Smart-TVs und Datenschutz: Karussell des Datengeschäfts

Geschrieben von Kemal Webersohn, veröffentlicht am 21.07.2020

Smarte TV-Geräte bieten umfangreiche Funktionen, die das Fernsehen über die letzten Jahre revolutioniert haben. Um diesen Komfort in Form von Mediatheken und ständiger Abrufbarkeit von Inhalten gewährleisten zu können, sind die Geräte daher ständig mit dem Internet verbunden. Das Bundeskartellamt hat nun in seiner Sektoruntersuchung Smart-TVs festgestellt, dass aufgrund intransparenter Datenschutzerklärungen ohne Wissen der Besitzer potentiell umfangreiche Nutzerdaten erhoben werden. Die Autoren vergleichen die Verwendung von Smart-TVs mit dem Einstieg in ein Karussell des Datengeschäfts, das der Nutzer nicht mehr anhalten und aus dem er nicht mehr aussteigen kann.

Wie fand die Untersuchung statt

Das Bundeskartellamt hat seine Erkenntnisse im Wesentlichen aus zwei schriftlichen Befragungsrunden gewonnen. Die erste Befragungsrunde richtete sich an 32 Unternehmen und diente in erster Linie der Aufklärung der Marktstrukturen und Marktverhältnisse. Besonderes Augenmerk lag auf den Datenflüssen zwischen dem Verbraucher und den Herstellern von Smart-TVs sowie deren Lieferanten von Software für die smarte TV-Plattform. In die Auswertung der Struktur-Befragung sind Antworten von 21 Herstellern eingeflossen. Darunter sind alle in der Öffentlichkeit bekannten Smart-TV-Hersteller.

In der zweiten Befragungsrunde hat das Bundeskartellamt diesen 21 Unternehmen detaillierte Fragen insbesondere zu Datenschutz und Sicherheit bei der Verwendung von Software, Datenflüssen und Vertragsbeziehungen gestellt.

Was genau wird den TV-Herstellern vorgeworfen?

Die Geräte können laut der Untersuchung des Bundeskartellamts vielfältig personenbezogene Daten in Form von generellem Fernsehverhalten, App-Nutzung, Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erheben und verarbeiten.

Insgesamt hätten die in Deutschland aktiven Smart-TV-Hersteller laut Bundeskartellamt fast durchgehend schwerwiegende Transparenzmängel gegenüber den Verbrauchern. Damit verstießen sie massiv gegen die Informationspflichten der EU-Datenschutz-Grundverordnung (DSGVO).

Welchen Risiken ist der Benutzer ausgesetzt?

Die durch die Smart-TVs gesammelten Daten lassen sich anhand eindeutiger Identifikatoren mit anderweitig bereits vorhandenen oder öffentlich verfügbaren personenbezogenen Daten zusammenführen. Das Bundeskartellamt sieht darin die Gefahr, dass viele Hersteller die gesammelten Nutzerdaten (auch) für Werbezwecke verwenden, da so beim Verbraucher eine erhöhte Aufmerksamkeit und entsprechend höhere Umsätze erreicht werden können. Denn je mehr werberelevante Daten über eine Person vorliegen (z.B. Interessen, Alter, Einkommen), desto lukrativer wird sie für die Werbewirtschaft, da sie sich Werbezielgruppen besser zuordnen lässt und auch für eine größere Anzahl maßgeschneiderter Werbekampagnen in Betracht kommt. Der Werbungsempfänger erhält so „passgenauere“ und für ihn mutmaßlich interessantere Werbung. Außerdem werden immer genauere Nutzerprofile gebildet, die den Einzelnen und sein Umfeld zunehmend berechenbar machen, so die Autoren.

Worüber muss der Nutzer informiert werden?

Werden personenbezogene Daten durch einen Smart-TV erhoben und verarbeitet, ist der Verantwortliche (also z.B. Hersteller) gem. Art. 13 DSGVO verpflichtet, die erforderliche Transparenz im Rahmen der Datenerhebungen für den Betroffenen herzustellen. Die Informationspflicht ist damit als Ausdruck einer fairen und transparenten Verarbeitung von personenbezogenen Daten zu verstehen. Denn erst durch die mit Hilfe von Art. 13 DSGVO gewonnenen Informationen wird die betroffene Person in die Lage versetzt, eine Datenverarbeitung richtig einzuschätzen und ihre Betroffenenrechte ordnungsgemäß wahrzunehmen.

Die Datenschutzbestimmungen der in Deutschland im Bereich der Smart-TVs wesentlichen Akteure wiesen aber fast durch die Bank schwerwiegende Transparenzmängel auf. Die Datenschutzbestimmungen sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen.

Auch welche personenbezogenen Daten konkret verarbeitet wurden, war den analysierten Datenschutzbestimmungen der Smart-TVs ganz überwiegend nicht zu entnehmen. Problematisch war laut den Autoren der Studie etwa, dass dies häufig auf eine reine Aufzählung weit gefasster Kategorien personenbezogener Daten zurückzuführen ist, die die konkret verarbeiteten Daten nicht oder allenfalls ansatzweise erkennen lassen. So verarbeitet z.B. Google seiner Datenschutzerklärung zufolge „…Daten über die Interaktion Ihrer Apps, Browser und Geräte mit unseren Diensten.“ Da zu den Google-Diensten auch das Betriebssystem Android gehört (welches auch in einer TV-Variante existiert), kommt es mutmaßlich zu einer potentiell unüberschaubaren Anzahl an Interaktionen; in welchem Umfang hier welche personenbezogenen Daten durch den TV-Hersteller und/oder Google verarbeitet werden, bleibt damit völlig unklar.

Dürfen diese Daten überhaupt verarbeitet werden?

