Datenpanne bei Amazon: Alexa-Sprachdateien an Dritte weitergeleitet

  • Ersteller Mitglied 128076
  • Erstellt am

Mitglied 128076

Gast
Datenpanne bei Amazon: Alexa-Sprachdateien an Dritte weitergeleitet
Amazon-Echo-700x401.jpeg



Dem smarten Speaker von Amazon wurde schon seit der Markteinführung oft misstraut: "Wanze" war noch eine der netteren Bezeichnungen für diese Gerät. Ausgerechnet im Rahmen einer Kunden-DSGVO-Anfrage passierte Amazon eine Datenpanne, die nun für Furore sorgt.

Die Datenschutz-Grundverordnung DSGVO hat den Umgang mit Daten europaweit geregelt und mit der Transparenz dieser bei vielen Kunden für Verwirrung aber auch für Erleichterung gesorgt. Auf eine Anfrage muss die Firma den Umfang der dort über ihn gespeicherten Daten preisgeben.
Die Datenpanne


Ein Amazon-Kunde aus Deutschland bat den Konzern um Auskunft der über ihn gespeicherten Daten. Als Antwort erhielt er knapp zwei Monate später Zugang zu einer komprimierten Datei, die neben etwa fünfzig über ihn gespeicherten Daten auch etwa 1.700 Audio-Dateien sowie die dazugehörigen Transskripte in PDF-Form enthielt. Die Audio-Dateien sollten die, per Amazon-Echo erteilten, Sprachbefehle enthalten, die nach Aktivierungs-Befehl an die Amazon-Server übertragen und dort verarbeitet werden. Diese Sprachdateien werden gespeichert, um zukünftige Anweisungen oder Fragen des Benutzers besser und schneller beantworten zu können. Quasi als Lerneffekt.

Das Problem war nur, dass dieser Kunde noch nie einen Echo besessen oder gar bedient hatte. Diese Sprachdateien konnten somit niemals von ihm stammen. Auf eine Antwort von Amazon wartete er nach seiner Meldung der Datenpanne vergebens. Der Download-Link der abrufbaren Daten war nach kurzer Zeit ungültig. Glücklicherweise konnte der Kunde diese Daten vorher speichern und sich damit an das c't Magazin wenden.
Klärung erst nach Nachfrage?


Laut der Datenschutz-Grundverordnung muss eine Datenpanne innerhalb von 72 Stunden an die zuständige Behörde gemeldet werden. Eine Aussage darüber, ob dies geschah, blieb Amazon der c't laut Bericht schuldig. Der Kunde, dessen Sprach-Dateien unter anderem intime, aus dem Bad oder Schlafzimmer stammende Elemente enthielten, soll laut des Artikels erst nach gut vier Wochen von Amazon unterrichtet worden sein - kurz nach der Anfrage von c't. Er soll von Amazon eine kostenlose Prime-Mitgliedschaft sowie zwei weitere Echo-Lautsprecher als Entschädigung erhalten haben.
Echtheit der Datenpanne


Die Echtheit solcher Meldungen wird oft in Frage gestellt. Zu schnell sitzt man einer Fake-News auf. Auf Nachfrage von Apfeltalk wurde dieser Fall jedoch als bedauerlicher Einzelfall von der Amazon-Pressestelle bestätigt. Der genaue Wortlaut hierzu:
"Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall. Wir haben das Problem mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung unserer Prozesse ergriffen. Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden."​

Maßnahmen zur Besserung?


