Home-Geräten. Grundlegend gefragt: Welche Daten sammeln solche Geräte, egal ob es sich um einen Saugroboter oder um Alexa auf meinem Sideboard handelt?
[00:07:04] Ayten Öksüz: Also, vorweg, das können sehr viele Daten sein. Das hängt auch davon ab, welche Smart-Home-Geräte ich nutze. Wenn ich beispielsweise einen Smart Speaker zu Hause habe und ihm Befehle erteile wie „Spiele Musik ab“ oder „Schalte das Licht an/aus“, dann sind es eben genau diese Befehle, die gespeichert werden. Auch Sensoren, wie solche an Fenstern, speichern Informationen darüber, wann ich zu Hause bin. Bei smarten Türschlössern ist das ebenfalls der Fall. Wenn ich einen Saugroboter habe, der meine Wohnung vermisst, dann haben die Unternehmen Informationen darüber, wie groß meine Wohnung ist, wie sie geschnitten ist, wie viele Räume ich habe. Grundsätzlich kann man zwischen Inhaltsdaten und Metadaten unterscheiden.
[00:08:11] Ayten Öksüz: Genau, also Inhaltsdaten sind, wie gerade eben schon gesagt, die Anfragen an einen Sprachassistenten oder die Zeiten, zu denen Jalousien geöffnet und geschlossen werden, aber auch der Stromverbrauch. Diese Informationen können teilweise sogar meinen Filmgeschmack preisgeben. Man kann aus bestimmten Daten Schlüsse ziehen, die einem auf den ersten Blick nicht bewusst sind. Metadaten sind beispielsweise Nutzungsmuster oder der Nutzungsumfang eines Gerätes oder Dienstes. Allein dadurch, dass ich preisgebe, welche Dienste ich in meiner Wohnung nutze, wie zum Beispiel Gartensteckdosen, kann ich in der App angeben, welches Gerät ich an dieser smarten Steckdose angeschlossen habe und in welchem Raum innerhalb meines Hauses oder meiner Wohnung das Gerät angeschlossen ist. Insofern erhält der Anbieter auch solche Informationen.
[00:09:10] Patrick Lohmeier: Okay, alles klar. Also, die Qualität der Daten, die über diese Geräte gesammelt werden, ist sehr unterschiedlich. Deshalb ist meine nächste Frage vielleicht auch etwas herausfordernd. Es ist natürlich ein qualitativer Unterschied, ob der Saugroboter meine Wohnung vermisst und weiß, dass mein Wohnzimmer 20 Quadratmeter groß ist, oder ob mein Stromverbrauch so und so hoch ist, oder ob ich bei Netflix am liebsten diese oder jene Serie schaue. Aber lassen sich die Nutzungszwecke dieser Daten durch die Anbieter der Smart-Home-Geräte überhaupt zusammenfassend darlegen?
[00:09:50] Ayten Öksüz: Die Verwendungszwecke können sehr unterschiedlich sein. Grundsätzlich nutzen Anbieter solche Informationen vor allem, um ihre eigenen Produkte und Dienste zu verbessern, vielleicht aber auch, um neue Produkte und Services anzubieten. Diese Daten werden ausgewertet, und es werden umfangreiche Nutzerprofile erstellt, die dann auch für personalisierte Ansprachen genutzt werden können, entweder vom Anbieter selbst oder die Daten werden an Dritte, beispielsweise Werbenetzwerke, weitergegeben, um mich mit zielgerichteter Werbung anzusprechen.
[00:10:30] Patrick Lohmeier: Okay, vielen Dank. Ist es dann der Saugroboter selbst, der über unser WLAN die Nutzerdaten direkt an den Anbieter sendet? [00:10:41] Ayten Öksüz: Lassen Sie mich es so formulieren: Für die Nutzung dieser Smart-Home-Geräte braucht man in der Regel eine App. [00:10:51] Ayten Öksüz: Man verbindet die Geräte mit einer App, die man installieren muss, und steuert damit die Smart-Home-Geräte.
[00:10:58] Ayten Öksüz: Dafür muss man zuerst einen Account anlegen, manchmal sogar mit Namen, Adresse und Geburtsdatum. Einige Anbieter erheben auch diese Daten.
[00:11:07] Ayten Öksüz: Diese Apps senden die Daten an Server des Anbieters oder in die Cloud.
[00:11:14] Ayten Öksüz: Die Apps können aber auch im Hintergrund weitere Daten sammeln, wie zum Beispiel Standortdaten oder, je nach Berechtigungsumfang, auch meine Kontaktliste auf dem Smartphone.
