© 2019 Deutscher Bundestag WD 10 - 3000 - 032/19 Zulässigkeit der Transkribierung und Auswertung von Mitschnitten der Sprachsoftware "Alexa" durch Amazon Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 2 Zulässigkeit der Transkribierung und Auswertung von Mitschnitten der Sprachsoftware "Alexa" durch Amazon Aktenzeichen: WD 10 - 3000 - 032/19 Abschluss der Arbeit: 29. Mai 2019 Fachbereich: WD 10: Sport, Kultur und Medien Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 3 Inhaltsverzeichnis 1. Vorbemerkung 4 2. Funktionsweise 4 3. Rechtliche Erwägungen 5 3.1. Einwilligung in Verarbeitung 5 3.2. Pflichtinformationen 6 3.3. Weitergabe an staatliche Stellen 7 4. Verarbeitung nach Treu und Glauben 8 5. Fazit 9 Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 4 1. Vorbemerkung Dieser Sachstand informiert über die Zulässigkeit der Transkribierung und Auswertung von Mitschnitten der Sprachsoftware "Alexa" durch Amazon. Im Fokus dieser Arbeit steht die Frage nach der Rechtmäßigkeit von Datenerhebungen durch „Alexa“. Anlässlich der Herausgabe von Daten durch Amazon an US-Strafverfolgungsbehörden1 und der hohen medialen Aufmerksamkeit in Deutschland2 wird darüber hinaus die rechtliche Zulässigkeit einer Datenweitergabe durch Amazon an deutsche staatliche Stellen diskutiert. 2. Funktionsweise Die Sprachsoftware „Alexa“ wurde im Jahr 2016 auf dem deutschen Markt eingeführt. Bei „Alexa“ handelt es sich um eine Software, die Sprachbefehle verarbeitet und Antworten generiert . Der Empfang des Sprachbefehls erfolgt durch spezielle Mikrophone; die Ausgabe der Antwort durch einen sogenannten „Amazon Echo“ Lautsprecher, der im akustischen Umfeld des Nutzers platziert werden muss. Für die Erstinstallation von „Alexa“ muss der „Amazon Echo“ Lautsprecher mit einem Smartphone verbunden werden und dann über die „Alexa-App“ mit dem eigenen Amazon-Konto und dem Heimnetzwerk verknüpft werden. Nach erfolgreicher Einrichtung erfolgt die Aktivierung des Systems durch Nennung der voreingestellten Schlüsselwörter „Alexa“, „Computer“ oder „Amazon“. Das Einsatzspektrum von „Alexa“ reicht von der reinen Informationsvermittlung bis zur persönlichen Kalenderverwaltung.3 Daneben bietet „Alexa“ seinen Nutzer inzwischen auch die Möglichkeit, sie allein an der Stimme zu erkennen. Dadurch soll die „Alexa-Erfahrung“ für alle Nutzer individualisiert werden, zum Beispiel bei Nachrichten oder der Musikauswahl. Zusätzlich soll das Einkaufen per Stimme sicherer werden, da jeder Nutzer eindeutig zugeordnet werden kann.4 Der Sprachassistent sendet die aufgenommenen Sprachdaten an die Server von Amazon (sog. Cloud). Dort transkribiert eine Software die Audiodaten in Echtzeit und übermittelt eine Antwort 1 Nach einem Mordfall wurden die Audiodaten, die durch die Verwendung des Tatverdächtigen von „Alexa“ entstanden sind, von Amazon an die US-Strafverfolgungsbehörden herausgegeben. Zwar willigte der Tatverdächtigte in die Weitergabe ein, doch ist unklar, ob das zuständige Gericht gegebenenfalls eine Herausgabe erzwungen hätte. Information abrufbar unter: https://www.br.de/nachrichten/netzwelt/amazon-gibt-alexa-daten-anermittler -weiter,68w3gdht64wkjctk6gvkge1k60r3g. Stand aller in diesem Sachstand angegebenen Internetadressen entspricht dem Abschlussdatum dieser Arbeit. 2 Der Verein „Digitalcourage“ verlieh „Alexa“ im Jahr 2018 den sogenannten „BigBrotherAward“. Dieser wird jährlich an Firmen, Organisationen und Personen verliehen, die nach Angaben des Vereins in besonderer Weise die Privatsphäre von Menschen beeinträchtigen sowie persönliche Daten verkaufen oder gegen ursprüngliche Interessen verwenden. Abrufbar unter: https://bigbrotherawards.de/2018/verbraucherschutz-amazon-alexa. 