Vorabfassung - w ird durch die lektorierte Version ersetzt. Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 29. April 2016 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 18/8317 18. Wahlperiode 03.05.2016 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Renate Künast, Dr. Konstantin von Notz, Nicole Maisch, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN – Drucksache 18/8015 – Abhörpuppen – Datenschutz im Kinderzimmer V o r b e m e r k u n g d e r F r a g e s t e l l e r Im Jahr 2015 wurden allein auf dem deutschen Spielwarenmarkt 3 Milliarden Euro umgesetzt (Eurotoys, Statista 2016). Kinder und ihre Wünsche haben einen enormen Einfluss auf das Konsumverhalten ihrer Eltern. Sie bestimmen heute maßgeblich mit, wie das frei verfügbare Familieneinkommen ausgegeben wird, und sie haben selbst immer größere finanzielle Mittel zu ihrer freien Verfügung . Das Taschengeld von Kindern beträgt derzeit im Mittel 26,35 Euro im Monat. Darüber hinaus erhalten viele Kinder zu Weihnachten und zum Geburtstag noch Geldgeschenke in Höhe von durchschnittlich 170 Euro pro Jahr (Kids Verbraucher Analyse, Statista 2016). Für Spielwarenhersteller und andere Unternehmen stellen Kinder daher eine außerordentlich kaufkräftige und damit besonders interessante Zielgruppe dar. Dabei macht auch die fortschreitende Digitalisierung unserer Lebensverhältnisse – mit allen Chancen und Risiken – vor den Kinderzimmertüren nicht halt. Mehr als jedes dritte Kind hat ein „Lieblingsspielzeug“, das aus dem Mobil-, Computer- oder Konsolenbereich kommt (iconkids & youth, Statista 2016), und neuartiges, vernetztes Spielzeug erobert den Markt. Diese Neuerungen werfen jedoch auch Datenschutzfragen auf. Die Unternehmen Vivid Deutschland GmbH und Matell GmbH vertreiben seit neuestem z. B. sprechende und hörende Puppen mit harmlos klingenden Namen wie „Hello Barbie“ oder „My friend Cayla“. Während „Hello Barbie“ bislang nur in den USA vermarktet wird, ist die Puppe „My friend Cayla“ seit letztem Jahr in Deutschland erhältlich. Sie richtet sich an Kinder im Alter zwischen 4 und 10 Jahren. Mittels Mikrofon und drahtloser Internetverbindung nimmt Cayla alle Gespräche in ihrer Umgebung auf und überträgt die Daten dann an die Server des Drittunternehmens ToyQuest Limited mit Sitz in Hong Kong, China. Dort werden die Daten verarbeitet und – wenn Cayla angesprochen wurde – eine „passende“ Antwort entworfen. Die Puppe wird als Gesprächspartner für Kinder beworben. Die nur im Internet abrufbaren Datenschutzbestimmungen zu Cayla erlauben es dem Unternehmen ToyQuest Limited, die „Audiodateien von den Stimmen der Nutzer, entsprechende Transkriptionen und/oder in Zusammenhang mit der Nutzung der App entstandene Log Files“ (http://myfriendcayla.de/datenschutz) Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 18/8317 – 2 – Deutscher Bundestag – 18. Wahlperiode an Drittunternehmen weiterzuleiten. Eines dieser Drittunternehmen ist dabei das zum Amazon-Konzern gehörende Unternehmen Ivona Software. Dieses behält sich wiederum vor, „to evaluate and profile customers, including customer preferences and purchasing trends, which we may use for marketing purposes and in respect of operations and development“ (www.ivona.com/us/privacy-policy/ #head2). Es ist daher zu befürchten, dass die aus den vermeintlich privaten „Kinderzimmergesprächen“ gewonnenen Daten bereits jetzt oder künftig zu Werbe- und Marktforschungszwecken genutzt werden. Die Konzerne können die so gewonnenen Verhaltensdaten nutzen und verkaufen. Die Kinder werden dadurch vom Verbraucher zum Produkt degradiert. Auch bei Spielzeug, das per App gesteuert wird, können Daten von Unternehmen gesammelt und weitergegeben werden. So hat die Stiftung Warentest für den Spielzeug-Roboter Sphero BB-8 festgestellt, dass die Software, die eigentlich nur das Spielzeug fernsteuern soll, unnötige Daten erfragt und diese an Dritte weitergibt. So werden neben detaillierten Angaben zu dem Mobilgerät, auf dem die App läuft, auch die