[00:11:27] Ayten Öksüz: Es gab auch schon Untersuchungen, die festgestellt haben, dass sich in solchen Smart-Home-Apps Drittanbieter-Module verstecken können, die diese Daten an Dritte oder an Werbenetzwerke weiterleiten, die dann umfangreiche Profile von mir erstellen können, basierend auf diesen Daten oder Daten, die von unterschiedlichen Apps weitergeleitet werden.
[00:11:51] Ayten Öksüz: Insofern muss man sich bewusst sein, dass im Hintergrund auch auf diese Weise Daten gesammelt werden können, und ein Blick in die Zugriffsberechtigungen der Apps ist daher sehr wichtig.
[00:12:06] Patrick Lohmeier: Ah, okay. Das sind dann wahrscheinlich die Arten von Informationen, die auf Seite 10 der virtuellen Allgemeinen Geschäftsbedingungen oder Datenschutzbestimmungen stehen, denen ich nach Installation der App in aller Regel unbedacht zustimme, nur um mich dann später darüber zu ärgern, wo meine Daten gelandet sind.
[00:12:24] Ayten Öksüz: Ja, manchmal ist das so, auch wenn man sich durch die Registrierung klickt. Man muss ein Benutzerkonto anlegen und klickt sich durch. Irgendwann taucht ein Button auf, und mit einem Klick stimme ich zu. Dabei wird man meist auf die Datenschutzerklärung verwiesen, und dort stehen dann eben diese Informationen, wie Sie gerade schon sagten.
[00:12:49] Patrick Lohmeier: Ich erlebe auch relativ häufig, dass uns das Gefühl gegeben wird, sei es bei digitalen Anwendungen oder beim Online-Shopping im Checkout-Prozess, dass, wenn ich mein Häkchen nicht überall setze, ich nur eine abgespeckte Version dieses tollen Einkaufserlebnisses oder dieses tollen Smart-Home-Erlebnisses nutzen kann.
[00:13:08] Patrick Lohmeier: Ich glaube, da empfiehlt sich einfach ein genauerer Blick, ob man da vielleicht auch manchmal einfach ein Häkchen setzen oder eine Zustimmung erteilen sollte, zur Nutzung der eigenen Daten für Werbezwecke.
[00:13:17] Ayten Öksüz: Genau, das ist immer die Sache mit dem Einholen von Einwilligungen oder Zustimmungen, die dann auch an der einen oder anderen Stelle an bestimmte Funktionen geknüpft sind. Bei Smart-Home-Geräten muss das nicht anders sein. Bestimmte Funktionen kann man dann vielleicht nicht nutzen. Man sollte zweimal darüber nachdenken, ob man die jeweilige Funktion wirklich braucht oder vielleicht sogar auf den Dienst verzichten möchte, weil man seine Zustimmung nicht geben möchte.
[00:13:50] Patrick Lohmeier: Das ist auch eine wunderbare Überleitung zu meiner nächsten Frage: Welche Rechte habe ich als Verbraucherin oder Verbraucher bei der Nutzung solcher Geräte? Muss ich quasi dem Anbieter komplette Transparenz bieten und alles preisgeben, nur um meine Wohnung über einen smart gesteuerten Saugroboter sauber zu halten, oder gibt es Grenzen bezüglich der Nutzung meiner Daten? Welche Rechte habe ich als Verbraucher?
[00:14:23] Ayten Öksüz: Anbieter können eigentlich verschiedene Arten von Daten sammeln, sie benötigen dafür aber eine entsprechende Rechtsgrundlage, also einen Zweck, für den sie die Daten nutzen möchten. Zum einen benötigen sie die Daten, um überhaupt die Funktionalität bereitzustellen. Wenn mein Smart-Home-Gerät so funktioniert, dass ich einen Befehl aussprechen muss, damit der Speaker reagieren kann, z.B. für Informationen über den Wetterdienst, dann wird eine Sprachaufzeichnung von mir in die Cloud gesendet und dort verarbeitet, um das entsprechende Ergebnis auszugeben. In diesem Fall benötigt man die Daten, um den Vertrag zu erfüllen.
[00:15:11] Ayten Öksüz: Dann gibt es auch die Möglichkeit der Einwilligung. Das bedeutet, ich stimme zu, dass der Anbieter meine Daten verarbeiten darf. Hierbei stellt sich in der Praxis oft die Frage, ob diese Einwilligung wirklich rechtswirksam eingeholt wird. Ist das Ganze freiwillig? Wenn ich die Einwilligung nicht gebe, kann ich die Funktion nicht nutzen oder den Dienst nicht in Anspruch nehmen. Wurde ich auch ausreichend aufgeklärt, was das für mich bedeutet? Wie werden meine Daten genau verarbeitet und mit wem geteilt?