3 Vgl. eigene Angaben von Amazon: https://www.amazon.de/gp/help/customer/display.html?nodeId=201602230. 4 Alexa: Stimmerkennung nutzen – so funktioniert es, abrufbar unter: https://tipps.computerbild.de/mobil /apps/alexa-stimmerkennung-619517.html. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 5 an das Endgerät.5 Der Sprachbefehl des Nutzers wird in der Amazon Cloud sowohl als Audio-Datei gespeichert, als auch in schriftlicher Form hinterlegt. Angaben zur Speicherungsdauer sind in den Nutzungsbedingungen von Amazon nicht ersichtlich. Im Benutzerkonto können sämtliche Mitschnitte verwaltet und ggf. gelöscht werden. 3. Rechtliche Erwägungen Im Jahr 2016 äußerte Andrea Voßhoff in ihrer Funktion als Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Zweifel an der Rechtmäßigkeit der Software. Das „permanente Belauschen“ und die ungewisse Verwendung der gesammelten Daten seien nach Auffassung von Voßhoff „kritisch“ zu bewerten.6 Von Interesse ist vorliegend die Frage, ob die Transkribierung der Spracheingaben der Nutzer durch Amazon rechtmäßig ist. Die Registrierung und Verarbeitung der mündlichen Eingabebefehle stellen eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 Datenschutz-Grundverordnung7 (DSGVO) dar und sind somit einer datenschutzrechtlichen Überprüfung zu unterziehen. Im Folgenden wird dargestellt, welche Anforderungen an die Einwilligung des Nutzers zur Datenverarbeitung zu stellen sind, welche Pflichtinformationen der Datenverarbeiter dem Nutzer bereitstellen muss und unter welchen Voraussetzungen eine Weitergabe von Daten durch Amazon an staatliche Stellen rechtmäßig wäre. 3.1. Einwilligung in Verarbeitung Nach Art. 6 I DSGVO darf eine Datenverarbeitung8 nur unter bestimmten Bedingungen erfolgen, unter anderem nach erfolgter Einwilligung des Betroffenen, Art. 6 I a) DSGVO. Die erste Inbetriebnahme von „Alexa“ gelingt nur nach vollumfänglicher und ausdrücklicher Zustimmung zu den Nutzungsbedingungen von „Alexa“. Diese Einwilligung soll sich auf „alle zu demselben Zweck vorgenommenen Verarbeitungsvorgänge beziehen“.9 Erforderlich ist also, dass sich die Einwilligungserklärung auf sämtliche Verarbeitungsvorgänge bezieht, wobei sich bei mehreren Zwecken die Einwilligung zweifelsfrei auf alle Zwecke beziehen muss. Vor diesem Hintergrund 5 Brockmeyer/Vogt: Alexa, Siri & Google Assistant – was ist erlaubt? Abrufbar unter: http://www.abida.de/sites /default/files/Dossier_Sprachassistenten_V.2.0.pdf. 6 Datenschutzbeauftragte warnt vor Google-Sprachassistent, Interview abrufbar unter: https://www.wiwo.de/unternehmen /it/google-home-datenschutzbeauftragte-warnt-vor-google-sprachassistent/13641366.html. 7 Datenschutz-Grundverordnung vom 04.05.2016 (ABl. L 119). 8 Gemäß Art. 4 Nr. 2 DSGVO versteht man unter Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang […] im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. 9 Vgl. Erwägungsgrund 32 DSGVO, abrufbar unter: https://dsgvo-gesetz.de/erwaegungsgruende/nr-32/. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 6 sind der Auslegung der Einwilligungserklärung enge Grenzen gesetzt.10 Die Zwecke der Verarbeitung müssen so konkret wie möglich benannt werden.11 Blankoeinwilligungen sind nach herrschender Auffassung nicht zulässig.12 Der Nutzer stimmt der Datenverarbeitung bei der Erstinstallation mit Annahme der Nutzungsbedingungen ausdrücklich zu. Fraglich ist jedoch, welche datenschutzrechtlichen Anforderungen an den Umfang der bereitgestellten Informationen zu stellen sind. 3.2. Pflichtinformationen Der notwendige Umfang der