Intern
MOTIV - Digital Interaction Literacy

Welche Datenschutzrechte haben Nutzer:innen bei der Verwendung von Sprachassistenten?

Wenn du Sprachassistenten wie Alexa, Siri oder Google Assistant nutzt, gibst du Unternehmen wie Amazon, Google und Apple sensible Daten über dich preis. Dieser Datenfluss unterliegt internationalen sowie nationalen Gesetzen, die dich als Nutzer mit Rechten und Unternehmen auf der anderen Seite mit Pflichten ausstattet. In der EU regelt dies die sogenannte Datenschutzgrundverordnung, kurz DSGVO.

Welche Rechte haben Nutzer:innen laut DSGVO?

In Artikel 1 wird das Ziel der Verordnung beschrieben. Das ist, dich zu schützen und dein Recht auf Schutz von personenbezogenen Daten zu wahren. In Artikel 2 ist verankert, dass die DSGVO ist für teil-/ oder vollautomatisierte oder manuelle Datenverarbeitung gültig ist. Nach Artikel 5 müssen die Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden. Das bedeutet, dass es für dich immer nachvollziehbar sein muss, wie mit deinen personenbezogenen Daten umgegangen wird und was mit diesen geschieht. In Artikel 6 der DSGVO wird die Rechtmäßigkeit der Verarbeitung geklärt, dafür gibt es folgende Richtlinien:

  • Du hast deine Einwilligung zur Verarbeitung gegeben, diese muss nach Artikel 7 nachweisbar sein
  • Die Verarbeitung ist zur Erfüllung deines (Vor-)Vertrags, deiner rechtlichen Verpflichtung oder deines lebensnotwendigen Interesses nötig 
  • Die Verarbeitung ist erforderlich, um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt 
  • Die Verarbeitung ist nötig, um deine Interessen zu wahren, solange sie nicht gegen Grundrechte verstoßen

Vor der Erhebung der Daten muss die verantwortliche Person, nach Artikel 12, Maßnahmen treffen, um dir alle relevanten Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form, in einfacher und klarer Sprache“ (DSGVO, Art. 12) zu übermitteln. 

Erhebt ein Unternehmen oder eine Person personenbezogenen Daten von dir, hast du nach Artikel 13 der DSGVO bestimmte Rechte, die mit der Datenerhebung einhergehen.  Bei Fragen zur Datenverarbeitung oder -weitergabe steht es dir zu, dich an einen Datenschutzbeauftragten wenden zu können. Es muss also explizit eine Person inklusive Kontaktdaten benannt werden, die du bei Anliegen zum Datenschutz kontaktieren kannst. Insbesondere hast du das Recht zu erfahren, aus welchen Gründen bestimmte Daten erhoben werden und an wen gespeicherte Daten weitergegeben werden. Solltest du dich dazu entscheiden, dass deine Daten doch nicht mehr erhoben werden dürfen, kannst du deine Einwilligung, nach Artikel 21, sofort widerrufen.
 

Sicherheitslücken und Hilfe für Nutzer:innen

Trotz klarer europäischer Richtlinien geben Firmen, die Sprachassistenten betreiben, notwendige Informationen oftmals nicht eindeutig an. Dies betrifft insbesondere den Zweck und Umfang der Datenerhebung und Datenweiterverarbeitung. 

Obwohl die Anforderungen klar definiert sind, geben die Anbieter von Smart Speakern oft nicht eindeutig an, wofür die gesammelten Daten verwendet und wie sie erhoben werden. Das liegt daran, dass die größten Smart- Speaker-Anbieter US-amerikanische Unternehmen sind und es kein transatlantisches Datenschutzabkommen gibt. Dadurch entsteht eine Sicherheitslücke für Userinnen und User.  

Deshalb gilt: Vorsicht bei der Preisgabe persönlicher und sensibler Daten.

Solltest du einem Unternehmen, das Recht erteilt haben, deine Daten zu verarbeiten und die Firma die Absicht hat, deine personenbezogenen Daten an eine dritte Partei weiterzugeben, muss das angemerkt werden.  Du hast das Recht, jederzeit Einsicht in die übermittelten Daten zu erhalten, ohne dass eine zusätzliche Genehmigung von dir erforderlich ist. Eine Übertragung an ein Drittland oder internationale Organisation sind gemäß Artikel 44 jedoch nur dann zulässig, wenn eine Kommission bestätigt hat, dass ein angemessenes Schutzniveau garantiert wird.

Ein Drittland wird von der DSGVO als jedes Land definiert, das nicht zum europäischen Wirtschaftsraum (EWR) gehört. Zum EWR gehören alle Mitglieder der EU sowie Island, Liechtenstein und Norwegen. Um internationalen Handel und Zusammenarbeiten zu gewährleisten, ist es notwendig, Daten auch an Drittländer weiterzuleiten. Es gibt Ausnahmen, bei denen europäische Daten auch an Länder geschickt werden dürfen, die kein ausreichendes Schutzniveau bieten. Beispiele hierfür wären:

  • Eine ausdrückliche Zustimmung der Person, deren Daten erhoben werden, die Person muss in Kenntnis von dem nicht ausreichenden Schutzniveau versetzt werden   
  • Die Daten werden benötigt, um einer vertraglichen Verpflichtung nachzugehen  
  • Es besteht ein öffentliches Interesse. 