[00:15:49] Ayten Öksüz: Es gibt viele Untersuchungen, die zeigen, dass Datenschutzerklärungen, die man dafür heranziehen muss, nicht immer klar formuliert sind. Sie sind häufig sehr vage und kompliziert, so dass man sich kein genaues Bild machen kann. Das hat auch viel mit der Oberflächengestaltung zu tun, Stichwort Dark Patterns. Man wird zu bestimmten Entscheidungen hingeführt, weil der Button für die Zustimmung grün hinterlegt ist, während der Button für die Ablehnung blass oder teilweise schwer zu finden ist. Dann gibt es noch das berechtigte Interesse, das unserer Ansicht nach nur für bestimmte Zwecke gilt, beispielsweise wenn Anbieter damit Produkte verbessern oder ihre Dienste optimieren möchten. Wenn es jedoch um Werbung geht, ist unserer Meinung nach eine Einwilligung erforderlich. [00:16:57] Patrick Lohmeier: Ja, das ist nachvollziehbar und gut zu wissen.
[00:17:00] Ayten Öksüz: Dann gibt es noch den Grundsatz der „Privacy by Default“ und „Privacy by Design“. Diese sind nicht nur für Hersteller von digital vernetzten Geräten laut DSGVO relevant.
[00:17:12] Ayten Öksüz: Der Datenschutz muss bereits bei der Entwicklung des Produktes berücksichtigt werden. Bei „Privacy by Default“ geht es darum, die Voreinstellungen so einzustellen, dass standardmäßig so wenig Daten wie möglich erfasst werden, also nach dem Grundsatz der Datenminimierung. Nimmt man dies ernst, sollten die Einstellungen so sein, dass nur die Daten erhoben werden, die wirklich für die Erfüllung der Funktionalität notwendig sind. Die Praxis zeigt jedoch oft, dass dies nicht der Fall ist.
[00:17:50] Patrick Lohmeier: Das ist ja spannend. Bleiben wir noch kurz im juristischen Kontext. Ich möchte gleich zu einigen greifbaren Beispielen kommen, inwieweit Datensicherheit und Smart-Home-Geräte in unserem Alltag eine Rolle spielen können. Ich muss aber nachfragen, da uns rechtlich etwas Neues bevorsteht: der sogenannte Data Act der EU, der die bestehende Datenschutz-Grundverordnung, die DSGVO, ergänzen soll. Was können wir in diesem Zusammenhang erwarten?
[00:18:20] Ayten Öksüz: Der Data Act wurde vor wenigen Tagen, um genau zu sein am 27. November dieses Jahres, vom Rat der Europäischen Union verabschiedet. Es geht vor allem um fairen Datenzugang und eine faire Datennutzung. Was bedeutet das genau? Daten, die bei der Nutzung von digital vernetzten Geräten von unterschiedlichen Unternehmen aus verschiedenen Lebensbereichen gesammelt werden, sollen stärker und besser von anderen Unternehmen genutzt werden können. Es geht darum, durch mehr Datennutzung zu mehr Wertschöpfung beizutragen, z.B. für neue Geschäftsmodelle für Startups und KMUs. Sie sollen die Daten, die große Unternehmen schon seit Jahrzehnten in ihren geschlossenen Systemen sammeln, auch für ihre Zwecke nutzen können und für hilfreiche Anwendungen im Gemeinwesen.
[00:19:34] Patrick Lohmeier: Aha, okay.
[00:19:36] Ayten Öksüz: Dadurch sollen Verbraucherinnen und Verbraucher mehr Kontrolle über ihre Daten erhalten, Stichwort Datensouveränität. Das bedeutet, ich sollte entscheiden dürfen, wer meine Daten zu welchem Zweck nutzen kann. Das klingt in der Theorie gut, aber die Praxis wird zeigen, ob das wirklich zu mehr Datensouveränität führt. Denn das bedeutet auch Verantwortung für Dinge, die ich möglicherweise nicht vollständig durchdringen kann. Am Ende besteht die Gefahr, dass Verbraucherinnen und Verbraucher überfordert statt ermächtigt werden. Es besteht immer noch ein massives Informationsgefälle zwischen Unternehmen und Verbrauchern. Wenn die Entscheidungsgrundlage, auf deren Basis Verbraucher entscheiden sollen, ob und wem sie ihre Daten für welche Zwecke teilen sollen, ähnlich gestaltet ist wie heutige Datenschutzerklärungen oder Einwilligungserklärungen, dann ist fraglich, ob das wirklich im Sinne der Verbraucher ist und ob nicht sogar die Rechte, die man eigentlich mit der DSGVO hat, dadurch konterkariert werden. Hier gilt es also, gute Lösungen zu entwickeln und vor allem darauf zu achten, dass die beiden EU-Gesetze – DSGVO und Data Act – in der Praxis harmonieren.