Informationen, auf die sich die Einwilligung des Nutzers beziehen muss, ergibt sich aus Art. 13 und Art. 14 DSGVO. Diese verpflichten den Datenverarbeitenden, den Betroffenen über die wichtigsten Rahmenbedingungen der Verarbeitung zu informieren.13 Zu unterscheiden ist dabei zwischen „Pflichtinformationen“, über die bei jeder Datenverarbeitung informiert werden muss (jeweils Absatz 1) und solchen Informationen, die dem Betroffenen nur mitgeteilt werden müssen14, wenn dies für eine faire und transparente Verarbeitung erforderlich ist (jeweils Absatz 2).15 Zu den „Pflichtinformationen“ gehören16: • Die Kategorien der verarbeiteten Daten. • Die Namen und die Kontaktdaten der Verantwortlichen und – bei Unternehmen aus Drittstaaten – seines Vertreters in der Union gemäß Art. 27 DSGVO sowie ggf. des betrieblichen Datenschutzbeauftragten . • Der Zweck und die Rechtsgrundlage der Datenverarbeitung sowie im Falle des Art. 6 I lit. f) DSGVO die überwiegenden berechtigten Interessen des Verantwortlichen oder Dritter. • Die Empfänger der Daten. Auf der Website17 von Amazon und in der „Alexa-App“ sind die Nutzungsbedingungen der Sprachsoftware hinterlegt. Dort sind Angaben zu den oben genannten Themen zu finden, ohne 10 Gola DS-GVO/Schulz DS-GVO Art. 6 Rn. 23. 11 Erwägungsgrund 32 DSGVO, a.a.O. 12 Gola DS-GVO/Schulz DS-GVO Art. 6 Rn. 24. 13 Schantz/Wolff: Das neue Datenschutzrecht, 2017, Rn. 1150, abrufbar unter: https://beck-online.beck.de/Dokument ?vpath=bibdata%2Fkomm%2Fschantzwolffhdbneudsr_1%2Fcont%2Fschantzwolffhdbneudsr .glf.gliii.gl1.htm&pos=5&hlwords=on&lasthit=True#FNID0E6NBS. 14 Vgl. Erwägungsgrund 60 Satz 2 DSGVO, abrufbar unter: https://dsgvo-gesetz.de/erwaegungsgruende/nr-60/. 15 Paal/Pauly/Paal/Hennemann DS-GVO Art. 13 Rn. 22 f. 16 Vgl.: Schantz/Wolff, a.a.O. Rn. 1153. 17 Abrufbar unter: https://www.amazon.de/gp/help/customer/display.html?nodeId=201809740. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 7 jedoch einen Bezug zur DSGVO deutlich zu machen. Die „Pflichtinformationen“ werden dem Rezipienten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren Sprache“ vermittelt und dürften somit den Anforderungen des Art. 12 I 1 DSGVO genügen. Eindeutige Vorgaben zur Platzierung der Pflichtinformationen hält die DSGVO nicht bereit. Als einzige Formvorschrift innerhalb der DSGVO ist Art. 12 I 2 DSGVO ersichtlich, welche festlegt, dass die „Übermittlung der Informationen […] schriftlich oder in anderer Form, gegebenenfalls auch elektronisch [erfolgt]“. In dem Erwägungsgrund 5818 wird die Website als zulässige Informationsquelle ausdrücklich erwähnt. Diese Option kommt freilich nur in Betracht, wenn die Informationsbekanntgabe inhaltlich gegenüber allen Betroffenen einheitlich erfolgen kann19 oder es aufgrund der technischen Gegebenheiten des empfangenen Geräts, z.B. aufgrund fehlender Displays , nicht möglich ist, alle Informationen darzustellen.20 „Amazon Echo Lautsprecher“ haben kein eigenes Display und die Informationen zur Datenverarbeitung betreffen alle Nutzer gleicher Maßen. Folglich könnten Änderungen der Nutzungsbedingungen nur im Wege der Veröffentlichung auf der Website erfolgen. 3.3. Weitergabe an staatliche Stellen Neben der Datenerhebung durch Amazon steht auch das potentielle Risiko der Weitergabe der verarbeiteten Daten an staatliche Stellen, insbesondere an Geheimdienste, im öffentlichen Diskurs .21 Bei einer Weitergabe von Daten an Dritte stellt sich aus datenschutzrechtlicher Perspektive die Frage, ob dies von der ursprünglich erteilten Einwilligung mitumfasst ist oder es einer weiteren Erklärung des Betroffenen bedarf. Inwiefern die Weitergabe von Daten von der ursprünglichen Einwilligung gedeckt ist, hängt vom Zweck der Weitergabe ab. In Erwägungsgrund 5022 der Datenschutzgrundverordnung heißt es: „Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten.“ 18 Erwägungsgrund 58 Satz 2 DSGVO, abrufbar unter: https://dsgvo-gesetz.de/erwaegungsgruende/nr-58/. 19 Schantz/Wolff, a.a.O. Rn. 1157. 20 Roßnagel: Datenschutz in einem informatisierten Alltag, S. 134. 21 Für Viele: https://www.faz.net/aktuell/wirtschaft/diginomics/geheimdienste-wollen-alexa-offenbar-zur-ueberwachung -nutzen-16136726.html. 22 Abrufbar unter: https://dsgvo-gesetz.de/erwaegungsgruende/nr-50/. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 8 Es wird deutlich, dass bei Vorliegen einer Zweckkompatibilität keine gesonderte Rechtsgrundlage für die Weiterverarbeitung notwendig ist.23 In der vorliegenden Konstellation dürfte der Zweck der Datenerhebung durch eine staatliche Stelle nicht mit dem von Amazon verfolgten Zweck kongruent sein. Während Amazon mit der Datenerhebung vor allem ökonomische Interessen verfolgt, werden für staatliche Stellen Aspekte der öffentlichen Sicherheit im Vordergrund stehen. Eine Weitergabe von Daten wäre daher mutmaßlich nicht von der ursprünglichen Einwilligung gedeckt. Möglicherweise wäre eine Weiterverarbeitung jedoch durch eine nationale Rechtsgrundlage zu rechtfertigen. In Betracht käme § 24 I Nr. 1 Bundesdatenschutzgesetz24 (BDSG).25 Diese Norm gestattet die "Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, […] wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist“. Damit lockert die Norm den Grundsatz der oben erläuterten Zweckbindung.26 Hinsichtlich des Gefahrenbegriffs als auch der umfassten Rechtsgüter kann auf die polizeirechtlichen Bestimmungen zurückgegriffen werden.27 Gemäß Art. 4 Nr. 2 DSGVO umfasst der Begriff der Verarbeitung auch die „Verbreitung “ und „Bereitstellung“ von personenbezogenen Daten, sodass § 24 I Nr. 1 BDSG als tauglicher Rechtfertigungstatbestand herangezogen werden könnte. Inwieweit dieser eine Weitergabe tatsächlich rechtfertigen könnte ist jedoch eine Frage des Einzelfalls. Eine allgemeine Aussage über die Rechtmäßigkeit einer Datenweitergabe kann nicht getroffen werden. 4. Verarbeitung nach Treu und Glauben Art. 8 II 1 Charta der Grundrechte der Europäischen Union28 legt fest, dass personenbezogene Daten nur nach Treu und Glauben verarbeitet werden dürfen. Wie aufgezeigt ist Transparenz bei der 23 Polizeianfragen: Rechtskonforme Datenweitergabe nach der DSGVO, abrufbar unter: https://www.datenschutzbeauftragter -info.de/polizeianfragen-rechtskonforme-datenweitergabe-nach-der-dsgvo/. 24 Bundesdatenschutzgesetz vom 30.06.2017 (BGBl. I S. 2097). 25 Die europarechtliche Öffnungsklausel findet sich in Art. 6 IV DSGVO, der den Mitgliedstaaten die Befugnis eröffnet , in den dort genannten materiell-rechtlichen Grenzen (insbesondere Art. 23 Abs. 1 DS-GVO) von dem Erfordernis der Zweckkompatibilität abzuweichen und Rechtsgrundlagen für zweckändernde Verarbeitungen zu schaffen (BeckOK DatenschutzR/Albers BDSG § 24 Rn. 1). 26 Klaas: Mehr Beteiligungsrechte des Verdächtigen – Der Einfluss des Transparenzgrundsatzes der DS-GVO auf die Durchführung interner Ermittlungen, CCZ 2018, 242. 27 Kühling/Buchner/Herbst BDSG § 24 Rn. 7. 28 Charta der Grundrechte der Europäischen Union vom 30.03.2010 (C 83/392). Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 9 Datenerhebung eine wesentliche Ausprägung dieses Grundsatzes. Der Betroffene muss die maßgeblichen Faktoren der Verarbeitung seiner Daten nachvollziehen können.29 Inhaltlich dürften die Ausführungen auf der Website von Amazon diesen Anforderungen genügen . Beim Gebrauch von „Alexa“ könnte für den Nutzer jedoch häufig intransparent bleiben, wann Daten tatsächlich erhoben werden. Die Aktivierung der Sprachsoftware geschieht Medienberichten 30 zufolge regelmäßig versehentlich, ohne dass der Nutzer dies bemerkt. Dann werden ohne Kenntnis und Zustimmung des Nutzers Daten erhoben und verarbeitet. Gleiches gilt, wenn Dritte – ohne Kenntnis von der Existenz eines Sprachaufzeichnungsgeräts – oder im Haushalt lebende Minderjährige persönliche Informationen preisgeben und damit gewissermaßen „abgehört“ werden.31 Erwähnt sei der Minderjährigenschutz auch im Hinblick auf die Verfügbarkeit von Informationen aus dem Internet. Diese sind durch die Möglichkeit einer Spracheingabe auch für jene Kinder verfügbar, die noch keine Textbefehle in einen Computer eingeben können. 5. Fazit Amazon dürfte seiner Pflicht zur Informationsvermittlung gemäß Art. 13 I und Art. 14 I DSGVO in hinreichendem Maß nachgekommen sein. Offen bleibt jedoch, wie unbeteiligte Dritte und Minderjährige von der Datensammlung ausgeschlossen werden können. Unklar ist mit Blick in die USA auch, zu welchen weiteren Zwecken Amazon seine Daten zukünftig nutzen könnte. Der Erkenntnisgewinn aus den gesammelten Daten könnte gerade vor dem Hintergrund der zahlreichen Verknüpfungen mit anderen Plattformen32 groß sein. Die Intensität der Verpflichtung zu Transparenz bei der Datenverarbeitung33 könnte damit in Abhängigkeit zu Umfang und Qualität der gesammelten Datenmenge stehen. Gerade die Möglichkeit der Stimmerkennung wird den Datenschutz vor zusätzliche Herausforderungen stellen. 29 Vgl. Schantz/Wolff a.a.O.: Rn. 1149. 30 Wenn Alexa intime Details verrät – Was Verbraucher nach dem Datenleck wissen müssen, abrufbar unter: https://www.handelsblatt.com/unternehmen/it-medien/amazon-panne-wenn-alexa-intime-details-verraet-wasverbraucher -nach-dem-datenleck-wissen-muessen/23792132.html?ticket=ST-4407671-WQYgL- VEIFaQre0y07ufN-ap3; Alexa sendet versehentlich aufgenommenes Gespräch, abrufbar unter: https://www.tagesspiegel .de/gesellschaft/panorama/amazon-lautsprecher-alexa-sendet-versehentlich-aufgenommenes-gespraech /22603892.html. 31 Auf das Risiko der Abhörung unwissender Dritter weist die Verbraucherzentrale ausdrücklich hin, vgl.: Amazon hört zu: "Echo" jetzt auch in hiesigen Wohnzimmern, abrufbar unter: https://www.verbraucherzentrale.de/aktuelle -meldungen/digitale-welt/amazon-hoert-zu-echo-jetzt-auch-in-hiesigen-wohnzimmern-13149. 32 „Alexa“ ist beispielsweise mit dem eigenen Amazon Konto verknüpft und kann mit zahlreichen weiteren Drittanbietern vernetzt werden. Für weitere Informationen, vgl.: https://www.amazon.de/gp/help/customer/display .html?nodeId=201628770. 33 Vgl. Art. 5 I lit. a DSGVO. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 032/19 Seite 10 Unabhängig von der Rechtmäßigkeit der Datenverarbeitung kann auch ein Datendiebstahl aus der Amazon Cloud nicht ausgeschlossen werden.34 Wegen der Masse an dort gespeicherten Informationen könnte dies die Nutzer von „Alexa“ besonders sensibel treffen. **** 34 Vgl. etwa den „Cambridge Analytica-Skandal“. Der Apple Konzern hat für derartige Fälle vorsorglich die eigene Haftung gegenüber seinen Nutzern ausgeschlossen. Vgl. die allgemeinen Geschäftsbedingungen von Apple, wonach keine Verantwortung dafür übernommen wird, dass die Sprachverarbeitungsdienst „Siri“ „frei von Verlusten , Beschädigungen, Angriffen, Viren, Eingriffen, Angriffen durch Hacker oder anderen sicherheitsrelevanten Störungen“ gewährleistet wird. AGB abrufbar unter: https://www.apple.com/chde/legal/internet-services/itunes /chde/terms.html.