Alexa und Datenschutz – diametral oder miteinander vereinbar?

Am 26.10.2016 wurde der virtuelle Assistent "amazon Alexa", kurz "Alexa", in Deutschland eingeführt. Seither streiten Fachleute über die datenschutzrechtliche Zulässigkeit verschiedenster Funktionen von Alexa.

Spätestens mit Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) zum 25.05.2018 haben drängende Fragen über Alexa nicht nur in der öffentllichen Wahrnehmung an Bedeutung gewonnen. Immer mehr private Nutzer stellen sich die Frage, wie weit Alexa tatsächlich geht und welche Möglichkeiten zum Schutz ihrer Privatsphäre bei gleichzeitiger Nutzung von Alexa bestehen.

Einwilligung der Nutzer und Aufnahmen Dritter

Nach der Datenschutzgrundverordnung ist zur Verarbeitung personenbezogener Daten grundsätzlich eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Eine solche kann z.B. die Einwilligung der betroffenen Person zur Verarbeitung ihrer Daten gem. Art. 6 Abs. 1 lit. a) DSGVO sein.

Eine solche haben alle Alexa-Nutzer bei der Erstinstallation ausdrücklich abzugeben, sodass die Verarbeitung bezüglich der Nutzerdaten in der Regel zulässigerweise möglich ist.

Aber wie verhält es sich mit Aufnahmen Dritter (z.B. Besucher in Alexa-Haushalten), die während der Aufenthaltsdauer von Alexa mitgehört und teilweise sogar mitgeschnitten werden?

An einer solchen expliziten und dokumentierten Einwilligung zur Verarbeitung der personenbezogenen Daten fehlt es bei der Aufnahme von Gesprächen Dritter. Die Annahme einer zumindest konkludenten Einwilligung durch das Betreten der Wohnung wird man wohl in aller Regel nicht annehmen können. Zudem ließe sich eine solche konkludente Einwilligung nur schwerlich nachweisen.

Bezüglich dieser Problematik gibt es bisher kein praxistaugliches Verfahren, um die notwendige Einwilligung nicht registrierter Nutzer einzuholen, bzw. diese gemäß Artikel 13 DSGVO über die Verarbeitung ihrer Daten aufzuklären. Eine technische Lösung. beispielsweise über Stimmerkennung, wird in der Regel schon daran scheitern, dass bereits das Erkennen der Stimme eine Datenverarbeitung darstellt, für die eine Rechtsgrundlage erforderlich ist.

Mit Spannung ist hier daher zu erwarten, wie Amazon die datenschutzrechtliche Problematik hinsichtlich der fehlenden Einwilligung zur Verarbeitung personenbezogener Daten anzugehen gedenkt.

Sprachmitschnitte in Osteuropa und außerhalb des EWR?

Abseits der Einwilligungsthematik beschäftigte die Öffentlichkeit neuerdings das heikle Thema der Verwertung der (zum Teil ohne Einwilligung) angefertigten Mitschnitte durch externe Dienstleister von Amazon in Osteuropa bzw. außerhalb des europäischen Wirtschaftsraums wie bspw.in Indien, Costa Rica und den USA.

Ziel der Auswertung ist es Amazon zufolge, die Spracherkennung zu verbessern.

Allgemein sei dem Konzern zufolge lediglich eine sehr kleine Zahl an Nutzern betroffen und eine Anonymisierung der Daten würde durch eine Verschlüsselung der Daten sichergestellt, sodass kein Mitarbeiter die Möglichkeit habe einen Nutzer zu identifizieren. Ob dies tatsächlich der Fall ist, ist jedoch außerhalb der Aussagen des Konzerns nicht bestätigt.

Darüber hinaus bleibt das Mitschneiden und Verarbeiten von Sprachdaten ohne Einwilligung der Nutzer oder das Vorliegen einer anderen Rechtsgrundlage datenschutzrechtlich problematisch. Die DSGVO sieht für das Vorliegen solcher Fälle eine klare Rechtsfolge in Art. 83 Abs. 5 lit. a) DSGVO vor. Hiernach werden Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.

Auch für den Verstoß gegen die Informationspflichten gem. Art. 13 DSGVO kann eine entsprechende Strafe anfallen. Auch dahingehend dürfte das Vorgehen von Amazon und Co. das Interesse von Datenschutzbehörden geweckt haben, da noch unklar ist, ob über alle Verarbeitungsvorgänge ausreichend aufgeklärt wurde.