[00:20:59] Patrick Lohmeier: Also das ist spannend, und mit dem Stichwort 'Informationsgefälle' lieferst du mir auch eine wunderbare Überleitung zu meiner nächsten Frage. Denn ich glaube, dieses Informationsgefälle ist noch immer riesengroß, weil wir alle, bis auf wenige Ausnahmen wie du, relativ ahnungslos sind, wenn es darum geht, Smart-Home-Geräte in unserem Alltag anzuwenden. Für uns, oder ich möchte mal sagen, für die meisten Verbraucherinnen und Verbraucher, steht nur der unmittelbare Vorteil im Vordergrund. Wir schauen nicht genau hin, was mit unseren Daten passiert und worauf Gerät XY zugreift.
[00:21:35] Patrick Lohmeier: Welche Risiken bezüglich der Datensicherheit gehen mit der Nutzung von Smart-Home-Geräten einher?
[00:21:42] Ayten Öksüz: Ganz kurz zum Informationsgefälle, das du angesprochen hast: Die ganzen Daten, die gesammelt werden, können Verbraucherinnen und Verbraucher nicht einschätzen, ganz anders als Unternehmen, die entsprechende Werkzeuge haben, um diese Daten auszuwerten, sogar mit Einrichtungen der künstlichen Intelligenz, die Muster in diesen Daten erkennen können, die noch gar nicht bekannt sind. Verbraucher können auch nicht einschätzen, welche Folgen das Teilen von Daten haben kann, welche Nachteile es mit sich bringen kann. Aber neben dem Datenschutz gibt es auch den Aspekt der Datensicherheit.
[00:22:27] Ayten Öksüz: Da jedes technische System anfällig für Schwachstellen ist, sind auch Smart-Home-Geräte nicht ausgenommen. Kein System kann jemals hundertprozentig sicher sein, aber wenn es entsprechende Programmierfehler im Code gibt oder Schwachstellen im System, dann kann das negative Auswirkungen auf mich als Nutzer haben. Das Problem hierbei ist vor allem, dass es ein riesiges Angebot an Smart-Home-Produkten auf Online-Marktplätzen wie eBay, Amazon, mittlerweile auch auf Temu, aber auch in Supermärkten gibt. Es gibt unzählig viele Hersteller, die Smart-Home-Produkte anbieten, wie zum Beispiel Saugroboter jeglicher Art, und es zeigt sich immer wieder, dass diese Smart-Home-Geräte Sicherheitslücken aufweisen.
[00:23:26] Patrick Lohmeier: Genau darauf wollte ich hinaus, denn die Geräte, die sogenannten Smart-Home-Geräte, sind in der Praxis vermeintlich harmlos, weil wir sie für vermeintlich harmlose Dinge benötigen. Ich glaube, das ist auch ein bisschen der Trugschluss, der hier vorherrscht. Inwieweit können uns trotzdem vermeintlich harmlose Alltagsgeräte, die eben mit unserem WLAN verbunden sind und Daten übermitteln, schaden?
[00:23:52] Ayten Öksüz: Ja, da kann ich gleich mit einem Beispiel antworten: Es gab eine smarte Küchenmaschine, ein Konkurrenzprodukt zum Thermomix, und an dieser Küchenmaschine befand sich ein Mikrofon, was für die Nutzerinnen und Nutzer nicht eindeutig ersichtlich war. Sie kauften diese Küchenmaschine und wollten sie so nutzen, wie man eine Küchenmaschine normalerweise benutzt.
[00:24:22] Patrick Lohmeier: Mit Sprachsteuerung? [00:24:23] Ayten Öksüz: Ohne Sprachsteuerung.
[00:24:25] Patrick Lohmeier: Also ein scheinbar nutzloses Mikrofon.
[00:24:28] Ayten Öksüz: Ja, erstmal muss man sagen, dass smarte Geräte und Produkte manchmal mit Modulen oder Sensoren ausgestattet werden, damit sie später ihren Nutzen erfüllen können.
[00:24:40] Ayten Öksüz: Genau. Um den Funktionsumfang dieser Küchenmaschine zu erweitern, wurde sie so konzipiert, dass sie vielleicht später per Sprachsteuerung bedient werden kann. Im Moment hatte dieses Mikrofon keine Verwendung,
[00:24:59] Ayten Öksüz: aber die Küchenmaschine hatte eine Schwachstelle, über die Dritte unbefugt Zugriff auf dieses Mikrofon hätten erlangen können. Stellen Sie sich mal vor, Sie sind in Ihrer Küche und Ihre Küchenmaschine hört Sie ab.
