Datenschutz und IT-Sicherheit

Worauf sollte man bei der Nutzung von Alexa und Co. achten

Für viele Menschen ist der Sprachassistent aus dem Alltag nicht mehr wegzudenken. Zu verlockend ist die Steuerung diverser Haushaltshelfer und Technik nur mit der Stimme. Aber wie schaut es eigentlich aus mit dem Datenschutz, wenn ich Alexa, Siri und Co. benutze? Welche Daten werden erfasst und welche vielleicht sogar weitergegeben?

Nicht zuletzt, weil durch das Arbeiten im Homeoffice die Nutzung von Spracherkennung und Sprachsteuerung eine andere datenschutzrechtliche Dimension erreicht hat, möchten wir uns in diesem Blogartikel ausgiebig damit beschäftigen.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich nicht sicher sind, ob der Datenschutz in Ihrem Unternehmen rechtskonform eingehalten wird oder wenn Sie Unterstützung bei der Umsetzung des Datenschutzes benötigen, senden Sie uns doch einfach eine unverbindliche Anfrage.

Welche Daten speichert der Sprachassistent?

Auch wenn die Anbieter beteuern, dass uns die Sprachassistenten nicht dauerhaft belauschen und dabei Gespräche aufzeichnen: Fakt ist, dass diese Systeme nur dann funktionieren, wenn Sie auch dauerhaft in irgendeiner Weise in Betrieb sind. Wie sonst sollten Sie auf die Anweisungen der Benutzer reagieren können? Es muss jedem also klar sein, dass alles, was gesagt wird, in irgendeiner Form verarbeitet wird.

Was genau gespeichert wird und was nicht, ist für den Laien nicht nachvollziehbar. Hierbei muss man sich wohl oder übel auf die Angaben und Versicherungen des Herstellers verlassen. Das Vertrauen in die Geräte wird aber durch versehentliche Datenpannen immer wieder erschüttert: unabsichtlich mitgeschnittene und verschickte Gespräche gehören da wohl zu den Horrorvorstellungen eines jeden Datenschützers. Welche personenbezogenen Daten dann unkontrolliert an Dritte weitergegeben werden, möchte sich wohl niemand ausmalen. Leider kommen solche Pannen in der Datenübermittlung bei Sprachassistenten immer noch und gar nicht so selten vor.  Wem es noch nicht klar ist: auch so eine Datenpanne muss ggf. gemeldet werden. Wie Sie mit Datenpannen im Alltag umgehen, lesen Sie in unserem Blog „Umgang mit Datenpannen„.

Es wurde auch erst jetzt wieder deutlich, dass die Geräte im Smarthome durchaus auch durch andere – meist ähnliche – Phrasen aktiviert werden können. So werden Daten, ja sogar ganze Gespräche unbeabsichtigt an den Datenverarbeiter gesendet.

Eine große Unsicherheit bei der Benutzung der technischen Alltagshelfer liegt sicher auch in der Definition der Weiterverarbeitung und Speicherung der Daten. Bei den Aussagen der Anbieter kann man nicht genau herauslesen, welche Daten zu welchem Zwecke wirklich genutzt, verarbeitet oder sogar gespeichert und weitergegeben werden. Bei dem breiten Angebot, für das die Dienste genutzt werden, ist eine klare Abgrenzung wohl auch nur schwer möglich. Der Betroffene befindet sich also in einem Dschungel von Datenübermittlungen (beabsichtigt oder nicht), die wohl Sherlock Holmes an seine Grenzen bringen würde – hier hilft also nur Vertrauen ins System und eine gewisse Vorsicht bei der Verwendung.

Wie sieht es mit dem Datenschutz bei Sprachassistenten aus?

Wer den oberen Abschnitt aufmerksam gelesen hat, dem ist schon beinahe klar, wie hier die Antwort nur lauten kann: Der Datenschutz ist mehr als nur durchwachsen angelegt.