E-Mail-Adresse und das Alter des Nutzers an Dritte gesendet (www.test.de/Spielzeug-Roboter-Sphero-BB-8-Niedlich-aberzu -neugierig-4971623-0/). Wie attraktiv für Dritte und wie schwer gegen ungewollten Zugriff zu schützen die Daten von „vernetztem Spielzeug“ sind, zeigt auch ein Hackerangriff auf das Unternehmen VTech Electronics Europe GmbH (www.spiegel.de/netzwelt/ gadgets/vtech-spielzeug-daten-von-eltern-und-kinder-erbeutet-a-1065182.html). Der Hersteller von Kindertablets und Lernsoftware aus China musste im November 2015 eingestehen, dass Hacker die bei VTech Electronics Europe GmbH gespeicherten Daten von mehr als 200 000 Kindern erbeutet hatten. Als Konsequenz hieraus änderte VTech Electronics Europe GmbH jüngst seine englischen Datenschutzbestimmungen. Darin heißt es jetzt sinngemäß, dass es sein könne, dass Dritte an die Daten gelangen (www.spiegel.de/netzwelt/gadgets/ vtech-aerger-ueber-neue-agb-des-spielzeugherstellers-a-1076806.html). Dies ist kein angemessenes Datenschutzniveau für sensible „Kinderzimmerdaten“. V o r b e me r k u n g d e r B u n d e s r e g i e r u n g Die Bundesregierung geht davon aus, dass sich die Fragen 7 bis 13 der Kleinen Anfrage auf ein konkretes Produkt, die Puppe „My friend Cayla“ des Spielzeuganbieters ToyQuest, beziehen. Bei der Beantwortung der Fragen wird für die Funktionsweise der Puppe und die damit verbundene Datenerhebung, -verarbeitung und -nutzung von der Sachverhaltsdarstellung ausgegangen, wie sie der von den Fragestellern in Bezug genommenen Datenschutzerklärung des Spielzeuganbieters ToyQuest (Stand: 2014, http://myfriendcayla.de/datenschutz) entnommen werden kann. 1. Teilt die Bundesregierung die Auffassung, dass Kinder besonders verletzliche und außerordentlich schutzwürdige Verbraucher sind, für die der Staat eine besondere Verantwortung trägt? Die Verbraucherpolitik der Bundesregierung ist geleitet von einem differenzierten Verbraucherbild. Dieses berücksichtigt, dass Bedürfnisse, Interessen, Wissen und Verhalten der Verbraucher je nach Markt variieren. Um den unterschiedlichen Interessen, Kenntnissen und Bedürfnissen der Verbraucherinnen und Verbraucher verstärkt Rechnung zu tragen und damit die Teilhabe aller Verbraucherinnen und Verbraucher am Markt zu ermöglichen, berücksichtigt die Bundesregierung gezielt die Belange von besonderen Verbrauchergruppen in der Verbraucherpolitik . Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/8317 Die Bundesregierung sieht Kinder wegen ihrer Minderjährigkeit in einer Vielzahl von Situationen als verletzliche und schutzbedürftige Verbraucherinnen und Verbraucher an. 2. Welche Maßnahmen hat die Bundesregierung bisher unternommen, um Eltern für die Risiken, die mit zuvor beschriebenen Spielzeug verbunden sind, zu sensibilisieren? 3. Was tut die Bundesregierung konkret, um auf das neuartige, vernetzte Spielzeug zu reagieren? 4. Was tut die Bundesregierung, um die Privat- und Intimsphäre von Kindern, die vernetztes Spielzeug benutzen, vor Ausforschungen durch Unternehmen zu Marktforschungszwecken zu schützen? 5. Wie kontrolliert sie den Erfolg dieser Bemühungen? Die Fragen 2 bis 5 werden zusammenhängend beantwortet. Bei digitalen Produkten und Diensten und damit auch bei vernetzten Geräten mit digitalen Funktionalitäten ist es für die Bundesregierung unabdingbar, dass die Verbraucherrechte gewahrt werden und Schutz und Sicherheit für alle Beteiligten gewährleistet sind. Dies gilt insbesondere für Produkte, die sich an Kinder als besonders verletzliche und schutzwürdige Verbraucher richten. Bei einer vernetzten Puppe, die Gespräche aufnimmt und an das Spielzeugunternehmen oder Dritte überträgt, sind sensible Informationen aus dem persönlichen Umfeld und damit der Kernbereich privater Lebensführung betroffen. Hier müssen der Schutz der Privatsphäre, das Recht auf informationelle Selbstbestimmung und die Datensouveränität gewährleistet sein. Eine verständliche und umfassende Information der Verbraucher ist dafür unabdingbar. Die Bundesregierung tritt