HmbBfDI eröffnet Verwaltungsverfahren gegen Google

Sprachassistenzsysteme kommen auf den Prüfstand

[datensicherheit.de, 01.08.2019] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist aus gegebenem Anlass darauf hin, dass sich die Nutzung automatischer Sprachassistenten von Anbietern wie Google, Apple und Amazon „als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen“ erweist. Dies gelte nicht nur für die einen Sprachassistenten betreibenden Personen, „sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. ,Google Assistant‘ installiert ist.“

Auswertung akustischer Aufnahmen zur Optimierung der Spracherkennungsfähigkeit

Gestützt auf von sogenannten Whistleblowern zugespielte Mitschnitte sei in den Medien kürzlich berichtet worden, dass Google im Rahmen seines Sprachassistenten „Google Home“ akustische Aufnahmen der Nutzer von Menschen auswerten lasse, um die Spracherkennungsfähigkeit des „Google Assistant“ zu optimieren.
Bei diesen Auswertungen hörten Mitarbeiter von Google bzw. beauftragter Firmen die Sprachaufzeichnungen ab und transkribierten diese, „um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden“. Diese Praxis habe Google in seinem Blog dargestellt (s.u.).

Zum Teil sensible personenbezogene Informationen aus der Privat- und Intimsphäre

Wie sich durch den Bericht der Whistleblower gezeigt habe, ließen sich aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren sei ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung erfolgt.
Der HmbBfDI hat nach eigenen Angaben „vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen“. Damit sollen laut HmbBfDI die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener

Zwar sei nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handele es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google sei das die IDPC in Irland. Dennoch sehe die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, „falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht“.
Dies sei hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen könne nur durch einen zeitnahen Vollzug erreicht werden. Google habe im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgten. Diese Zusicherung beziehe sich auf die EU insgesamt.

Einsatz von Sprachassistenzsystemen in der EU muss DSGVO folgen

Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen. Dazu der HmbBfDI, Johannes Caspar: „Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen.“
Im Fall des „Google Assistant“ bestünden daran gegenwärtig „erhebliche Zweifel“. Die Nutzung von Sprachassistenzsystemen müsse in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist.

Datenschutzbehörden werden über endgültige Maßnahmen entscheiden

Dabei gehe es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich müsse dem Erfordernis des Schutzes von den Sprachaufnahmen betroffener Dritter hinreichend Rechnung getragen werden.
„Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind“, so Caspar.

Weitere Informationen zum Thema:

Google, David Monsees, 11.07.2019
Safety and Security / More information about our processes to safeguard speech data

datensicherheit.de, 31.07.2019
HmbBfDI: Hamburgisches Transparenzgesetz mit Licht und Schatten