Datenschutz bei Sprachassistenten wie Alexa, Siri & Co. – Orwells Graus

Letztes Update:
18
.
11
.
2022
Lesezeit:
0
Min
Datenschutz & Sprachassistenten sind ein heißes Thema. Die einen schwören auf ihr Smart Home, andere sehen darin moderne Wanzen. Was sagen die jüngsten Datenschutzpannen über Alexa & Co. aus? Und wie sieht die Rechtslage hier aus? Inzwischen hat sich zu diesem Thema sogar der Dt. Bundestag geäußert.
Datenschutz bei Sprachassistenten wie Alexa, Siri & Co. – Orwells Graus
Die wichtigsten Erkenntnisse
  • Sprachassistenten sammeln personenbezogene Daten und weisen erhebliche Sicherheitslücken auf.
  • Alexa-Geräte sind ständig aktiv und können versehentlich Privatgespräche aufzeichnen.
  • Amazon-Mitarbeiter transkribieren und analysieren Sprachaufnahmen zur Verbesserung der Dienste.
  • DSGVO fordert Unternehmen zu klarer Information und Datenschutz-Verantwortung auf.
  • Sprachassistenten-Daten könnten künftig von Ermittlungsbehörden und vor Gericht genutzt werden.

George Orwell beschrieb 1948 in seinem dystopischen Roman 1984 angsteinflößende Szenen der Totalüberwachung: Die Menschen werden darin von sog. Teleschirmen und Mikrofonen rund um die Uhr offen und versteckt überwacht.

Jetzt, mehr als ein halbes Jahrhundert später, sind Geräte dieser Art nicht nur Realität, sondern letztendlich kam es sogar noch schlimmer: Die Menschen stellen sich solche Geräte freiwillig in die Wohnung und teilen ihnen – „Hey Siri!“ – fröhlich teils intime Dinge mit. Orwell würde sich angesichts Alexa, Siri und Google assistant oder Google Home im Grab umdrehen, aber in der schönen neuen Welt sind Sprachassistenten längst im Alltag angekommen. Dass sie datenschutzrechtlich erhebliche Sicherheitslücken aufweisen und fleißig personenbezogene Daten sammeln, stört die meisten Nutzer:innen nicht.


Lauscht Alexa?

Bleiben wir beim Beispiel Alexa und Amazon-Echo-Geräten (oder dem kleineren Echo-Dot): Der Smartspeaker hat stolze sieben Mikrofone, die im 360-Grad-Radius angeordnet sind, damit er allzeit bereit ist – auch, wenn er eigentlich gerade nicht angesprochen wird. Das IT-Sicherheitsinstitut AV-Test verweist darauf, dass das Echo-Gerät „die ganze Zeit mithören muss; heißt: es hat dauernd aktive Mikrofone, um auf das Aktivierungswort wie „Alexa“ oder „Computer“ überhaupt reagieren zu können“. Sobald dieser Befehl dann gegeben wird, findet eine Datenübertragung an den Anbieterserver statt, die nachweislich messbar ist, wie AV-Test  herausgefunden hat .

Der daueraktive Zustand macht zumindest aus Entwicklerperspektive Sinn. Nur so kann das Aktivierungskennwort (z.b. „Hi Alexa“) im Zwischenspeicher erkannt und die Information an die zugehörige Cloud gesendet werden. Außerdem kann das System nur verbessert werden, wenn viele Daten gespeichert werden. Da Sprachassistenten jedoch fehleranfällig sind, aktiviert sich das Gerät fälschlicherweise auch bei ähnlich klingenden Wörtern (Alexa vs. Schwester) und speichert Gespräche, welche es nicht sollte.

Zwar beteuert Amazon, dass das Gerät nur aktiv wird, wenn man es mit „Alexa“, „Echo“, „Computer“, „Amazon“ oder eigens eingestellte „Erweckungs-Befehle“ anspricht, aber es werden immer wieder gravierende Pannen bekannt. So versendete Alexa beispielsweise Mitte 2018 das private Gespräch eines Ehepaares an einen zufälligen Kontakt – war das ein Alexa-Lauschangriff oder Zufall? Amazon beteuerte, dass Alexa von dem Paar ausgelöst worden sein müsse und sich daraufhin laut und deutlich in das Gespräch eingemischt habe, doch das Ehepaar hat davon nach eigener Aussage nichts mitbekommen. Der Kontakt, an den die Unterhaltung geschickt wurde, verhielt sich vorbildlich und meldete die Datenschutzpanne.


Alexa und Datenschutz – geht das zusammen?