[00:25:15] Patrick Lohmeier: Ja, okay. Dafür reicht meine Vorstellungskraft nicht ganz, aber ich empfinde den Gedanken als sehr unangenehm und grenzwertig bedrohlich. [00:25:22] Ayten Öksüz: Ja, vor allem, wenn Sie auch nie sicher sein können, ob eines Ihrer smarten Geräte in Ihrer Wohnung Sie abhört oder sogar Videoaufnahmen von Ihnen machen kann. Auch solche Fälle gab es schon.
[00:25:35] Patrick Lohmeier: Okay, das gibt's auch? Erzähl mal.
[00:25:37] Ayten Öksüz: Ja, genau. Auch hier in Deutschland, in Gelsenkirchen, war eine Frau betroffen, die einen smarten Katzenfutterautomaten bei sich zu Hause in Betrieb hatte.
[00:25:47] Ayten Öksüz: Irgendwann stellte sie fest, dass Videoaufnahmen aus ihrer Wohnung, von ihr selbst, im Internet gelandet sind. Dann wurde festgestellt, dass der Katzenfutterautomat mit einer Kamera ausgestattet war. Ja, auch solche Fälle sind bekannt, oder bei Sicherheitskameras...
[00:26:01] Ayten Öksüz: Sicherheitskameras bieten häufig die Funktionalität, dass man Livestreams auf seinem Smartphone sehen kann. Da gab es auch schon den Fall, dass Angreifer oder Hacker sich ohne jegliche Authentifizierung über den Webbrowser diese Livestreams aufrufen konnten.
[00:26:17] Ayten Öksüz: Dazu mussten sie auch nicht ins Darknet oder irgendwelche Hacks anwenden, sondern das war relativ einfach möglich. Und das ist auch bei anderen Smart-Home-Geräten möglich. Man muss sich das ein bisschen vorstellen wie ein Haus, wo man einfach jede Türklinke einmal runterdrückt, um zu schauen, ob nicht eine Tür offen ist.
[00:26:46] Ayten Öksüz: Und so bedienen sich dann auch Angreifer genau dieser Möglichkeiten, indem sie ins Netz gehen, schauen, welche smarten Geräte am Netz angeschlossen und ungeschützt sind, und wo sie dann Zugriff erlangen können, um das für ihre Zwecke zu missbrauchen.
[00:27:02] Patrick Lohmeier: Okay, wow. Es ist wirklich beunruhigend zu hören, dass die negativen Aspekte von Smart-Home-Geräten nicht nur über unangenehme Werbebotschaften oder E-Mails hinausgehen, sondern dass sich regelrecht bedrohliche Szenarien entwickeln können, in denen unsere Sicherheit gefährdet ist, weil Daten nach außen gelangen.
[00:27:23] Patrick Lohmeier: Das basiert auch auf dem Trugschluss vieler Verbraucherinnen und Verbraucher, und ich möchte mich da auch nicht ausschließen, dass wir die realen Risiken nicht wahrnehmen und nicht erkennen, dass diese Daten, die vermeintlich nur zwischen meinem Smartphone und beispielsweise dieser Überwachungskamera oder diesem Katzenfutterautomaten hin- und hergesendet werden, quasi in irgendwelchen Clouds schon online sind und im schlimmsten Fall, wenn Softwarefehler existieren, auch für Dritte einsehbar und nutzbar sind.
[00:27:53] Ayten Öksüz: Genau, und...
[00:27:55] Patrick Lohmeier: Aber mein Gefühl ist ja, die Daten sind ganz nah bei mir, was ein subjektives Fehlempfinden ist.
[00:27:59] Ayten Öksüz: Genau. Vielleicht auch, weil man sich in seinen eigenen vier Wänden befindet, dem sensibelsten Bereich, den man hat. Man verliert vielleicht schnell den Blick dafür, dass, wenn man diese Dienste nutzt, ein Stück dieser Privatsphäre nach außen gerät – einmal an die Unternehmen, Stichwort Datenschutz und Privatsphäre, aber eben auch an andere unbefugte Dritte. Dieser Einblick in meine vier Wände kann aber nicht nur zu Ausspionieren führen, sondern auch Richtung Sabotage gehen, sodass Funktionalitäten meiner Smart-Geräte deaktiviert oder missbraucht werden, zum Beispiel wenn ein smartes Türschloss von unbefugten Dritten geöffnet werden kann oder mein Garagentor. Man möchte sich nicht vorstellen, dass plötzlich ein Einbrecher in meinem Haus steht und ich das nicht kontrollieren kann.
[00:29:06] Patrick Lohmeier: Okay, aber basieren solche Sicherheitslücken und digitale Schwachstellen, durch die Daten an Personen gelangen, die wir als Verbraucherinnen und Verbraucher nicht erreichen wollen, immer auf Fehlern der Anbieter?