deshalb insbesondere dafür ein, dass bei allen digitalen Angeboten – so auch bei vernetzten Spielgeräten – Verbraucherinnen und Verbraucher die Kontroll- und Steuerungsmöglichkeiten erhalten und damit selbst über die Datenverarbeitung entscheiden können. Bei einer Kinder betreffenden Datenverarbeitung ist die Einwilligung in eine Verarbeitung je nach Einzelfall, Alter und Spielzeug grundsätzlich durch die Eltern zu erteilen. Die EU-Datenschutzgrundverordnung (DSGVO), die voraussichtlich ab Mitte 2018 anwendbar sein wird, sieht einige besondere Schutzregeln für Kinder vor. Mit dem aus Bundesmitteln geförderten Marktwächter Digitale Welt, der zur Aufgabe hat, die digitalen Märkte zu beobachten und zu analysieren, Missstände an die Aufsichtsbehörden zu melden, die Politik zu beraten und die Verbraucherinnen und Verbraucher zu informieren, hat die Bundesregierung neben der etablierten Aufsicht ein effektives Instrumentarium zur Beobachtung des Marktgeschehens geschaffen, auch soweit es um digitale Angebote an Kinder geht. Verbraucherbeschwerden aus den rund 200 Beratungsstellen der Verbraucherzentralen und empirischen Untersuchungen helfen dem Marktwächter dabei, auch verbraucherschützende Aspekte vernetzten Spielzeugs in seine Betrachtungen einzubeziehen . Zur Stärkung der Rechtsdurchsetzung im Verbraucherdatenschutz wurde am 23. Februar 2016 das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts verkündet. Zum besseren Schutz der Rechte der Verbraucher können seither neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 18/8317 – 4 – Deutscher Bundestag – 18. Wahlperiode und Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen. Daneben fördert die Bundesregierung Projekte zur Stärkung der digitalen Kompetenzen der Verbraucherinnen und Verbraucher für Fragen des Schutzes und der Sicherheit im Internet, auch soweit es um Angebote für Kinder und Jugendliche geht. Die Entwicklung digitaler Medienprodukte und die zunehmende Präsenz von Medien im Familienalltag erfordern eine bewusste Medienerziehung in Familien. Der u. a. aus Bundesmitteln finanzierte Erziehungsratgeber „Schau Hin! Was Dein Kind mit Medien macht.“ informiert Eltern und Erziehende über aktuelle Entwicklungen am Medienmarkt und bietet Familien Orientierung im Umgang mit Medien. Im Dezember 2015 wurde auf www.schau-hin.info eine Meldung zum Thema elektronisches und vernetztes Spielzeug veröffentlicht. 6. Welche Erkenntnisse hat die Bundesregierung über den Markt mit vernetztem Spielzeug in Deutschland? Welche Produkte werden bereits in Deutschland verkauft, wie sind die Verkaufszahlen ? Der Bundesregierung liegen hierzu keine Erkenntnisse vor. 7. a) Hält die Bundesregierung die Einverständniserklärung von Eltern zur Aufnahme, Verarbeitung und Speicherung der „Gespräche“ ihres Kindes mit einer vernetzten Puppe durch Drittunternehmen für wirksam? Die Einverständniserklärung gegenüber dem Spielzeuganbieter ToyQuest kann wirksam sein, wenn die Voraussetzungen des § 4a des Bundesdatenschutzgesetzes (BDSG) erfüllt sind. Nach § 4a BDSG ist eine Einwilligung nur wirksam, wenn sie auf der freien Entscheidung der Betroffenen beruht. Die Betroffenen sind auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen . Grundsätzlich bedarf die Einwilligung der Schriftform. Sie kann jedoch auch in elektronischer Form abgegeben werden. Im Falle der Puppe „My friend Cayla“ können die Eltern hierzu im Rahmen der online verfügbaren Datenschutzerklärung von ToyQuest eine sog. „Checkbox“ anklicken. Die Nutzung der Puppe setzt voraus, dass die Eltern die App eines Drittanbieters installieren. Gegenüber diesem Dritten kann die Einverständniserklärung unter den Voraussetzungen der §§ 12, 13 des Telemediengesetzes (TMG) wirksam erteilt werden. Dies ist der Fall, wenn der Diensteanbieter die Hinweispflicht des § 13 Absatz 3 TMG erfüllt und zudem sicherstellt, dass die Eltern ihre Einwilligung bewusst und eindeutig erteilen, die Einwilligung protokolliert wird, die Eltern