Das Wichtigste in Kürze
- Sprachassistenten wie Google Assistant bergen erhebliche Datenschutzrisiken für die Privat- und Intimsphäre.
- Google ließ Sprachaufnahmen zur Optimierung auswerten, wobei sensible Daten durch Mitarbeiter transkribiert wurden.
- Der Hamburger Datenschutzbeauftragte verhängte ein dreimonatiges, temporäres Verbot der Transkription von Sprachaufnahmen.
- Die DSGVO erlaubt Mitgliedstaaten dringende Schutzmaßnahmen, auch wenn eine andere Behörde federführend zuständig ist.
- Google hat EU-weit zugesichert, für drei Monate keine Sprachaufnahmen mehr zu transkribieren.
Datenschutz bei Sprachassistenten: Risiken und regulatorische Maßnahmen
Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen zum Beispiel Google Assistant installiert ist.
Konkreter Fall: Der Google Assistant und Sprachaufzeichnungen
Gestützt auf Mitschnitte, die von Whistleblowern zugespielt wurden, berichteten Medien kürzlich, dass Google im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer auswerten lässt. Ziel war die Optimierung der Spracherkennungsfähigkeit des Google Assistant.
Mitarbeiter von Google oder beauftragten Firmen hörten diese Sprachaufzeichnungen ab und transkribierten sie. Dadurch sollte analysiert werden, ob das zugrunde liegende KI-System die akustischen Informationen korrekt verarbeitete. Der Whistleblower-Bericht enthüllte, dass den aufgezeichneten Gesprächen zum Teil sensible, personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen entnommen werden konnten. Ein erheblicher Teil dieser Aufnahmen erfolgte zudem aufgrund fehlerhafter Aktivierung der Geräte.
Sofortmaßnahmen durch den Hamburger Datenschutzbeauftragten
Vor diesem Hintergrund eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Verwaltungsverfahren. Ziel war es, Google zu untersagen, solche Auswertungen durch Mitarbeiter oder Dritte für die Dauer von drei Monaten vorzunehmen. Diese Maßnahme dient dem vorläufigen Schutz der Persönlichkeitsrechte der Betroffenen.
DSGVO-Zuständigkeiten und Dringlichkeit
Gemäß der Datenschutz-Grundverordnung (DSGVO) ist grundsätzlich die federführende Aufsichtsbehörde für Anordnungen zuständig. Dies ist die Behörde des Mitgliedstaats, in dem die Hauptniederlassung der verantwortlichen Stelle ihren Sitz hat. Für Google ist dies die irische Datenschutzbehörde (IDPC).
Die DSGVO ermöglicht es jedoch Datenschutzbehörden in anderen Mitgliedstaaten, temporäre Maßnahmen zu ergreifen. Diese dürfen für höchstens drei Monate gelten und sind zulässig, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Ein effektiver Schutz vor dem Abhören, Dokumentieren und Auswerten privater Gespräche erfordert einen zeitnahen Vollzug.
Googles Zusicherung und weitere Schritte
Im Rahmen des Verwaltungsverfahrens hat Google dem HmbBfDI zugesichert, dass ab dem 1. August 2019 für mindestens drei Monate keine Transkriptionen von Sprachaufnahmen mehr erfolgen. Diese Zusage gilt EU-weit.
Andere zuständige Behörden sollten nun prüfen, ob ähnliche Maßnahmen für Anbieter von Sprachassistenzsystemen wie Apple oder Amazon umgesetzt werden müssen.
Fazit
Der Fall Google Assistant verdeutlicht die erheblichen Datenschutzrisiken von Sprachassistenten. Regulatorische Maßnahmen sind essenziell, um die Privatsphäre der Nutzer zu schützen und das Vertrauen in diese Technologien wiederherzustellen. Es bleibt abzuwarten, wie andere Anbieter und Behörden auf diese Entwicklungen reagieren.