[00:29:26] Patrick Lohmeier: Damit wollte ich eigentlich sagen, wenn es um bestimmte Arten von Daten geht, wie unsere Fotos und E-Mails, die wir auf dem Smartphone oder in der Cloud gespeichert haben, dann sind unsere Daten oder die Sicherheit unserer Daten immer besonders wichtig. Aber wer würde schon so einen Katzenfutterautomaten oder ein Küchengerät ernst nehmen und denken: „Na ja, gut, sei es drum, lass mal Fünfe gerade sein, wird schon alles passen.“ Ist die Software für solche Geräte grundsätzlich anfälliger für Datenmissbrauch, oder muss schon ein Fehler seitens des Anbieters vorliegen, damit solche Daten, beispielsweise über unsere Küchenmaschine, nach außen gelangen?
[00:30:03] Ayten Öksüz: Das kann sehr vielfältig sein. Das fängt tatsächlich mit Schwachstellen im System an, Programmierfehlern, aber es kann auch am Benutzerkonto liegen, das mit einem schwachen Passwort abgesichert ist. Für viele dieser Dienste muss man eine App herunterladen und ein Benutzerkonto einrichten, das dann mit einem Passwort geschützt werden sollte.
[00:30:27] Ayten Öksüz: Studien zeigen immer wieder, dass viele bei solchen Benutzerkonten sehr einfache Passwörter wählen, wie '123456', einfach, damit man es nicht vergessen kann. Das kann auch ein Einfallstor sein. Es kann aber auch bei der Datenübertragung ein Einfallstor geben, wenn diese nicht verschlüsselt ist, oder es liegt an der Verschlüsselung des Anbieters – ob die Daten gut verschlüsselt sind und der Anbieter die aktuellen Sicherheitsstandards beachtet. Es gibt also viele Stellschrauben rund um das Thema Datensicherheit. [00:31:14] Patrick Lohmeier: Okay, danke. Und ich vermute mal, als Laie gesprochen, der Weg, Schadensersatz zu erhalten, wenn einem so etwas widerfährt, also wenn ein Smart-Home-Gerät meine persönlichen Nutzerdaten weitergegeben hat, ist vermutlich relativ schwer, oder?
[00:31:37] Ayten Öksüz: Ja, das ist momentan noch nicht ganz einfach. Laut Datenschutz-Grundverordnung haben Anbieter ja auch eine Verpflichtung, technische und organisatorische Maßnahmen zu ergreifen, um einen angemessenen Schutz der Daten zu gewährleisten. Man kriegt das über die Medien mit, dass immer wieder Unternehmen von Datenlecks betroffen sind. Dann ist immer die Frage des Verschuldens: Ist der Anbieter seinen Pflichten nachgekommen? Wie sieht es mit den technischen Maßnahmen aus, entsprechen diese dem Stand der Technik? Und all solche Fragen gibt es dann immer, die Aufsichtsbehörden prüfen, ob es da einen Verstoß gibt oder nicht. Und wenn ein Verstoß festgestellt wird, kommt die Frage des Schadensersatzanspruchs. Genau da muss man schauen, ob Betroffene einen Schaden, ideell oder materiell, erlitten haben. Die Beweisführung ist momentan noch nicht einfach. Wir würden uns aber für die Zukunft wünschen, dass Verbraucherinnen und Verbraucher, die von solchen Datenlecks betroffen sind und teilweise sehr sensible Daten preisgeben mussten, dann auch mehr in diese Richtung Ansprüche geltend machen können.
[00:32:57] Patrick Lohmeier: Alles klar. Wir als Verbraucherzentrale können zwar nicht alles verhindern, z.B. schlecht programmierte Küchenmaschinen, Katzenfutterautomaten oder Überwachungskameras und schon gar nicht Datenlecks, aber wir können unterstützen, wenn man von einem solchen Datenleck oder Datenmissbrauch betroffen ist. Wir können vor allem gute Tipps und Ratschläge an Verbraucherinnen und Verbraucher geben, um datenschutzrechtlich und datensicherheitstechnisch unbedenklich, oder zumindest weitgehend unbedenklich, ihre Smart-Home-Geräte zu nutzen. Worauf sollten Verbraucherinnen und Verbraucher achten?
[00:33:31] Ayten Öksüz: Es gibt einige wichtige Aspekte, auf die Verbraucherinnen und Verbraucher achten sollten, wenn es um das Thema Smart Home geht. Vorab sollte man sich bewusst sein, dass Datenschutz und Datensicherheit bei Smart-Home-Geräten eine wichtige Rolle spielen. Man sollte sich vor dem Kauf informieren, wie es um diese beiden Themen bestellt ist.
