Barbie war gestern, Build-a-Bear auch und die Holzeisenbahn fährt aufs Abstellgleis, denn heute unterhalten sich Kinder mit ihrem Spielzeug. Roboter wie Miko, Loona oder Petoi hören zu, antworten und lernen dazu, weil im Hintergrund ein Sprachmodell läuft. Das klingt nach Zukunft im Kinderzimmer, ist aber auch ein datenschutztechnisches Minenfeld: Eine aktuelle Analyse von Cybernews zeigt, dass die dazugehörigen Android-Apps reihenweise Berechtigungen einfordern, die mit dem eigentlichen Spielzweck wenig zu tun haben und dass die meisten von ihnen munter Daten an Drittanbieter weiterreichen.
Für Väter, die gerade überlegen, ob der sprechende Roboter unterm Weihnachtsbaum eine gute Idee war oder wird, lohnt sich ein genauer Blick auf die Zahlen. Denn klar, das „Big Brother“-Thema ist durch die Digitalisierung allgegenwärtig, darf daher aber nicht zur Gewohnheit werden. Gerade bei unserem Nachwuchs.
Was Cybernews herausgefunden hat
Die Sicherheitsforscher von Cybernews haben zehn Android-Begleit-Apps für KI- und Roboterspielzeug untersucht: Loona, Dash & Dot, Sphero, mBlock, Miko, Eilik, SPIKE™ LEGO® Education, Ozobot Evo, Petoi und AIBI Pocket. Als Datenbasis dienten zwei öffentlich einsehbare Quellen: die Datensicherheits-Erklärung samt App-Berechtigungen im Google Play Store sowie der unabhängige Exodus-Privacy-Bericht, der die tatsächlich im Programmcode verbauten Tracker-SDKs offenlegt.
Das Ergebnis lässt sich am besten im Überblick zeigen:
| Kennzahl | Wert |
|---|---|
| Apps mit Zugriff auf exakten Standort | 10 von 10 |
| Apps mit Bluetooth-Zugriff | 8 von 10 |
| Apps mit Mikrofonzugriff | 6 von 10 |
| Apps mit Kamerazugriff | 5 von 10 |
| Apps mit nachgewiesenen Drittanbieter-Trackern | 7 von 10 |
| Durchschnittliche Berechtigungen pro App | 17, davon 6 „gefährlich“ |
| Schlechtester Wert (Miko) | 9 gefährliche Berechtigungen, 8 Tracker |
| Bester Wert (SPIKE™ LEGO® Education) | 3 gefährliche Berechtigungen |
Schlusslicht im Test ist die App Miko, die in beiden Kategorien die höchsten Werte erreicht . Und das ist auch deshalb bemerkenswert, weil der Hersteller erst kurz zuvor öffentlich sein Engagement für Kindersicherheit betont hatte. Auch mBlock kommt mit 9 gefährlichen Berechtigungen schlecht weg, ebenso AIBI Pocket mit 8. Am zurückhaltendsten zeigt sich SPIKE™ LEGO® Education.

Warum ausgerechnet Standort, Mikro und Kamera das Problem sind
„Gefährlich“ ist in diesem Zusammenhang kein Cybernews-Werturteil, sondern eine offizielle Android-Kategorie: Sie erfasst Berechtigungen, die Zugriff auf besonders sensible Daten geben, allen voran Standort, Speicher, Kamera und Mikrofon. Der GPS-Zugriff, den alle zehn Apps verlangen, lokalisiert laut Android-Dokumentation auf etwa 50 Meter genau. Die App Loona geht noch einen Schritt weiter und fordert Standortzugriff auch im Hintergrund an. Das Kinderzimmer-Spielzeug könnte also theoretisch weiterverfolgen, wo sich das Kind aufhält, selbst wenn die App gar nicht geöffnet ist.
Mikrofon und Kamera lassen sich bei sprechenden, sehenden Robotern zumindest funktional erklären, denn ein Assistent, der zuhören soll, braucht ein Mikrofon. Trotzdem bleibt die Frage nach Datensparsamkeit bestehen: Muss ein Lernroboter wirklich auch wissen, wo genau das Kind gerade steht, wenn er eigentlich nur eine Matherätsel-Antwort auswerten soll?
Tracker: Wenn die App mitschreibt, ohne zu fragen
Neben den Berechtigungen, die zumindest theoretisch verweigert werden können, gibt es die stillere Variante der Datensammlung: Tracker. Das sind Analyse-Module von Drittanbietern, die fest im App-Code stecken und beim Öffnen der App automatisch aktiv werden, ganz ohne Einwilligungsdialog. Cybernews unterscheidet dabei mehrere Kategorien. Am häufigsten vertreten waren klassische Analyse- und Absturzbericht-Tracker, die Nutzungsverhalten wie besuchte Bildschirme oder Sitzungsdauer protokollieren.
Deutlich heikler sind die Werbe-Tracker, die sich in zwei der zehn Apps fanden: Sie messen Werbewirkung und machen die App laut den Forschern faktisch von der ersten Nutzung an zum kommerziellen Ziel. Ebenfalls in zwei Apps nachgewiesen wurden Profiling-Tracker, die aus Verhalten, Interessen und demografischen Merkmalen detaillierte Nutzerprofile erstellen können. Einen eigenständigen Standort-Tracker enthält als einzige der zehn Apps Loona.

