Unser Wohlbefinden hängt mit der Verdauung zusammen – das finden Wissenschaftler seit Jahren in immer mehr Zusammenhängen heraus. Das smarte Toiletten-Gadget Dekoda soll helfen, diese Erkenntnisse auch im Alltag anzuwenden. Doch wer eine Kamera in der Toilette für eine unheimliche Vorstellung hält, dürfte sich vom Verhalten des Herstellers bestätigt fühlen.
Dabei tut die Firma Kohler viel dafür, den Eindruck von Privatsphäre zu erwecken. Statt von einer Kamera spricht man lieber von einem "Sensor", der sei aber nur auf den Inhalt der Toilette gerichtet, betont die Webseite des Herstellers. Um zwischen Nutzern zu wechseln, gibt es einen Fingerabdrucksensor, die Daten seien "Ende zu Ende verschlüsselt". Doch gerade am letzten Punkt bestehen mittlerweile nicht mehr nur Zweifel: Er ist schlicht falsch.
Das Klo als Daten-Goldgrube
Das fiel dem Sicherheitsexperten Simon Fondrie-Teitler zuerst auf. Fondrie-Teitler wunderte sich über den Begriff "Ende-zu-Ende-Verschlüsselung". Er werde eigentlich genutzt, um die Verschlüsselung von Kommunikation zu beschreiben, erläutert er in einem Blogpost. Verschlüsselt ein Messenger seine Nachrichten Ende zu Ende, bedeutet das, dass nur Sender und Empfänger sie lesen können – und der Betreiber des Messengers ausgeschlossen bleibt. Bei Dekoda erweckt das den Eindruck, Kohler könne die Daten nicht lesen. Doch dann bleibt eine Frage, so Fondrie-Teitler: Wer ist denn dann der Empfänger?
"Ich dachte, Kohler hätte möglicherweise eine verwandte Datenschutzmethode namens 'clientseitige Verschlüsselung' implementiert", erklärt der Experte. Dabei handelt es sich um einen Ansatz, bei dem die Daten nur auf den Geräten des Kunden entschlüsselt sind. Selbst Sicherungen bei Clouddiensten bleiben dann verschlüsselt. Der große Vorteil: Bei einem Datendiebstahl beim Hersteller können die Angreifer mit den Kundendaten nichts anfangen.
Eine Anfrage bei Kohler brachte die Antwort: Der Empfänger ist: der Hersteller selbst. "Benutzerdaten werden im Ruhezustand verschlüsselt, wenn sie auf dem Mobiltelefon des Benutzers, dem Toilettenaufsatz und auf unseren Systemen gespeichert sind. Daten während der Übertragung werden ebenfalls durchgehend verschlüsselt", erklärte Kohler in einer Mail an Fondrie-Teitler. Allerdings könne der Hersteller die Daten auf den eigenen Servern entschlüsseln, um sie zu verarbeiten. Etwas besonderes ist das nicht: "Das ist quasi seit 20 Jahren Standard", betont Fondrie-Teitler. Nur die Verschlüsselung im Ruhezustand sei eine zusätzliche Maßnahme.
Was macht Kohler mit den Daten?
Auch gegenüber dem Portal "Ars Technica" bestätigte Kohler das Vorgehen. "Wir verschlüsseln Daten während der Übertragung zwischen den Geräten der Nutzer und unseren Systemen durchgehend. Dort werden sie entschlüsselt und verarbeitet, um unseren Service bereitzustellen und zu verbessern", erklärte ein Sprecher.
Was genau diese Verarbeitung beinhaltet, dazu schweigt der Hersteller. Natürlich ist damit auch erst einmal das Kernangebot des Gadgets und des dazugehörigen Abodienstes gemeint: Dekoda analysiert Aufnahmen des Stuhlgangs, sucht etwa nach Hinweisen für Dehydrierung und Blut im Stuhl, und gibt auf Basis dieser Auswertung Handlungsvorschläge. Dass die Daten dafür ausgewertet werden müssen, ist zunächst nachvollziehbar.
KI-Training und Weitergabe an Dritte
In den Nutzungsbedingungen finden sich allerdings Hinweise darauf, dass es nicht dabei bleibt. Man behalte sich vor, "aggregierte, anonymisierte und/oder pseudonymisierte Daten (zu) erstellen, die wir für unsere rechtmäßigen Geschäftszwecke verwenden und an Dritte weitergeben können", heißt es dort. Genutzt würden diese Daten "zur Analyse und Verbesserung der Kohler Health Platform und unserer anderen Produkte und Dienstleistungen, zur Förderung unseres Geschäfts und zum Training unserer KI- und maschinellen Lernmodelle."
Die Klo-Fotos sowie die daraus abgeleiteten Daten dürfen also an Dritte weitergegeben oder für KI-Trainings genutzt werden. Die Kunden können diese Bedingungen zwar ablehnen – dann lässt sich das 600 Dollar teure Gerät und der mindestens sieben Dollar im Monat kostende Abodienst aber nicht mehr benutzen. Zumindest die Datenweitergabe lässt sich einschränken: Kohler versichert, die Daten nur an Dritte weiterzugeben, wenn der Kunde dem zustimmt. Ausnahme sind demnach nur Ermittlungsbehörden.
Nach dem Blogpost hat der Hersteller immerhin reagiert: Der Hinweis auf Ende-zu-Ende-Verschlüsselung ist mittlerweile von der Webseite entfernt worden, Kohler spricht nun von "Verschlüsselung im Ruhezustand und bei der Übertragung". Die Nutzung der Daten, ihre Weitergabe und die Nutzung für KI-Trainings sind aber weiterhin in den Nutzungsbedingungen vorgesehen.
Quellen: Blogpost, Ars Technica, Kohler
