Datensicherheit im Alltag: Datenschutz bei Sprachassistenten, Episode 2
18. März 20211. Juni 2022
1
In Compliance, Fakten

Datensicherheit im Alltag: Datenschutz bei Sprachassistenten, Episode 2

Im vergangenen Beitrag haben wir den Blog-Zweiteiler „Datensicherheit im Alltag: Datenschutz bei Sprachassistenten“ mit der ersten Episode und der thematischen Einführung begonnen. Im Folgenden beschäftigen wir uns unter anderem mit der Datenspeicherung und -weitergabe sowie mit den möglichen Sicherheitslücken.
Es ist bekannt, dass Sprachassistenten wie Siri, Alexa & Co. datenschutzrechtlich teils erhebliche Sicherheitslücken aufweisen und emsig personenbezogene Daten von den Anwendern sammeln. Trotz dieser Tatsache stören sich hieran allerdings die wenigsten Nutzer. Weiterhin ist bekannt, dass alles, was nach dem Befehlswort ausgesprochen wird, in der Regel auf amerikanischen Servern gesichert wird, sodass die Datenschutzgrundverordnung hierbei nur bedingt greift. Sind die Daten erst einmal auf den Servern von Herstellern wie Amazon, Apple oder Microsoft gespeichert, verbleiben sie in der Regel auch dort. An dem Speicherungsprozess sind meist nicht nur die Hersteller, sondern auch Drittanbieter, die mit den Sprachassistenten verbunden sind, in die Informationssammlung involviert. Im Vergleich zum Löschvorgang beim Hersteller bzw. dessen Initiierung stellt sich der Prozess bei der Involvierung Dritter als noch schwieriger oder als unmöglich dar.

Für die Anwender ist es nicht deutlich erkennbar, welche Daten von ihnen gespeichert oder einer Weiterverarbeitung unterliegen. Die Ursache hierfür liegt in dem breiten Angebot, für welches die Dienste genutzt werden. Aufgrund dieser Masse ist es für die Anwender schwer nachvollziehbar, welche Daten zu welchen Zwecken wirklich genutzt, verarbeitet oder gespeichert werden. Dementsprechend muss sich der Anwender aufgrund des Dschungels von Datenspeicherung und -übermittlung wohl oder übel auf die Angaben und Versicherungen des Herstellers verlassen.

Das zunehmende Interesse an Sprachassistenten wird durch ein Beispiel aus den USA verdeutlicht. Dort wurde im Rahmen einer Mordermittlung Amazon zur Herausgabe von Alexa-Sprachaufzeichnungen aufgefordert. Veranschaulicht wird durch diesen Fall, dass die Sprachaufzeichnungen nicht nur für die Hersteller und Drittanbieter von Interesse sein können, sondern auch für staatliche Behörden.

Geläufig ist, dass die von Herstellern und Drittanbietern gesammelten und gespeicherten Daten für Marketingzwecke genutzt werden. Mittels individualisierter Nutzerprofile kann so beispielsweise maßgeschneiderte Werbung angeboten werden. Der Hersteller Google ermöglicht es seinen Nutzern, sich die gesammelten Daten anzusehen und zu entfernen. Auch Amazon bietet diese Möglichkeit in der Alexa App an. Das Bearbeiten und Aufzeichnen von Daten erfolgt aber nicht allein durch IT-Systeme, sondern auch durch Mitarbeiter der entsprechenden Hersteller. Im Zuge dessen kam es bereits häufiger dazu, dass „Nebengeräusche“ (Namen, Bankverbindungen etc.) aufgezeichnet und letztlich auch ausgewertet wurden. 

Die Bedeutung des Datenschutzes in Verbindung mit der Nutzung von Sprachassistenten hat im Laufe der Corona-Pandemie und der gestiegenen Zahl an Homeoffice-Plätzen nochmals zugenommen. Neben personenbezogenen Daten sind in diesem Kontext auch sensible Unternehmensdaten der Gefahr einer unbewussten Weitergabe bzw. Aufzeichnung und Weiterverarbeitung ausgesetzt. Ähnlich verhält es sich bei der Nutzung von Sprachassistenten im Fahrzeug. Sofern hier unternehmensbezogene Gespräche geführt werden, sollte darauf geachtet werden, dass der Sprachassistent komplett ausgeschaltet ist. 

Auch die Fernsteuerung der Sprachassistenten kann ein potentielles Sicherheitsrisiko darstellen, sodass nächtliche Polizeieinsätze durch ferngesteuerte Partymusik oder ungewollte Bestellungen die Folge sein können. Insbesondere bei Kindern ist große Vorsicht geboten, da hier auch die Möglichkeit besteht, dass sie nicht jugendfreie Inhalte hören oder ungewollte Bestellungen aufgeben.

Bedrohlich wird es vor allem, wenn mögliche Sicherheitslücken der Sprachassistenten von Hackern ausgenutzt werden. So ist das Szenario des Abfangens von Sprachbefehlen nicht realitätsfern und könnte im Einzelfall dazu führen, dass Hacker die Sprachbefehle in Einzelteile zerlegen und im schlimmsten Fall zu schädlichen neuen Befehlen wieder zusammensetzen. Im Großen und Ganzen sollten sich Anwender von Sprachassistenten darüber im Klaren sein, dass es sich bei dieser Technologie um „künstliche Intelligenz“ handelt, die sich von der Masse an gesammelten Daten ernährt. Erst hierdurch werden Mehrwert und Funktionalität, die Sprachassistenten erbringen, erzielt. Dem gegenüberzustellen sind die geschilderten Sicherheitslücken und Bedenken aus datenschutzrechtlicher Sicht.

Essenz

  • erhebliche datenschutzrechtliche Sicherheitslücken
  • Sicherung der Daten auf amerikanischen Servern, wobei die Datenschutzgrundverordnung nur bedingt greift
  • durch Datenübermittlung an Drittanbieter wird die Datenlöschung zusätzlich erschwert
  • erhöhte Gefahr von Datenpannen durch Sprachassistenten im Homeoffice oder in Fahrzeugen