Datenschutz

Alexa-Datenpanne: Traf Amazon eine Meldepflicht?

Der Sprachassistent Alexa vom Unternehmen Amazon schneidet Unterhaltungen mit den Nutzern mit. Jetzt kam es zur ersten großen Datenpanne. Hätte Amazon die betroffenen Nutzer und die zuständige Datenschutzbehörde informieren müssen?

Amazons Alexa ist Datenschützern schon lange ein Dorn im Auge. Denn die digitale Amazon-Assistentin lauscht den gesprochenen Worten seiner Nutzer und übermittelt die Aufzeichnungen an den Konzern in den USA. Dass es aus datenschutzrechtlicher Sicht noch schlimmer kommen kann, zeigt nun ein Fall aus Deutschland: Durch einen Fehler von Amazon fielen rund 1700 fremde, private Alexa-Sprachaufzeichnungen in die Hände eines völlig überraschten Mannes.

Was war passiert?

Hintergrund der Geschichte ist Folgender: Der Kunde hatte Amazon um eine Auskunft nach Art. 15 Datenschutzgrundverordnung (DSGVO) gebeten. Dieser Auskunftsanspruch erlaubt es den Betroffenen herauszufinden, ob und wenn ja welche Daten ein Unternehmen über ihn gespeichert hat. Zudem kann er eine Kopie der gespeicherten Daten anfordern.

Nach zwei Monaten stellte Amazon ihm – vermeintlich – seine gesammelten Daten als ZIP-Archiv bereit. Jedoch waren nur ein Bruchteil der darin enthaltenen Daten tatsächlich für ihn bestimmt – der Rest enthielt Sprachaufzeichnungen von Amazons Sprachassistentin Alexa. Dies erschien im merkwürdig, schließlich hatte er das Echo-Gerät noch nie genutzt. Tatsächlich hatte er Aufzeichnungen einer fremden Person erhalten, die Alexa mitgeschnitten hatte. Zu hören waren u.a. Aufnahmen aus der Wohnung, Abfragen nach dem Lieblingsrestaurant, Termine und Kontakte.

Auf Nachfrage bei dem Unternehmen erhielt er keine Antwort – kurze Zeit später führte der Download-Link ins Leere. Zu spät für das Unternehmen – der misstrauische Kunde hatte die Dateien bereits gesichert. Tatsächlich stammen die Aufzeichnungen aus fremden Wohn- und Schlafzimmern sowie Bädern. Anhand des Inhaltes der Aufzeichnungen war es möglich, den Nutzer, von dem die Aufzeichnungen stammten, zu identifizieren und zu informieren. Im Nachhinein stellte sich heraus, dass auch dieser Mann eine DSGVO-Auskunft angefordert hatte. Laut Auskunft Amazons handelte es sich um einen „menschlichen Fehler“ und einen „isolierten Einzelfall“.

Hätte Amazon die Panne melden müssen?

Losgelöst von dieser Darstellung durch Amazon handelt es sich bei dem Vorfall tatsächlich um eine ernst zu nehmende Datenpanne. Rechtlich stellt sich die Frage, ob Amazon die Panne der zuständigen Datenschutzbehörde und/ oder den betroffenen Nutzern hätte melden müssen.

Solche Meldepflichten sieht die seit dem 25. Mai 2018 geltende DSGVO in ihren Art. 33 und Art. 34 vor. Eine Meldepflicht besteht gegenüber der zuständige Datenschutzbehörde und auch der betroffenen Person dann, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt und diese Verletzung zu einem Risiko für die Rechte und Freiheiten der Person führt.