den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können (§ 13 Absatz 2 TMG). b) Falls ja, ist dies nach Auffassung der Bundesregierung auch mittels Allgemeiner Geschäftsbedingungen möglich, so wie bei der Puppe „My friend Cayla“? Nach § 4a BDSG bedarf die Einwilligung grundsätzlich der Schriftform. Wenn sie zusammen mit anderen Erklärungen erteilt wird, ist sie gemäß § 4a Absatz 1 Satz 4 BDSG besonders hervorzuheben. Die Abgabe einer Einwilligungserklärung ohne gesonderten Hinweis nur durch die Bezugnahme auf die allgemeinen Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 18. Wahlperiode – 5 – Drucksache 18/8317 Geschäftsbedingungen (AGB) ist daher nach der geltenden Rechtslage nicht zulässig . 8. Wie stellt sich die Rechtslage nach Auffassung der Bundesregierung dar, wenn die Spielzeuge auch die Daten von unbeteiligten Dritten erfassen, verarbeiten und speichern, die nicht wissen, dass ein entsprechendes Spielzeug eingeschaltet und im Raum ist und die keine Einverständniserklärung gegeben haben? Sowohl nach dem BDSG als auch dem TMG ist eine Datenerhebung nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder eine Einwilligung vorliegt. Fehlt die Einwilligung Dritter, ist die Erhebung ihrer Daten mangels Erlaubnisnormen unzulässig . 9. Welche datenschutzrechtlichen Bestimmungen (Bundesdatenschutzgesetz – BDSG, Telemediengesetz – TMG, Telekommunikationsgesetz – TKG usw.) kommen nach Auffassung der Bundesregierung für Puppen zum Tragen, die ganze Gespräche mitschneiden können? Gegenüber dem Spielzeuganbieter ToyQuest kommen insbesondere die für nichtöffentliche Stellen geltenden Erlaubnistatbestände der §§ 28 ff. sowie die Vorschriften über die Betroffenenrechte in §§ 33 ff. BDSG zum Tragen. Darüber hinaus sind die Vorschriften des TMG anwendbar, wenn personenbezogene Daten durch Diensteanbieter im Internet erhoben und verarbeitet werden. Die Diensteanbieter unterliegen besonderen Pflichten (insb. Unterrichtungspflichten sowie technische und organisatorische Sicherstellungspflichten). Personenbezogene Daten dürfen ohne Einwilligung nur verarbeitet werden, soweit dies für die Inanspruchnahme oder ggfs. Abrechnung der Dienstleistung erforderlich ist. Die Aufsicht über die Einhaltung der Datenschutzbestimmungen liegt in der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. 10. Wer sind die datenschutzrechtlich verantwortlichen Stellen für den Einsatz solcher Puppen, und in welchem Verhältnis stehen mehrere gleichzeitig Verantwortliche zueinander? Nach § 3 Absatz 7 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Für die im Zusammenhang mit dem Gebrauch der Puppen erhobenen und verarbeiteten personenbezogenen Daten kommen mehrere verantwortliche Stellen in Betracht. Abhängig vom Umfang und Zweck der Verarbeitung können dies neben dem Spielzeuganbieter auch Anbieter von Diensten bzw. Apps sein. In welchem Verhältnis diese zueinander stehen , z. B. ob es sich um Auftragsdatenverarbeiter handelt, bedarf einer genauen Prüfung im jeweiligen Einzelfall. Diese Prüfung obliegt den dafür zuständigen Datenschutzaufsichtsbehörden. Aus der Sachverhaltsdarstellung der Fragesteller ergeben sich keine Anhaltspunkte , die im Ergebnis eine datenschutzrechtliche Verantwortlichkeit der Eltern im Sinne von § 3 Absatz 7 BDSG begründen könnten. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 18/8317 – 6 – Deutscher Bundestag – 18. Wahlperiode 11. Wie können nach Auffassung der Bundesregierung Eltern für die in der Regel nicht einwilligungsfähigen Kinder anstelle der Kinder einwilligen, wenn diese zugleich verantwortliche datenverarbeitende Stelle im Sinne der Datenschutzbestimmungen sind? Zur Frage der datenschutzrechtlichen Verantwortlichkeit der Eltern wird auf die Antwort zu Frage 10 verwiesen, zur Frage der Einwilligung der Eltern für die Kinder auf die Antwort zu Frage 7a. 12. Wie stellt sich die Rechtslage nach Auffassung der Bundesregierung dar, wenn das Spielzeug die Gespräche mit Kindern erfasst, verarbeitet und speichert , deren Eltern nicht in die Nutzung eingewilligt haben? Auf die Antwort zu Frage 8 wird verwiesen. 