• Es gibt nach dem Softwareupdate eine Reihe von Änderungen und Neuerungen in unserem Forum. Genaueres dazu findet Ihr in dieser Ankündigung. Hinweise, Kritik, Anregungen, Lob und Tadel bitte hier diskutieren.
Apfeltalk Weihnachtsbanner

Datenpanne bei Amazon: Alexa-Sprachdateien an Dritte weitergeleitet

Oliver Bergmann

Redakteur
AT Redaktion
Mitglied seit
14.11.10
Beiträge
1.517
Datenpanne bei Amazon: Alexa-Sprachdateien an Dritte weitergeleitet



Dem smarten Speaker von Amazon wurde schon seit der Markteinführung oft misstraut: "Wanze" war noch eine der netteren Bezeichnungen für diese Gerät. Ausgerechnet im Rahmen einer Kunden-DSGVO-Anfrage passierte Amazon eine Datenpanne, die nun für Furore sorgt.

Die Datenschutz-Grundverordnung DSGVO hat den Umgang mit Daten europaweit geregelt und mit der Transparenz dieser bei vielen Kunden für Verwirrung aber auch für Erleichterung gesorgt. Auf eine Anfrage muss die Firma den Umfang der dort über ihn gespeicherten Daten preisgeben.
Die Datenpanne


Ein Amazon-Kunde aus Deutschland bat den Konzern um Auskunft der über ihn gespeicherten Daten. Als Antwort erhielt er knapp zwei Monate später Zugang zu einer komprimierten Datei, die neben etwa fünfzig über ihn gespeicherten Daten auch etwa 1.700 Audio-Dateien sowie die dazugehörigen Transskripte in PDF-Form enthielt. Die Audio-Dateien sollten die, per Amazon-Echo erteilten, Sprachbefehle enthalten, die nach Aktivierungs-Befehl an die Amazon-Server übertragen und dort verarbeitet werden. Diese Sprachdateien werden gespeichert, um zukünftige Anweisungen oder Fragen des Benutzers besser und schneller beantworten zu können. Quasi als Lerneffekt.

Das Problem war nur, dass dieser Kunde noch nie einen Echo besessen oder gar bedient hatte. Diese Sprachdateien konnten somit niemals von ihm stammen. Auf eine Antwort von Amazon wartete er nach seiner Meldung der Datenpanne vergebens. Der Download-Link der abrufbaren Daten war nach kurzer Zeit ungültig. Glücklicherweise konnte der Kunde diese Daten vorher speichern und sich damit an das c't Magazin wenden.
Klärung erst nach Nachfrage?


Laut der Datenschutz-Grundverordnung muss eine Datenpanne innerhalb von 72 Stunden an die zuständige Behörde gemeldet werden. Eine Aussage darüber, ob dies geschah, blieb Amazon der c't laut Bericht schuldig. Der Kunde, dessen Sprach-Dateien unter anderem intime, aus dem Bad oder Schlafzimmer stammende Elemente enthielten, soll laut des Artikels erst nach gut vier Wochen von Amazon unterrichtet worden sein - kurz nach der Anfrage von c't. Er soll von Amazon eine kostenlose Prime-Mitgliedschaft sowie zwei weitere Echo-Lautsprecher als Entschädigung erhalten haben.
Echtheit der Datenpanne


Die Echtheit solcher Meldungen wird oft in Frage gestellt. Zu schnell sitzt man einer Fake-News auf. Auf Nachfrage von Apfeltalk wurde dieser Fall jedoch als bedauerlicher Einzelfall von der Amazon-Pressestelle bestätigt. Der genaue Wortlaut hierzu:
"Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall. Wir haben das Problem mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung unserer Prozesse ergriffen. Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden."​

Maßnahmen zur Besserung?