Hier wurden personenbezogene Daten aus der Privat- und Intimsphäre einer fremden Person an eine unbefugte Person weitergegeben. Nach der Datenschutzerklärung zu dem Gerät sind nur Amazon und der Nutzer selbst berechtigt, die Aufzeichnungen abhören. Bei der Weitergabe der Daten handelt es sich daher um eine unzulässige Verarbeitung personenbezogener Daten (Art. 6 DSGVO). Somit liegt eine Verletzung des Schutzes von personenbezogenen Daten vor. Möglicherweise handelt es sich zudem sogar um sensible Daten i.S.d. Art. 9 DSGVO, also besonders schützenswerte Daten, falls aus den Sprachaufzeichnungen auch Details zum Sexualleben oder der sexuellen Orientierung des Benutzers weitergegeben wurden (es wurde auch eine Frauenstimme aufgezeichnet). Auch Daten, aus denen politische Meinungen oder religiöse Überzeugungen hervorgehen, fallen in diese besondere Kategorie personenbezogener Daten.

Eine Meldepflicht besteht allerdings nur, wenn ein Risiko für den Betroffenen nicht ausgeschlossen ist. Dieses Risiko besteht, wenn der betroffenen Person Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen. Umfasst sind somit materielle und immaterielle Schäden und bereits der Verlust über die Kontrolle über die eigenen Daten genügt.

Wenn man sich hier vor Augen führt, dass die Aufzeichnungen aus einer privaten Wohnung stammen und außerdem hier eine Person durch die Panne bei Amazon eine umfassende Sammlung von Audiospuren aus dem Leben einer anderen Person erhalten hat, wird man von einem Risiko der betroffenen Person ausgehen können.

Neben der Meldepflicht gegenüber der Aufsichtsbehörde besteht aber auch eine Benachrichtigungspflicht bei der betroffenen Person gemäß Art. 34 DSGVO. Auch dieser setzt eine Verletzung des Schutzes personenbezogener Daten voraus. Im Gegensatz zur Meldepflicht gegenüber der Aufsichtsbehörde muss hier allerdings ein „hohes“ Risiko für die betroffene Person bestehen.

Unterschiede bestehen auch in zeitlicher Hinsicht. Der Verantwortliche, also hier Amazon, muss binnen 72 Stunden die Verletzung bei der Aufsichtsbehörde melden. Die Benachrichtigung der betroffenen Person hingegen muss unverzüglich geschehen, also ohne schuldhaftes Zögern. Die Meldung an den Betroffenen hängt also an keiner Frist, soll aber so schnell wie möglich geschehen.

Ob Amazon die Datenpanne innerhalb von 72 Stunden an die Datenschutzbehörde gemeldet hat, ist nachwievor nicht bekannt. Den auskunftssuchenden Echo-Nutzer hatte Amazon jedoch erst vier Wochen nach der Panne benachrichtigt.

Drohen Amazon Strafen?

Durch die Weitergabe von personenbezogenen Daten an eine unbefugte Person könnte Amazon mehrere datenschutzrechtliche Vorgaben verletzt haben. Zum einen verstößt Amazon gegen die Pflicht, personenbezogene Daten nur dann zu übermitteln, wenn eine gesetzliche Rechtfertigung vorliegt. Das kann z.B. eine Einwilligung des Betroffenen sein, ein Vertrag oder auch ein berechtigtes Interesse Amazons an der Datenverarbeitung hat. Darüber hinaus enthält Art. 5 Abs. 1 lit f) DSGVO die Pflicht zur Sicherstellung einer angemessenen Sicherheit der Datenverarbeitung.

Verstöße gegen die DSGVO ziehen grundsätzlich ein Bußgeld gemäß Art. 83 DSGVO nach sich. Bei der Verhängung der Bußgelder müssen die Aufsichtsbehörden jedoch verhältnismäßig handeln. Im Rahmen der Verhältnismäßigkeit werden alle Umstände des Einzelfalles berücksichtigt mit dem Ziel, dass Bußgeld und Intensität des Verstoßes in einem angemessenen Verhältnis zueinander stehen. Relevant wird z.B. die Frage, wie eng Amazon mit der Aufsichtsbehörde bei der Untersuchung des Vorfalles zusammen arbeitet oder ob es bereits frühere Verstöße von Amazon gab.

Anlass zum Schmunzeln bietet die Meldung, dass der Betroffene (die abgehörte Person) von Amazon eine kostenlose Prime-Mitgliedschaft und zwei zusätzliche Geräte mit integrierter Alexa-Funktion als Wiedergutmachung erhielt.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.