Dass zwei Themen sind, die nur schwerlich zusammenpassen, wird durch Vorfälle wie den oben genannten immer deutlicher. Bereits 2019 fand das Marktwächter-Team der Verbraucherzentrale Nordrhein-Westfalen zudem heraus, dass Alexa keineswegs nur auf ihr festgelegtes Signalwort reagiere, sondern auch auf ähnlich klingende Begriffe. Und das mit verheerenden Folgen: Lässt sich Alexa nach Praxistests durch so absurde Phrasen wie „Komm, Peter!“ statt „Alexa“ aktivieren, sind die Nutzer:innen und ihre Privatsphäre nicht mehr sicher.

Datenschutzskandal im Smart Home? Durchaus: Durch „Pannen“ wie diese werden Privatgespräche aufgezeichnet und an Amazon weitergegeben, ohne, dass die Nutzer:innen es mitbekommen. Zwar will Amazon nach eigenen Aussagen die erhaltenen Daten nur verwenden, um die Verbesserung seiner Dienste sicherzustellen, jedoch sind Aussagen wie diese extrem „vage und konkretisier[en] nicht die genaue Datenverwendung“, folgert Dr. Ayten Öksüz vom Marktwächter-Team der Verbraucherzentrale NRW.

Amazon hält dagegen und erklärt, dass die letzten Sprachanfragen an den Smartspeaker von Benutzer:innen in der Alexa-App eingesehen und auch gelöscht werden könnten. Jedoch würde Amazon dies nicht empfehlen, da sich Alexa sonst nicht auf ihre Nutzer:innen einstellen könne. Unbeantwortet lässt sowohl Amazon als auch die Alexa-Datenschutzseite eine weitere Frage, die sich daraus ergibt: Werden die Suchanfragen an Alexa noch anderswo hinterlegt und wenn ja, wo sind sie einsehbar?


Datenverarbeitung durch Alexa: Auf der Spur der Daten

Misstrauischere User:innen, die also gerne wissen würden, was Alexa alles über sie weiß, werden von Amazon mit vagen Aussagen und un-expliziten Nutzungsbedingungen hingehalten: Zwar stimmen die Alexa-Nutzer:innen zu, dass ihre Gespräche ausgewertet werden könnten – aber ob von einer künstlichen Intelligenz oder von Menschen lässt Amazon offen.
Bekannt ist nur, dass alles, was nach Aussprechen des Codewortes gesagt wird, auf amerikanischen Servern gespeichert wird. Allerdings stellte das unabhängige IT-Sicherheitsinstitut AV-Test nach eingehenden Tests fest, dass bei Alexa ein permanenter Datenversand messbar war, auch wenn das Gerät eigentlich aus sein sollte. Da die Informationen aber voll verschlüsselt übertragen wurden, konnten keine Rückschlüsse auf Inhalt und Art der übertragenen Daten gezogen werden. Immerhin bietet Amazon die Möglichkeit, Sprachaufzeichnungen manuell in der App zu löschen. Bald soll dies auch per Sprachbefehl („Alexa, lösche alles was ich gesagt habe!“) möglich sein.

Hört Alexa seine Nutzer:innen nun also ab oder nicht? Zumindest hören Amazon-Mitarbeiter:innen mit, wie Anfang 2019 durch den Finanznachrichtendienst Bloomberg offengelegt wurde. Rund um die Welt verschriftlichen Amazon-Mitarbeiter:innen Sprachbefehle, die an Alexa gehen, um – wie es offiziell vom Amazon-Konzern heißt – das Nutzererlebnis zu verbessern.
Doch manche Mitarbeiter:innen transkribierten in ihrem Fleiß auch alle Hintergrundgeräusche, wie etwa Namen und Bankverbindungen. Dass diese dann zwar theoretisch als sensible Daten eingestuft werden, dürfte den Nutzer:innen aber nur ein kleiner Trost sein angesichts der Tatsache, dass auf einer Bildschirmaufnahme zu einem solchen Verschriftlichungsauftrag „eine Account-Nummer, der Vorname des Nutzers sowie die Seriennummer des Geräts“ zu lesen waren. Somit sind direkte Verbindungen zwischen den Inhalten und den Nutzer:innen herzustellen. Und auch hier wurde einmal mehr bekannt, dass ebenfalls Mitschnitte ausgewertet wurden, bei denen Alexa ohne ihr eigentliches Aktivierungswort aktiv wurde.

