KI-Spielzeuge verlangen gefährliche Berechtigungen und sammeln Daten über Drittanbieter

Published: 16. Juni 2026
Aktualisiert am: vor 3 Stunden
AI Toys hero

Plüschtiere haben ausgedient – KI-Spielzeuge übernehmen das Kinderzimmer. Die neueste Generation setzt auf Large Language Models (LLMs) und ermöglicht Kindern, mit ihren Spielsachen zu sprechen. Die Produkte sollen lernfördernd sein und die Fantasie beflügeln, doch die zugehörigen Apps sammeln sensible Daten, fordern gefährliche Berechtigungen an und tracken Kinder über Drittanbieter.

Cybernews-Sicherheitsforscher haben 10 Android-Apps für Kinder analysiert (Loona, Dash & Dot, Sphero, mBlock, Miko, Eilik, SPIKE™ LEGO® Education, Ozobot Evo, Petoi und AIBI Pocket). Fast die Hälfte aller von diesen Apps geforderten Berechtigungen werden von Android als gefährlich“ eingestuft. Zudem sammelten die meisten Apps Daten über Drittanbieter-Tracking.

Für jede analysierte App wurden zwei öffentliche Quellen herangezogen: der Google-Play-Store und die darin enthaltene Erklärung zur Datensicherheit“, die erweiterte Liste der „App-Berechtigungen“ sowie der Exodus-Privacy-Bericht.

ADVERTISEMENT
Zentrale Fakten:
  • Miko verlangte die meisten gefährlichen Berechtigungen (9), SPIKE™ LEGO® Education die wenigsten (3).
  • Alle 10 Apps verlangten Zugriff auf den genauen Standort, 6 auf das Mikrofon und 5 auf die Kamera.
  • 7 der 10 Apps nutzen Drittanbieter-Tracking.
  • Von 10 KI-Spielzeug-Apps enthielten 2 Profiling-Tracker, 2 Werbe-Tracker und 1 einen Standort-Tracker.

Alle analysierten Apps fordern gefährliche Berechtigungen

KI-Spielzeug-Übersicht

Android kategorisiert Zugriffsberechtigungen nach dem Umfang der Daten, auf die eine App zugreifen kann. Als „gefährlich“ gelten Berechtigungen, die den Zugriff auf sensible Informationen wie Standort, Speicher, Kamera und Mikrofon ermöglichen.

Im Durchschnitt verlangte jede analysierte App 17 Berechtigungen, von denen 6 als „gefährlich“ eingestuft wurden; an der Spitze liegt die Miko-App.

Miko hatte zuletzt sein Engagement für den Jugendschutz bekräftigt. Cybernews stellte jedoch fest, dass die Miko-App nicht nur die meisten Berechtigungen fordert, sondern dass 9 davon als gefährlich eingestuft sind, darunter der Zugriff auf Standortdaten und die Kamera.

mBlock wies 9 gefährliche Berechtigungen auf, bei der AIBI-Pocket-Roboter-App waren es 8.

Neben den Berechtigungen enthalten 7 der 10 analysierten Apps auch Tracker, die das Nutzerverhalten im Zusammenhang mit Analysen, Absturzberichten, Nutzerprofilen oder Werbung nachverfolgen können. Während Berechtigungen verweigert werden können, arbeiten Tracker ohne Zustimmung. Sie sind als SDKs von Drittanbietern im App-Code eingebettet und sammeln Daten, sobald die App geöffnet wird. Auch hier führt Miko mit 8 Trackern.

ADVERTISEMENT

Alle analysierten KI-Spielzeug-Apps fordern präzisen Standortzugriff

KI-Spielzeug-Berechtigungen

Alle 10 KI-Spielzeug-Apps forderten präzisen Standortzugriff, der laut Android den Aufenthaltsort eines Nutzers auf etwa 50 Meter genau bestimmen kann. Die App Loona beantragt zudem den Standortzugriff im Hintergrund, sodass sie den Standort auch nach dem Schließen der App weiter verfolgen kann.

8 von 10 Apps forderten Berechtigungen zum Bluetooth-Scannen und -Verbinden, 6 verlangten Mikrofonzugriff und 5 Kamerazugriff.