13. Wie stellt sich die Rechtslage nach Auffassung der Bundesregierung hinsichtlich der Datenschutz-Grundverordnung dar? Sieht die Bundesregierung hier mögliche Umsetzungsspielräume bei der Umsetzung in nationales Recht, und wird sie diese wahrnehmen? Die verantwortliche Stelle ist in der DSGVO (Artikel 4 Nummer 7) ebenso wie in Artikel 2 Buchst. d) der bisher geltenden EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) definiert, die durch § 3 Absatz 7 BDSG umgesetzt worden ist. Die DSGVO bringt mit Blick auf den räumlichen Anwendungsbereich der datenschutzrechtlichen Bestimmungen Neuerungen. In Artikel 3 ist nunmehr das sog. Marktortprinzip verankert, d. h. das EU-Datenschutzrecht gilt auch für Unternehmen aus Nicht-EU-Staaten, die ihre Dienste oder Waren in der EU anbieten – unabhängig davon, ob sie in der EU eine Niederlassung haben. Öffnungsklauseln und damit Umsetzungsspielräume enthält die DSGVO insoweit nicht. 14. Hält die Bundesregierung vor dem Hintergrund einer Umfrage der Gesellschaft Public Relations Agenturen e. V., der zufolge das Vertrauen von 90 Prozent der Eltern in Spielzeug davon abhängt, ob dies „ungefährlich“ ist, vernetztes Spielzeug, das im Betriebsmodus ständig Daten über sein Umfeld an Dritte sendet, für „ungefährlich“? Vernetztes Spielzeug ebenso wie andere Produkte, die über das Internet kommunizieren und dabei unkontrolliert Daten an Dritte senden, gefährden das Recht auf informationelle Selbstbestimmung. Diese Produkte unterliegen, wenn die Kommunikation drahtlos erfolgt, zunächst den in der EU harmonisierten Bestimmungen über Funkanlagen. Sie müssen grundlegende Anforderungen beachten, um auf dem Markt bereitgestellt werden zu können. Dazu gehören nach der neuen europäischen Richtlinie 2014/53/EU über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt in bestimmten Kategorien oder Klassen, die die Europäische Kommission festlegt, auch Sicherheitsvorrichtungen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden. Damit soll gewährleistet werden, dass Daten erforderlichenfalls geschützt (verschlüsselt ) übermittelt werden. Die Übermittlung von Daten an Diensteanbieter im Internet als solche ist davon aber nicht betroffen, wenn eine Funkanlage in Puppen oder anderen Produkten dafür bestimmt ist. Insoweit gelten die Datenschutzgesetze (vgl. Antwort zu Frage 9). Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 18. Wahlperiode – 7 – Drucksache 18/8317 15. Welche Erkenntnisse hat die Bundesregierung über den Hackerangriff auf das Unternehmen VTech Electronics Europe GmbH und über die Auswirkungen für deutsche Verbraucherinnen und Verbraucher? 17. Hat die Bundesregierung Erkenntnisse über die Urheber der Attacke und wozu diese die Daten verwenden wollen? 18. Welche Stelle in der Bundesregierung hat sich mit dem Vorfall beschäftigt? 20. Zieht die Bundesregierung hieraus Schlüsse für ihre Cyber-Sicherheitsstrategie , und wenn ja, welche? Die Fragen 15, 17, 18 und 20 werden zusammen beantwortet. Innerhalb der Bundesregierung liegen keine über die Presseberichte hinausgehenden Erkenntnisse zu dem Vorfall vor. Bislang werden zu dem Vorfall auch keine eigenen Ermittlungen angestellt. 16. Hat es im Zusammenhang mit diesem Angriff eine Information der zuständigen Behörden und/oder bundesdeutscher Nutzerinnen und Nutzer gemäß § 42a BDSG gegeben, und wenn nein, weshalb nicht? Ob es eine Information im Sinne der Fragestellung gab, entzieht sich der Kenntnis der Bundesregierung. Es wird angeregt, sich an die für die Firma V-Tech zuständige Landesdatenschutzaufsichtsbehörde zu wenden. 19. Hat die Bundesregierung das Unternehmen kontaktiert, um sich über das Ausmaß zu informieren, und falls nein, wieso nicht, und falls ja, mit welchem Ergebnis? Nein. Zuständig für Fälle der unrechtmäßigen Kenntniserlangung von Daten sind die Landesdatenschutzaufsichtsbehörden (siehe Antwort zu Frage 16). Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333