Moderne Datenkraken: Smart-TVs tracken sogar HDMI-Inhalte

Smart-TVs werten sogar dann Bildinhalte aus, wenn ein HDMI-Zuspieler genutzt wird. Die Analysen dienen gezielter Werbung.

In Pocket speichern vorlesen Druckansicht 410 Kommentare lesen
Mehrere TVs nebeneinander

(Bild: c't)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Auswertung von Bildinhalten zur Personalisierung von Werbeinhalten ist tief in modernen Fernsehern verankert. Nicht nur App-Entwickler bauen Tracking in ihre Angebote ein – auch die Smart-TV-Hersteller werten umfassend das Nutzungsverhalten aus.

Das Werbe-Tracking bei Smart-TVs ist an sich ein alter Hut. Eine neue Untersuchung britischer, spanischer und kalifornischer Universitäten beschäftigt sich allerdings mit dem Ausmaß auf Betriebssystemebene und den Unterschieden zwischen verschiedenen Nutzungsszenarien, etwa ob eine Streaming-App läuft oder eine Spielkonsole angeschlossen ist. Exemplarisch dient je ein Gerät von Samsung und LG – andere Hersteller sammeln allerdings ebenfalls Daten und dürften ähnlich vorgehen.

Die gute Nachricht vorab: Sämtlicher Analyse-Traffic lässt sich über die Datenschutz- und Privatsphäre-Einstellungen in den TV-Menüs unterbinden, die man meistens aber manuell vornehmen muss (Opt-out). Die Untersuchung bestätigt, dass die Fernseher dann nicht mehr nach Hause telefonieren. Wo diese Optionen versteckt sind, unterscheidet sich nach Hersteller und teilweise Modell. Im Zweifelsfall hilft die Bedienungsanleitung weiter.

Die grundlegende Technik heißt Automatic Content Recognition (ACR): Smart-TVs erstellen regelmäßig Hashes aus den sicht- und teilweise hörbaren Inhalten, Fingerprints beziehungsweise Fingerabdrücke genannt. Diese Hashes werden verschlüsselt in die Hersteller-Clouds geladen und serverseitig mit einer Datenbank aus vorrangig Filmen, Serien und Spielen abgeglichen. Bei einem Match weiß der Hersteller, was der Nutzer gerade schaut oder spielt. Einerseits kann der Hersteller damit selbst passende Werbung in der Oberfläche einblenden, andererseits sind die Erkenntnisse auch für Werbeabkommen nützlich.

Die Forscher nehmen an, dass über die Konsumgewohnheiten eine Identifizierung der Nutzer möglich ist, auch wenn die Fingerabdrücke keine persönlichen Identifikatoren enthalten.

Samsung wirbt unter dem Banner Samsung Ads offen mit der Datensammlerei. Alle 500 Millisekunden erstellen die Smart-TVs Screenshots, schreibt Samsung. LG ist noch sammelfreudiger mit Screenshots alle 10 Millisekunden. Beide Hersteller übermitteln die Fingerabdrücke gebündelt: LG alle 15 Sekunden, Samsung jede Minute. Volumenmäßig sind die Uploads mit zwei bis sechs Kilobyte pro Intervall überschaubar. Problematisch ist primär der Abgleich für personalisierte Werbung.

Samsung und LG sammeln vor allem in zwei Szenarien Daten: Wenn lineares Fernsehen über die integrierten TV-Tuner läuft oder wenn man einen Zuspieler per HDMI anschließt, sofern der Fernseher selbst noch mit dem Internet verbunden ist. Das kann eine Spielkonsole wie die Playstation 5 oder Xbox Series X sein, ein privates Notebook, ein Blu-ray-Player oder Sticks wie Amazons Fire TV Stick.

Perfide: Die Hersteller nehmen sich so das Recht heraus, FingerabdrĂĽcke auch von privaten Bildern zu erstellen. Das ist besonders unliebsam, wenn KĂĽnstliche Intelligenz (KI) zur Analyse der Bildinhalte zum Einsatz kommen sollte.

Insbesondere bei linearem Fernsehen und HDMI-Zuspielung sammeln Smart-TVs Daten zu Werbezwecken. Dabei ist kaum relevant, ob man am Smart-TV angemeldet ist. "LIn-OIn" steht fĂĽr "logged-in, opted-in" (also Datenschutzeinstellungen ausgeschaltet), "LOut-OIn" fĂĽr "logged-out, opted-in".

(Bild: Gianluca Anselmi and Yash Vekaria, et al.)

12-mal weniger ACR-Traffic läuft beim Startbildschirm, beim Screencasting vom Smartphone oder wenn eine Streaming-App wie Netflix direkt auf dem Fernseher geöffnet ist. Das liegt an den Bestimmungen der großen Streaminganbieter, die Automatic Content Recognition unterbinden und lieber eigene Analysen anstellen.

Beim Test in Großbritannien werden alle ACR-Domains von LG nach Amsterdam aufgelöst. Das ist eu-acrX.alphonso.tv des Werbepartners Alphonso, wobei "X" für eine beliebige Ziffer steht. Samsung nutzt vier Domains: acr-eu-prd.samsungcloud.tv, acr0.samsungcloudsolution.com, log-config.samsungacr.com und log-ingestion-eu.samsungacr.com. Eine löst zu den USA auf, was innerhalb des EU-US Data Privacy Frameworks erlaubt ist.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(mma)