Die Verarbeitung personenbezogener Daten muss aber nicht nur transparent erfolgen, sie muss auch rechtmäßig sein. Denn die Datenschutz-Grundverordnung ist gem. Art. 6 DSGVO ein Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet, dass eine Verarbeitung personenbezogener Daten verboten ist, außer ein Gesetz erlaubt dies oder der Betroffene hat in die Verarbeitung eingewilligt. Hersteller von Smart-TVs können eine Verarbeitung personenbezogener Nutzerdaten somit auf dreierlei Weise rechtfertigen:

Von den einschlägigen Rechtsgrundlagen machen die befragten Unternehmen in unterschiedlichem Ausmaß Gebrauch.

Berechtigtes Interesse als Rechtsgrundlage

Soweit für Datenverarbeitungen berechtigte Interessen angeführt werden, bestehen laut Studie regelmäßig erheblicher Zweifel an der Rechtmäßigkeit. Denn eine Auseinandersetzung mit den Interessen der von der Datenverarbeitung betroffenen Personen in Form einer Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO findet nicht erkennbar statt. Darüber hinaus führen die Unternehmen als ein berechtigtes Interesse zumeist die Verbesserung des eigenen Produkts bzw. der eigenen Dienstleistung ins Feld. Dabei wird jedoch nicht erkennbar, worin diese Verbesserung besteht, weshalb diese nicht im Wesentlichen ebenso gut mit anonymisierten Daten erreicht werden kann oder welche der verarbeiteten Daten für diese Verbesserung überhaupt herangezogen werden.

Die Einwilligung als Rechtsgrundlage

Eine Verarbeitung personenbezogener Daten zu Werbezwecken wird von den Herstellern in der Regel nicht als berechtigtes Interesse deklariert, sondern von der Einwilligung des Verbrauchers abhängig gemacht. Aber was genau bedeutet die datenschutzrechtliche Einwilligung?

Die Einwilligung im Sinne der DSGVO ist die Entscheidung des Betroffenen, dem Datenverarbeiter die Verarbeitung von personenbezogenen Daten, die auf ihn verweisen, zu gestatten. Als stärkster Ausdruck des Rechts der informationellen Selbstbestimmung kommt der Einwilligung damit eine zentrale Rolle zur Legitimation der Verarbeitung personenbezogener Daten zu. Denn sie ist Ausdruck der Freiheit und Schutzinteressen der geschützten Person sowie der Rücksichtnahme auf die Grundrechte und Interessen der Datenverarbeiter. Aufgrund dieser hervorgehoben Stellung unterliegt eine wirksame Einwilligung strengen Anforderungen. So muss die Einwilligung gem. Art. 7 DSGVO etwa freiwillig sein, durch eine eindeutig bestätigende Handlung erfolgen, informiert und widerruflich sein. Nach Ansicht des Bundeskartellamts, fehlt es bei den Einwilligungsersuchen aber praktisch durchgängig an einer Darstellung aller wesentlichen Angaben, die der Nutzer für eine informierte Einwilligung benötigen würde. Außerdem würden die Nutzermenüs häufig nicht neutral ausgestaltet sein, sondern den Nutzer in Richtung bestimmter Auswahlentscheidungen lenken (sog. „Digital Nudging“), die mit einer umfangreicheren Verarbeitung personenbezogener Daten einhergehen.

Anbei einige Beispiele für „Digital Nudging“ aus dem Sektorbericht des Bundeskartellamts.

Vor allem, ob die Betroffenen informierte und freiwillige Einwilligungen erklären, wenn im Rahmen der bestätigenden Handlung (z.B. Häkchen setzen), „Digital Nudging“ eingesetzt wird, ist daher fraglich. Denn Zweck des „Digital Nudging“ ist es ja gerade, den Betroffenen in eine bestimmte Entscheidungsrichtung zu lenken. Es soll also eine asymmetrische Verhandlungsposition geschaffen werden, in der der Betroffene im Sinne des Verantwortlichen handelt und ihm weiterreichende Verarbeitungstätigkeiten einräumt.

Eine Einwilligung ist aber nur freiwillig, wenn sie ohne jeden Druck oder Zwang abgegeben werden kann. Außerdem verlangt Erwägungsgrund 42 DSGVO eine echte Wahlfreiheit der betroffenen Person, die darüber in der Lage sein soll, die Einwilligung zu verweigern oder zurückzunehmen.

Fazit

Der Sektorbericht des Bundeskartellamts hat starken Nachholbedarf in der DSGVO-Compliance bei Smart-TV Herstellern in zwei wesentlichen Themenkomplexen aufgedeckt: dem Transparenzgebot und der Rechtmäßigkeit.

Sollte eine Aufsichtsbehörde bei einer Überprüfung der Meinung sein, dass auf Grundlage unwirksamer weil unfreiwilligen Einwilligungen personenbezogene Daten der Verbraucher verarbeitet worden sein, so liegt in jedem einzelnen Fall eine Verarbeitung ohne Rechtsgrundlage und somit ein Verstoß gegen den Grundsatz der Rechtmäßigkeit gem. Art. 5 Abs. 1 lit. a DSGVO vor. Ein Verstoß gegen die Grundsätze für die Verarbeitung personenbezogener Daten kann gem. Art. 83 Abs. 5 lit. a DSGVO mit einem Bußgeld von bis zu 20.000.000 Euro geahndet werden. Die gleichen hohen Bußgelder gelten gem. Art. 83 Abs. 5 lit. b DSGVO bei der Verwendung intransparenter Datenschutzbestimmungen.

Es bleibt abzuwarten, wie sich die Aufsichtsbehörden verhalten, denn der Markt um Smart-TVs scheint keinen Regulierungsdruck zu verspüren und verhält sich nach Wild-West-Manier zu Lasten der Verbraucher.