Die Tatsache, dass Daten eines Kunden an einen Dritten weiter gegeben wurden, zeugt nicht von einem gewissenhaften Umgang mit den Kundendaten. Welche Maßnahmen seitens Amazon unternommen werden, um derartige Fehler zukünftig zu vermeiden, wurde nicht genannt. Fraglich ist auch, ob das Zusammenstellen der Daten wirklich von menschlicher Hand oder automatisiert erfolgt. Auch hier gäbe es rechtliche Fragen zum Datenschutz, zumindest in der Art, wieso ein Mitarbeiter Zugriff auf sämtliche Daten haben darf.
Unbekannter Umfang der übertragenen Audio-Daten


Unklar ist, was genau mit "Intimsphäre betreffende Elemente" gemeint ist. Laut der Funktions-Beschreibung übertragen die Echo-Geräte gesprochene Befehle und natürlich Hintergrundgeräusche erst an Amazons Server, wenn das Gerät per Schlüsselwort aktiviert wird. Ob daneben auch unbemerkt Übertragungen stattfinden, ist leider nicht bekannt.

via Heise|c't Magazin
 

NorbertM

Hochzeitsapfel
Registriert
03.01.15
Beiträge
9.363
Die Frage ist doch, warum diese Daten überhaupt gespeichert werden.
 

Mitglied 128076

Gast
Die Frage ist doch, warum diese Daten überhaupt gespeichert werden.

Steht im Artikel: „Diese Sprachdateien werden gespeichert, um zukünftige Anweisungen oder Fragen des Benutzers besser und schneller beantworten zu können. Quasi als Lerneffekt.“
 

NorbertM

Hochzeitsapfel
Registriert
03.01.15
Beiträge
9.363
Wenn man bei jeder neuen Anfrage die alten Sprachdateien zu Rate ziehen muss, ist das aber wenig effizient. Da könnte man die bereits interpretierten Logiken verwenden und die wären aus Sicht des Datenschutzes weniger kritisch.
 

walnussbaer

Wagnerapfel
Registriert
04.05.09
Beiträge
1.556
Dann wäre man aber auf dem Erkennungsstand von Apple, das kann keiner wollen.
 

access

Zwiebelapfel
Registriert
21.11.12
Beiträge
1.271
Ein Mitarbeiter hat die falschen Daten herausgegeben, die Welt bricht ein... Also bitte.

Ich habe ein Google Mail Konto, ich habe von diversen Leuten vertrauliche Mails bekommen die jemanden mit ähnlicher Mailadresse angeschrieben haben. Das ist nicht unbedingt der Fehler des Absenders,vielmehr hat Google die tolle Funktion Mails die an eine ähnliche Mailadresse verschickt wurde einfach der eigenen zuzuordnen. Hat man die Adresse Max.Muster@Gmail bekommt man auch Mails die an MaxMuster@Gmail verschickt wurden! So kenne ich nun die Pension eines Beamten inkl. aller Zulagen und Zuwendungen. Toll oder?
 

staettler

Juwel aus Kirchwerder
Registriert
04.06.12
Beiträge
6.580
Wow! Ich kann dir auch mein Gehalt verraten. Bringt Dir ja so viel
 

XS°XR

deaktivierter Benutzer
Registriert
22.11.18
Beiträge
552
So reden halt Menschen, die nicht wissen welchen Wert persönliche Daten haben.
 
  • Like
Reaktionen: dg2rbf

access

Zwiebelapfel
Registriert
21.11.12
Beiträge
1.271
Und? Kann eben mal passieren, das was Google treibt finde ich da schlimmer.
 

Verlon

Tiefenblüte
Registriert
05.09.08
Beiträge
6.436
Das war ein Einzelfall. Wo Menschen arbeiten, passieren Fehler, was ärgerlich, aber möglich ist.

Sorry, aber die Argumentation ist Murks. Da muss der Prozess so gestaltet sein, dass solche Fehler erkannt werden, bevor persönliche Daten an den falschen Adressaten verschickt werden.
 

angerhome

Pommerscher Krummstiel
Registriert
13.10.15
Beiträge
3.026
Sorry, aber Murks ist, wenn man aufgrund eines Einzelfalls bei Zigtausenden Anfragen den Prozess in Frage stellt.
Aber ich verstehe schon, die Firma fängt leider nur mit A an endet aber nicht mit pple.
 

angerhome

Pommerscher Krummstiel
Registriert
13.10.15
Beiträge
3.026
Ich habe nicht die Umstellung des Prozesses gefordert für einen Fehler, der offensichtlich ein Einzelfall war.
Das Wort Murks kam ursprünglich nicht von mir.