Die Forscher*innen fassen das Kernproblem so zusammen: „Datensparsamkeit ist bei Kinder-Apps unverzichtbar. Die Verantwortung liegt sowohl bei den Entwicklern, die weniger Berechtigungen anfragen und sensible Tracker minimieren sollten, als auch bei den Eltern, die die Technologie ihrer Kinder stärker kontrollieren müssen. Anders als Erwachsene verstehen Kinder in den seltensten Fällen, welche Daten erfasst werden, wie diese genutzt werden könnten oder welche Datenschutzrisiken mit der Weitergabe verbunden sind.“
Was das rechtlich bedeutet
Die DSGVO ist an dieser Stelle eindeutig: Datenminimierung ist einer ihrer Grundpfeiler, ebenso die Pflicht zur aktiven Einwilligung, bevor personenbezogene Daten, erst recht die von Kindern, an Dritte weitergegeben werden. Eigenständig einwilligen dürfen Kinder ohnehin erst ab 16 Jahren, bei jüngeren Kindern liegt die Verantwortung vollständig bei den Eltern. Erwägungsgrund 38 der DSGVO hält fest, dass Kinder bei ihren personenbezogenen Daten besonderen Schutz verdienen, weil sie sich der Risiken oft weniger bewusst sind als Erwachsene.
Die Cybernews-Analyse fällt zudem in eine Zeit, in der in mehreren europäischen Ländern intensiv über einen besseren Schutz Minderjähriger im digitalen Raum diskutiert wird, etwa durch Altersgrenzen für soziale Medien. Kinder-Spielzeug mit Internetanbindung steht bislang noch nicht im gleichen Maß im öffentlichen Fokus, dabei sammelt es teils genauso viel, nur unauffälliger.

Was Väter jetzt konkret tun können
Kein sprechender Roboter muss deshalb sofort in den Müll, aber ein paar Handgriffe reduzieren das Risiko spürbar. Der wichtigste Schritt ist, die Berechtigungen der jeweiligen App nicht pauschal zu akzeptieren, sondern einzeln zu prüfen: Unter Android lässt sich für jede App festlegen, ob Standort, Mikrofon oder Kamera dauerhaft, nur bei aktiver Nutzung oder gar nicht freigegeben werden. Wer den Standortzugriff der Spielzeug-App verweigert, verliert in den seltensten Fällen eine wichtige Funktion, denn ein Roboter, der Matheaufgaben stellt, muss dafür nicht wissen, in welchem Stadtteil das Kind wohnt.
Noch vor dem Kauf lohnt sich ein Blick in den Play-Store-Eintrag der App: Unter dem Punkt „Datensicherheit“ zeigt jede App, welche Daten gesammelt und geteilt werden, und das dauert eine Minute, verrät aber oft mehr als das Werbevideo des Herstellers. Besondere Aufmerksamkeit verdienen Hintergrundzugriffe wie der bei Loona festgestellte permanente Standortzugriff. Hier lohnt sich die kritische Nachfrage, ob das Spielzeug diesen Zugriff wirklich benötigt oder ob eine Beschränkung auf die aktive Nutzung ausreicht.
Sinnvoll ist außerdem, KI-Spielzeug-Apps möglichst auf einem separaten Kinder-Tablet oder in einem eigenen Nutzerprofil zu installieren, statt sie auf dem Familien- oder Elterngerät laufen zu lassen. So bleiben andere Konten, Kontakte und Standortdaten der Erwachsenen sauber getrennt von dem, was die Spielzeug-App potenziell erfasst. Und weil Hersteller ihre Tracking-Praktiken auch nach dem Kauf ändern können, lohnt sich ein regelmäßiger Blick auf App-Updates und Datenschutzerklärungen: Ein Update kann neue Berechtigungen mitbringen, ohne dass das auf den ersten Blick auffällt.
Datensparsamkeit ist am Ende keine Holzhammer-Regel, sondern schlicht die Frage, ob eine App wirklich braucht, was sie da verlangt. Bei zehn von zehn getesteten Kinder-Spielzeug-Apps lautete die ehrliche Antwort bislang: eher nicht.

Häufige Fragen zu Datensicherheit bei KI-Spielzeug-Apps
Welche KI-Spielzeug-Apps waren am schlechtesten bewertet?
Miko schnitt in der Cybernews-Analyse am schlechtesten ab: 9 von möglichen gefährlichen Berechtigungen plus 8 Tracker, der höchste Wert in beiden Kategorien.
Fordern alle Kinder-Spielzeug-Apps Standortzugriff?
Ja, in der untersuchten Stichprobe verlangten alle zehn Apps Zugriff auf den exakten Standort, teils sogar im Hintergrund.
Sind Tracker in Kinder-Apps überhaupt erlaubt?
Analyse- und Absturzbericht-Tracker sind verbreitet und rechtlich meist unkritisch. Werbe- und Profiling-Tracker in Kinder-Apps stehen dagegen im Spannungsfeld zur DSGVO-Pflicht der Datenminimierung und benötigen eine aktive elterliche Einwilligung.
Wie kann ich als Vater die Berechtigungen einer App einschränken?
Über die Android-App-Einstellungen lässt sich jede Berechtigung einzeln widerrufen oder auf „nur während der Nutzung“ begrenzen, ohne die App zu deinstallieren.