In einem ähnlichen, jüngst für sehr viel Aufsehen sorgenden Fall hatte der Hamburger Datenschutzbeauftragte Johannes Caspar ein Verwaltungsverfahren gegen Google eingeleitet, um das Anhören von Mitschnitten von Google-Sprachassistenten durch Mitarbeiter des Konzerns zu unterbinden. Das Eingreifen deutscher Behörden ist zwar in diesem Fall aufgrund aufsichtsrechtlicher Vorschriften lediglich für eine Frist von 3 Monaten möglich, da Google seine Niederlassung in Irland besitzt, jedoch könnte das Vorgehen Schule machen und das Vorgehen der Datenriesen schon bald verstärkt die Aufmerksamkeit weiterer Datenschutzbehörden hervorrufen. Die Nutzung der Assistenten bezeichnete der Hamburger Datenschutzbeauftragte derweil als „hoch risikoreich“.

Maßnahmen zur Sicherstellung des Datenschutzes

Auch anlässlich der jüngsten Berichterstattung um die Verarbeitung der Daten unter anderem in Osteuropa bleibt weiterhin fraglich, ob die Anbieter von Spracherkennungsdiensten ihrer Pflicht zur Vornahme aller geeigneten technischen und organisatorischen Maßnahmen zum Schutz der Nutzerdaten nachkommen.

Geregelt in Art. 25 Abs. 2 DSGVO sollen durch diese Schutzmaßnahme nur diejenigen Daten tatsächlich verarbeitet werden, welche für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Gemäß Art. 25 Abs. 1 DSGVO müssen zudem generell geeignete technische und organisatorische Maßnahmen getroffen werden, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.

Treffen die aktuellen Berichte zu, nach denen Sprachanbieter die Daten beispielsweise in Osteuropa von externen Dienstleistern von Zuhause verarbeiten lassen, stellt sich die Frage, ob die Verarbeitung und das Anhören von Sprachaufzeichnungen durch Dritte in Privatwohnungen diesen Anforderungen genügt. Eine Kontrolle der Sprachaufzeichnungen bzw. ein Schutz der Daten vor einem unberechtigten Zugriff weiterer Personen dürfte dabei zumindest erschwert sein. Fraglich ist auch, ob dabei sichergestellt werden kann, dass eine Verarbeitung nur für den im Vertrag bestimmten Zweck erfolgt.

Auch ein Verstoß gegen diese Pflicht kann nach der DSGVO strafbewehrt sein und nach Art. 83 Abs. 4 lit. a) DSGVO mit einer Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des letzten Jahresumsatzes belegt werden.

Fehlende Einwilligung bei besonderen Kategorien personenbezogener Daten?

Ebenso ungeklärt ist die rechtliche Problemstellung, welche sich daraus ergibt, dass bei der Nutzung von Sprachassistenten auch besondere Kategorien personenbezogener Daten verarbeitet werden können (z.B. Gesundheitsdaten), z.B. wenn der Nutzer den Sprachassistenten nach den Symptomen verschiedener Krankheiten fragt.

Hierfür stellt die DSGVO noch strengere Anforderungen an die Rechtsgrundlage; z.B. muss eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a) DSGVO sich ausdrücklich auf die Verarbeitung solcher sensibler Daten beziehen. Eine anderweitige Rechtsgrundlage nach der DSGVO ist nach jetzigem Stand für die Verarbeitung besonderer Kategorien personenbezogener Daten nicht zu erkennen.

Fazit

Alexa und weitere intelligente Assistenten werfen in Bezug auf Datenschutz eine Fülle an rechtlichen Fragen auf, welche bisher noch weitestgehend unbeantwortet bleiben.

Hier ist sowohl der europäische Gesetzgeber gefragt, um passende Regelungen bezüglich der neuesten technischen Entwicklungen zu erarbeiten, als auch die Rechtsprechung, um das richtige Maß zwischen datenschutzrechtlichen Anforderungen und der Fortentwicklung der Technik zu finden.

In der nächsten Zukunft wird sich somit zeigen, was dem europäischen Gesetzgeber und den nationalen und internationalen Gerichten der Schutz der Kundendaten großer Konzerne tatsächlich wert ist.

Die aktuelle und zukünftige Entwicklung im Datenschutzrecht bleibt somit spannend, rechtlich kompliziert und abwechslungsreich zugleich.

 Bildquelle: geralt auf pixabay.com