Fernsehgeräte bergen laut einer SmartTV Studie eine Gefahr. Unbemerkt werden Daten aus dem Fernsehgerät über das Nutzungsverhalten des Anwenders aufgezeichnet und an Dritte weitergegeben. Ob man das will oder nicht. Fernseher mit Internetverbindung senden laufend Daten an den Hersteller, aber auch an Google, Amazon, YouTube und andere. Das sogar im Stand-by-Betrieb!
Wann werden SmartesTV Daten übertragen?
Nach Verbindung eines „smarten“ Fernsehgerätes mit dem Internet sind es nicht mehr nur die (Rundfunk-) Signale die empfangen werden, sondern vielmehr ein Rückkanal zu den jeweiligen Diensteanbietern. Damit stellen sich aus datenschutzrechtlicher Sicht zahlreiche Fragen, insbesondere, wann und welche personenbezogenen Daten bei Nutzung der unterschiedlichen Angebote fliessen? Wer nutzt diese Daten zu welchen Zwecken? Existiert eine Erlaubnis für das Erheben und die weitere Verwendung der Daten? Werden die Datenschutzgrundsätze eingehalten und inwieweit technisch-organisatorische Massnahmen dem jeweiligen Schutzbedarf entsprechen. Es darf nicht sein, dass die Unternehmen, die unrechtmässig erhobenen personenbezogenen Daten zu Geld machen und dadurch die Produktion ihrer Fernsehgeräte subventionieren und billiger auf den Markt bringen können.
Bei einer technischen Prüfaktion von Smart-TV Geräten von 13 Herstellern, die etwa 90 Prozent des Marktes in Deutschland abdecken wurde festgestellt, dass Daten bei der Nutzung der Geräte fliessen. Eine erste Untersuchung zeigte, dass ein Smart-TV direkt nach Inbetriebnahme dauerhaft und während des Betriebs zahlreiche Internet-Anfragen (sog. Requests = Senden an und Abrufen von Daten eines Servers) an unterschiedliche Anbieter sendet. Diese Requests senden dabei in der Regel Daten über das Verhalten des Nutzers. Einige dieser Requests sind geeignet genaue Nutzungs- und Persönlichkeitsprofile zu erstellen.
Samsung Serie5 Smart-TV
Für die Untersuchung in einem ersten Test wurde ein aktuellen Samsung Serie5 Smart-TV aus dem Jahr 2016 (UE40K5579) in der Standardkonfiguration belassen, so wie es wohl die meisten Kunden verwenden würden. Das Gerät wurde bei keinem Inhalteanbieter aktiv registriert oder angemeldet und es wurde kein Abonnement für einen Pay-TV-Sender oder für andere Dienste abgeschlossen. Das Smart-TV wurde per Antennen-Kabel an das Netz von Kabel Deutschland angeschlossen. Im Sendersuchlauf wurden nur „freie“ Kanäle verwendet. Das Gerät wurde per WLAN in ein abgeschlossenes lokales Netz integriert. In diesem lokalen Netz wurden ausser dem Smart-TV und dem WLAN-Router nur ein eBlocker sowie ein Laptop zur Auswertung der Daten betrieben. Das lokale Netz war per Kabel-Modem mit dem Internet verbunden.
Für die Durchführung des Test wurde das Fernsehgerät, wie ein normales in verschiedenen Anwendungsfällen getest. Ein angeschlossene eBlocker wurde dazu verwendet, die vom SmartTV jeweils abgesendeten http/https-Request zu protokollieren und zu analysieren. Bei umverschlüsselten http-Requests kann der eBlocker die genau URL sowie etwaige Meta-Daten der Anfrage analysieren und protokolieren. Bei httpsRequests wird der Datenstrom zwischen dem Gerät und dem Server verschlüsselt. Bei http erfolgt die Datenübermittlung ohne Verschlüsselung und kann so von Dritten mitgelesen werden. Selbst im StandBy-Modus werden regelmässig https- und http-Request abgesendet.
https-Requests
Domäne: lcprd2.samsungcloudsolution.net (54.246.181.131)
Ziel: Samsung
Domäne: osb.samsungqbe.com (52.29.248.210)
Ziel: Samsung
Domäne: script.ioam.de (91.215.103.64)
Ziel: InfoOnline (Datensammler zur Reichweitenanalyse)
Diese oder ähnliche Requests werden regelmässig (z.B. minütlich) wiederholt, so dass der Sender im Prinzip recht genau verfolgen kann, ob und wie lange eine Sendung gesehen wird. Die Requests von Sendern aus der gleichen Sendefamilie (z.B. „prosieben.de“ und „sat1.de“) gehen zwar an unterschiedliche URLs. Sie sind aber sehr ähnlich aufgebaut und verwenden teilweise die gleichen IDs in den Cookies, so dass es technisch kein Problem ist, diese Daten und damit das Fernsehverhalten auch senderübergreifend auszuwerten. Auch eine Trennung der Stromversorgung bringt nichts! Das Testgerät wurde auf den Sender „ARD HD“ eingestellt, ausgeschaltet, ca. 30 Sekunden vom Stromnetz getrennt und wieder eingeschaltet. Nach zwei Minuten nach dem Einschalten wurden wieder die Requests protokolliert. Viele Requests gehen an diverse Server von Samsung selbst. Aber darüber hinaus werden auch sehr viele Requests an kommerzielle Anbieter wie Netflix, Maxdome, TV-Digital, Ampya und andere gesendet. Dabei ist es ganz unerheblich, ob der Nutzer entsprechende Apps auf dem Gerät verwendet oder überhaupt einen Account bei einem dieser Anbieter besitzt. Einige Requests enthalten Identifizierungs-Cookies oder andere eindeutige Gerätekennungen, die sich auch nach Aus- und Wiedereinschalten des Gerätes nicht ändern. Diese sind geeignet, den Nutzer während der gesamten Lebensdauer des Smart-TV immer wieder zu erkennen.
Das untersuchte Gerät von Samsung ist unter Datenschutz- und Privatspähreaspekten eine Katastrophe. Es sendet permanent personenbezogenen Daten (wie die IP-Adresse des Nutzer) ohne Nutzerinteraktion und ohne dessen Einwilligung. Die Daten sind geeignet sehr genaue Persönlichkeitsprofile über den Nutzer, seine Interesse und seine häuslichen Gewohnheiten wie z.B. Anwesenheitszeiten aufzuzeichnen. Der Datenversand ist durch Konfigurationseinstellungen nicht ohne weiteres abstellbar. Der Einsatz des Gerätes ohne weitere Schutzfunktion birgt daher grosse Risiken für die Privatsphäre des Anwenders. Bei der ersten Studie darf nicht vergessen werden, dass nur ein Smart-TV der Marke Samsung untersucht wurde. Wie sich weitere Smart-TVs in Sachen Datensammeln verhalten lässt sich davon nicht automatisch ableiten, nur vermuten. Quelle: https://www.eblocker.com/de/
Keine Kommentare:
Kommentar veröffentlichen