Bevor wir auf das Thema „Sprachassistenten und Datenschutz“ eingehen, möchten wir zunächst die Vorteile der Sprachassistenten, wie Googles „Google Home“, Amazons „Alexa“ oder Apples „Siri, eingehen. Die kleinen „Helfer“ können durchaus praktisch sein und uns einige Aufgaben abnehmen, denn auf Fragen oder Aufgaben, wie „Alexa, wann habe ich meinen nächsten Termin?“, „Google, schreib meiner Frau, dass ich etwas später komme!“ oder „Siri, wie ist die aktuelle Verkehrslage?“ sind die Sprachassistenten bestens vorbereitet. Aus diesem Grund wundert es uns nicht, dass zunächst der Datenschutz in den Hintergrund gerät, allerdings handelt es sich dabei durchaus um ein Thema, das keinesfalls ignoriert werden sollte. Zwar gilt dies insbesondere beim Einsatz in Unternehmen, Vereinen, Behörden oder sonstigen verantwortlichen Stellen, allerdings sollten auch Privatpersonen einige Risiken berücksichtigen.
Sprachassistenten und Datenschutz – Welche Risiken und Gefahren Sie beachten sollten
Erhebt, verarbeitet oder nutzt eine verantwortliche Stelle personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben („Verbot mit Erlaubnisvorbehalt“).
Sollen die kleinen „Helfer“ für berufliche Zwecke eingesetzt werden und es findet eine Übermittlung personenbezogener Daten statt, so müsste sich das Unternehmen, die Behörde oder eine sonstige Organisation, die die Verantwortung für die Daten trägt, von jedem Betroffenen eine informierte Einwilligung einholen. Der damit verbundene Aufwand dürfte in den meisten Fällen viel höher sein als der Nutzen durch die intelligenten „Helfer“, wobei die Entscheidung über die Risiken und notwendigen Maßnahmen von Fall zu Fall unterschiedlich ist. Im Folgenden haben wir Ihnen einige Fallbeispiele aufgeführt:
Der Anbieter des Sprachassistenten hat keinen Zugriff auf personenbezogene Daten
Wird ausschließlich die Hardware und ggf. die Software vom Anbieter durch die Organisation bzw. einen Mitarbeiter bezogen, wobei der Anbieter keinen Zugriff auf personenbezogene Daten erhält, dann dürfte die Nutzung in der Regel recht unproblematisch sein. Es sollte allerdings beachtet werden, dass ein potentieller Zugriff auf personenbezogene Daten durch den Hersteller bereits für die Erforderlichkeit weiterer Maßnahmen genügt. Beim Einsatz der Sprachassistenten werden die Daten, vor allem die Spracheingaben, grundsätzlich in eine Cloud ausgelagert. Aus diesem Grund dürfte der Ansatz, dass der Anbieter keine Daten erhält, in der Praxis eher unüblich sein, weswegen die weiteren Unterscheidungen beachtet werden sollten.
Der Anbieter des Sprachassistenten (Sitz innerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten
Um einen Sprachassistenten einsetzen zu können, muss dieser zunächst mit dem WLAN verbunden werden. Des Weiteren muss der Sprachassistent mit dem Smartphone gekoppelt werden. Zudem ist für den Einsatz in der Regel eine App, die auf dem Smartphone installiert wird, erforderlich. Es sollte deshalb davon ausgegangen werden, dass der Anbieter des Sprachassistenten neben der IP-Adresse und den Spracheingaben, den Zugriff auf weitere Daten, die sich auf dem Smartphone befinden, wie zum Beispiel den Kontakten, erhält. Eine Telefonnummer ist ein personenbezogenes Datum, weshalb das Datenschutzrecht greift und das Verbot mit Erlaubnisvorbehalt beachtet werden sollte. Eine Übermittlung bedarf, wie bereits erläutert, informierte Einwilligungen der Betroffenen oder einer Rechtsgrundlage.
Hat der Anbieter des Sprachassistenten seinen Sitz innerhalb der EU / des EWR und verarbeitet die personenbezogenen Daten ausschließlich nach Weisung und im Auftrag des Unternehmens, der Behörde oder sonstiger verantwortlicher Stelle, so handelt es sich um eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG). Bei einer Auftragsdatenverarbeitung greift die Fiktion der „Nicht-Übermittlung“, wodurch keine informierten Einwilligungen der Betroffenen – für die Weitergabe der Daten an den Dienstleister – eingeholt werden müssen. Es sollte allerdings ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister abgeschlossen werden und sichergestellt werden, dass der Dienstleister ausreichende Maßnahmen ergreift, um personenbezogene Daten vor dem Zugriff durch Dritte zu schützen.
