Seit einiger Zeit ist es bekannt, dass die Firmen hinter den Sprachassistenten wie Alexa, Siri, Google Home etc. die Gespräche aufzeichnen, an eine Cloud übermitteln und anschließend teilweise auswerten. Amazon versicherte, dass hierbei hohe Sicherheitsstandards zum Schutz der personenbezogenen Daten getroffen werden. Nunmehr haben Recherchen von WELT AM SONNTAG aufgedeckt, dass polnische Heimarbeiter in ihren eigenen vier Wänden die Auswertung deutscher Sprachbefehle vornehmen. Dies lässt wiederum an der Datensicherheit zweifeln.
Der Inhalt im Überblick
Wie funktioniert Alexa?
In vielen deutschen Wohnungen gehört der Amazon Echo oder der Amazon Dot als Miniversion zum Inventar dazu. Es handelt sich um einen Lautsprecher, der nur mittels Sprachbefehl gesteuert wird. Es können aktuelle Nachrichten oder Musik abgespielt, ein Wecker oder Timer gestellt, Erinnerungen gespeichert werden und vieles mehr. Die Sprachsoftware Alexa ist mit der Cloud verbunden, weshalb einige eine dauerhafte Datenübermittlung befürchten. Dies finde aber laut Amazon technisch nicht statt. In dem Amazon Echo sind zwar sieben Lautsprecher verbaut, welche permanent aktiviert sind. Bei Nennung des Aktivierungskennwortes erfolgt zunächst eine Analyse in einem kleinen Zwischenspeicher des Echo-Geräts. Erst wenn das Aktivierungskennwort wie Alexa, Echo, Computer oder Amazon erkannt werde, werden Informationen in die Cloud gesendet. Um den Vorgang auch optisch zu signalisieren, leuchtet dann der Lichtring am Echo blau.
Die Übertragung der Sprachbefehle diene der Verbesserung des Spracherkennungsalgorithmuses. Einerseits muss die Software auch Dialekte und Akzente verstehen können, da nicht jeder Sprachbefehl auf Hochdeutsch erteilt wird. Andererseits formuliert jeder seine Befehle und Fragen individuell. Auch hier muss die Software lernen, welche Bedürfnisse der jeweilige Nutzer hat und mit welcher Antwort sie dem Nutzer am besten helfen kann. Zur Zulässigkeit dieser Datenübermittlung hat sich der wissenschaftliche Dienst des Bundestages erst kürzlich geäußert.
Was ist jüngst passiert?
Amazon hatte für die Personalvermittlung Randstad Polen mit der Suche neuer Zeitmitarbeiter für die Auswertung der Sprachbefehle beauftragt. Die Online-Stellenanzeigen warben mit Versprechen von „Telearbeit im ganzen Land“. Die Mitarbeiterschulungen fanden zwar zunächst in der Amazon-Niederlassung Danzig statt. Danach durften die Mitarbeiter von zu Hause aus arbeiten. Amazon bestätigte die Rechercheergebnisse von WELT AM SONNTAG, beteuerte aber, dass auch bei der Heimarbeit strenge Sicherheitsmaßnahmen und Richtlinien herrschen. Dann ist es allerdings fragwürdig, warum Randstad die Stellenanzeige so plötzlich löschte, nachdem WELT AM SONNTAG diese zum Sachverhalt um Stellungnahme bat. Ein interviewter polnischer Zeitarbeiter bezeichnete den Job als „ideale Hausfrauentätigkeit“. Es würden viele Zeitarbeiter vom Küchentisch aus arbeiten, während sie noch ihre Kinder betreuen. Auch dieser Umstand lässt stark an der Wahrung der Datensicherheit zweifeln.
Ist Homeoffice mit dem Datenschutz vereinbar?
