DSGVO-Briefing
05. Februar 2026Das Admin-Portal eines Herstellers von KI-Plüschtieren legt nach Login mit Google-Account Kinderdaten offen, die irische Datenschutzbehörde sammelt nur Bruchteile der von ihr verhängten Strafen ein.
Spielzeuge mit Chatbot-Funktion: Admin-Portal legt Daten von Kindern offen.
Ende Januar 2026 berichtete der Sicherheitsforscher Joseph Thacker auf seinem Blog von einer Sicherheitslücke im Portal für die von Bondu verkauften KI-gestützten Kinderspielzeuge. Die Plüschtiere verfügen über einen integrierten Chatbot, der es den Kindern ermöglicht, Gespräche mit ihnen zu führen. Zusammen mit einem anderen Forscher stellte er fest, dass es über die Kontroll-Konsole für die Spielzeuge möglich war, sich mit einem Google-Account in das Admin-Portal von Bondu selbst einzuloggen.
Diese Admin-Oberfläche enthielt sensible Informationen. Unter anderem fanden die beiden dort vollständige Transkripte aller Unterhaltungen, die die Kinder je mit ihren Spielzeugen geführt hatten. Auch auf ihre Namen und Geburtsdaten sowie die Namen ihrer Familienmitglieder, Vorlieben und Abneigungen, von Eltern erteilte Aufgaben und die Namen der Spielzeuge konnten sie zugreifen. Zudem waren in dem Portal Geräteinformationen hinterlegt.
Es brauchte einige Versuche, um Bondu zu erreichen, doch nachdem der Kontakt hergestellt war, reagierte das Unternehmen binnen 10 Minuten. 2 Tage nach ihrer Entdeckung war die Sicherheitslücke geschlossen.
Irische DPC: Nur Bruchteile erhobener Bußgeldsummen werden tatsächlich eingesammelt.
Ein Bericht der Irish Times vom 12. Januar 2026 legte offen: Die irische Datenschutzbehörde sammelt nur einen – im Verhältnis gesehen – verschwindend geringen Teil der von ihr verhängten Bußgeldsummen tatsächlich ein. So sprach die DPC im Zeitraum von 2020 bis 2026 4,04 Mrd. EUR Geldstrafen aus – und sammelte von diesen bisher nur 20 Mio. EUR ein.
Allein 2025 erließ die Behörde Bußgelder in Höhe von 530 Mio. EUR, von denen nach Stand des Berichtes der Irish Times nur 125.000 EUR gezahlt wurden. Von 652 Mio. EUR aus dem Jahr 2024 sammelte man 582.500 EUR ein. Ähnlich verhielt es sich mit den Vorjahren: 815 Tsd. EUR von 1,55 Mrd. EUR 2023, 17 Mio. EUR von etwas mehr als 1 Mrd. EUR 2022, 800.000 EUR von 225 Mio. EUR 2021, und selbst 2020 zahlten Bußgeldempfänger nur 75.000 EUR von 785.000 EUR.
Auf Nachfrage erklärte die Behörde, die meisten die Strafen betreffenden Verfahren befänden sich derzeit in Berufung. Erst, nachdem die Urteile für rechtskräftig erklärt werden, könne man die Summen einholen.