Solltest du der Auffassung sein, dass deine personenbezogenen Daten falsch und/oder unvollständig abgespeichert wurden, kannst du, auf Grundlage von Artikel 15, die Daten sofort ändern oder ergänzen lassen. Das ist allerdings nicht nur bei personenbezogenen Daten so, sondern auch für die Transkripte und Audioaufzeichnungen, die von Smart Speakern gespeichert werden. Es kann passieren, dass sich dein Amazon Echo aus Versehen aktiviert und sensible Daten über dich speichert. Du solltest diese Verläufe regelmäßig überprüfen, da die Dialoge zwischen dir und deinem Amazon Echo, Google Nest oder Apple – HomePod aufgezeichnet werden und in einer App einsehbar sind. Die herstellenden Firmen sind dazu verpflichtet, dir Zugriff auf diese Daten zu gewähren und sie gegebenenfalls zu verändern oder zu löschen. 

Relevante Datenschutzabkommen

In den USA gibt es eigene Gesetzgebungen zum Schutz von Daten. Seit 2018 besteht nach US-amerikanischem Recht, die Pflicht, US-Behörden unter bestimmten Bedingungen uneingeschränkten Zugriff auf gespeicherte Daten im Internet zu geben. Auch dann, wenn amerikanische Firmen die Daten nicht in den USA speichern. Dieses Gesetz nennt sich Cloud-Act (Clarifying Lawful Overseas Use of Data Act). Der Cloud-Act ermächtigt US-Behörden, auf sensible und persönliche Daten deutscher Bürgerinnen und Bürger zuzugreifen, wenn diese im Rahmen US-amerikanischer Strafverfolgung verwendet werden können. 

Kritik gibt es sowohl von Datenschutzorganisationen als auch von Unternehmen. Das US-amerikanische IT-Unternehmen Microsoft spricht sich klar gegen den Cloud Act aus und verspricht gleichzeitig personenbezogene Daten mit einem hohen Sicherheitsstandard zu verschlüsseln. Die Keys, mit denen man die verschlüsselten Daten entschlüsseln könnte, will Microsoft nicht an US-Behörden weitergeben . Das ist ein Zeichen, dass selbst den Unternehmen, der gesetzlich geregelte Datenschutz zu gering ist  und man sich mehr Einschränkungen für US-Behörden wünscht.

Die US-amerikanische Datenschutzorganisation „Electronic Frontier Foundation“ sieht den Cloud Act als Eingriff in die Privatsphäre von Userinnen und Usern  und als eine Beschneidung der Grundrechte. Trotzdem gilt, sobald Daten auf US-Servern oder von US-Firmen gespeichert werden, besteht ein Risiko, dass persönliche Daten von deutschen Nutzerinnen und Nutzern erhoben werden.

Die EU wollte einen sicheren Transfer von Daten in die USA gewährleisten. Deshalb wurde am 26. Juli 2000  das EU-US Datenschutzabkommen „Safe Harbour“ ins Leben gerufen. Dadurch sollte ein sicherer Transfer von personenbezogenen Daten zwischen der EU und der USA möglich gemacht werden. Mit dem Urteil des EuGH (Gerichtshof der europäischen Union) vom 1. August 2016 wurde dieses Abkommen gekippt und durch das „Privacy-Shield-Abkommen“ ersetzt, welches ebenfalls den Austausch zwischen personenbezogenen Daten aus der EU in die USA regeln soll. Am 16. Juli 2020 wurde auch dieses Abkommen gekippt. 

Ausblick

Nach den beiden gescheiterten Versuchen, mit „Safe Harbour“ und „Privacy Shield“ ein transatlantisches Datenschutzabkommen in die Wege zu leiten, sind Userinnen und User, die personenbezogene Daten an US-Unternehmen weitergeben, nicht nach europäischem Standard geschützt. Da kein gültiges Datenschutzabkommen existiert, sind US-Firmen dem Cloud-Act unterstellt, was den Schutz personenbezogener Daten von europäischen Nutzerinnen und Nutzern gefährdet. Obwohl aufgrund von Standardvertragsklauseln Daten weiterhin von der EU in die USA übertragen werden dürfen, fehlt es an Möglichkeiten, um die Verarbeitung der persönlichen Daten durch US-Behörden oder US-Geheimdienste zu begrenzen.

Als Versuch, eine sichere Datenübermittlung zwischen der EU und der USA zu ermöglichen, unterschrieb der US-amerikanische Präsident Joe Biden im Oktober 2022 einen Präsidialerlass. Ziel soll sein, mit einem transatlantischen Datenschutzabkommen die Rechte der europäischen Nutzerinnen und Nutzer zu verbessern und die US-Geheimdienste einzuschränken.