Dem smarten Speaker von Amazon wurde schon seit der Markteinführung oft misstraut: “Wanze” war noch eine der netteren Bezeichnungen für diese Gerät. Ausgerechnet im Rahmen einer Kunden-DSGVO-Anfrage passierte Amazon eine Datenpanne, die nun für Furore sorgt.
Die Datenschutz-Grundverordnung DSGVO hat den Umgang mit Daten europaweit geregelt und mit der Transparenz dieser bei vielen Kunden für Verwirrung aber auch für Erleichterung gesorgt. Auf eine Anfrage muss die Firma den Umfang der dort über ihn gespeicherten Daten preisgeben.
Die Datenpanne
Ein Amazon-Kunde aus Deutschland bat den Konzern um Auskunft der über ihn gespeicherten Daten. Als Antwort erhielt er knapp zwei Monate später Zugang zu einer komprimierten Datei, die neben etwa fünfzig über ihn gespeicherten Daten auch etwa 1.700 Audio-Dateien sowie die dazugehörigen Transskripte in PDF-Form enthielt. Die Audio-Dateien sollten die, per Amazon-Echo erteilten, Sprachbefehle enthalten, die nach Aktivierungs-Befehl an die Amazon-Server übertragen und dort verarbeitet werden. Diese Sprachdateien werden gespeichert, um zukünftige Anweisungen oder Fragen des Benutzers besser und schneller beantworten zu können. Quasi als Lerneffekt.
Das Problem war nur, dass dieser Kunde noch nie einen Echo besessen oder gar bedient hatte. Diese Sprachdateien konnten somit niemals von ihm stammen. Auf eine Antwort von Amazon wartete er nach seiner Meldung der Datenpanne vergebens. Der Download-Link der abrufbaren Daten war nach kurzer Zeit ungültig. Glücklicherweise konnte der Kunde diese Daten vorher speichern und sich damit an das c’t Magazin wenden.
Klärung erst nach Nachfrage?
Laut der Datenschutz-Grundverordnung muss eine Datenpanne innerhalb von 72 Stunden an die zuständige Behörde gemeldet werden. Eine Aussage darüber, ob dies geschah, blieb Amazon der c’t laut Bericht schuldig. Der Kunde, dessen Sprach-Dateien unter anderem intime, aus dem Bad oder Schlafzimmer stammende Elemente enthielten, soll laut des Artikels erst nach gut vier Wochen von Amazon unterrichtet worden sein – kurz nach der Anfrage von c’t. Er soll von Amazon eine kostenlose Prime-Mitgliedschaft sowie zwei weitere Echo-Lautsprecher als Entschädigung erhalten haben.
Echtheit der Datenpanne
Die Echtheit solcher Meldungen wird oft in Frage gestellt. Zu schnell sitzt man einer Fake-News auf. Auf Nachfrage von Apfeltalk wurde dieser Fall jedoch als bedauerlicher Einzelfall von der Amazon-Pressestelle bestätigt. Der genaue Wortlaut hierzu:
“Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall. Wir haben das Problem mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung unserer Prozesse ergriffen. Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden.”
Maßnahmen zur Besserung?
Die Tatsache, dass Daten eines Kunden an einen Dritten weiter gegeben wurden, zeugt nicht von einem gewissenhaften Umgang mit den Kundendaten. Welche Maßnahmen seitens Amazon unternommen werden, um derartige Fehler zukünftig zu vermeiden, wurde nicht genannt. Fraglich ist auch, ob das Zusammenstellen der Daten wirklich von menschlicher Hand oder automatisiert erfolgt. Auch hier gäbe es rechtliche Fragen zum Datenschutz, zumindest in der Art, wieso ein Mitarbeiter Zugriff auf sämtliche Daten haben darf.
Unbekannter Umfang der übertragenen Audio-Daten
Unklar ist, was genau mit “Intimsphäre betreffende Elemente” gemeint ist. Laut der Funktions-Beschreibung übertragen die Echo-Geräte gesprochene Befehle und natürlich Hintergrundgeräusche erst an Amazons Server, wenn das Gerät per Schlüsselwort aktiviert wird. Ob daneben auch unbemerkt Übertragungen stattfinden, ist leider nicht bekannt.