Betrachtet man die Funktionsweise und die bisherigen Vorfälle mit Sprachassistenten, so sollten sich User vor allem über folgende Dinge im Klaren sein:

  • Sprachassistenten müssen immer „mithören“, damit Ihre Funktionsweise gegeben ist – nur so können Sie auch auf Signalworte reagieren
  • Sprachassistenten reagieren auch auf ähnliche Phrasen und werden unter Umständen unabsichtlich aktiviert
  • Welche Daten zu welchem Zweck erfasst werden ist nur schwer nachvollziehbar
  • Es wurde nachgewiesen, dass auch Daten bei nicht aktiven Geräten oder ausgeschalteten Geräten gesendet werden
  • Aufzeichnungen werden nicht nur durch ein IT-System aufgezeichnet und bearbeitet – auch Mitarbeiter der entsprechenden Firmen bearbeiten Befehle, um diese weiter zu verwenden
  • Es gab Fälle, bei denen Nebengeräusche (Namen, Bankverbindungen etc.) ebenfalls aufgezeichnet und ausgewertet wurden
  • Ebenfalls wurden Daten mit zuordnebaren personenbezogenen Daten gespeichert
  • Meist werden die Daten nicht in Europa verarbeitet – die Datenschutzgrundverordnung (DS-GVO) greift hier also nur bedingt

Wichtig: Für ein Unternehmen mit Sitz in der EU gilt die DS-GVO immer – es muss sicherstellen, dass diese eingehalten wird. Die Nutzung von Sprachassistenten – auch wenn die Daten im Nicht-EU-Ausland verarbeitet werden – unterliegt daher ebenfalls diesen gesetzlichen Vorgaben.

Achtung im Homeoffice und im Auto

Angesichts der Tatsache, dass nicht klar ist, welche Daten beim Sprachassistenten übermittelt werden, dass die Anbieter sich meist mit schwammigen Aussagen zum Thema Datenschutz und bei Auskunftsersuchen durch Betroffene aus der Verantwortung stehlen, sollte spätestens beim Homeoffice das Thema Sprachassistenz auf einen besonderen Prüfstand gestellt werden.

Nicht nur sensible Daten von Unternehmen, sondern unter Umständen auch personenbezogene Daten von Betroffenen können – und das ist datenschutzrechtlich besonders fatal – ohne deren Wissen weitergegeben werden. Datenpannen mit nicht abzuschätzenden Ausmaßen können hier die Konsequenz sein.

Ähnlich verhält es sich bei der Nutzung von Sprachassistenten im Auto.

Stellen Sie also bei der Arbeit von zu Hause immer sicher, dass Ihr Sprachassistent komplett ausgeschaltet ist – schon um den Datenschutz in Ihrem Unternehmen, Verein, der Kanzlei, Praxis oder sonstigen Bereichen nicht zu gefährden.

Datenschutz ernst nehmen – Mitarbeiter sensibilisieren

In Zeiten von Corona spielt das Homeoffice sicher eine besondere Rolle was den Datenschutz angeht (siehe auch unsere Blogs zum Thema) – aber auch im Büroalltag können sich natürlich Sprachassistenten auf dem Smartphone oder anderen Geräten einschalten und sensible Daten aufzeichnen. Machen Sie Ihre Mitarbeiter darauf aufmerksam, dass hier Schwachstellen entstehen können und schulen Sie die Mitarbeiter im Datenschutz.

Die Einhaltung des Datenschutzes muss immer durch den Verantwortlichen sichergestellt werden, daher muss er dafür Sorge tragen, dass alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, entsprechend unterwiesen wurden. Regelmäßige Mitarbeiterschulungen zum Datenschutz sollten daher selbstverständlich sein.

Beziehen Sie IT-Fachmann und (externen) Datenschutzbeauftragten in jedem Fall mit in das Thema ein, um ein sicheres Konzept für die Umsetzung des Datenschutzes zu erstellen.

Datenschutzberater.NRW kann Sie bei dieser Umsetzung unterstützen. Wir betreuen Mandanten im Bereich Köln, Bonn, Düsseldorf und ganz NRW mit einem Team aus Datenschutz, Steuerrecht und IT-Sicherheit in folgenden Themen:

Außerdem stellen wir einen externen Datenschutzbeauftragten (TÜV), der durch eine Datenschutzfachkraft (TÜV) unterstützt wird. Kontaktieren Sie uns und wir erstellen Ihnen ein praxisnahes und individuelles Konzept für Ihren Datenschutz.

Sprachassistenten und Datenschutz – Wie sicher sind wir im Alltag?