[00:33:56] Ayten Öksüz: Es kann hilfreich sein, einen Blick in die Datenschutzerklärung zu werfen, auch wenn diese nicht immer ganz einfach zu verstehen sind. Welche Daten fallen bei der Nutzung an? Was macht der Anbieter mit den Daten? Werden die Daten an Dritte weitergegeben? Werden die Daten in der Cloud gespeichert? Man muss sagen, nicht alle Smart-Home-Geräte funktionieren über eine Cloud-Lösung. Cloud bedeutet, dass meine Daten aus meinen vier Wänden in die große weite Internetwelt gehen, und das muss nicht sein. Es gibt Lösungen, mit denen man sein Zuhause vernetzen kann, ohne die Cloud zu nutzen.
[00:34:34] Ayten Öksüz: Wichtig ist auch, sich über die Verschlüsselung der Daten zu informieren. Ist die Datenübertragung verschlüsselt? Gibt es Möglichkeiten der Zwei-Faktor-Authentifizierung, um meinen Benutzeraccount zusätzlich zu schützen? Ein weiteres wichtiges Thema sind Sicherheitsupdates. Man sollte sich vorab informieren, ob das Produkt, das man kaufen möchte, langfristig mit Updates versorgt wird. Bei vielen Produkten, die teilweise sehr günstig zu haben sind, ist immer die Frage, wie es mit dem Support aussieht. Wenn ich nach ein paar Jahren das Gerät nicht mehr nutzen kann, weil ich keine Sicherheitsupdates mehr bekomme, muss ich mich um Ersatz kümmern. Warum also nicht von vornherein ein etwas teureres Produkt wählen, bei dem ich weiß, dass es entsprechend mit Updates versorgt wird?
[00:35:33] Ayten Öksüz: Dann, wenn man ein Benutzerkonto anlegt, was man ja sehr häufig bei diesen Produkten muss, wenn man die App herunterlädt, ist es wichtig, ein starkes Passwort zu wählen. Das ist sehr wichtig, damit Angreifer nicht mein Passwort knacken können und dann Zugriff auf meinen Dienst erhalten.
[00:35:51] Patrick Lohmeier: Ich muss dich kurz unterbrechen, Ayten. Ich bin ganz neugierig und muss mal kurz dazwischenfragen: Wenn ein Anbieter tatsächlich Benutzerdaten abfragt, die vollkommen irrelevant sind für den ordnungsgemäßen Gebrauch eines Geräts, zum Beispiel mein Geburtsdatum für die Nutzung eines Katzenfutterautomaten, würdest du da auch pauschal sagen, das Gerät gleich wieder zurückzuschicken?
[00:33:31] Ayten Öksüz: Es gibt ein paar Dinge, auf die Verbraucherinnen und Verbraucher achten können, wenn es um das Thema Smart Home geht. Zunächst sollten sie sich bewusst sein, dass Datenschutz und Datensicherheit bei Smart-Home-Geräten eine wichtige Rolle spielen, und sich entsprechend vor dem Kauf informieren, wie es um diese beiden Themen bestellt ist. Es kann hilfreich sein, die Datenschutzerklärung zu prüfen, auch wenn sie nicht immer leicht zu verstehen ist. Welche Daten fallen bei der Nutzung an? Was macht der Anbieter mit den Daten? Werden die Daten an Dritte weitergegeben oder in der Cloud gespeichert? Man muss bedenken, dass nicht alle Smart-Home-Geräte über eine Cloud-Lösung funktionieren. Cloud bedeutet, dass die Daten meine vier Wände verlassen und ins Internet gelangen. Es gibt aber auch Lösungen, mit denen man sein Zuhause vernetzen kann, ohne die Cloud zu nutzen. Man sollte sich auch über die Verschlüsselung der Daten informieren. Ist die Datenübertragung verschlüsselt? Gibt es Möglichkeiten der Zwei-Faktor-Authentifizierung? Ein weiteres wichtiges Thema sind Sicherheitsupdates. Man sollte sich vorab informieren, ob das Produkt langfristig mit Updates versorgt wird. Bei vielen Produkten, die sehr günstig zu haben sind, stellt sich die Frage, wie es mit dem Support aussieht. Wenn ich das Gerät nach ein paar Jahren nicht mehr nutzen kann, weil keine Sicherheitsupdates mehr kommen, muss ich mich um Ersatz kümmern. Warum also nicht von vornherein ein teureres Produkt wählen, das entsprechend mit Updates versorgt wird? Ein starkes Passwort ist ebenfalls sehr wichtig, um zu verhindern, dass Angreifer Zugriff auf meinen Dienst erhalten.
[00:36:13] Ayten Öksüz: Ich finde es sehr schwierig, mit Informationen und Daten umzugehen.
[00:36:16] Patrick Lohmeier: Das ist eine gemeine Frage, entschuldige.
