Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. Google Assistant installiert ist.

Gestützt auf Mitschnitte, die von Whistleblowern zugespielt wurden, wurde in den Medien kürzlich berichtet, dass Google im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer von Menschen auswerten lässt, um die Spracherkennungsfähigkeit des Google Assistant zu optimieren. Bei diesen Auswertungen hören Mitarbeiter von Google bzw. von beauftragten Firmen die Sprachaufzeichnungen ab und transkribieren diese, um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden. Diese Praxis hat Google in seinem Blog dargestellt (https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/). Wie sich durch den Bericht der Whistleblower gezeigt hat, ließen sich den aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren erfolgte ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen. Damit sollen die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Zwar ist nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handelt es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google ist das die IDPC in Irland. Dennoch sieht die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Dies ist hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen kann nur durch einen zeitnahen Vollzug erreicht werden.

Google hat im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgen. Diese Zusicherung bezieht sich auf die EU insgesamt. Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: “Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen. Im Fall des Google Assistant bestehen daran gegenwärtig erhebliche Zweifel. Die Nutzung von Sprachassistenzsystemen muss in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist. Dabei geht es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich muss dem Erfordernis des Schutzes Dritter, die von den Sprachaufnahmen betroffen sind, hinreichend Rechnung getragen werden. Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind.“


Pressekontakt
Telefon: +49 40 428 54-4044
E-Mail: