Sprachassistenten wie Alexa, Siri oder Google-Home sind weiter auf dem Vormarsch. Immer mehr Deutsche stellen sich einen Sprachassistenten in die eigenen heimischen vier Wände. Es hat zwar etwas gedauert, bis Sprachassistenten den Weg vom Smartphone in das eigene Heim gefunden haben, jetzt wächst der Markt dafür stetig. Eine Erhebung von eMarketer zeigt nun, dass Amazon bei den digitalen Assistenten den heimischen Markt mit 70 Prozent Anteil anführt – auch weil es neben Google kaum Konkurrenz gibt. Der Absatz von Lautsprechern mit integriertem digitalen Sprachassistenten beläuft sich weltweit 99,8 Millionen US-Dollar. Der Umsatz mit intelligenten Lautsprechern belieft sich 2018 weltweit auf 11,8 Mrd. US-Dollar.

WIE FUNKTIONIERen SPRACHASSISTENTEN?

Mittels Sprachbefehl können verschiedenste Funktionen der Assistenten wahrgenommen werden. Es können aktuelle Nachrichten oder Musik abgespielt, ein Wecker oder Timer gestellt, Erinnerungen gespeichert werden und vieles mehr. Die Sprachsoftware Alexa ist mit der Cloud verbunden, weshalb einige eine dauerhafte Datenübermittlung befürchten. Dies finde aber laut Amazon technisch nicht statt. Wegen mangelnder Transparenz bezüglich der genauen Datenverarbeitung seitens der Anbieter, herrscht unter Datenschützern natürlich großer Zwiespalt. Die Mangelnde Transparenz allein, ob, wie und vor allem wann mitgehört wird, verstößt gegen die Grundsätze der Datenschutzgrundverordnung. Zumal zusätzlich die Datenverarbeitung vermutlich immer in den USA stattfinden wird.

UND WAS IST EIGENTLICH MIT DEM DATENSCHUTZ?

Spätestens mit Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) zum 25.05.2018 haben drängende Fragen über Alexa nicht nur in der öffentllichen Wahrnehmung an Bedeutung gewonnen. Immer mehr private Nutzer stellen sich die Frage, wie weit Alexa tatsächlich geht und welche Möglichkeiten zum Schutz ihrer Privatsphäre bei gleichzeitiger Nutzung von Alexa bestehen. Nach der DSGVO benötigen Amazon, Google und Co. eine entsprechende Rechtsgrundlage nach Art. 6 DSGVO, damit eine Verarbeitung von personenbezogenen Daten überhaupt erfolgen darf. Dies kann über eine Einwilligung nach Art. 6 Abs.1 a entsprechend geregelt werden.
Eine solche haben alle Alexa-Nutzer bei der Erstinstallation ausdrücklich abzugeben, sodass die Verarbeitung bezüglich der Nutzerdaten in der Regel zulässigerweise möglich ist.

Aber wie verhält es sich mit Aufnahmen Dritter (z.B. Besucher in Alexa-Haushalten), die während der Aufenthaltsdauer von Alexa mitgehört und teilweise sogar mitgeschnitten werden?

An einer solchen expliziten und dokumentierten Einwilligung zur Verarbeitung der personenbezogenen Daten fehlt es bei der Aufnahme von Gesprächen Dritter. Die Annahme einer zumindest konkludenten Einwilligung durch das Betreten der Wohnung wird man wohl in aller Regel nicht annehmen können. Zudem ließe sich eine solche konkludente Einwilligung nur schwerlich nachweisen.

ALEXA IM HOTEL

Im Hotelzimmer sollen die intelligenten Lautsprecher zu einem persönlichen Butler werden, der auf Zuruf des Gastes agiert. Mit Sprachassistenten bringen Hotels nun Mikrofone in die Zimmer, die ab dem Erkennen des Aktivierungswortes das Gesprochene aufzeichnen. Auch wenn sie nicht ständig aufzeichnen, so sind die Geräte permanent aktiviert, d. h. sie hören stets mit, um das Aktivierungswort zu erkennen. Nicht jeder Gast wird sich damit wohlfühlen, rund um die Uhr angehört zu werden.

Problematik 1: Die Geräte sind eigentlich für den Heimgebrauch konzipiert

Soll zum Beispiel Alexa in den Hotelzimmern zum Einsatz kommen, so müssen Amazon-Konten für die Geräte eingerichtet werden. Hier steht der Hotelier vor dem ersten Problem, denn nicht der Endnutzer, sondern das Hotel als Dienstanbieter stimmt den Nutzungsbestimmungen zu.

Mit der Installation der App, die zur Verwaltung der Assistenten notwendig ist, wird es Amazon gestattet, alle Sprachbefehle in der Amazon-Cloud, d. h. auf Amazon-Servern zu speichern. Diese stehen nicht nur in Europa, sondern auch in den USA oder in anderen Ländern.

Problematik 2: Speicherung der Daten

Den Alexa Nutzungsbestimmungen ist zudem zu entnehmen, dass jede Sprachnachricht auf unbestimmte Dauer gespeichert und vom Eigentümer des Amazon-Kontos wieder abgerufen werden kann. Theoretisch kann das Hotel alle Nachrichten zu einem späteren Zeitpunkt wieder abrufen, was einen starken Eingriff in die Privatsphäre des Gastes bedeuten würde. Auch Apple sendet die Konversationen mit Siri an die Server von Apple, um sie zu verarbeiten. Die Unterhaltungen mit Siri werden zwei Jahre lang gespeichert.

Das Datenschutzrecht sieht die Löschung von personenbezogenen Daten nach Wegfall des Zwecks der Datenspeicherung vor. Über die Alexa App z. B. können Sprachnachrichten aktiv gelöscht werden. Dies erfolgt jedoch nicht automatisch, sondern muss immer aktiv vorgenommen werden.

Problematik 3: Privacy by Design und Privacy by Default

Datenschutz durch Technikgestaltung und datenschutzrechtliche Voreinstellungen nach Art. 25 DSGVO sind hier nur durch das Hotel umzusetzen und leider auch nur teilweise.

KANN ALEXA DATENSCHUTZKONFORM IN HOTELS GENUTZT WERDEN?

Eine völlig bedenkenlose Nutzung von Sprachassistenten wie Alexa und Co. ist zur Zeit nicht möglich und auch fraglich ob diese jemals möglich sein wird. Jedoch kann man als Hotelier einige Schutzmaßnahmen einplanen, damit man seinen Gästen den Luxus von Sprachsteuerung bieten kann.

Schritt 1: Bereits an der Rezeption sollte man den Gast entsprechend informieren, dass es die Möglichkeit der Nutzung von Sprachassistenten gibt. Eine umfangreiche Information nach Art. 13 DSGVO muss ebenso erfolgen. Dies kann jedoch noch auf dem Hotelzimmer passieren, da an der Rezeption bis dato noch keine Daten durch bspw. Alexa erhoben wurden. Die Informationspflichten sollten auf dem Hotelzimmer aber direkt am Standort der Alexa entsprechend sichtbar auffindbar sein. Zusätzlich muss man den Gast darauf hinweisen, dass er – sollte er den Service eines Sprachassistenten annehmen – sich im klaren sein muss, dass ab diesem Zeitpunkt alles was mit Alexa kommuniziert wird, auch entsprechend ausgelesen werden kann.

Schritt 2: Um der Datenspeicherung von Assistenten entgegenzuwirken, sollten nach Zweckwegfall – in diesem Fall das Auschecken des Gastes – die Daten manuell aus dem entsprechenden Amazon-Konto gelöscht werden. Dies funktioniert aktuell noch nicht automatisiert, sondern muss manuell durch ein Rechte und Rollenkonzept gelöscht werden – am besten durch Führungskräfte. Dass entsprechend vertraulich mit den Daten umgegangen werden muss, sollte an vorderster Stelle stehen.

Schritt 3: Privacy by Design gewährleisten. Um Datenschutz durch Technikgestaltung im Hotel sicherzustellen, lassen Sie die Sprachassistenten ausgeschaltet bzw. einfach vom Stromnetz ausgesteckt. Mit dem Anstecken an das Netz würde der Nutzer selbst aktiv werden und entsprechend die Konsequenzen „akzeptieren“.

Schritt 4:  Da laut deutschen Aufsichtsbehörden bei der Videoüberwachung auf Parkplätzen bereits eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden soll, muss im Verarbeitungsverzeichnis auch entsprechend ein Prozess „Sprachassistent“ dokumentiert und zusammen mit dem DSB natürlich ebenfalls eine DSFA dafür durchgeführt werden.