[00:36:18] Ayten Öksüz: Ja, aber sie ist berechtigt. Man muss sich fragen, ob gewisse Informationen oder Zugriffe auf mein Gerät wirklich für die Funktionalität benötigt werden. Oft ist das nicht der Fall. Warum muss mein Smart TV meine Standortdaten oder die Liste meiner Kontakte haben? Da wäre ich auf jeden Fall skeptisch. Man sollte datenschutzfreundliche Einstellungen vornehmen, also Zugriffsberechtigungen prüfen und entziehen. Wenn ich bestimmte Daten angeben muss, um den Dienst nutzen zu können, sollte man überlegen, ob man dieses Produkt überhaupt nutzen sollte. Man kann gewisse Informationen bei der Registrierung weglassen, zum Beispiel das Geburtsdatum, wenn es nicht unbedingt angegeben werden muss.
[00:37:15] Ayten Öksüz: Um zu prüfen, ob ein Smart-Home-Gerät sicher ist, kann man sich vielleicht am IT-Sicherheitskennzeichen des BSI orientieren. Das BSI vergibt Produkte für digital vernetzte Produkte. Dieses IT-Sicherheitskennzeichen kann auch für Smart-Home-Produkte gelten, und man sollte darauf achten, ob ein solches Sicherheitskennzeichen angebracht ist. Es ist auch wichtig, für Smart-Home-Geräte ein getrenntes Netzwerk einzurichten, damit Angreifer, die über ein ungesichertes Smart-Home-Produkt Zugriff erlangen, nicht meinen Computer oder mein Smartphone kapern können.
[00:38:05] Patrick Lohmeier: Entschuldige, muss man für die Einrichtung eines zweiten Netzwerks Experte sein?
[00:38:14] Ayten Öksüz: Also, das Einrichten eines getrennten Netzwerks kann man in den Einstellungen relativ einfach vornehmen, und es gibt auch gute Tutorials im Internet, die dabei helfen sollten.
[00:38:26] Ayten Öksüz: Zum Thema Sicherheitsupdates, die ich ja schon angesprochen habe, ist es ganz wichtig, dass man die zur Verfügung stehenden Sicherheitsupdates immer sofort installiert, um entsprechende Schwachstellen zu schließen.
[00:38:41] Ayten Öksüz: Ein weiterer wichtiger Punkt, den man nicht außer Acht lassen sollte, betrifft Gäste, die man zu Besuch hat. Diese haben nämlich auch ein Recht auf informationelle Selbstbestimmung, das heißt, sie haben das Recht, selbst zu entscheiden, wer was über sie weiß. Wenn man beispielsweise einen digitalen Sprachassistenten nutzt, sollte man seinen Besuch darauf aufmerksam machen. Im Zweifel kann man einfach das Mikrofon deaktivieren oder den Stecker ziehen, dann ist man auf der sicheren Seite. [00:39:14] Patrick Lohmeier: Ayten, vielen herzlichen Dank für dein Expertenwissen. Ich habe wieder viel gelernt und bin immer wieder begeistert, was ich aus dem Thema Datenschutz und Datensicherheit mitnehmen kann und wie es uns im Alltag begleitet – "verfolgt" wäre vielleicht etwas zu negativ ausgedrückt. Und auch noch mal ausdrücklicher Respekt für das fehlerfreie formulierte "Zwei-Faktor-Authentifizierung". Mit diesem Begriff habe ich immer zu kämpfen und bin echt beeindruckt. Vielen Dank für alles und liebe Grüße nach Düsseldorf.
[00:39:46] Ayten Öksüz: Ja, gerne, danke schön auch.
Outro:
[00:39:54] Patrick Lohmeier: Wie immer möchte ich mich bei allen Menschen bedanken, die die Produktion dieser Podcastreihe ermöglichen. Und natürlich geht mein Dank an Sie fürs Zuhören. Diese und viele weitere Folgen von genau genommen können Sie in so gut wie allen Podcatchern und Audio Apps hören. Abonnieren Sie uns gerne kostenlos bei Spotify, Apple, Deezer, Audible oder in einer anderen mobilen App Ihrer Wahl. Und empfehlen Sie uns weiter, falls Ihnen genau genommen gefällt – darüber würde ich mich sehr freuen. Sollten wir eine Frage rund um Datenschutz und Smarthome Geräte nicht beantwortet haben, finden Sie die Antwort mit großer Sicherheit unter www.verbraucherzentrale.de. In ein paar Tagen hören Sie uns wieder, dann mit einem neuen Thema zu Ihren Verbraucherrechten. Bis dahin erreichen Sie mich für Feedback und Themenwünsche per E-Mail an podcast@vz-bln.de. Dies war genau genommen – Der Podcast der Verbraucherzentrale, mein Name ist Patrick Lohmeier und ich freue mich aufs Wiederhören.