Die Tatsache, dass Daten eines Kunden an einen Dritten weiter gegeben wurden, zeugt nicht von einem gewissenhaften Umgang mit den Kundendaten. Welche Maßnahmen seitens Amazon unternommen werden, um derartige Fehler zukünftig zu vermeiden, wurde nicht genannt. Fraglich ist auch, ob das Zusammenstellen der Daten wirklich von menschlicher Hand oder automatisiert erfolgt. Auch hier gäbe es rechtliche Fragen zum Datenschutz, zumindest in der Art, wieso ein Mitarbeiter Zugriff auf sämtliche Daten haben darf.
Unbekannter Umfang der übertragenen Audio-Daten


Unklar ist, was genau mit "Intimsphäre betreffende Elemente" gemeint ist. Laut der Funktions-Beschreibung übertragen die Echo-Geräte gesprochene Befehle und natürlich Hintergrundgeräusche erst an Amazons Server, wenn das Gerät per Schlüsselwort aktiviert wird. Ob daneben auch unbemerkt Übertragungen stattfinden, ist leider nicht bekannt.

via Heise|c't Magazin
 

NorbertM

Tiefenblüte
Mitglied seit
03.01.15
Beiträge
6.369
Die Frage ist doch, warum diese Daten überhaupt gespeichert werden.
 

Oliver Bergmann

Redakteur
AT Redaktion
Mitglied seit
14.11.10
Beiträge
1.517
Die Frage ist doch, warum diese Daten überhaupt gespeichert werden.
Steht im Artikel: „Diese Sprachdateien werden gespeichert, um zukünftige Anweisungen oder Fragen des Benutzers besser und schneller beantworten zu können. Quasi als Lerneffekt.“
 

NorbertM

Tiefenblüte
Mitglied seit
03.01.15
Beiträge
6.369
Wenn man bei jeder neuen Anfrage die alten Sprachdateien zu Rate ziehen muss, ist das aber wenig effizient. Da könnte man die bereits interpretierten Logiken verwenden und die wären aus Sicht des Datenschutzes weniger kritisch.
 

walnussbaer

Roter Eiserapfel
Mitglied seit
04.05.09
Beiträge
1.437
Dann wäre man aber auf dem Erkennungsstand von Apple, das kann keiner wollen.
 

access

Châtaigne du Léman
Mitglied seit
21.11.12
Beiträge
821
Ein Mitarbeiter hat die falschen Daten herausgegeben, die Welt bricht ein... Also bitte.

Ich habe ein Google Mail Konto, ich habe von diversen Leuten vertrauliche Mails bekommen die jemanden mit ähnlicher Mailadresse angeschrieben haben. Das ist nicht unbedingt der Fehler des Absenders,vielmehr hat Google die tolle Funktion Mails die an eine ähnliche Mailadresse verschickt wurde einfach der eigenen zuzuordnen. Hat man die Adresse Max.Muster@Gmail bekommt man auch Mails die an MaxMuster@Gmail verschickt wurden! So kenne ich nun die Pension eines Beamten inkl. aller Zulagen und Zuwendungen. Toll oder?
 

staettler

̈Öhringer Blutstreifling
Mitglied seit
04.06.12
Beiträge
5.529
Wow! Ich kann dir auch mein Gehalt verraten. Bringt Dir ja so viel
 

XS°XR

deaktivierter Benutzer
Mitglied seit
22.11.18
Beiträge
552
So reden halt Menschen, die nicht wissen welchen Wert persönliche Daten haben.
 
  • Like
Wertungen: dg2rbf

access

Châtaigne du Léman
Mitglied seit
21.11.12
Beiträge
821
Und? Kann eben mal passieren, das was Google treibt finde ich da schlimmer.
 

Verlon

Nathusius Taubenapfel
Mitglied seit
05.09.08
Beiträge
5.508
Das war ein Einzelfall. Wo Menschen arbeiten, passieren Fehler, was ärgerlich, aber möglich ist.
Sorry, aber die Argumentation ist Murks. Da muss der Prozess so gestaltet sein, dass solche Fehler erkannt werden, bevor persönliche Daten an den falschen Adressaten verschickt werden.
 

angerhome

Goldparmäne
Mitglied seit
13.10.15
Beiträge
565
Sorry, aber Murks ist, wenn man aufgrund eines Einzelfalls bei Zigtausenden Anfragen den Prozess in Frage stellt.
Aber ich verstehe schon, die Firma fängt leider nur mit A an endet aber nicht mit pple.
 

angerhome

Goldparmäne
Mitglied seit
13.10.15
Beiträge
565
Ich habe nicht die Umstellung des Prozesses gefordert für einen Fehler, der offensichtlich ein Einzelfall war.
Das Wort Murks kam ursprünglich nicht von mir.