Die ehemalige Bundesjustizministerin Katarina Barley zeigte sich angesichts dieser Praktiken schockiert, denn laut der DSGVO müssen „Kunden [und Kundinnen] über alles einfach, klar und verständlich informiert werden“, so die Ministerin. Sprachbefehle aufzuzeichnen, nur weil die Datenschutzerklärung schwammig sei, sei „nicht akzeptabel. Die Unternehmen sind hier voll verantwortlich. Ihnen drohen empfindliche Bußgelder in Höhe von vier Prozent des Jahresumsatzes“. Passiert ist aber bisher – nichts.


DSGVO vs. Smart Home: Was passiert mit den personenbezogenen Daten?

Daten werden vor allem für Werbung, Forschungs- und Marketingzwecke verwendet. Sie alle werden zum persönlichen digitalen Fußabdruck hinzugefügt. Bei konkreten Rückschlüssen auf eine bestimmte Person sind von Unternehmen die Grundsätze der DSGVO zu beachten. Durch das Recht auf Auskunft nach Art. 15 DSGVO können sich Nutzer:innen die Daten geben lassen, die Unternehmen von ihnen gesammelt haben – dass Smartspeaker wie Alexa oder Siri den Wohnort, die Familienverhältnisse, die Bankverbindung, die besuchten Websites und die Hobbies einer betreffenden Person kennt, sollte Nutzer:innen aber auch ohne diese Auskunft klar sein. Spätestens hier wäre ein Plädoyer für mehr Privatsphäre angebracht, das die meisten User:innen aber nicht zu interessieren scheint.

Shoshana Zuboff, ehemalige Harvard-Professorin, sieht in der Datensammelwut von Sprachassistenten ein klares Ziel: Die wertvollste Ware in der kommenden Welt des „Überwachungskapitalismus“ wird die Vorhersage des menschlichen Verhaltens sein. Dass viele Menschen dem achselzuckend gegenüberstehen und gewissermaßen eine Wanze in ihrem Zuhause akzeptieren, die umfangreiche Interessens-Profile über sie anlegen, kann sie nicht verstehen. Viele der Dinge und Daten, die Großkonzerne wissen, „würden Nutzer[:innen] nicht herausrücken, wenn sie gefragt werden würden“.

Und Amazon setzt noch eins drauf: Mit einem neu angemeldeten Patent soll Alexa künftig anhand der Stimme ihrer Besitzer:innen erkennen können, in welcher gesundheitlichen und emotionalen Verfassung diese sich befinden. Traurige Nutzer:innen mit hörbaren Halsschmerzen bekommen dann andere Kaufvorschläge als fröhliche User:innen, die Liedchen trällern. Übrigens ist es laut Amazon auch geplant, dass Alexa künftig aufhorchen wird, wenn Nutzer:innen die Phrasen „ich mag“ oder „ich liebe“ sagen. Klar, man (oder Alexa) kann nie genug wissen. Irgendwann wird jede Information relevant.   


Sprachassistenten-Daten als Ermittlungszeugen

Das sehen übrigens auch die deutschen Innenminister:innen so. Medienberichten zufolge sollen staatlichen Ermittler:innen künftig Daten von Smart-Home-Geräten zur Verfügung gestellt werden; zusätzlich sollen diese Daten auch vor Gericht verwendet werden dürfen. Verfassungsrechtliche Bedenken sind bis heute nicht vollständig ausgeräumt, damit dieses Vorhaben zur Praxis werden kann.

In Amerika wurde Alexa bereits erstmalig als Zeugin bei einem Mordprozess herangezogen – gegen den Willen Amazons natürlich. Denn wer teilt schon gerne die Daten, die er so fleißig gesammelt hat. Mittlerweile hat sich dazu auch der Deutsche Bundestag eingeschaltet: Laut des wissenschaftlichen Dienstes des Bundestags bergen Sprachassistenten wie Alexa nicht nur Risiken für Kinder, sondern auch für Besucher:innen von Smartspeaker-Nutzer:innen, die über die Anwesenheit von Sprachassistenten ausdrücklich informiert werden müssten. In dem Gutachten heißt es außerdem, dass es unklar sei, „zu welchen weiteren Zwecken Amazon die Daten zukünftig nutzen könnte“.
Das stößt in Deutschland keineswegs auf taube Ohren: 56 % der deutschen Bürger:innen sind der Meinung, dass Großkonzerne wie Amazon nicht verantwortungsvoll mit persönlichen Daten umgehen – doch erscheint dieser Umfragewert angesichts der Tatsache, dass die Verkaufszahlen von digitalen Assistenten wie Alexa hierzulande stetig steigen, wie ein Hohn.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!