Die Schlagzeilen der letzten Wochen und Monate, wonach ein Teil der Aufnahmen von Sprachassistenten von Menschen abgehört und transkribiert werden, haben Folgen:
Die Datenschutzaufsichtsbehörde in Hamburg hat ein Verwaltungsverfahren gegen Google eröffnet. Google darf Aufnahmen von Google Assistant beziehungsweise Google Home während drei Monaten nicht mehr durch Mitarbeiter oder Dritte auswerten lassen.
Hamburg: Verwaltungsverfahren gegen Google
Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) beschreibt den Sachverhalt unter anderem wie folgt (mit Hervorhebungen):
«Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. Google Assistant installiert ist.
[…] Google [lässt] im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer von Menschen auswerten […], um die Spracherkennungsfähigkeit des Google Assistant zu optimieren. Bei diesen Auswertungen hören Mitarbeiter von Google bzw. von beauftragten Firmen die Sprachaufzeichnungen ab und transkribieren diese, um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden. […] Wie sich […] gezeigt hat, ließen sich den aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren erfolgte ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen. Damit sollen die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.»
Google hat bereits erklärt, dass «gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgen» und zwar in der «EU insgesamt».
Betroffen sind auch Amazon Alexa und Apple Siri. Während Apple ebenfalls vorläufig auf Auswertungen verzichtet, bietet Amazon lediglich eine Opt-out-Möglichkeit an.
Anfang Juli 2019 hatte Amazon zugegeben, Alexa-Aufnahmen für unbeschränkte Zeit zu speichern.
Hintergrund: Datenschutz-Grundverordnung
Der Hamburger Datenschutzbeauftragte stützt sich auf die Datenschutz-Grundverordnung (DSGVO, mit Hervorhebung)
«Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen. Im Fall des Google Assistant bestehen daran gegenwärtig erhebliche Zweifel. Die Nutzung von Sprachassistenzsystemen muss in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist. Dabei geht es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich muss dem Erfordernis des Schutzes Dritter, die von den Sprachaufnahmen betroffen sind, hinreichend Rechnung getragen werden. Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind.»
Die DSGVO ist auch der Grund, wieso der Hamburger Datenschutzbeauftragte Johannes Caspar überhaupt eingreifen darf (mit Hervorhebung), obwohl Google nicht in Hamburg sitzt:
«Zwar ist nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handelt es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google ist das die IDPC in Irland. Dennoch sieht die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Dies ist hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen kann nur durch einen zeitnahen Vollzug erreicht werden.»
Wie holt man die rechtswirksame Einwilligung von Dritten ein?
Die ausdrückliche und informierte Einwilligung der Nutzer solcher Sprachassistenten können Google, Amazon und Apple voraussichtlich gewährleisten. Diskussionspunkt wird sein, wie ausführlich und in welcher Form aufgeklärt werden muss.
Unklar ist hingegen, wie die ausdrückliche und informierte Einwilligung von Dritten, die mit Sprachassistenten belauscht und anderweitig überwacht werden, eingeholt werden kann:
- Muss beispielsweise jemand, der Amazon Alexa daheim verwendet, in Zukunft gewährleisten, dass jeder Besucher vor dem Betreten der Wohnung ausdrücklich und informiert einwilligt, dass alles, was er sagt, an Amazon übermittelt werden kann?
- Können beispielsweise Eltern rechtswirksam in die Überwachung ihrer Kinder durch Google einwilligen?
Was gilt in der Schweiz?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat sich – soweit ersichtlich – noch nicht geäussert.
Die DSGVO gilt innerhalb der Schweiz grundsätzlich nicht. Sprachassistenten fallen für Nutzer in der Schweiz dennoch unter die DSGVO, sofern die datenschutzrechtliche Verantwortlichkeit bei Tochtergesellschaften der amerikanischen Anbieter in der EU liegt.
Bei Google handelt es sich um die Google Ireland Limited, welche seit Februar 2019 für Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz verantwortlich ist.
Bilder: Google.