Während einige Berechtigungen für die korrekte Funktion des Spielzeugs notwendig sein mögen, werfen Anfragen nach präzisem Standort, Kamerazugriff und anderen sensiblen Berechtigungen Fragen zur Datensparsamkeit bei Apps auf, die für Kinder konzipiert sind. Datenminimierung und Datensparsamkeit sind essenzielle Grundsätze der europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Sie umfassen unter anderem die Pflicht zur aktiven Einwilligung (Opt-in) bei zielgerichteter Werbung sowie entsprechende Offenlegungspflichten gegenüber Dritten. Online-Dienstanbieter und Websites müssen die elterliche Einwilligung einholen, bevor Kinderdaten an Drittunternehmen weitergegeben werden. Eine eigenständige Zustimmung ist erst ab 16 Jahren überhaupt möglich. Zudem ist im Erwägungsgrund 38 der DSGVO festgelegt, dass „Kinder bei ihren personenbezogenen Daten besonderen Schutz verdienen, da Kinder sich der betreffenden Risiken möglicherweise weniger bewusst sind“.

Einige Apps erstellen Verhaltensprofile der Nutzer

KI-Spielzeug-Tracker

In 7 der 10 analysierten Apps wurden Tracker gefunden. Am häufigsten vertreten waren Analyse- und Absturzbericht-Tracker. Analyse-Tracker erfassen Daten zur App-Nutzung (besuchte Bildschirme, Interaktionen, Sitzungsdauer), während Absturzbericht-Tracker Diagnosedaten aufzeichnen.

Datenschutzkritischer sind Werbe-, Profiling- und Standort-Tracker. Werbe-Tracker (in 2 Apps vorhanden) binden Drittanbieter ein und messen die Werbewirkung. Ihr Vorhandensein in Kinder-Apps macht diese vom ersten App-Start an zum kommerziellen Ziel. Profiling-Tracker (ebenfalls in 2 Apps vorhanden) können dazu verwendet werden, detaillierte Profile auf Basis von Nutzerverhalten, Interessen und demografischen Merkmalen zu erstellen.

ADVERTISEMENT

Die Loona-App verfügt als einzige der 10 analysierten Apps über einen Standort-Tracker. In ihrer Gesamtheit können diese Tracker weit mehr Daten erfassen, als für die eigentliche Kernfunktion des Spielzeugs notwendig wäre.

Kinder-Apps müssen Datensparsamkeit in den Vordergrund stellen

Kinder haben Barbie-Puppen, Build-a-Bears und Plüschtiere hinter sich gelassen heute sprechen sie mit ihrem Spielzeug. Leider teilen manche dieser Spielzeuge nicht nur unangemessene Inhalte, sondern erstellen laut den Cybernews-Sicherheitsforschern auch Verbraucherprofile der Kinder und fragen neben anderen gefährlichen Berechtigungen den genauen Aufenthaltsort ab.

„Datensparsamkeit ist bei Kinder-Apps unverzichtbar. Die Verantwortung liegt sowohl bei den Entwicklern, die weniger Berechtigungen anfragen und sensible Tracker minimieren sollten, als auch bei den Eltern, die die Technologie ihrer Kinder stärker kontrollieren müssen. Anders als Erwachsene verstehen Kinder in den seltensten Fällen, welche Daten erfasst werden, wie diese genutzt werden könnten oder welche Datenschutzrisiken mit der Weitergabe verbunden sind“, erklären die Cybernews-Forscher.

Methodik

Es wurde eine Auswahl von 10 Android-Begleit-Apps für KI- und Roboterspielzeug für Kinder zusammengestellt. Für jede App wurden zwei öffentliche Quellen genutzt: der Google-Play-Store-Eintrag, aus dem die vom Entwickler deklarierte Tabelle zur „Datensicherheit“, die erweiterten „App-Berechtigungen“, die Download-Zahlen, die Altersfreigabe, die Version und das letzte Aktualisierungsdatum entnommen wurden, sowie der korrespondierende Exodus-Privacy-Bericht.

Der Exodus-Privacy-Bericht analysiert das Android Package Kit (APK) und listet sowohl eingebettete Tracker-SDKs als auch die vollständige Liste der deklarierten Berechtigungen mit den AOSP-Schutzebenen auf. Der Vergleich beider Quellen ermöglicht es den Forschern zu prüfen, ob die Angaben korrekt offengelegt oder unvollständig deklariert wurden.

Jede Berechtigung wurde anhand der offiziellen Android-Manifest-Berechtigungsreferenz mit ihrer AOSP-Schutzebene versehen. Jeder Tracker wurde entsprechend der Exodus-Kategorisierung mit einer oder mehreren Kategorien getaggt. Die Play-„Datensicherheits“-Erklärung wurde für jede App mit den Exodus- und Berechtigungsnachweisen abgeglichen und als „konsistent“, „unterdimensioniert“ oder „überdimensioniert“ eingestuft.

Quellen:

ADVERTISEMENT

Das vollständige Datenblatt gibt es hier.

Share
Post
Share
Share
Share
Deutsch English Português (BR) Español Français Niederländisch Italian (IT)
ADVERTISEMENT