Durch einen Fehler landet ein Berg von Sprachdateien vom Amazon-Lautsprecher eines Kunden bei einem völlig Fremden. Der Fall offenbart Datenschutz-Probleme der zuhörenden Boxen. Als Kompensation schickt Amazon dem Kunden ein eher spezielles Geschenk.

Amazon hat einem Kunden in Deutschland, der Auskunft über die von ihm gespeicherten Daten haben wollte, 1700 Sprachdateien zugeschickt. Allerdings besitzt dieser Kunde überhaupt keinen Sprachassistenten, die Dateien stammten von einer ganz anderen Person. Obwohl das zunächst ein Einzelfall ist, offenbart er ein tieferliegendes Problem in der Architektur solcher Sprachassistenten, den von ihnen gesammelten Daten und dem Schutz derselben. Zudem zeigt der Umgang des Online-Händlers mit dem Fall eindrücklich, warum so viele Menschen hierzulande den Technikkonzernen misstrauen.

Hinzu kommt: Nach Bekanntwerden der Schwachstelle hat das Unternehmen offenbar nicht so gehandelt, wie man es sich als Kunde wünschen würde. Im August erbat ein Kunde von Amazon.de im Rahmen der nun geltenden Datenschutzgrundverordnung (DSGVO) Auskunft zu seinen Daten. In dem Archiv, das er zwei Monate später erhalten sollte, waren neben 50 Dateien allerdings auch rund 1700 Audiodateien und ein PDF-Dokument, das Transkripte von Spracheingaben für den Echo-Sprachassistenten enthielt. Weil dieser Kunde auch auf Nachfrage von Amazon keine Antwort erhielt, der Konzern aber das Archiv löschte, wandte sich der Kunde an die Computerzeitschrift „C’t“. Er hatte zuvor die Dateien gesichert.

„Folge eines menschlichen Fehlers“

Den Technikfachleuten des Magazins war es sehr schnell möglich, über die Sprachaufzeichnung den anderen betroffenen Kunden ausfindig zu machen. Dieser wurde dem Bericht zufolge erst durch die Kontaktaufnahme – und nicht zuvor durch Amazon – davon informiert. Zur Erinnerung: Zu dieser Zeit wusste das Unternehmen längst von dem Datenleck. Auf Nachfrage teilt Amazon mit: „Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall.“ Das Unternehmen habe das Problem mit den beiden beteiligten Kunden geklärt und Maßnahmen zur „weiteren Verbesserung unserer Prozesse“ ergriffen.

Welche Prozesse das genau waren, die schiefgegangen sind, beantwortet der Online-Händler nicht. Deutlich wird, dass die DSGVO-Anfragen, die derzeit bei allen Unternehmen vermehrt vorkommen, bei Amazon von Menschen bearbeitet werden. Weil auch der Kunde, dessen Sprachdateien irrtümlich verschickt wurden, eine solche Anfrage gestellt hatte, soll es zu der Verwechslung gekommen sein.

Fachleute warnen vor Sprachassistenten

Datenschutzfachleute warnen schon länger vor schlauen Sprachassistenten. Gleichzeitig trägt fast jeder mit seinem Smartphone ein Gerät mit sich herum, das ebenso als Wanze benutzt werden könnte. Doch dadurch, dass Alexa und Co. in Schlaf- und Wohnzimmern und damit im besonders privaten Raum stehen, ist die Skepsis groß.

Die Unternehmen erfahren tatsächlich reichlich über ihre Nutzer. In den Nutzungsbedingungen für den Echo heißt es: „Wenn Sie einen Dienst Dritter verwenden, tauschen wir unter Umständen entsprechende Informationen mit diesem Dienst aus, z. B. Ihre Postleitzahl, wenn Sie nach dem Wetter fragen, Ihre üblichen Musiksender oder den Inhalt Ihrer Anfragen.“ Deutlich wird das, wenn man etwa in der zu Alexa gehörenden App nachschaut, was sich an Befehlen ansammelt. Dort werden Gespräche gespeichert, an die sich Fragenstellende wohl kaum noch erinnern. Amazon weiß, welche Musik die Kunden zum Einschlafen am liebsten hören, warum sie die Wettervorhersage für bestimmte Städte interessiert oder welche Börsenwerte sie häufig abfragen.

Amazon Alexa lacht gruselig und gehorcht nicht mehr

Was mit den Daten geschieht, weiß man nicht genau. Die Konzerne geben an, sie für das Training der Assistenten zu nutzen. Deshalb werden sie dort auch gespeichert. Diese Praxis will Amazon auch nicht verändern, den Kunden stehe es schließlich frei, ihre gespeicherten Daten jederzeit zu löschen. Vielen Deutschen ist die Technologie auch nicht geheuer. Nach einer Studie im Auftrag der Hamburger Wirtschaftsinitiative Nextmedia fühlen sich 77 Prozent unsicher in Bezug auf den Datenschutz.

Umsätze mit Alexa und Co. nehmen zu

Gleichzeitig nimmt die Verbreitung zu: Rund um die Welt wurden im vergangenen Jahr 24,5 Millionen Lautsprecher mit integriertem Sprachassistenten verkauft und damit 1,5 Milliarden Dollar Umsatz erzielt. Einer Umfrage des Digitalverbandes Bitkom zufolge hat mehr als jeder zweite Befragte Sprachassistenten auf seinem Smartphone genutzt, jeder Fünfte hat digitale Sprachassistenten zu Hause.
Die von der Bundesrepublik im Jahr 2013 gegründete Stiftung Datenschutz teilte am Donnerstag auf Twitter mit, dass sie nicht technikfeindlich wirken wolle. „Doch wir sagen ganz entschieden: Wer – anscheinend nicht ausgereifte – Systeme wie Alexa & Co. in sein engstes Lebensumfeld lässt, der gefährdet seine Privatsphäre.“ Auch Deutschlands oberste Datenschützerin Andrea Voßhoff sieht solche Sprachassistenten, „die mit einem Mikrofon permanent ihre Umgebung belauschen“, schon seit längerer Zeit kritisch.

Kommt noch juristischer Ärger?

Neben dem Imageschaden könnte auf Amazon auch wegen der DSGVO noch Ärger zukommen. Zwar teilt der Online-Händler mit: „Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden.“ Doch gibt es noch keine genaue Information darüber, ob der Online-Händler wie vorgeschrieben innerhalb von 72 Stunden die Datenschutz-Verletzung gemeldet hat. Das bayerische Landesamt für Datenschutzaufsicht teilt auf Anfrage mit, dass es ihm nicht gemeldet wurde. „Da die luxemburgische Aufsichtsbehörde federführend ist, müssen Datenschutzverletzungen bei Amazon nur dieser Behörde gemeldet werden“, heißt es aus München.

Eine Sprecherin in Luxemburg zeigte sich von der Anfrage überrascht, die Antworten auf die Fragen, ob Amazon sich dort gemeldet hat und welche weiteren Schritte die Datenschützer nun unternehmen wollten, standen zuletzt noch aus. Die zuständigen Juristen müssten sich zunächst mit dem Fall befassen und seien erst in der kommenden Woche wieder zu erreichen.

Der betroffene Kunde, dessen Daten abhanden gekommen waren, hat laut „C‘t“-Bericht als Entschädigung von Amazon unterdessen eine kostenlose Mitgliedschaft für den Zusatzdienst Prime bekommen – sowie zwei weitere Echo-Lautsprecher.