Der Anbieter des Sprachassistenten (Sitz außerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten
Hat der Anbieter des Sprachassistenten seinen Sitz außerhalb der EU / des EWR (Drittland) so greift die Fiktion der „Nicht-Übermittlung“ nicht, wodurch entweder informierte Einwilligungen der Betroffenen eingeholt werden sollen oder geprüft werden sollte, ob eine andere Rechtsgrundlage für die Übermittlung vorliegt.
Informierte und freiwillige Einwilligungen
Sollen informierte Einwilligungen eingeholt werden, so sollte darauf geachtet werden, dass Betroffene ausreichend über die Datenerhebung, -verarbeitung (insbesondere die Datenübermittlung an den Dienstleister) und –nutzung ihrer Daten informiert werden. Zudem sollten die Einwilligungen freiwillig erfolgen. Im Arbeitsverhältnis scheitert es meist an der Freiwilligkeit oder der Informiertheit, regelmäßig auch an beiden Voraussetzungen.
Rechtsgrundlage
Sollte eine Rechtsgrundlage, die Übermittlung an den Anbieter erlauben, wobei für den Einsatz der Sprachassistenten keine vorliegen dürfte, so müsste geprüft werden, ob ein angemessenes Datenschutzniveau durch die EU-Kommission in dem Drittland festgestellt wurde. Ein angemessenes Datenschutzniveau liegt unter anderem in Kanada oder der Schweiz vor. Sofern dies nicht der Fall ist, sollte ein angemessenes Datenschutzniveau, mittels EU-Standardvertragsklauseln oder durch andere vertragliche Grundlagen, hergestellt werden.
Gespräche werden dauerhaft aufgezeichnet und in eine Cloud ausgelagert
Um das Aktivierungswort zu hören, müssen die Geräte die Gespräche i. d. R. dauerhaft aufzeichnen,
- die dann auf den Servern des Anbieters oder
- sogar auf Servern von anderen Anbieter landen. (Der Einsatz von Cloud-Lösungen, unter anderem von Infrastructure as a Service, ist heute keine Seltenheit.)
Werden die Server von anderen Anbietern betrieben, so müssten diese Subunternehmer ebenfalls in Verträgen erfasst werden.
Weitere Schwierigkeiten
Neben den benannten Problemen sollte beachtet werden, dass auch die Gespräche im Büro von Dritten, wie zum Beispiel Kunden oder Dienstleistern, aufgezeichnet werden (könnten).
Verantwortliche Stellen sollten rund um den Einsatz von Dienstleistern weitere erforderliche Maßnahmen beachten. Unter anderem sollten technische und organisatorische Maßnahmen gemäß § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG ergriffen werden, um die Daten vor unbefugten Zugriffen zu schützen.
Neben dem BDSG könnte aber auch das Telemediengesetz (TMG) relevant sein, wenn elektronische Kommunikations- und Informationsdienste angeboten werden. Wurde für den Einsatz der Sprachassistenten zum Beispiel eine App entwickelt, so sollte der App-Entwickler die Pflichten aus dem TMG, unter anderem die Impressumspflicht, nicht ignorieren.
Auch könnte das Telekommunikationsgesetz (TKG), insbesondere § 88 TKG, von Bedeutung sein, allerdings wäre dies im Einzelfall zu prüfen.
Fazit
Eine pauschale Antwort über die möglichen Risiken und Gefahren sowie die erforderlichen Maßnahmen bei dem Einsatz von Sprachassistenten kann nicht geben werden, da dies sehr von den eingesetzten Systemen abhängt.
Grundsätzlich ist von dem dienstlichen Einsatz von Sprachassistenten allerdings abzuraten, dass ein datenschutzkonformer Einsatz mit einem erheblichen Mehraufwand verbunden ist und zumeist Restrisiken verbleiben. Zumindest sollte die „dauerhafte Mithörfunktion“ auf beruflichen Geräten oder in beruflichen Sphären abgeschaltet werden, dies meint z. B. die Funktion „Hey Siri“.