Aus der DSGVO selbst ergibt sich kein Verbot von Homeoffice. Aus Art. 25 DSGVO lässt sich entnehmen, dass jeder Verantwortliche technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergreifen muss. Daraus leiten sich viele verschiedene Prinzipien ab, die es bei der Wahl der Maßnahmen zu berücksichtigen gilt. So sollten Mitarbeiter entsprechende Geräte (Firmenlaptop, Firmenhandy etc.) zur Verfügung gestellt werden, damit diese die personenbezogenen Daten nicht auf ihrem privaten Gerät speichern. Dann sollte der Zugriff auch nur über eine sichere VPN-Verbindung erfolgen. Die eingesetzten Mitarbeiter sind im Bereich Datenschutz zu schulen. Weitere Regeln im Bereich Homeoffice haben wir bereits in unserem älteren Beitrag zusammen gefasst. Wenn man also sicherstellt, dass die Datenverarbeitung in der Heimarbeit einen gleichen Sicherheitsstandard hat wie bei der Verarbeitung in der Betriebsstätte selbst, dann spricht erstmal nichts gegen die Auswertung der Sprachbefehle im Homeoffice.
Der Umstand, dass hier nicht eigene Amazon Mitarbeiter, sondern externe Mitarbeiter von einer Personalvermittlung agierten, ändert an der Beurteilung grundsätzlich nichts. Die Verarbeitung durch vermittelte Zeitmitarbeiter stellt eine Auftragsverarbeitung i.S.v. Art. 28 DSGVO dar. Die Datenverarbeitung erfolgt auf Weisung von Amazon. Amazon trägt als Verantwortlicher der Datenverarbeitung ebenfalls die Verantwortung hierfür, dass der von ihm eingesetzte Auftragsverarbeiter ebenfalls angemessene Maßnahmen zum Schutz der Daten ergreift. Daher haften beide im Außenverhältnis als Gesamtschuldner nach Art. 82 Abs. 4 DSGVO. Die Haftung im Innenverhältnis kann dann wiederum durch den Auftragsverarbeitungsvertrag gesondert geregelt sein.
Wie kann ich mich schützen?
Die Anschaffung solch eines Smart Home Gerätes sollte vorab gut überlegt sein. Wenn man hierauf aufgrund der technischen Vorzüge nicht verzichten möchte, dann gibt es dennoch einige Einstellungen, die die Sicherheit der eigenen Daten erhöht. So kann man in der Amazon App die Datenübermittlung zur Verbesserung der Sprachassistenz ausstellen oder aber auch den Geräte- und Sprachverlauf löschen. Eine genaue Anleitung zur Vorgehensweise findet ihr hier.
Amazon kann selber aber auch zur Erhöhung der Datensicherheit beitragen, indem sie das Prinzip „privacy by design“ noch mehr beachten. So wäre die datenschutzfreundlichste Voreinstellung, dass bei dem Amazon Echo bereits von Anfang an die Datenübermittlung zu Zwecken der technischen Verbesserung ausgeschaltet ist. Daneben kommt noch die Löschung von Sprach- und Geräteverlauf via Sprachbefehl anstatt des komplizierten Weges über die App in Frage. Zumindest Letzteres will Amazon wohl demnächst verwirklichen.
A never ending story
Immer wieder gibt es Schlagzeilen zum Thema Datensicherheit bei Sprachassistenten. So steht neben Amazon auch Google im Fokus der Öffentlichkeit. Denn Google hat nach ähnlicher Berichterstattung seit dem 01.08.2019 die Auswertung akustischer Aufnahmen von Google Home durch Mitarbeiter unterbrochen. Dies passiert nicht freiwillig, sondern weil der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Verwaltungsverfahren eröffnet hatte. Die Vorgehensweise von Google stelle ein hohes Risiko für die Privatsphäre der Betroffenen dar, weil die Spracherkennung sich u. a. fehlerhaft aktiviert. Die Unterbrechung soll zum Schutz von Rechten und Freiheiten Betroffener drei Monate und für alle gesamte EU-Mitgliedstaaten gelten.
Wer sein Zuhause mit solchen Gadgets smarter gestalten will, sollte daher beim Kauf neben der Klangqualität und den Features auch den Umgang mit den Daten sowie die getroffenen Sicherheitsstandards vergleichen.
Das Risiko besteht allerdings nicht nur bei Smart Home Geräten, sondern bei jedem Smartphone. Dazu bereits die BfDI Info vom 18.05.2017.